Bài tập lớn môn an toàn mạng (87)

BỘ THÔNG TIN VÀ TRUYỂN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO Mơn: An tồn mạng Đề tài: Tìm hiểu cơng cụ THC- Hydra Kali Linux Giảng viên hướng dẫn: TS Đặng Minh Tuấn Nhóm mơn học: Nhóm 02 Sinh viên thực hiện: Nguyễn Ngọc Sông Mã Sinh viên: B18DCAT199 Số điện thoại: 0961195699 Hà Nội, 2021 Mục lục LỜI MỞ ĐẦU Danh mục hình ảnh Danh mục từ khóa viết tắt Phần Tổng quan lý thuyết công mật 1.1 Password Attack 1.2 Các phương thức công Password 1.3 Cách thức bảo vệ máy tính khỏi cơng mật 10 Phần2 Giới thiệu công cụ Hydra 12 2.1 Giới thiệu Hydra 12 2.2 Lịch sử hình thành Hydra 13 2.3 Hydra hoạt động ? 13 2.4 Làm để phịng thủ chống lại hydra cơng Brute-Force ? 15 Phần Cài đặt sử dụng công cụ Hydra Kali Linux 16 3.1 Hướng dẫn cài đặt Hydra Kali Linux 16 3.2 Cách sử dụng Hydra 17 3.2.1 Sử dụng Hydra 17 Phần Các Lab 29 4.1 Bài Lab công biết Username 29 a) Chuẩn bị 29 b) Kịch công – Thực công 30 4.2 Bài Lab tìm tài khoản mật dựa vào từ điển 31 a) Chuẩn bị 31 b) Kịch công – Thực công 32 Phần Tổng kết 33 5.1 Đánh giá 33 5.2 Kết luận 33 Tài liệu tham khảo 34 LỜI CẢM ƠN 35 LỜI MỞ ĐẦU Công nghệ thông tin phát triển với tốc độ chóng mặt,mang lại nhiều lợi ích cho nhân loại Từ đời sống sinh hoạt đến hoạt động kinh doanh, hoạt động quản lý, đạo máy nhà nước đềucó diện đóng góp Cơng Nghệ Thơng Tin Tuy nhiên, bên cạnh mặt tích cực mà mang lại cịn tồn nhiều mặt tiêu cực ngày trở nên nghiêm trọng, nhức nhối cho xã hội như: nguy công mạng nhằm phá hoại hệ thống mạng, hệ thống thông tin, nguy bị đánh cắp thông tin “nhạy cảm” cá nhân, tổ chức, doanh nghiệp, quan nhà nước… Với phát triển không ngừng kĩ thuật máy tính, nguy bị hackertấn cơng vào hệ thống thông tin ngày gia tăng, vấn đề password ngày trở nên phức tạp, password khơng đơn chuỗi kí tự bí mật riêng user, mà ln nguy bị cracking cao độ, địi hỏingười dùng cần có kiến thức password Sau học mơn “An tồn mạng nâng cao” thầy TS Đặng Minh Tuấn tận tình giảng dạy, với mong muốn tìm hiểu sâu kiến thức môn học vận dụng kiến thức học vào thực tế Em xin chọn chủ đề “THC-Hydra” Trong phần báo cáo em trình bày số phương pháp công mà Hacker sử dụng để công khai thác thông tin, liệu cá nhân người dùng Danh mục hình ảnh Hình Password Attack Hình Cơng cụ Hydra 13 Hình Cài đặt cơng cụ Hydra 16 Hình Cài đặt cơng cụ xHydra 16 Hình Giao diện xHydra 17 Hình Bảng trợ giúp câu lệnh Hydra 18 Hình Đốn mật cho tên người dùng cụ thể 20 Hình Đốn tên người dùng cho mật cụ thể 20 Hình Bẻ khóa thơng tin đăng nhập 21 Hình 10 Sử dụng chế độ chi tiết 21 Hình 11 Sử dụng chế độ gỡ lỗi 22 Hình 12 NULL/ Đăng nhập ngược 23 Hình 13 Lưu đầu 24 Hình 14 Tiếp tục cơng 24 Hình 15 Tạo mật 25 Hình 16 Tạo mật 26 Hình 17 Tạo mật 26 Hình 18 Tấn cơng cổng cụ thể 27 Hình 19 Tấn cơng nhiều máy chủ 27 Hình 20 Tấn cơng nhiều máy chủ 28 Hình 21 IP máy công 29 Hình 22 IP máy victim 29 Hình 23 File từ điển Password 30 Hình 24 Ping 30 Hình 25 Nmap 30 Hình 26 Tấn công 31 Hình 27 Từ điển Username 31 Hình 28 Tấn cơng 32 Danh mục từ khóa viết tắt Từ viết tắt Tiếng anh Nghĩa tiếng việt CLI FTP GUI MFA SSO Command line