[Question] Thảo luận: security through obscurity |
30/07/2007 22:24:01 (+0700) | #1 | 75044 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Từ trước đến nay đã có rất nhiều thảo luận về vấn đề "bảo mật bằng cách che dấu" và đã có ít nhất hai trường phái (bênh / chống).
Trên bình diện web hosting, hãy thử bàn xem, "security through obscurity" có những điểm lợi nào? Ví dụ:
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Những việc trên có những điểm lợi gì? Nó có thật sự gia tăng bảo mật cho dịch vụ?
Mời anh chị em thảo luận. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Thảo luận: security through obscurity |
30/07/2007 22:52:26 (+0700) | #2 | 75053 |
|
Seii TaiShogun
Member
|
0 |
|
|
Joined: 27/03/2006 09:18:27
Messages: 107
Location: Chiến trường
Offline
|
|
Mấy cái này em nói chơi, không có phải nói anh nhé, đừng vặn lại chết em á.
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
Trong phạm vi webhosting, dấu cho kĩ vào, khách hàng nó mua host, up code lên, code nó củ chối, có chắc là sure 100% ko lòi ra tí info nào về webserver trên browser khi gặp lỗi ko.
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Mod rewrite cho đẹp thì ok, chứ còn security through obscurity thì ráng đừng giống mấy cái này:
Đã rewrite: http://www.dongabank.com.vn/service/2,32,92.html
http://www.dongabank.com.vn/ImageX.php?P=46a6f57e081ba_DongA_Bank-Phat_Tien-1.jpg
http://www.dongabank.com.vn/ImageX.php
http://www.dongabank.com.vn/index.php#
Đã rewrite: http://education.hrvietnam.com/?m=education&a=institution
Chưa rewrite: http://education.hrvietnam.com/index.php?m=education&a=institution
http://www.hrvietnam.com/index.php
|
|
|
|
|
[Question] Thảo luận: security through obscurity |
31/07/2007 00:59:42 (+0700) | #3 | 75091 |
|
KINYO
Member
|
0 |
|
|
Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline
|
|
conmale wrote:
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
Cái này không khả thi lắm, cũng như là dùng proxy chỉ che mắt được mấy cái check IP free thôi chứ tools phải trả tiền nó vẫn phát hiện ra IP thật của mình.
conmale wrote:
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
Muốn thế thì phải thành công ở bước 1 đã
conmale wrote:
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Cái này dễ thôi, chỉ cần có dedicated hosting là được.
Cái gọi là "security through obscurity" này không mới, Yahoo và Google là hai ví dụ điển hình nhất, rất khó biết họ dùng ngôn ngữ lập trình hay database nào vì họ che mất extension. Tuy nhiên có lần bọn MySQL xì ra là Yahoo dùng MySQL trong một cái text trên website của họ |
|
|
|
|
[Question] Re: Thảo luận: security through obscurity |
31/07/2007 02:03:02 (+0700) | #4 | 75107 |
|
Seii TaiShogun
Member
|
0 |
|
|
Joined: 27/03/2006 09:18:27
Messages: 107
Location: Chiến trường
Offline
|
|
Code:
Cái này không khả thi lắm, cũng như là dùng proxy chỉ che mắt được mấy cái check IP free thôi chứ tools phải trả tiền nó vẫn phát hiện ra IP thật của mình.
Bồ có đọc kỹ ko vậy, liên quan gì tới IP ở đây, mà khi hack dùng "tool có trả tiền" hả? )
Cái này dễ thôi, chỉ cần có dedicated hosting là được.
Cái gọi là "security through obscurity" này không mới, Yahoo và Google là hai ví dụ điển hình nhất, rất khó biết họ dùng ngôn ngữ lập trình hay database nào vì họ che mất extension. Tuy nhiên có lần bọn MySQL xì ra là Yahoo dùng MySQL trong một cái text trên website của họ
Sure ko? Sao tớ xài share hosting vẫn làm được.
Mod rewrite liên quan tới htaccess, apache, liên quan gì tới dedicated hosting hả chài.
Bộ cứ che extension hay change extension là khó biết nó dùng công nghệ nào sao?
Coi chơi:
Yahoo Finance Pháp:
http://fr.finance.yahoo.com/m8.php
Yahoo Finance Hongkong
http://hk.finance.yahoo.com/stock/mmi.php
Flickr
http://www.flickr.com/search/?q=register.php
Yahoo Yellow Pages
http://mx.yp.yahoo.com/index.php?directory=mex
Google Group
http://groups.google.com/group/de.comp.lang.php |
|
|
|
|
[Question] Thảo luận: security through obscurity |
31/07/2007 05:29:04 (+0700) | #5 | 75169 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Trên bình diện web hosting, hãy thử bàn xem, "security through obscurity" có những điểm lợi nào? Ví dụ:
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Những việc trên có những điểm lợi gì? Nó có thật sự gia tăng bảo mật cho dịch vụ?
