Việc phòng chống xâm nhập của hacker đối với những người quản trị mạng, theo seamoun thì những người quản trị mạng phải đóng vai trò là người tấn công vào chính hệ thống mình. Đặt mình vào vị trí của người tấn công và suy nghĩ
nếu mình là người tấn công mình sẽ làm gì, làm như thế nào, các bước tiến hành ra sao ???... Xâm nhập bằng một cách thì bảo vệ phải nghĩ ra 10 cách hoặc hơn . Thường thì phá dễ hơn làm mà.

Sau đây là các bước thông thường mà hacker thực hiện đối với một hệ thống:
Thu tập thông tin về hệ thống --> Scanning ---> Xâm nhập và có quyền điều khiển trên hệ thống --> Duy trì quyền điều khiển trên hệ thống ---> Xoá dấu vết. (<-- Biết rồi khổ lắm nói mãi !!! ). Bài đầu tiên seamoun sẽ đề cập trực tiếp đến các cách thức thu tập hệ thống và demo sử dụng những công cụ mà seamoun rất thích khi thực hiện thu tập hệ thống (Công cụ cho mỗi phần rất rất nhiều, những công cụ seamoun demo là những công cụ seamoun cho là dế sử dụng và hiệu quả. Định viết dùng mà thấy nó viết hay quá nên dùng của nó cho rồi, viết làm gì cho mệt !!!! Để thời gian code cái khác kiếm money !!!).

1. Thu tập thông tin hệ thống có thể phân ra làm hai loại

+ Thụ động (Passive Reconnaissance): theo seamoun thì có thể gọi bằng một cái tên mộc mạt là "cưỡi ngựa xem hoa hệ thống". Việc thu tập thông tin ở loại này là khảo sát sơ bộ tổ chức như là thông tin chung, vị trí địa lý, điện thoại, email của các cá nhân, người điều hành, ... trong tổ chức. Các bạn hỏi tại sao phải thu tập những thông tin như điện thoại, email của những người trong tổ chức này làm cái quái gì ? Nó sẽ rất hữu ích khi thực hiện social engineering attack (seamoun sẽ đề cập sau này).

+ Chủ động (Active Reconnaissance) loại này thì thu tập trực tiếp những thông tin sát với hệ thống hơn như là (dãy) địa chỉ IP, domain, DNS.
Lưu ý : Tất cả việc thu tập thông tin này rất quan trọng đối với hacker vì giúp hacker xác định những con đường nào mà dễ tấn công vào hệ thống nhất. Giống như đi tán gái vậy, tán trực tiếp "em gái" thì chỉ có bể đầu . Phải khảo sát nhà em đó ở đâu, có bao nhiêu anh em, cha mẹ như thế nào, tìm hiểu sở thích em nó qua những người bạn thân của em gái đó ... (Nói sai chủ đề, để chủ đề này cho mấy Tú ông miền Nam và Bắc nói chắc siêu hơn seamoun ).

Quá trình thu tập thông tin có thể mô tả thành 7 bước. (PHân loại chỉ mang tính chất tương đối).
B1: Thu tập thông tin ban đầu
B2: Xác định phạm vi của mạng.
B3: Kiểm tra máy có "sống" không ?
B4: Khám phá những cổng đã mở .
B5: Nhận diện hệ điều hành.
B6: Liệt kê những dịch vụ dựa trên các cổng mà đã kiểm tra.
B7: Xây dựng một sơ đồ mạng

Trong 7 bước trên thì bước 1, 2 được gộp lại và có tên gọi là footprinting.
1.1 Công cụ đầu tiên mình giới thiệu phục vụ cho việc thu tập thông tin là Google. Nói đến Google thì không cần nói gì nhiều về khả năng tìm kiếm của nó và nếu đề cập chi tiết về Google Hacking thì nói cả ngày không hết. Ở đây seamoun chỉ nói những phần chính mà liên quan đến hacking.