interface File Tranfer Protocol Graphical User Interface Multi-factor Authentication Single sign-on Giao diện dòng lệnh Giao thức truyền tập tin Giao diện đồ họa Xác thực đa yếu tố Đăng nhập lần Phần Tổng quan lý thuyết công mật 1.1 Password Attack Cơ chế sử dụng rộng rãi để xác thực người dùng mật Do đó, password attack công phổ biến hiệu Phần lớn vụ đánh cắp thông tin liên quan đến quyền truy cập tài khoản Ngay thơng tin xác thực người dùng bình thường rơi vào tay kẻ xấu biến thành vũ khí tàn phá tồn hệ thống Mật khó nhớ, đặc biệt người dùng tuân theo quy tắc để tạo mật mạnh Khi nhập mật tốn thời gian, đặc biệt thiết bị di động với bàn phím nhỏ Khi cố gắng để sử dụng mật khác cho tài khoản gây bất tiện thời gian Tuy nhiên, hacker sở hữu mật người dùng, thời gian người dùng nhiều so với việc nhập mật mật mạnh Như vậy, password sử dụng nhiều Song song đó, khao khát để phá vỡ tính Bí mật Bảo mật password từ hacker ngày tăng, có password đúng, hacker có toàn quyền với tài nguyên/dịch vụ người dùng xác thực password Và người dùng thường dùng chung password cho nhiều dịch vụ khác Hình Password Attack 1.2 Các phương thức công Password Hacker sở hữu số phương thức công mật để phá vỡ xác thực người dùng Đừng để thân bị choáng ngợp, người dùng cần hiểu phương pháp Các phương tiện truyền thông bàn tán vi phạm bảo mật với hàng triệu thông tin người dùng mật rao bán, người dùng nên hiểu rõ cách công xảy để bảo vệ Dưới hình thức phổ biến Dictionary Sử dụng dictionary attack hình thức cơng cách thử qua nhiều mật tiềm để tìm mật Danh sách mật tiềm lấy từ điển liên quan đến tên người dùng, sinh nhật, sở thích hay đơn giản từ phổ biến "password" Tất nhiên, điều khơng làm thủ cơng Một chương trình máy tính chạy qua hàng triệu từ vài Kết hợp ngẫu nhiên từ từ điển với khơng cứu máy tính khỏi cơng làm thời gian để bẻ khóa mật lâu Từ điển thường kỹ thuật hacker sử dụng cố gắng bẻ khóa Hybrid Bằng cách kết hợp từ từ điển với số ký tự (ví dụ: p@$$w0rd123) khỏi dictionary attack lại rơi vào công khác Hybrid attack sử dụng kết hợp từ từ điển với số đứng trước theo sau chúng, thay chữ số ký tự đặc biệt Brute Force Brute force hình thức phổ biến password attack dễ dàng để thực Brute force thường biện pháp cuối hacker kỹ thuật trước thất bại đơn giản cơng cụ tốn nhiều thời gian Brute force, hacker sử dụng chương trình máy tính để đăng nhập vào tài khoản người dùng với tất kết hợp mật Các công thường bắt đầu với từ đơn giản, sau hỗn hợp số, chữ ký tự bàn phím khác Có tập lệnh ứng dụng viết riêng cho mục đích Brute force khơng phải q trình nhanh chóng Càng nhiều ký tự mật khẩu, thời gian bẻ khóa lâu Một website sử dụng mật đơn giản với giới hạn ký tự Sử dụng Crunch để tạo danh sách mật với chữ cái, có 12.356.630 giá trị tạo 70 MB để lưu trữ Nếu thêm ký tự đặc biệt chữ số vào hỗn hợp tăng kích thước danh sách từ lên 62 GB Với mật từ đến 12 ký tự, danh sách có 99.246.106.575.066.880 giá trị, gấp khoảng tỷ lần số so với danh sách trước; 1.169.818 TB để lưu trữ Thêm chữ số ký tự đặc biệt vào hỗn hợp, kích thước danh sách tăng khoảng 10 lần Traffic Interception Trong công