Hi anh conmale,
Khi apply một phương án phòng thủ nào đó, em thường suy nghĩ nhiều về sự cân bằng giữa chi phí (bao gồm thời gian và tiền bạc) để triển khai phương pháp đó và hiệu quả thật tế mà nó đem lại.
Em cho rằng các phương thức "security through obscurity" mà anh đề cập ở trên rơi vào trường hợp chi phí thấp và hiệu quả cũng thấp luôn. Chi phí thấp vì triển khai những phương thức này không khó; hiệu quả thấp vì vượt qua chúng cũng không khó.
Do chi phí thấp nên người ta thường triển khai nó, kiểu như tâm lý thấy hàng giá rẻ thì mua, hoặc thấy mọi người đều làm thì mình cũng làm luôn cho nó "hợp thời". Bản thân em cũng vậy, em sẽ triển khai chúng nếu nó không làm mất quá nhiều thời gian. Dẫu sao thì em cũng tin rằng security + obscurity vẫn tốt hơn một mình security :p.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Thảo luận: security through obscurity |
31/07/2007 06:14:29 (+0700) | #6 | 75182 |
|
Z0rr0
Q+WRtaW5pc3RyYXRvc+g
|
Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
|
|
Có ai đánh giá được trong 100% web user thì bao nhiêu % không có khái niệm gì về việc lợi dụng security holes để lấy thông tin (tạm gọi web newbies), bao nhiêu % có "hiểu biết" và biết khai thác?
Obscurity có thể giải quyết cơ bản các web newbies, còn security nhiều lớp sẽ giải quyết nốt phần còn lại. Web newbies chiếm đa số như chi phí để giải quyết thấp, phần kia thì ngược lại. |
|
Hibernating |
|
|
|
[Question] Re: Thảo luận: security through obscurity |
31/07/2007 06:36:52 (+0700) | #7 | 75186 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Thế...
- chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- chỉnh Web service từ Apache thành IIS 5.
- chỉnh "đuôi" .php thành .abc
Giúp được gì cho khía cạnh bảo mật? Đối với người dùng tools có sẵn để scan thì sao? Đối với dân exploit kiên nhẫn ngồi proble thì sao? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Thảo luận: security through obscurity |
31/07/2007 07:31:39 (+0700) | #8 | 75194 |
|
KINYO
Member
|
0 |
|
|
Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline
|
|
Seii TaiShogun wrote:
Bồ có đọc kỹ ko vậy, liên quan gì tới IP ở đây, mà khi hack dùng "tool có trả tiền" hả? )
IP là đưa ra để làm ví dụ, bạn hiểu lời nhưng không hiểu ý rồi.
Seii TaiShogun wrote:
Sure ko? Sao tớ xài share hosting vẫn làm được.
Mod rewrite liên quan tới htaccess, apache, liên quan gì tới dedicated hosting hả chài.
Bộ cứ che extension hay change extension là khó biết nó dùng công nghệ nào sao?
Tại sao lại phải dùng đến ModRewrite chỉ để đổi tên tệp tin từ PHP thành ABC nhỉ, trong khi chỉ cần edit một vài chữ trong file conf là xong.
Với shared hosting thì các chỉnh sửa hạn chế lắm, chả việc gì phải băn khoăn như lão Conmale làm gì cho mệt.
Còn chuyện Yahoo thì đúng là một số dịch vụ có đuôi PHP, nhưng không có nghĩa là toàn bộ Yahoo dùng PHP đâu, họ có thể mix PHP với một ngôn ngữ lập trình khác trong những ứng dụng khác nhau. |
|
|
|
|
[Question] Re: Thảo luận: security through obscurity |
31/07/2007 13:59:12 (+0700) | #9 | 75286 |
Mr.Khoai
Moderator
|
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
|
|
Anh conmale,
Việc chỉnh server, hoặc chỉnh lại webservice để các công cụ scan không nhận ra, hoặc nhận diện sai về hệ thống đều đòi hỏi phải có kinh nghiệm + kiến thức về các signature được sử dụng. Ở mức một sys admin bình thường, không phải ai cũng có thể chỉnh mấy cái này. Điều này tốn thời gian + công sức. Hơn nữa, khi gặp mấy lão chịu kiên nhẫn probe manually thì các việc điều chỉnh trên đôi khi mất tác dụng, và phí thời gian vô ích.