Một số kỹ thuật khi sử dụng google: sử dụng các kỹ thuật tìm kiếm nâng cao giúp bạn xác định rõ hơn về những thông tin mình cần quan tâm. Ví dụ:

+ site:<domain>: tìm kiếm với việc chỉ định rõ website hoặc domain. Website mà muốn tìm kiếm phải được chỉ định rõ sau dấu “:”. Ví dụ ô text tìm kiếm gõ : site:vickigroup.com. và tiếp đến là từ khóa bạn muốn tìm, thì Google nó sẽ tìm kiếm những thông tin có chứa từ khóa và chỉ trong phạm vi domain vickigroup.com

+ filetype:<phần mở rộng>: Tìm kiếm thông tin trong kiểu file mà mình mong muốn. Và khi thực hiện không kèm theo dấu ".". Bạn chỉ cần gõ filetype:txt nếu như kiểu file muốn tìm kiếm có phần mở rộng là .txt. Ví dụ filetype:txt là chỉ tìm trong file có phần mở rộng .

+ link:<domain>: Tìm kiếm những site nào có chứa liên kết đến domain mà mình chỉ định. Ví dụ link:vickigroup.com. Thì nó sẽ ra những site có chứa liên kết đến vickigroup.com.

+ cache:<domain>: Tìm kiếm trong cache của google. Cái này rất hay khi đọc các tutorial của các site mà khi đăng kí thành viên nó bắt trả tiền. Hê hê. Có thể xem trong cache khỏi tốn money.

+ intitle: Nó sẽ tìm kiếm phần Title của document.

+ inurl: Nó sẽ tìm kiếm trong phạm vi url.
Việc kiếm hợp giữa các yếu tố tìm kiếm trên rất quan trọng, giúp hacker xác định rõ những thông tin và phạm vi mà mình quan tâm.

Demo nhỏ sử dụng công cụ tìm kiếm Google.com. Seamoun sẽ sử dụng google để tìm kiếm những site nào đặt con backdoor web r57.php.

Như các bạn thấy trong demo thì thấy rất nhiều site bị đặt backdoor r57.php quá !. pó tay !!! . Tương tự các bạn có thể tìm lỗi khác bằng cách kết hợp các kỹ thuật tìm kiếm như mình đã nêu trên.

1.2 Giai đoạn này tiếp cận gần hơn hệ thống mà mình cần quan tâm. Ví dụ trong tay mình có đích tấn công là domain abc.com. Vậy công việc của hacker sẽ làm gì tiếp theo ?. Có thể thực hiện các hành động sau
+ Whois để tìm ra người chủ domain và các thông tin liên quan
+ Thẩm vấn DNS.
+ Xác định phạm vi của mạng với domain đó.

Những khái niệm WHois là gì, DNS là gì, ... Seamoun đề nghị các bạn đọc thêm để biết, ở đây seamoun không trình bày những khái niệm này.
Những công cụ liên quan đến đến vấn đề trên là rất rất nhiều tools. Ở đây Seamoun chia phần công cụ này làm 2 phần: phần 1 sử dụng nhưng công cụ đơn giản và phần 2 là sử dụng những công cụ chuyên dụng.

Demo 1 sử dụng các công cụ
1. Trang web samspade.org
2. nslookup của Windows
3. Sử dụng
http://arin.net/whois
và
http://ws.arin.net/whois/
<-- Thực chất thì cũng chẳng cần vào arin.net làm gì nếu các bạn nắm rõ range của IP được cấp phát cho từng vùng. Ở ví dụ sau IP là 210.245.31.22 thì có thể sử dụng ngay
http://ws.arin.net/whois/
không cần đến
http://arin.net/whois.
Nhưng mình demo khi các bạn không biết nó nằm ở vùng nào thì cứ xuất phát từ
http://arin.net/whois


Demo 2 Sử dụng các công cụ
1. Smart Whois
2. Necrosoft Advanced DIG

Demo 3. Sử dụng NeoTracePro.

"We regret to inform you, that we had to lock your PayPal Access because we have reasons to believe that your account may have been compromised by outside parties."