này, công cụ monitor network traffic sử dụng để chặn mật chúng truyền qua mạng dạng văn Ngay mật mã hóa giải mã, tùy thuộc vào độ mạnh phương thức mã hóa sử dụng Man In the Middle Trong cơng này, hacker chủ động chèn vào tương tác, thường cách mạo danh website ứng dụng Điều cho phép họ nắm bắt thông tin đăng nhập người dùng thông tin nhạy cảm khác Các mạng WiFi mở thường khơng mã hóa Với trợ giúp phần mềm miễn phí có sẵn rộng rãi, hacker dễ dàng theo dõi lưu lượng truy cập Internet người dùng người dùng lướt web WiFi công cộng Hacker chặn lưu lượng thiết bị người dùng máy chủ Mỗi trang người dùng truy cập, tin nhắn người dùng gửi mật người dùng nhập chuyển thẳng đến hacker thay nhà cung cấp WiFi hợp pháp Không mật mà chi tiết thẻ tín dụng thơng tin nhạy cảm khác bị đánh cắp theo cách Social Engineering Social engineering attack đề cập đến loạt phương pháp để có thơng tin từ người dùng Các chiến thuật sử dụng là:  Phishing - Emails, văn gửi để đánh lừa người dùng cung cấp thông tin đăng nhập họ, nhấp vào liên kết cài đặt phần mềm độc hại truy cập website giả mạo  Spear phishing -Tương tự phishing với email/văn thiết kế tốt hơn, tùy chỉnh dựa thông tin thu thập người dùng  Baiting - Hacker để lại USB thiết bị khác bị nhiễm virut phần mềm đôc hại địa điểm công cộng với hy vọng chúng người dùng tái sử dụng  Quid quo pro - Hacker mạo danh đó, nhân viên trợ giúp tương tác với người dùng sau yêu cầu lấy thông tin từ họ Social engineering khai thác dựa vào tin người Rainbow Table Hầu hết hệ thống đại lưu trữ mật hash Hash sử dụng công thức toán học để tạo chuỗi ngẫu nhiên, khác hoàn toàn với chuỗi đầu vào Nếu hacker truy cập vào database lưu trữ mật khẩu, họ lấy mật mã hóa dạng hash, hacker khơng thể đọc mật khẩu, họ lạm dụng chúng Có vẻ hay an tồn khơng? Khơng phải hash có điểm yếu Một chiến lược đơn giản để công hash tất từ từ điển tham chiếu chéo chúng với mật mã hóa Nếu có từ khớp, khả cao mật Đây hình thức rainbow table attack Credential Stuffing Các password attack khác đề cập đến việc hacker chưa sở hữu mật người dùng Tuy nhiên, với credential stuffing khác Trong credential stuffing attack, hacker sử dụng tên mật bị đánh cắp tài khoản trước thử tài khoản khác người dùng Credential stuffing nhằm vào xu hướng sử dụng chung mật cho nhiều tài khoản người dùng, thành cơng thường đem lại hiệu lớn Đây lý việc sử dụng mật khác cho tài khoản dịch vụ quan trọng Trong trường hợp số chúng bị xâm phạm bị rò rỉ, rủi ro tài khoản khác giảm thiểu Credential stuffing attack có cách gọi khác credential reuse attack Password Spraying Khá giống với hình thức brute force khơng xem brute force, password spraying thử hàng ngàn hàng triệu tài khoản lúc với vài mật thường sử dụng Trong số có người dùng có mật yếu, tồn hệ thống gặp rủi ro Brute force tập trung vào vài tài khoản Ngược lại, password spraying mở rộng mục tiêu theo cấp số nhân Do đó, giúp hacker tránh phương thức bảo mật khóa tài khoản đăng nhập sai nhiều lần Password spraying đặc biệt nguy hiểm cổng xác thực đăng nhập lần Offline Detection Việc thu thập thơng tin người dùng từ máy tính bị vứt bỏ, thùng