Theo em nhận thấy, obscurity là một phần của việc thiết kế bảo mật cho một server nói chung. Bước obscure hệ thống nên là bước cuối, sau khi đã tinh chỉnh và kiện toàn hệ thống. Obscure sẽ khiến cho nhiều tools và nhiều attacker thiếu kiên nhẫn + chưa đủ kiến thức bị thất bại sớm, và bỏ cuộc. Điều này có thể giúp cho đám log của server bớt đi những entry không cần thiết.
Obscurity cũng khiến attacker tốn nhiều thời gian hơn để thu thập thông tin. Các exploits mới tinh sẽ không dễ dàng "áp dụng" ngay cho hệ thống của mình. Sys admin sẽ có nhiều thời gian hơn để update, để audit logs.
khoai |
|
|
|
|
[Question] Thảo luận: security through obscurity |
31/07/2007 14:34:26 (+0700) | #10 | 75291 |
|
K4i
Moderator
|
Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
|
|
Obscurity cũng khiến attacker tốn nhiều thời gian hơn để thu thập thông tin. Các exploits mới tinh sẽ không dễ dàng "áp dụng" ngay cho hệ thống của mình. Sys admin sẽ có nhiều thời gian hơn để update, để audit logs.
==> kế hoãn binh. Hay thiệt, giờ mới biết bác Khoai khoái kế này ) |
|
Sống là để không chết chứ không phải để trở thành anh hùng |
|
|
|
[Question] Thảo luận: security through obscurity |
31/07/2007 19:28:36 (+0700) | #11 | 75307 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
mrro wrote:
Hi anh conmale,
Khi apply một phương án phòng thủ nào đó, em thường suy nghĩ nhiều về sự cân bằng giữa chi phí (bao gồm thời gian và tiền bạc) để triển khai phương pháp đó và hiệu quả thật tế mà nó đem lại.
Em cho rằng các phương thức "security through obscurity" mà anh đề cập ở trên rơi vào trường hợp chi phí thấp và hiệu quả cũng thấp luôn. Chi phí thấp vì triển khai những phương thức này không khó; hiệu quả thấp vì vượt qua chúng cũng không khó.
Do chi phí thấp nên người ta thường triển khai nó, kiểu như tâm lý thấy hàng giá rẻ thì mua, hoặc thấy mọi người đều làm thì mình cũng làm luôn cho nó "hợp thời". Bản thân em cũng vậy, em sẽ triển khai chúng nếu nó không làm mất quá nhiều thời gian. Dẫu sao thì em cũng tin rằng security + obscurity vẫn tốt hơn một mình security :p.
-m
Hello mrro,
Những điểm anh đưa ra đây chỉ mang tính khái niệm để thảo luận về cái gọi là "security through obscurity" và nó khá rộng nên thật sự khó đánh giá góc độ "chi phí" và "hiệu quả".
Về việc giả OS footprint cho đúng nghĩa không phải là chuyện đơn giản tí nào. Bởi thế, "chi phí" ở đây chính là thời gian để thực hiện nó. Đối với tính hiệu quả, nếu lừa được các scanner thông dụng và nổi tiếng cỡ nmap thì cơ hội đánh lạc hướng kẻ muốn thăm dò và tấn công có lẽ phải lên tới 90% là ít bởi vì các thủ thuật trình bày trong các tài liệu (miễn phí và huấn luyện như CEH chẳng hạn) hầu như assume rằng nmap (hoặc một tool tương tự) đoán đúng. Anh thấy rất hiếm các tài liệu, bài viết đi sâu vào phân tích sử dụng các thủ thuật lấy footprint (active và passive) xuyên qua hàng loạt phương pháp khác nhau để kiểm nghiệm và xác định. Nếu kẻ thăm dò và tấn công nhìn nhận target server từ BSD thành W2k3 thì... bế tắc ).