2. Social Engineering

Là phương thức tấn công đơn giản dựa trên yếu tố con người để xâm nhập vào hệ thống.
Hình thức của Social Engineering được chia thành hai loại
1. Humman-based: Tức là dựa trên khả năng giao tiếp của hacker đối với victim. Ví dụ như hacker có thể đóng giả một người chủ tài khoản và gọi điện đến ngân hàng để yêu cầu nhân viên ngân hàng cung cấp thông tin về tài khoản mà hacker có định chiếm đoạt.
2. Computer-based: Tức là sử dụng phương tiện là máy tính để có được thông tin mà hacker mong đợi. Nó khác với hình thức ở trên là :
Hình thức Humman-based có thể hacker đối thoại trực tiếp với victim hoặc các help desk ... để có được thông tin mình cần (phụ thuộc vào nghệ thuật giao tiếp, nói ngọt người ta dễ tin ). Hình thức computer-based là sử dụng những phương tiên như là email, scam page để lừa victim. Ví dụ của hình thức Computer-based là hacker có thể tạo một email có đường link đến các scam page về bankaccount chẳng hạn, và khi victim đọc thì có thể bị dẫn đến những scam page và cung cấp những thông tin quan trọng cho hacker. Ngoài ra nó còn có một tên gọi cho hình thức này là phishing
2.1 Humman-based nó có thể thuộc một trong những dạng sau
+ Đóng giả là một nhân viên hợp lệ trong một tổ chức: Hacker có thể đóng giả một nhân viên hợp lệ trong tổ chức từ đó moi thông tin khi đang đóng vai trò là nhân viên đó.
+ Đóng giả là một người quan trọng trong tổ chức (Ví dụ như sếp chẳng hạn). Ví dụ hacker đóng giả giám đốc một công ty A và gửi một message đến thư ký "Tôi là sếp ... Hoàng đây ! Tôi bỏ quên điện thoại điện ở nhà nên tôi dùng số này, cô có thể gửi ...<thông tin quan trọng> ... đến số máy này !!!". Nói chung là trăm phương nghìn kế để nghĩ ra cách giả mạo. Chắc seamoun nghĩa bị lừa rồi mới biết chứ 1001 kiểu lừa không có kiểu lừa nào giống nhau cả.
+ Đóng giả client gọi đến customer support: Ví dụ hacker muốn chiếm đoạt một domain nào đó nó có thể dùng email để phishing victim gửi thông tin quan trọng đó là hình thức social engineering computer-based. Hacker có thể đóng giả là người chủ domain gọi đến customer support và đưa ra những thông tin của victim mà hacker tìm được qua quá trình footprinting để xác nhận với người customer support sau đó có thể yêu cầu gửi password về email của hacker ...
+ Shoulder surfing : Hình thức này có nghĩa là hacker "dòm" user hoặc admin đang gõ phím. Ví dụ như thư ký cho giám đốc làm nội gián chẳng hạn. Khà khà :->
+ Dumpster diving: Hình thức này có nghĩa là lục loại thông tin từ trash, ... để có được những thông tin quan trọng. Do vậy trên máy tính nên delete vĩnh viễn những tài liệu quan trọng. Nếu như backup tài liệu quan trọng thì cũng nên encrypt những tài liệu đó.
Như đã đề cập ban đầu Social Engineering phụ thuộc vào yếu tố con người do vậy theo seamoun social engineering là con đường dễ nhất, đơn giản nhất mà hacker có thể sử dụng để có được những thông tin quan trọng. Hình thức tấn công này nó luôn tồn tại vì nó phụ thuộc vào yếu tố con người, nếu như một customer support hay là nhân viên trong tổ chức không được đề cập đến kiểu tấn công này, và trainning cho nhân viên cách cách phòng chống thì rất rất dễ bị tấn công bởi hình thức này. Nhìn thì đơn giản không cần kỹ thuật nhưng seamoun nghĩ những thằng hacker nào mà hack thành công nhờ social engineering thì nó là cao thủ về nghệ thuật giao tiếp cũng những giỏi về mấy trò viết thư dụ victim. Chắc cũng tán gái giỏi .
Không biết có ai trong HVA bị hình thức này tấn công không ? Chứ seamoun thì bị rồi, đóng giả anh JAL nói chuyện với mình ngon ơ, cách đây cũng phải 2 năm. Đoạn chat mất tiêu chứ không gửi lên đây cho mọi người xem cho vui.
Khi thương mại điện tử phổ biến ở Việt Nam thì hình thức tấn công này chắc là sử dụng nhiều đây ! Cách phòng chống hữu hiệu nhất chỉ có trainning và trainning ... cho customer và staff biết và hiệu về social engineering attack.
Ví dụ một email mà hacker dụ victim để có được bank account. Seamoun lấy từ trang web ([url=http://www.millersmiles.co.uk/]
http://www.millersmiles.co.uk/
[/url]). Công nhận la mấy thằng nước ngoài viết thư dụ có nghệ thuật dễ sợ. Hổng biết có ai bị mấy cái email tiếng việt viết dụ chưa gửi lên đây để anh em biết mà lường trước được sự việc. [blockquote]
Dear member ,