rác ; nghe người dùng chia sẻ mật họ với người khác lời nói; đọc ghi kẹp hình máy tính; lướt qua người dùng nhập mật giúp hacker có mật thơng tin đăng nhập người dùng Malware Malware khiến người dùng tải xuống vơ tình bị lây nhiễm phần mềm độc hại từ chương trình hợp pháp hóa bẫy Các phần mềm độc hại thường ẩn ứng dụng giả mạo: trò chơi di động, ứng dụng thể dục Chúng thường hoạt động tốt, khơng có dấu hiệu nhận biết rõ ràng khiến người dùng không nghi ngờ Key logger Hacker cài đặt phần mềm theo dõi tổ hợp phím người dùng, cho phép hacker thu thập không tên người dùng mật cho tài khoản mà cịn có website ứng dụng mà người dùng đăng nhập Kiểu công xảy sau malware attack thực Key logger attack cài đặt chương trình thiết bị người dùng để theo dõi tất lần nhấn phím người dùng Vì vậy, người dùng nhập tên người dùng mật họ, hacker thu thập chúng sử dụng Phương thức thường triển khai công hàng loạt nhắm vào tồn tổ chức, nhiều mật thơng tin đăng nhập người dùng thu thập để sử dụng sau 1.3 Cách thức bảo vệ máy tính khỏi cơng mật Mật mạnh bảo vệ chống lại password attack Kết hợp ký tự viết hoa viết thường, số ký tự đặc biệt; tránh sử dụng từ cụm từ phổ biến; tránh từ dành riêng cho website (như tên website); kiểm tra mật với từ điển mật kém; chúng nên thay đổi thường xuyên khác cho tài khoản Giáo dục quan trọng Một biện pháp phòng vệ tốt dạy cho người dùng cách nhận biết ngăn chặn kỹ thuật mà hacker sử dụng Tuy nhiên mật mạnh mẽ giáo dục thực chưa đủ Sức mạnh tính tốn cho phép hacker chạy chương trình tinh vi để thử số lượng lớn thông tin đăng nhập, nên áp dụng thêm công cụ như: single sign-on (SSO), multi-factor authentication (MFA) Dưới quy tắc để giữ an toàn Sử dụng ứng dụng tạo mật ngẫu nhiên Dictionary attack kỹ thuật password attack phổ biến hiệu Do người không dễ dàng ghi nhớ chuỗi ký tự ngẫu nhiên Khi người dùng tạo loạt mật có đảm bảo độ dài, kết hợp ký tự khác chúng lại thường tạo theo quy luật định, điều thật nguy hiểm hacker tìm Thay làm thủ cơng người dùng nhờ công nghệ, chúng thay người dùng làm tất Có nhiều ứng dụng tạo mật ngẫu nhiên miễn phí, cần chọn độ dài mật hay yêu cầu đặc biệt đó, mật mạnh mẽ tạo Hạn chế sử dụng lại mật 10 Như người dùng quan sát, tìm thấy tên người dùng hợp lệ : raj cho mật khẩu: 123 đăng nhập FTP Hình Bẻ khóa thơng tin đăng nhập Sử dụng Chi tiết Chế độ gỡ lỗi để kiểm tra lực lượng Brute-Force Người dùng sử dụng tùy chọn -V với lệnh, với trợ giúp chế độ tiết, người dùng quan sát lần thử để đối sánh kết hợp hợp lệ tên người dùng mật Nếu người dùng quan sát hình ảnh đây; người dùng thấy có tên người dùng tệp user.txt (L = 5) mật tệp pass.txt (P = 5) tổng số lần đăng nhập * = 25 Hình 10 Sử dụng chế độ chi tiết Như người dùng quan sát, chế độ tiết hiển thị nỗ lực để khớp thông tin xác thực hợp lệ cho tên người dùng mật với trợ giúp user.txt pass.txt 21 chế độ gỡ lỗi hiển thị thời gian chờ, chờ đợi, ổ cắm, gửi pid nhận pid Hình 11 Sử dụng chế độ gỡ lỗi NULL / Đăng nhập / Đăng nhập ngược Sử dụng option -e với nsr cho phép ba tham số n ull / s ame làm đăng nhập / r everse đăng nhập thực công brute force vào