Về việc giả mạo web service foot print từ apache thành IIS 5 chẳng hạn, thủ thuật này đơn giản và dễ dàng nhưng đối với tool-users thì nó dư sức đánh lừa vì hầu hết các tool thường probe cái service signature trước khi dùng 1 DB nào đó để tiếp tục scan để lấy thông tin (không thì biên độ scan quá rộng). Điều này Mr.Khoai đã đưa ra ý kiến bên dưới. Anh chưa thấy có tool nào (từ Acunetix đến nessus, đến nikto...) có khả năng probe một web service để lấy 1 HTTP response về và phân tích dạng:
Code:
HTTP/1.1 404 Not Found
Date: Tue, 31 Jul 2007 02:29:46 GMT
Server: Microsoft-IIS/5.0
Connection: close
Content-Type: text/html; charset=iso-8859-1
khác thế nào với:
Code:
HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Tue, 31 Jul 2007 02:35:23 GMT
Content-Length: 460
Content-Type: text/html; charset=iso-8859-1
Để xác định cái nào là IIS 5.0 thứ thiệt ). Bởi thế, trọn bộ thời gian dùng để scan và thông tin lấy được trong quá trình scan đều có thể sai lạc và tất nhiên, thông tin thu thập được để dẫn tới việc exploit có thể vô dụng.
Về việc "đổi đuôi" và rewrite lại URI, nó khiến cho các "test pattern" của những công cụ dùng để scan lỗi như Acunetix, Nikto... đi vào chỗ test sai. Những cú "chèn" để exploit trên URL hầu như không thể phát huy được nếu như rewrite chặt chẽ. Đó là chưa kể khác "đuôi" thì công cụ scan dùng DB khác để scan --> sai.
Anh đồng ý với quan điểm của mrro "security + obscurity vẫn tốt hơn một mình security" và điều quan trọng là "obscurity" thế nào để tốt hơn nên có thảo luận này ).
Thân. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 00:19:54 (+0700) | #12 | 191040 |
|
changnhan
Member
|
0 |
|
|
Joined: 24/07/2009 20:03:41
Messages: 15
Offline
|
|
A conmale hướng dẫn e : chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux , chỉnh Web service từ Apache thành IIS , chỉnh "đuôi" .php thành .abc ..với .
Cám ơn a , đọc từ trang 3X tới đây . Hic
|
|
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 00:48:48 (+0700) | #13 | 191041 |
|
ham_choi
Member
|
0 |
|
|
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
|
|
Cá nhân ham_choi cho rằng rất nên dùng chiêu hoãn binh và dương đông kích tây này. Chiêu này nói thiệt là lợi hại đối với đám attacker nghiệp dư.
Thường thì con người ta bị dao động bởi "tiếng đồn". Nếu 1 group attacker củ chuối nào đó attack vào site đã bị ta "dương đông kích tây" dẫn đến việc không khai thác được hệ thống, họ sẽ lan truyền trong giới giang hồ => làm nản lòng bất cứ người nào muốn hack site của ta. Trong khi đó, hacker pro thứ thiệt, họ lại không đi hack site bao giờ (trừ khi admin quá xấc láo hoặc trang đó phạm pháp buộc họ phải hack). Như vậy, chúng ta sẽ ăn no ngủ yên, có thời gian nghiên cứu chuyên sâu để nâng tầm bảo mật cho server. Thử tưởng tượng xem, nếu 1 ngày ta phải chống chọi với đám amateur thì nó sẽ làm ta rất mất thời gian, chẳng học hành được công nghệ gì mới.
P/s: ham_choi làm web toàn là cố viết sao cho nó giống html không à, hoặc encode những chỗ không quan trọng( * ) (mặc dù công nghệ không phải là html). Hacker nhìn vào nghĩ : "Web tĩnh hack làm gì" => khỏe
( * ): encode chỗ không quan trọng để đánh lừa hacker (cho nó nhìn vào tưởng chỗ này chắc có gì đó quan trọng nên admin nó mới giấu source, thế là nó lo giải mà bỏ sót những chỗ quan trọng). Riêng những chỗ quan trọng, tùy từng mức độ mà kiếm cách đánh lừa hacker, nhưng tốt nhất là cố gắng viết sao cho nó khó hiểu hoặc dùng một cái khác hỗ trợ nó. |
|
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate ! |
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 07:59:51 (+0700) | #14 | 191048 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
conmale wrote:
Từ trước đến nay đã có rất nhiều thảo luận về vấn đề "bảo mật bằng cách che dấu" và đã có ít nhất hai trường phái (bênh / chống).
Trên bình diện web hosting, hãy thử bàn xem, "security through obscurity" có những điểm lợi nào? Ví dụ:
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Những việc trên có những điểm lợi gì? Nó có thật sự gia tăng bảo mật cho dịch vụ?
Mời anh chị em thảo luận.
