ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN  BÁO CÁO MÔN HỌC AN TỒN THƠNG TIN MẠNG  Đà Nẵng, 2019 Contents Bài 1: Tấn cơng bắt gói tin Bài 2: Tấn cơng bẻ khóa 15 Bài 3: Quét thông tin máy chủ 21 Bài 4: Xây dựng luật cho Snort 33 Bài 5: Phân tích mã độc 39 Bài 7: Dịch ngược mã nguồn tìm password 48 Bài 8: Windows Server Firewall 53 Bài 1: Tấn cơng bắt gói tin Sử dụng công cụ Wireshark, thực hiên: Tiến hành bắt gói tin - Wireshark cơng cụ dùng để phân tích giao thức mạng cho phép xem chi tiết giao thức mạng có, bắt gói tin từ nhiều nguồn khác phân tích offine chúng Wireshark hoạt động nhiều hệ thống mạng khác - Để bắt gói tin mạng, ta cần cài Wireshark máy tính có kết nối mạng chương trình Wireshark phải chạy trước diễn trình trao đổi liệu Khởi động chương trình Wireshark, chon card Wi-fi sau Start capturing packets để bắt đầu bắt gói tin Giao diện chương trình hiển thị gói tin qua card theo thời gian thực Để dừng việc bắt gói tin ta click vào nút vng màu đỏ giao diện(Stop capturing packets) Phân tích gói tin Để xem nội dung chi tiết gói tin, click vào vị trí gói tin cần phân tích Gói tin phân tích có số thứ tự 6801 Một cửa sổ chứa thông tin chia theo lớp tương ứng với mơ hình TCP/IP gói tin chọn Tại mục cho phép ta xem thông tin tổng quát gói tin bắt bao gồm kích thước, thời gian bắt… Mục thứ cho phép ta xem thông tin lớp Link bao gồm địa MAC đích, địa MAC nguồn, kiểu frame Mục thứ cho phép ta xem thông tin lớp Internet bao gồm phiên bản, chiều dài header, tổng chiều dài, địa IP nguồn, đích, giao thức… Mục thứ cho phép ta xem thơng tin gói tin ICMP type, code, data a Lọc theo luật gói tin Để lọc gói tin theo luật cụ thể, ví dụ gói tin dùng giao thức TCP, tạo trường filter nhập tcp sau Enter Check chọn cho phép firewall rule: Domain, Private, Public -> Next Ghi mô tả vào Name Description -> Finish Mở giao thức ICMP cho phép ping Windows Để mở Rule cho gói ICMP ta mở Windows Firewall -> Advanced setting -> chọn Inbound Rules Tiêp tục chọn New rule mục Actions -> sổ New Inbound Rule chọn Custom nhấn Next Chỉ định chương trình chịu tác động Ở chọn ICMPv4 dùng mạng IPv4 ICMPv6 dùng IPv6 Sau chọn xong, nhấn Next để tiếp tục Thêm địa IP bị tác động Sử dụng firewall để block dải đại IP Thiết lập Firewall lệnh Kiểm tra Firewall có bật hay chưa Cho phép chặn ping Chặn ping Cho phép ping Cho phép xóa port Cho phép chương trình Chặn cổng 445 máy tính Tạo quy tắc bên để chặn tất lưu lượng truy cập từ máy tính cục bắt nguồn từ TCP port 80 Tạo quy tắc chặn tất lưu lượng truy cập đến từ tất WINS servers Tạo quy tắc gửi đến, cho phép lưu lượng truy cập cho chương trình Windows Messenger từ máy tính mạng với máy tính cục Tạo quy tắc cho phép lưu lượng truy cập mạng Windows Messenger bên kết nối từ máy tính từ xa xác thực cách sử dụng quy tắc bảo mật kết nối riêng 10 Thêm quy tắc gửi đến khơng có bảo mật đóng gói cho messenger.exe 11 Add an outbound rule for port 80 12 Thêm quy tắc gửi đến yêu cầu bảo mật mã hóa cho lưu lượng truy cập cổng TCP 80 13 Thêm quy tắc gửi đến cho messenger.exe yêu cầu bảo mật 14 Thêm quy tắc bỏ qua tường lửa xác thực cho nhóm acmedomain \ scanners xác định chuỗi SDDL 15 Add an outbound allow rule for local ports 5000-5010 for udp- 16 Tạo quy tắc ngăn chặn tất lưu lượng truy cập mạng không dây 17 Tạo quy tắc cho phép lưu lượng TCP gửi đến cổng 12345 phạm vi cổng 5000-5020 đến ứng dụng cụ thể từ máy tính phía xa thiết bị cạnh (NAT), sử dụng giao diện Teredo IPv6 18 Kích hoạt kết nối máy tính từ xa: Một điều làm với hầu hết hệ thống máy chủ thiết lập bật Kết nối máy tính từ xa để quản lý hệ thống từ xa dễ dàng Mở Windows Firewall cho kết nối máy tính từ xa 19 Open UDP Port 137 inbound and outbound 20 Open UDP Port 138 inbound and outbound 21 Open TCP Port 139 inbound and outbound 22 Open Port in Firewall using Command Line 23 Open up a range of ports ... thông tin máy chủ mạng mà ta cần thu thập thông tin liên quan đến máy chủ Sử dụng website chuyên dụng www.whois.com Để tìm thơng tin địa ip, email, khai thác thông tin liên quan phục vụ cho cơng... thông tin tổng quát gói tin bắt bao gồm kích thước, thời gian bắt… Mục thứ cho phép ta xem thông tin lớp Link bao gồm địa MAC đích, địa MAC nguồn, kiểu frame Mục thứ cho phép ta xem thông tin. .. quét 1.5 Thông tin tài khoản người dùng máy quét 1.6 Thông tin tiến trình chạy máy quét \ 1.7 Danh sách lỗ hổng tiềm ẩn máy quét 1.8 Thống kê bảo mật cho máy Công cụ Whois Dùng để lấy thông tin máy