trường mật khẩu, người dùng quan sát hình ảnh người dùng nhận thấy lần L = tự động P = có nghĩa tổng số lần đăng nhập * = 40 hydra -L user.txt -P pass.txt 192.168.1.108 ftp -V -e nsr Như người dùng quan sát với tên người dùng, cố gắng khớp kết hợp sau với danh sách mật Đăng nhập “root” chuyển “” làm mật rỗng Đăng nhập “root” chuyển “root” giống đăng nhập Đăng nhập “root” chuyển “toor” làm ngược lại đăng nhập 22 Hình 12 NULL/ Đăng nhập ngược Lưu đầu vào đĩa Với mục đích trì hồ sơ, khả đọc tốt tài liệu tham khảo tương lai, lưu kết công hydra brute force tệp Đối với điều này, sử dụng tham số -o hydra để lưu kết đầu tệp văn hydra -L user.txt -P pass.txt 192.168.1.108 ftp -o result.txt Bây thực thành cơng lệnh, di chuyển đến vị trí để đảm bảo đầu lưu tệp hay chưa Trong trường hợp này, vị trí cho đầu / root /output.txt 23 Hình 13 Lưu đầu Tiếp tục công Brute Force Đôi thực brute force, công bị tạm dừng / dừng lại vô tình hủy bỏ thời điểm để tiết kiệm thời gian người dùng, người dùng sử dụng tùy chọn -r cho phép tiếp tục tham số tiếp tục brute-force từ lần thử cuối bị bỏ qua từ điển thay bắt đầu từ lần thứ hydra -L user.txt -P pass.txt 192.168.1.108 ftp hydra -R Bây người dùng quan sát kết đầu từ hình ảnh bên dưới, nơi sau nhấn ctrl C, dừng cơng sau gõ hydra -R để tiếp tục cơng tiếp tục Hình 14 Tiếp tục công Tạo mật nhiều ký tự khác Tùy chọn Hydra has -x cho phép tùy chọn tạo mật bao gồm hướng dẫn sau: -x MIN: MAX: CHARSET MIN sử dụng để định số ký tự tối thiểu mật 24 MAX sử dụng để định số ký tự tối đa mật CHARSET sử dụng để định đặc điểm kỹ thuật ký tự để sử dụng giá trị CHARSET hợp lệ tạo là: ‘a’ cho chữ thường, ‘A’ cho chữ hoa, ‘1’ cho số tất giá trị khác, cần thêm biểu diễn thực chúng -y vơ hiệu hóa việc sử dụng chữ làm trình giữ chỗ Bây giờ, giả sử muốn thử 123 làm mật khẩu, nên đặt MIN = 1, MAX = CHARSET để tạo mật số cho tên người dùng cho chạy lệnh sau nói hydra -l shubham -x 1: 3: ftp://192.168.1.108 hydra -l raj -x 1: 3: 192.168.1.108 ftp hydra -l raj -x 1: 3: 192.168.1.108 ftp -y Như người dùng quan sát, tìm thấy mật hợp lệ : 123 cho tên người dùng: raj để đăng nhập FTP Hình 15 Tạo mật Bây giờ, giả sử muốn thử abc làm mật khẩu, nên đặt MIN = 1, MAX = CHARSET a để tạo mật ký tự chữ thường cho tên người dùng cho chạy lệnh sau nói hydra -l shubham -x 1: 3: a ftp://192.168.1.108 -V 25 Hình 16 Tạo mật Như người dùng quan sát, tìm thấy mật hợp lệ : abc cho tên người dùng: shubham để đăng nhập FTP Hình 17 Tạo mật Tấn công vào cổng cụ thể thay mặc định Do lo ngại an ninh; quản trị viên mạng thay đổi số cổng dịch vụ cổng khác Hydra thực công brute force vào cổng dịch vụ mặc định người dùng thấy tất cơng, tự động thực công vào cổng 21 để đăng nhập FTP Nhưng người dùng sử dụng tùy chọn -s cho phép tham số số cổng cụ thể khởi động công vào cổng đề cập thay số cổng mặc định Giả sử quét mạng mục tiêu; Tôi thấy FTP chạy cổng 2121 thay 21, đó, tơi thực lệnh sau cho công đăng nhập FTP hydra -L user.txt -P pass.txt 192.168.1.108 ftp -s 2121 Như người dùng quan sát, tìm thấy mật hợp lệ : 123 cho tên người dùng: raj để đăng nhập FTP 26 Hình 18 Tấn công