ĐẠI HỌC QUỐC GIA TPHCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Mạng Máy Tính & Truyền Thông 03 o0o BÁO CÁO Môn Học: Ứng Dụng Truyền Thông & An Toàn Thông Tin Đề Tài: Phân Tích Đặc Điểm Gói Tin - Analyzing Packet Signatures Giáo Viên hướng dẫn: Th.sĩ: Tô Nguyễn Nhật Quang SV thực hiện : Nguyễn Thành 08520347 Nguyễn Hữu Ru 08520582 Trần Minh Kỳ 08520558 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN Trần Quang Khánh 08520552 Mục Lục I.Tổng quan về phân tích đặc điểm của gói tin: 3 II.Phân tích các đặc điểm : 3 III.Common Vulnerabilities and Exposures – CVE : 5 IV.Đặc điểm các cuộc tấn công: 7 1.CGI Script: 7 3.Tấn công Web Browser: 9 5.Tấn công IMAP : 10 6.IP Spoofing : 10 V.Các dấu hiệu của lưu lượng bình thường : 13 1.Snort Logs : 14 2.Các dấu hiệu của gói tin Ping : 15 3.Các dấu hiệu của gói tin Web 20 4.Các dấu hiệu của gói tin FTP : 22 5.Các dấu hiệu của gói tin Telnet : 24 VI.Đặc điểm các lưu lượng bất thường : 26 1.Ping Sweeps: 26 3.Đặc điểm của Backdoor và Trojan Horse: 28 4.Quét với công cụ Nmap : 31 6.Quét Syn với Nmap: 32 7.Quét Fin với Nmap 33 8.Quét XMAS với Nmap : 34 08520347 – 08520582 – 08520558 - 08520552 Page 2 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN I. Tổng quan về phân tích đặc điểm của gói tin: Trong bài này bạn sẽ được giới thiệu về khái niệm cốt lõi của việc phân tích gói tin, bao gồm những việc được chỉ định cho phép và không cho phép sử dụng trên mạng. Bạn sẽ kiểm tra chi tiết cả 2 phần header và payload của một số loại gói tin. Mục đích : để phân tích các dấu hiệu của gói tin TCP/IP, trong bài này gồm các nội dung sau. A. Mô tả khái niệm của việc phân tích đặc điểm gói tin TCP/IP. Bạn sẽ mô tả các khái niệm về thực hiện phân tích các dấu hiệu ở các cấp của gói tin trong môi trường mạng . B. Mô tả lợi ích của các chuẩn CVE. Bạn sẽ kiểm tra chức năng cơ bản của các chuẩn CVE, và lợi ích của nó đối với các chuyên gia an ninh mạng. C. Xem xét các khái niệm về các đặc điểm chính của các lưu lượng có hại. Bạn sẽ xem xét các khái niệm của các đặc điểm để xác định nhiều loại truy cập mạng nguy hại . D. Kiểm tra và xác định đặc điểm của các truy cập thông thường mạng TCP/IP. Bắt lấy gói tin trên đường truyền mạng, bạn sẽ kiểm tra và xác định đặc điểm của các gói tin với hành vi truy cập mạng bình thường. E. Kiểm tra và xác định đặc điểm của các truy cập bất thường trên mạng TCP/IP. Bắt lấy gói tin trên đường truyền mạng, bạn sẽ kiểm tra và xác định các đặc điểm gói tin với hành vi truy cập mạng bất thường. II. Phân tích các đặc điểm : Khoá học Tactical Perimeter Defense, bạn thực hiện việc bắt gói tin và dùng những công cụ phát hiện xâm nhập, như là Snort. Những công cụ tiêu biểu này được thiết kế để giúp cho công việc phát hiện xâm nhập. Nhưng bạn muốn tìm hiểu kỹ về cái gì? Và bắt đầu từ đâu? Bạn biết là những công cụ đó có thể thực hiện việc bắt các gói tin. Nhưng, nếu bạn thật sự muốn tìm hiểu kỹ việc phát hiện xâm nhập, bạn sẽ phải kiểm tra từng gói tin, cũng như một nhóm các gói tin hay toàn bộ. Chỉ như vậy thì bạn 08520347 – 08520582 – 08520558 - 08520552 Page 3 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN mới có một nền tảng vững chắc về phát hiện xâm nhập. Trong việc phân tích các đặc điểm, bạn sẽ nhìn thẳng vào mỗi gói tin, và phân tích chi tiết chúng. Trước khi bạn nhận định đúng các gói tin, bạn phải có một nền tảng. Các khái niệm trong việc phân tích các đặc điểm phải được làm sáng tỏ trước khi bạn bắt đầu thực hiện việc đó.  