We regret to inform you, that we had to lock your PayPal Access because we have reasons to believe that your account may have been compromised by outside parties. In order to protect your sensitive information, we temporaly suspended your account.

To reactivate your account, click on the link below and confirm your identity by completing the secure form what will appear.

[url=https://www.paypal.com/us/cgi-bin/]
https://www.paypal.com/us/cgi-bin/
[/url] webscr?cmd=_login-submit

We have seen unusual attempts for logging in regarding your personal account, therefore this confirmation regarding your account its only for security reasons.
Phần tiếp đến seamoun sẽ giới thiệu về Scanning và Enumeration !!!
[/blockquote]

Scanning & Enumeration

Quá trình Scanning cũng thực chất là tiếp tục quá trình thu tập thông tin về hệ thống nhưng lúc này hacker đã tác động trực tiếp đến máy chủ mà hacker cần tấn công.
Với kết quả có được từ footprinting hệ thống hacker đã xác định được hai thông tin quan trọng nhất là địa chỉ (hoặc dãy địa chỉ) IP và hostname
(địa chỉ IP và hostname là gì thì các bạn tự tìm hiểu !!!).
Quá trình Scanning có thể được chia thành các bước sau:

Xác định hệ thống có đang "sống" hay không ? ---> Kiểm tra các port nào đang mở ---> Xác định những dịch vụ nào đang chạy tương ứng với cổng đang mở ---> Xác định banner của từng dịch vụ và hệ điều hành và phiên bản của nó --> Kiểm tra lỗi của những dịch vụ đang chạy --> Xây dựng sơ đồ những host bị lỗi ---> Chuẩn bị một proxy tốt và tấn công.
1) Ping Sweep
Xác định hệ thống đang "sống" hay không rất quan trọng vì có thể hacker ngừng ngay tấn công khi xác định hệ thống đó đã "chết". Việc xác định hệ thống có "sống" hay không có thể sử dụng kỹ thuật Ping Scan hay còn gọi với tên là Ping Sweep. Bản chất của quá trình Ping Sweep là gì ? Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ mà hacker đang muốn tấn công và mong đợi một ICMP Reply. (Giao thức ICMP là gì ? Và nó có tác dụng như thế nào ? Các bạn tự tìm hiểu nhé !).
Đa số các firewall thì luôn luôn chặn Ping do vậy việc phòng chống Ping Sweep rất dễ dàng. Lý do chặn ICMP ngoài việc chống Ping Sweep ra thì theo seamoun cũng nên chặn ICMP nếu như có firewall nào mà chưa chặn bởi vì hacker cũng có thể lợi dụng ICMP để đưa backdoor trên giao thức này.
Công cụ có sẵn là sử dụng lệnh ping có sẵn trên Windows hoặc Linux hoặc sử dụng những chương trình chuyên dụng sau :
Pinger, Friendly Pinger, và WS Ping Pro , Hping2. Trong những công cụ Pinger, WS Ping Pro thì mình thích nhất là Hping2 vì nó có nhiều tùy chọn cũng như nó có thể detect được host đó còn "sống" hay "chết" cho dù firewall có chặn ICMP