cổng cụ thể Thực công Brute Force nhiều máy chủ Nếu người dùng muốn sử dụng từ điển user-pass nhiều máy chủ mạng người dùng sử dụng tùy chọn -M cho phép tham số danh sách máy chủ thực công brute force cách sử dụng từ điển thử số lần đăng nhập HOST IP đề cập danh sách máy chủ Ở người dùng thấy lưu hai IP máy chủ tệp văn sau sử dụng lệnh sau để thực công brute force nhiều máy chủ cách sử dụng từ điển hydra -L user.txt -P pass.txt -M hosts.txt ftp Như người dùng quan sát, tìm thấy thơng tin đăng nhập FTP hợp lệ cho Máy chủ Hình 19 Tấn công nhiều máy chủ 27 Giả sử người dùng đưa danh sách gồm nhiều mục tiêu muốn kết thúc công brute force tìm thấy thơng tin đăng nhập hợp lệ cho IP máy chủ nào, người dùng nên sử dụng tùy chọn -F cho phép kết thúc tham số tìm thấy thơng tin xác thực hợp lệ cho hai máy chủ từ bên danh sách máy chủ hydra -L user.txt -P pass.txt -M hosts.txt ftp -V -F Như người dùng quan sát, tìm thấy thơng tin đăng nhập FTP hợp lệ cho 192.168.1.108 kết thúc công Hình 20 Tấn công nhiều máy chủ 28 Phần Các Lab 4.1 Bài Lab công biết Username a) Chuẩn bị Máy Attacker : Máy ảo Kali Linux có địa IP 192.168.186.129 Hình 21 IP máy công Máy victim : Máy ảo Win có địa IP 192.168.186.128 Hình 22 IP máy victim File từ điển Password lưu máy Kali Linux có tên listpass.txt 29 Hình 23 File từ điển Password b) Kịch công – Thực công Máy công sau biết Username đăng nhập máy win admin thử ping đến máy Win để kiểm tra trạng thái liên kết mạng hai máy Hình 24 Ping Sau máy cơng sử dụng cơng cụ Nmap để tìm cổng dịch vụ máy Win mở với câu lệnh nmap -sV 192.168.186.128 Hình 25 Nmap 30 Nhận thấy cổng 445 mở cổng dịch vụ File Sharing máy Win với giao thức smb Máy cơng sử dụng cơng cụ Hydra để tìm mật biết tên tài khoản admin máy Win7 dựa vào giao thức smb cổng 445 câu lệnh : hydra -l admin -P /home/kali/Desktop/listpass.txt 192.168.186.128 smb Hình 26 Tấn công Ta thấy máy cơng tìm mật đăng nhập với tài khoản “admin” “abc123” 4.2 Bài Lab tìm tài khoản mật dựa vào từ điển a) Chuẩn bị Máy cơng: Kali Linux có địa IP 192.168.186.129 (như Hình 21) Máy victim : Máy ảo Win có địa IP 192.168.186.128 (như Hình 22) File từ điển Password lưu máy Kali Linux có tên listpass.txt(như Hình 23) File từ điển Username lưu máy Kali Linux có tên listuser.txt Hình 27 Từ điển Username 31 b) Kịch công – Thực công Máy công sau biết IP máy win admin thử ping đến máy Win để kiểm tra trạng thái liên kết mạng hai máy (như Hình ?) Sau máy cơng sử dụng cơng cụ Nmap để tìm cổng dịch vụ máy Win mở với câu lệnh nmap -sV 192.168.186.128 (như Hình) Nhận thấy cổng 445 mở cổng dịch vụ File Sharing máy Win với giao thức smb Máy công sử dụng cơng cụ Hydra để tìm tài khoản mật máy Win7 dựa vào giao thức smb cổng 445 cách sử dụng từ điển Username, Password câu lệnh : hydra -L listuser.txt -P listpass.txt 192.168.186.128 smb (Thực mở terminal Kali Linux đường dẫn thư mục chứa từ điển ) Hình 28 Tấn công Ta thấy máy cơng tìm tài khoản đăng nhập có tên admin mật abc123 32 Phần Tổng kết 5.1 Đánh giá Hydra cơng cụ bẻ khóa mật cách linh hoạt nhanh chóng với việc cung cấp giao diện: giao diện dòng lệnh (CLI) giao diện đồ họa (GUI) giúp cho việc học tập sử dụng công cụ dễ dàng cho dù người bắt đầu sử dụng 5.2 Kết luận Bài báo cáo trình bày tổng quan lý thuyết công mật cách công vào mật cách phòng chống Đồng thời báo cáo sâu vào tìm hiểu cơng cụ Hydra Kali Linux Cho thấy cách cài đặt công cụ, cách công cụ thực thực hành việc công mật cụ thể sử dụng công cụ Hydra THC Hydra phát triển chứng khái niệm để chứng minh việc hack mật dễ dàng Nó hỗ trợ nhiều khả bao gồm nhiều mơđun với tính thú vị Công cụ hiệu hỗ trợ cập nhật phát triển ngày Ngoài công cụ công cụ tiêu biểu không nhắc đến người có nhu cầu tìm hiểu việc bẻ khóa mật 33 Tài liệu tham khảo [1] R K Van Hauser, "Penetration Testing Tools," [Online] Available: https://en.kali.tools/?p=220 [Accessed 21 12 2021] [2] Editor, "Review: Hydra / Hydra GTK - Network Logon Cracker," Cybersecurity Software, 2019 12 15 [Online] Available: https://cybersecurityforum.com/cybersecurity-tools/reviews/hydra/ [Accessed 21 12 2021] [3] "CEH MASTER," CEH VIETNAM, [Online] Available: https://cehvietnam.com/2021/06/09/hydra-mot-cong-cu-cuong-buc-vu-phu/ [Accessed 21 12 2021] [4] "Linux security," Linux Security Expert, [Online] Available: https://linuxsecurity.expert/tools/hydra/ [Accessed 21 12 2021] [5] hemp, "Security Tutorials," [Online] Available: https://securitytutorials.co.uk/bruteforcing-passwords-with-thc-hydra/ [Accessed 21 12 2021] [6] "Password Cracker THC Hydra," CYBERPUNK, [Online] Available: https://www.cyberpunk.rs/password-cracker-thc-hydra [Accessed 21 12 2021] [7] Vanhauser, "thc-hydra," [Online] Available: https://github.com/vanhauser-thc/thchydra 34 LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn đến Học viện Cơng nghệ Bưu Viễn thơng đưa mơn học An tồn mạng vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn TS Đặng Minh Tuấn dạy dỗ, rèn luyện truyền đạt kiến thức quý báu cho em suốt thời gian học tập kỳ vừa qua Trong thời gian tham dự lớp học thầy, em tiếp thu thêm nhiều kiến thức bổ ích, học tập tinh thần làm việc hiệu quả, nghiêm túc Đây thực điều cần thiết cho q trình học tập cơng tác sau em Bộ mơn An tồn mạng mơn học thú vị, bổ ích gắn liền với nhu cầu thực tiễn sinh viên Tuy nhiên, thời gian học tập lớp không nhiều, cố gắng chắn hiểu biết kỹ mơn học em cịn nhiều hạn chế Do đó, Bài Báo cáo em khó tránh khỏi thiếu sót chỗ chưa chuẩn xác, kính mong giảng viên mơn xem xét góp ý giúp tiểu luận em hồn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 21 tháng 12 năm 2021 Sinh viên Nguyễn Ngọc Sông 35 ... hỏingười dùng cần có kiến thức password Sau học môn ? ?An toàn mạng nâng cao” thầy TS Đặng Minh Tuấn tận tình giảng dạy, với mong muốn tìm hiểu sâu kiến thức môn học vận dụng kiến thức học vào thực tế... tìm thấy mật yếu mạng lưới khách hàng họ Theo nhà phát triển Hydra, họ khuyên chuyên gia nên làm sau sử dụng Hydra:  Bước 1: Làm cho mạng người dùng an toàn  Bước 2: Thiết lập mạng lưới thử nghiệm... 31 Hình 28 Tấn cơng 32 Danh mục từ khóa viết tắt Từ viết tắt Tiếng anh Nghĩa tiếng việt CLI FTP GUI MFA SSO Command line interface File Tranfer Protocol Graphical User Interface