Phân tích đặc điểm gói tin là gì? Trong bài trước, bạn xem xét cấu trúc của gói tin truyền đi được thực hiện với giao thức TCP/IP. Những tài liệu RFC là những quy tắc chuẩn giúp cho các kỹ thuật viên xây dựng hệ thống TCP/IP của họ có thể liên kết được các hệ thống và thiết bị khác nhau. Giao tiếp giữa bất kỳ hai máy phải tuân thủ theo một số quy tắc được xác định , rất nhiều quy tắc trong số đó trở thành các mô hình mẫu. Các mô hình mẫu có thể được xếp thành mục, và thường được gọi là đặc điểm mẫu. Khi bạn bắt được gói tin, bạn có thể xác định được thông tin liên lạc diễn ra giữa hai hay nhiều máy với nhau.  Mục tiêu của phân tích các đặc điểm: Hầu như tất cả mọi người sử dụng máy tính để giao tiếp hợp pháp, bạn không có nhu cầu thực tế cho việc phân tích các đặc điểm, ngoài việc xử lý sự cố, giám sát băng thông, V.V… Tuy nhiên, có rất nhiều người dùng với mục đích xấu, sử dụng tính công khai và sự tiện lợi của giao thức TCP/IP để phá hoại và làm tổn hại đến hệ thống hoặc toàn bộ các mạng. Vì vậy, mục tiêu của việc phân tích các đặc điểm là để phân biệt được các hoạt động nguy hại và cố gắng theo dõi những kẻ tấn công.  Các file log (nhật ký) của ứng dụng: Tùy thuộc vào các công cụ được sử dụng và cách thức chúng thực hiện trong một khoảng thời gian, một số lượng lớn dữ liệu có thể được thu thập. Nó sẽ là vô cùng khó khăn để tìm dữ liệu có liên quan để trao đổi thông tin cụ thể nếu phiên làm việc không ghi quá trình. Do đó, khai thác file log là một phần của phân tích hoạt động mạng.  Làm thế nào để bắt chụp các gói tin: Một số công cụ miễn phí có sẵn giúp cho việc thu thập các bản ghi gói tin từ mạng, ngoài Window’s Network Monitor and Wireshark. Tcpdump với phiên bản chạy trên nền Windows là Wimdump, là một trong những công cụ được sử dụng rộng rãi nhất. Nó không cung cấp cách thức để xem các phần dữ liệu của các gói tin bắt được, nhưng nó cho phép xuất ra đầy đủ các gói tin bắt được trong định dạng hệ thập lục phân. Có một vài chương trình được viết ra để thực 08520347 – 08520582 – 08520558 - 08520552 Page 4 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN hiện việc chuyển đổi các chùm gói tin dạng thập lục phân từ Tcpdump thành văn bản mã ASCII có thể đọc được, chẳng hạn như sniffit hoặc tcpshow, cung cấp một bản tổng hợp các header của gói tin và cho phép người dùng xem phần văn bản định dạng mã ASCII của mỗi gói tin của dữ liệu. III. Common Vulnerabilities and Exposures – CVE : Bạn có thể nhớ lại kiến thức trong khóa học Hardening the Infrastructure, CVE là một danh sách các tên tiêu chuẩn cho các lỗ hỏng và các lỗi bảo mật khác. CVE nhằm mục đích chuẩn hóa tên cho tất cả các lỗ hỏng công khai và các lỗi bảo mật. Để biết chi tiết hơn, bạn nên truy cập vào trang web CVE tại www.cve.mitre.org/about . Mục tiêu của CVE là tạo nên sự dễ dàng cho việc chia sẻ dữ liệu thông qua các cơ sở dữ liệu về lổ hổng riêng biệt và các công cụ bảo mật. Trong khi CVE có thể tạo nên sự dễ dàng trong việc tìm kiếm, nghiên cứu thông tin trong cơ sở dữ liệu khác thì CVE không nên được xem như là một cơ sở dữ liệu về lỗ hổng của chính nó. CVE là một cộng đồng có ảnh hưởng rộng rãi, nội dung của CVE là một kết quả của một nỗ lực hợp tác của các thành viên CVE. Các thành viên bao gồm các đại diện từ nhiều tổ chức bảo mật liên quan như các nhà cung cấp công cụ bảo mật, các trường đại học, và chính phủ, cũng như các chuyên gia bảo mật nổi tiếng khác. Tổng công ty Mitre hỗ trợ, duy trì CVE và điều phối các cuộc hôi thảo của các thành viên CVE.  