2) Scan Port
Như đã đề cập ở trên công việc tiếp theo sau khi Ping Sweep là Scan Port và xác định những cổng đang mở và từ đó xác định dịch vụ đang chạy là gì ? Phiên bản nào ? ... Thông thường thì các chương trình Scan Port có sẵn những tùy chọn kết hợp sẵn việc scan cổng và xác định dịch vụ đang chạy cũng như phiên bản tương ứng. Những công cụ Scan Port thì rất
nhiều và mỗi công cụ có một thế mạnh riêng của nó. Công cụ Scan Port nổi tiếng mà nhiều bài viết trong HVA cũng đã đề cập đó là Nmap. Trong phần này seamoun sẽ đề cập những phần chính liên quan đến Nmap, những tùy chọn hoặc những tính năng khác của Nmap thì các bạn tự tìm hiểu ! Yêu cầu của phân này là bạn phải hiểu được các giao thức TCP, UDP và cấu trúc của một packet khi một máy tính gửi đến máy tính khác trên mạng.
Sở dĩ Nmap được sử dụng rộng rãi bởi vì nó các phiên bản tương ứng với các OS khác nhau (Unix, Linux, Windows).
Nmap hỗ trợ nhiều kỹ thuật scan port bao gồm các kỹ thuật như : TCP, XMAS, SYN, Null Scan, Windows Scan, ACK Scan
a) TCP Scan
Kỹ thuật TCP Scan tức là Nmap sẽ kiểm tra cổng trên hệ thống đích có mở hay đóng bằng cách thực hiện kết nối TCP đầy đủ.
Thực hiện kết nối TCP đầy đủ tức là sao ?. Tức là khi một máy tính A kết nối và gửi dữ liệu đến máy B qua giao thức TCP thì máy tính A và B phải thực hiện cơ chế "bắt tay" 3 bước trước khi truyền dữ liệu.
Giả sửa máy A có IP = 192.168.1.2 và máy tính B có IP = 192.168.1.3. Máy tính A muốn kết nối máy tính B qua giao thức
TCP thì sẽ thực hiện qua các bước sau
1) A (192.168.1.2)--- gửi SYN packet -----> B (192.168.1.3)
2) A (192.168.1.2)<-- gửi SYN/ACK packet ---B (192.168.1.3)
3) A (192.168.1.2)--- gửi ACK packet ------>B (192.168.1.3)

Demo sau sẽ cho bạn thấy rõ cơ chế này. Trong ví dụ này máy tính A có IP 192.168.1.2 và máy tính B có IP 192.168.1.8

Demo thứ 2
Sử dụng Nmap để thực hiện Port Scan với kỹ thuật TCP Scan.
Địa chỉ IP đích: 192.168.1.8. Mở cổng TCP 7799
Địa chỉ IP nguồn: 192.168.1.6 (Sử dụng nmap để scan).
Tùy chọn của nmap để thực hiện TCP Scan là : -sT.
Ví dụ bạn muốn Port Scan một máy tính có địa chỉ IP 192.168.1.8 với kỹ thuật
TCP Scan : nmap -sT 192.168.1.8 hoặc nmap 192.168.1.8 -sT. Trong demo này Seamoun sử dụng netcat để listen TCP với port 7799 và sử dụng nmap để kiểm tra port đó có open hay close.
Nếu trong ví dụ sau mà port 7799 close thì khi thực hiện quét bằng Nmap thì sau khi nmap gửi SYN packet đến IP:192.168.1.8. Vì IP=192.168.1.8 không mở port 7799 nên nó sẽ gửi Packet với cờ TCP (ACK và RST được bật) đến IP 192.168.1.6 (đang sử dụng nmap để scan).