Phân loại CVE: Phiên bản CVE hiện nay là 20010507. Trong đó, tất cả các lỗ hỏng đã biết được liệt kê bằng một con số duy nhất và bất kỳ tài liệu tham khảo có liên quan tới lỗ hỏng được áp dụng. Tên CVE bao gồm: • Tên (cũng được gọi như là một con số) là một mã của năm và một số n duy nhất cho các ứng cử viên thứ n được đề xuất trong năm đó. Ví dụ, tên CVE là CVE-1999-0067 là ứng cử viên 67 từ năm 1999. • Một mô tả ngắn gọn về các lỗ hổng và lỗi bảo mật. • Bất kỳ tài liệu tham khảo thích hợp. Các minh họa sau đây cho thấy một vài phân loại lỗ hỏng, đây chỉ là một vài ví dụ mà bạn sẽ thấy khi bạn truy cập vào các trang web. 08520347 – 08520582 – 08520558 - 08520552 Page 5 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN Hình 8-1: Biểu diễn CVE cho một hệ thống tập tin mạng (NFS) có lỗ hỏng tràn bộ nhớ đệm. Hình 8-2: Biểu diễn CVE cho một phương thức gọi từ xa (RPC) có lỗ hỏng tràn bộ đệm. Hình 8-3: Biểu diễn CVE cho một IMAP có lỗ hỏng tràn bộ đệm. 08520347 – 08520582 – 08520558 - 08520552 Page 6 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN IV. Đặc điểm các cuộc tấn công: Việc phân tích các đặc điểm đòi hỏi sự hiểu biết các phương thức tấn công thường được sử dụng. Từ phương pháp ping cơ bản đến quét port, tấn công từ chối dịch vụ đến tấn công toàn bộ (full attempt) và truy cập trái phép(unauthorized access) hoặc thỏa hiệp hệ thống (system compromise). Các đặc điểm tấn công được phân chia làm 3 loại: • Exploit. • Reconnaissance scan. • Tấn công DoS.  Khai thác các lỗi thông thường : Phần này đề cập đến một số kiểu khai thác lỗi rất phổ biến trong thế giới mạng. Nhiều loại trong đó đã trở nên quen thuộc như bạn kiểm tra một cuộc tấn công phổ biến và khai thác. Từ các cuộc tấn công web để khai thác mail, bạn sẽ tìm được các cuộc tấn công đó là một phần trong việc phân tích đặc điểm các cuộc tấn công hàng ngày. 1. CGI Script: CGI (Common Gateway Interface) : là một phương thức mà web server sử dụng để cho phép tương tác giữa server và client. Bug: một đặc tính không mong muốn và không mong đợi của một chương trình hay phần cứng, đặc biệt là nguyên nhân làm cho nó trục trặc. CGI Script: cho phép việc tạo ra các trang web động và tương tác. Đó cũng là một phần dễ bị tổn thương nhất của máy chủ web (bên cạnh việc bảo mật bên dưới máy chủ). 08520347 – 08520582 – 08520558 - 08520552 Page 7 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN PHF: chương trình tập tin danh bạ điên thoại trình diễn mà hacker sử dụng để được truy cập vào một hệ thống máy tính và có khả năng đọc và nắm bắt mật khẩu file. Chương trình CGI là một chương trình nổi tiếng không an toàn. Các lỗ hổng bảo mật điển hình bao gồm truyền nhiễm trực tiếp vào lệnh shell thông qua việc sử dụng siêu kí tự shell, dùng các biến ẩn xác định bất kỳ tên tập tin trên hệ thống và nếu không để lộ thêm về hệ thống thì tốt hơn. Lỗi CGI nổi tiếng nhất là thư viện vận chuyển PHF với NCSA httpd. Thư viện PHF yêu cầu cho phép máy chủ phân tích cú pháp HTML, nhưng có thể được khai thác để cung cấp lại cho các tập tin bất kì. Các tập lệnh CGI nổi tiếng khác mà những kẻ xâm nhập có thể cố gắng khai thác là TextCounter, GuestBook , EWS, info2www, Count.cgi, handler, webdist.cig, php.cig, files.pl, nph-test-cgi, nph- publish, AnyForm, and FormMail. Nếu bạn nhận thấy một ai đó cố gắng truy cập một hay tất cả những tập lệnh CGI khi bạn không dùng đến, đó là dấu hiệu rõ ràng của một nỗ lực xâm nhập, giả sử bạn không có một phiên bản cài đặt mà bạn thực sự muốn sử dụng. 2. Tấn công Web Server: Ngoài việc thực hiện các chương trình CGI, web server còn có các lổ hổng khác. Một số lượng lớn máy chủ tự viết (bao gồm IIS 1.0 và NetWare 2.x) có các lỗ hổng mà theo đó một tên file có thể bao gồm một chuỗi / trong tên đường dẫn đến một nơi nào đó trong file hệ thống, cho phép người dùng lấy file bất kì.Một lỗi phổ biến khác là làm tràn bộ nhớ đệm trong trường request hoặc một trong các trường HTTP khác. Web server thường có các lỗi liên quan đến sự tương tác của nó với hệ thống điều hành cơ bản. Một lỗi cũ trong các giao dịch Microsoft IIS với thực tế các tập tin có 2 tên, một tên tập tin dài, và một chuỗi băm ngắn mà đôi lúc có thể được truy cập bằng cách vượt quyền. NTFS có một tính năng gọi là Chuỗi Dữ Liệu Thay Thế (Alternate Data Stream) tương tự như dữ liệu Macintosh và các nguồn tài nguyên phân nhánh. Bạn có thể truy câp một file thông qua chuỗi tên của nó được gắn vào :: $DATA để xem một một tập lệnh hơn là chạy nó. Các server từ lâu đã có vấn đề với các URL. Ví dụ như vấn đề “chết bởi nghìn gạch chéo” trong các phiên bản cũ của Apache Web Server sẽ làm cho CPU tải lớn như các server cố gắng xử lý mỗi thư mục trong một nghìn gạch chéo URL. 08520347 – 08520582 – 08520558 - 08520552 Page 8 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN 3. Tấn công Web Browser: Có vẻ như tất cả web browser của Microsoft hay Netcape đều có những lổ hổng bảo mật. Nó bao gồm cả các hình thức tấn công URL, HTTP, HTLM, JavaScript, Frames, Java, và Active-X. Trường URL có thể là nguyên nhân tràn bộ nhớ đệm quyết định bởi: khi chúng được phân tách trong phần HTTP header, khi được hiển thị trên màn hình, hoặc khi được xử lý trong một số dạng (như lưu trong lịch sử bộ nhớ cache). Ngoài ra, một lỗi cũ với Internet Explorer cho phép tương tác với một lỗi mà nhờ đó trình duyệt thực thi các lệnh .LNK hay URL. Phần HTTP header có thể được dùng để khai thác bởi vì một số trường được thông qua hàm mà chỉ mong đợi một số thông tin. HTML có thể thường được khai thác giống như tràn MIME-type trong các lệnh nhúng Netscap Communicator. JavaScript là điểm tấn công ưa thích trong nhiều năm, và những kẻ tấn công thường thử phân tích các hàm Upload File bằng cách tạo ra một tên file và tự động ẩn đi nút SUBMIT. Có nhiều biến thể của lỗi này, với nhiều bản vá đã tìm thấy nhưng sau đó lại bị phá vỡ bởi các cách khác. Các Frame cũng thường được sử dụng như một phần trong việc hack JavaScript hay Java (ví dụ như ẩn trang web trong một-điểm-ảnh-bởi- một-điểm-ảnh cỡ màn hình), nhưng chúng hiện là một vấn đề đặc biệt. Ví dụ như một kẻ tấn công có thể chèn đến một site đáng tin cậy mà sử dụng các frame, sau đó thay thế một số frame đó với trang web từ các site của họ, và các site đó sẽ xuất hiện đến user cuối cùng đến phần của site từ xa đó. Java có một mô hình bảo mật mạnh mẽ, nhưng mô hình đó đã được chứng minh vẫn thường có lỗi (mặc dù nó đã được chứng minh là một trong những yếu tố an toàn nhất của toàn bộ hệ thống). Hơn nữa, sự bảo mật mạnh mẽ có thể phá hoại; bình thường Java applet không có quyền truy cập vào hệ thống địa phương, nhưng đôi khi nó sẽ hữu ích hơn nếu có quyền đó. Do đó, việc thực hiện các mô hình tin cậy có thể dễ dàng bị hack. ActiveX cũng nguy hiểm như Java, kể từ khi nó hoạt động hoàn toàn từ một mô hình tin cậy và chạy mã nguồn gốc. Thậm chí bạn có thể vô tình bắt một virus đã được nhúng ngẫu nhiên vào một số mã của nhà cung cấp. 08520347 – 08520582 – 08520558 - 08520552 Page 9 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN 4. Các tấn công vào SMTP(SendMail) SendMail là một chương trình cực kì phức tạp và được sử dụng rộng rãi, và như một hệ quả nó trở thành nguồn thường xuyên của các lỗ hổng bảo mật. Trong những năm trước (Morris Worm ‘88), hacker sẽ lợi dụng lỗ hổng trong các lệnh DEBUG hay tính năng ẩn WIZ để phá vỡ SMTP. Trong thời điểm đó, chúng thường cố gắng làm tràn độ đệm. SMTP cũng có thể được khai thác trong các cuộc tấn công do thám, như việc sử dụng lệnh VRFY để tìm các tên user. 5. Tấn công IMAP : Người dùng lấy lại mail từ các server thông qua giao thức IMAP (trong khi ngược lại, SMTP chuyển mail giữa các máy chủ). Hacker đã tìm thấy một số lỗi trong những server IMAP phổ biến. 6. IP Spoofing : Đó là một chuỗi các tấn công mà lợi dụng khả năng giả mạo (hay đánh lừa) của địa chỉ IP. Trong khi địa chỉ nguồn gửi cùng với mỗi gói IP, thực sự nó không dùng cho việc định tuyến. Điều này có nghĩa những kẻ xâm nhập có thể giả mạo bạn khi giao tiếp với server. Những kẻ xâm nhập không bao giờ thấy những gói trả về khi máy tính của bạn còn làm việc, nhưng nó ném chúng đi bởi vì chúng không phù hợp với bất kì yêu cầu nào mà bạn đã gửi. Những kẻ xâm nhập sẽ không nhận được dữ liệu từ cách này, nhưng có thể gửi các lệnh đến server để giả mạo bạn. Giả mạo IP thường được sử dụng như một phần của cuộc tấn công khác như: - Các cuộc tấn công Smurf: trong các cuộc tấn công Smurf, địa chỉ nguồn của một vùng quảng bá ping được giả mạo, thế nên một số lượng khổng lồ của các thiết bị trả lời lại với một nạn nhân được chỉ định, làm cho nó quá tải. - Dự đoán số sequence number TCP: khi mở một kết nối TCP, máy tính bạn sẽ lựa chọn số sequence number kết thúc. Và server phải lựa chọn một số sequence number cho kết thúc đó. Các ngăn xếp TCP cũ sẽ dự đoán một số sequence number, cho phép những kẻ xâm nhập tạo ra một kết nối TCP từ việc giả mạo địa chỉ IP (mà sẽ không bao giờ nhìn thấy gói tin trả về) có thể bỏ qua an ninh. - Nhiễm độc DNS thông qua dự đoán sequence number: DNS server phân giải tên DNS theo kiểu đệ quy. Do đó, các DNS server thỏa mãn client yêu cầu nó và trở thành client cho server tiếp theo trong chuỗi đệ quy. Sequence number là số mà nó dùng để dự đoán, vậy 08520347 – 08520582 – 08520558 - 08520552 Page 10 [...]... bản + Gói tin đầu tiên yêu cầu thông tin xác thực user và user đã thử kết nối nhưng không có các thông tin chứng thực + Điều cần xem xét ở đây là thông điệp từ server được gửi kèm cùng với gói tin Fin để kết thúc phiên Telnet Dấu hiệu này thể hiện ở gói tin thứ ba 08520347 – 08520582 – 08520558 - 08520552 Page 25 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN + Cứ mỗi gói tin Fin được gửi thì user trả lời với gói tin Ack... trả lời yêu cầu của gói tin ping b Giá trị TTL và phần truyền tải thông tin của gói tin cũng cho biết việc trả lời đến từ một máy window c Quan sát trường ID và Sequence ở phần cuối của gói tin trả lời yêu cầu, có thể biết được gói tin được tạo bởi một máy window 2000 Xét một ví dụ khác: 08520347 – 08520582 – 08520558 - 08520552 Page 17 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN Quan sát 2 gói tin ICMP ECHO REQUEST... phần mang thông tin Hình 8.5 sẽ trình bày thông tin cả phần header và phần thông tin của gói tin TCP Trong trường hợp này, gói tin là một yêu cầu đến một website Sự khác biệt trong gói tin này là các trường như flags, Time To Live, Sequence và Acknoledgement đều được đặt các giá trị 08520347 – 08520582 – 08520558 - 08520552 Page 14 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN 2 Các dấu hiệu của gói tin Ping : Một trong... các gói tin, bạn cần phải xác định được vùng để bắt gói tin và dùng công cụ gì Ví dụ sau sẽ đưa ra định dạng cơ bản của một gói