b) SYN, XMAS, FIN, NULL, IDLE Scan
+ SYN hoặc còn gọi là Stealth được gọi là kỹ thuật quét bán mở bởi vì nó không hoàn tất bắt tay ba bước của TCP (3 bước xác lập kết nối đã giới thiệu ở trên).
Một hacker gửi một SYN đến đích, nếu một SYN/ACK được nhận trở lại thì nó hoàn tất việc scan và xác địch port đang mở. Nếu một RST được nhận trở lại từ đích nghĩa là cổng đóng.
Những cờ như SYN, ACK, RST mà seamoun đã đề cập cho đến thời điểm này, vậy nó là gì ? Nó có tác dụng gì trong kết nối ?Ở đây seamoun chỉ giới thiệu chức năng của những cờ này trong packet TCP. Bởi vì TCP là một giao thức kết nối, do vậy nó cần những cờ để xác lập quá trình thiết lập cho một kết nối, việc khởi động lại một kết nối thất bại và hoàn tất một kết nối là một phần của giao thức.
Những cảnh báo của giao thức này là được gọi là các cờ (flags). TCP có các cờ là ACK, RST, SYN, URG, PSH và FIN.
Và ý nghĩa của nó như sau:
1) SYN-Synchronize. Khởi tạo một kết nối giữa các host.
2) ACK-Acknowledge. Thiết lập kết nối giữa các host.
3) PSH-Push. Hệ thống đang chuyển tiếp dữ liệu từ bộ nhớ đệm.
4) URG-Urgent. Dữ liệu trong packet cần phải được sử lý nhanh.
5) FIN-Finish. Không có sự trao đổi nào nữa.
6) RST-Reset. Reset lại kết nối.
Các bạn có thể xem thêm tại ([url=http://www.faqs.org/rfcs/rfc793.html]
http://www.faqs.org/rfcs/rfc793.html
[/url])
Để thực hiện kỹ thuật scan SYN thì làm như sau: nmap -sS 192.168.1.3 hoặc nmap 192.168.1.3 -sS

Trở lại vấn đề về các kỹ thuật Scan. Kỹ thuật tiếp theo mà seamoun giới thiệu có trong Nmap Scan là
+ XMAS Scan là gửi gói tin với ba cờ được thiết lập FIN, URG, PSH. Nếu cổng mở thì không có sự phản hồi nào, nhưng nếu cổng đóng thì nó phản hồi với RST/ACK.
XMAS chỉ làm việc Unix không làm việc trên Windows.
Để thực hiện kỹ thuật scan XMAS thì làm như sau: nmap -sX 192.168.1.3 hoặc nmap 192.168.1.3 -sX

+ FIN Scan giống như XMAS Scan những chỉ với cờ FIN được thiết lập.
FIN cũng nhận phản hồi như XMAS Scan, nếu không có phản hồi thì tức cổng mở, mà có phản hồi RST/Ack thì cổng đóng
Để thực hiện kỹ thuật scan FIN thì làm như sau: nmap -sF 192.168.1.3 hoặc nmap 192.168.1.3 -sF

+ NULL Scan cũng như XMAS và FIN nó send với tất cả các cờ là tắt.
Để thực hiện kỹ thuật scan NULL thì làm như sau: nmap -sN 192.168.1.3 hoặc nmap 192.168.1.3 -sN

+ IDLE scan là sử dụng địa chỉ IP giả để gửi SYN đến hệ thống đích.
Phụ thuộc vào sự phản hồi , cổng được xác định là mở hoặc đóng.
IDLE scan xác định cổng scan dựa trên việc quan sát gói tin IP sequence numbers
Để thực hiện kỹ thuật scan IDLE thì làm như sau: nmap -sI 192.168.1.3 hoặc nmap 192.168.1.3 -sI

Demo 3
Địa chỉ IP đích: 192.168.1.3
Địa chỉ IP sử dụng Nmap: 192.168.1.6
Trong phần demo này mình sử dụng máy đích chạy Linux và listen port 7799. Sở dĩ seamoun chọn Linux vì một số kỹ thuật scan chỉ có thể thực hiện trên Linux không thể thực hiện trên Windows. Do vậy chạy Linux để demo tất cả trường hợp.
Các bạn sẽ thấy trong demo khi port 7799 mở (đóng) thì với kỹ thuật scan SYN, FIN, XMAS, NULL các cờ sẽ bật (tắt) khác nhau và phản hồi khác nhau.