tin được bắt bằng Snort và sự phân chia các thành phần trong gói tin Hình 8.4 đưa ra thông tin về gói tin ICMP bắt được, hình 8.5 đưa ra thông tin về gói tin TCP bắt được Hình 8.4 được tạo ra bằng cách sử dụng chức năng ghi log của Snort bao gồm cả phần header và phần mang thông. .. phần dữ liệu của mỗi gói tin 08520347 – 08520582 – 08520558 - 08520552 Page 20 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN Trong hình 8.11, ta có nhận biết các dấu hiệu của việc duyệt web một cách bình thường + Từ gói tin 1 đến gói tin 3 của gói tin biểu hiển quá trình bắt tay 3 bước giữa client 10.0.10.235 và web server 10.0.10.236 + Gói tin thứ tư (đã được rút gọn) là phía client yêu cầu một trang web, phương thức... 2000 Kết hợp các giá trị được cung cấp với những dấu hiệu của gói tin ICMP ECHO REQUEST, ta có thể biết được gói tin đến từ máy dùng window 2000 Xét một ví dụ khác 08520347 – 08520582 – 08520558 - 08520552 Page 16 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN ICMP ECHO REPLY Quan sát gói tin ICMP ECHO REPLY trong hình 8.7 (đây là gói tin trả lời cho các gói tin ICMP ECHO REQUEST trong hình 8.6), bạn có thể xác định các... trang web, phương thức GET được sử dụng để lấy dữ liệu + Gói tin thứ 5 cho thấy web server trả lời cho yêu cầu nhận một trang web 08520347 – 08520582 – 08520558 - 08520552 Page 21 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN 4 Các dấu hiệu của gói tin FTP : Trong hình sau, chúng ta sẽ thấy được các dấu hiệu của việc truy cập FTP Những gói tin , bao gồm cả gói tin bắt tay 3 bước trong giao thức FTP, quá trình login và... đánh giá và ghi nhận Từ các gói bắt được, gói tin nguồn dường như được tạo ra từ một 08520347 – 08520582 – 08520558 - 08520552 Page 28 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN phiên bắt tay ba bước đầy đủ cho mỗi port đã quét, ta thấy số port nguồn sẽ tăng thêm một Hình 8-1 8:Tập tin ghi nhận quá trình quét Trojan Việc kiểm tra chung các port mở của chương trình Trojan là một trong các đặc điểm mà bạn cần phải nhận... Trong gói tin thứ ba, FTP server yêu cầu nhập password để truy cập + Trong gói tin thứ tư, gói tin chưa password Nó có thể nhìn thấy được nếu ở dạng mã ASCII như s3cr3t + Sau khi password được nhập thì server sẽ gửi lệnh hello cho client (gói tin thứ 5) Tiến trình FTP có thể bắt đầu bình thường Tiếp theo là một ví dụ khác 08520347 – 08520582 – 08520558 - 08520552 Page 23 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN Hình... kết thúc gói tin và trải dài đến cuối cùng của gói tin đó Một biến thể của Ping of 08520347 – 08520582 – 08520558 - 08520552 Page 12 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN Death là gửi những gói tin bình thường với kích thước lớn, do đó máy tính tiếp nhận không thể xử lý luồng đi vào dẫn đến tắt máy 15 Tràn SYN (SYN Floods) : Trong việc tràn SYN, kẻ tấn công gửi các gói SYN TCP ( bắt đầu kết nối) rất nhanh, để . HỌC CÔNG NGHỆ THÔNG TIN Mạng Máy Tính & Truyền Thông 03 o0o BÁO CÁO Môn Học: Ứng Dụng Truyền Thông & An Toàn Thông Tin Đề Tài: Phân Tích Đặc Điểm Gói Tin - Analyzing Packet Signatures . 08520552 Page 2 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN I. Tổng quan về phân tích đặc điểm của gói tin: Trong bài này bạn sẽ được giới thiệu về khái niệm cốt lõi của việc phân tích gói tin, bao gồm những việc. 08520558 - 08520552 Page 3 PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN mới có một nền tảng vững chắc về phát hiện xâm nhập. Trong việc phân tích các đặc điểm, bạn sẽ nhìn thẳng vào mỗi gói tin, và phân tích chi