Hình như nội dung chính là phần này mà ta ... , cái này mình không biết mong các bác thảo luận theo hướng kỹ thuật tí cho mình hiểu với. thân |
|
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 08:27:34 (+0700) | #15 | 191049 |
|
changnhan
Member
|
0 |
|
|
Joined: 24/07/2009 20:03:41
Messages: 15
Offline
|
|
conmale wrote:
Từ trước đến nay đã có rất nhiều thảo luận về vấn đề "bảo mật bằng cách che dấu" và đã có ít nhất hai trường phái (bênh / chống).
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
Mình có thể chỉnh cho nmap nhận ra Mac OS server thay vì Windows hay Linux không a ?
vikjava wrote:
Hình như nội dung chính là phần này mà ta ... , cái này mình không biết mong các bác thảo luận theo hướng kỹ thuật tí cho mình hiểu với. thân
Cùng chí hướng |
|
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 10:40:32 (+0700) | #16 | 191064 |
hmtaccess
Member
|
0 |
|
|
Joined: 12/06/2008 02:26:45
Messages: 197
Location: ™œžŸ¤¢£§¨©
Offline
|
|
changnhan wrote:
conmale wrote:
Từ trước đến nay đã có rất nhiều thảo luận về vấn đề "bảo mật bằng cách che dấu" và đã có ít nhất hai trường phái (bênh / chống).
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
Mình có thể chỉnh cho nmap nhận ra Mac OS server thay vì Windows hay Linux không a ?
vikjava wrote:
Hình như nội dung chính là phần này mà ta ... , cái này mình không biết mong các bác thảo luận theo hướng kỹ thuật tí cho mình hiểu với. thân
Cùng chí hướng
Trong Modsecurity có phần
Code:
SecServerSignature
Description: Instructs ModSecurity to change the data presented in the "Server:" response header token.
Syntax: SecServerSignature "WEB SERVER SOFTWARE"
Example Usage: SecServerSignature "Netscape-Enterprise/6.0"
Không biết cái này có "tuyệt dối" không. Còn không biết cách nào nữa mong anh em thảo luận |
|
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 15:42:22 (+0700) | #17 | 191084 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Obscurity ở mức độ làm chậm thời gian tìm tòi mục tiêu và đánh lạc hướng script kiddie đã xem là có hiệu quả rồi. Những cố gắng tạo obscurity đến mức thay đổi tcp/ip stack nhằm đánh lừa cả nmap (nhận diện Linux hoặc Windows) thành MacOS X thì quả là xtreme . Việc này có thể làm được bằng một số phương pháp:
1. Điều chỉnh chính kernel của hệ điều hành để nó "làm ra vẻ" như là một hệ điều hành khác: đây là cách nguy hiểm bởi vì nó sẽ dẫn đến những phản ứng phụ bởi vì hệ điều hành không chỉ có tcp/ip stack. Vấn đề được đặt ra là liệu mục đích obscurity ở mức độ này có đáng công sức hay không?
2. Dùng một cơ chế đón chặn những loại port scanner (và cái "chiến" nhất hiện giờ là nmap) rồi thay mặt hệ điều hành mà trả lời bằng những thông tin vớ vẩn. Cách làm này dễ hơn và ít nguy hiểm hơn vì nó cụ thể xử lý với port scanner.
Những dạng "đánh lừa" ở trên tầng application như mod_security, đổi banner của application, dùng mod_rewrite.... chỉ là một thứ che chắn obscurity đơn giản và chỉ ngăn được automated scan mà thôi.
Hãy thử xét xem một ứng dụng như nmap làm gì và mình có thể làm gì để đối phó nó?
Trên server của HVA, tôi thử sniff các gọi tin cụ thể đi từ máy của tôi bằng tcpdump:
tcpdump -i ppp0 -n not dst port 22 and not src port 22 and host conmale (tự tìm hiểu tạo sao có dòng lệnh như thế cho vui ).
Trên máy của tôi, tôi thử dùng nmap để scan server hva:
/usr/local/bin/nmap -sS hvaonline -P0 -O -v -p 80-110 (tự tìm hiểu tạo sao có dòng lệnh như thế cho vui ).
Trên hva server, tôi sniff được các thông tin sau:
Code:
17:18:28.645096 IP conmale.55956 > hvaonline.pop3: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:28.645173 IP hvaonline.pop3 > conmale.55956: R 0:0(0) ack 1989128491 win 0
17:18:28.648844 IP conmale.55956 > hvaonline.http: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:28.649079 IP hvaonline.http > conmale.55956: S 4114080039:4114080039(0) ack 1989128491 win 5656 <mss 1414>
17:18:28.652401 IP conmale.55956 > hvaonline.97: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:28.652404 IP conmale.55956 > hvaonline.hostname: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:28.652405 IP conmale.55956 > hvaonline.84: S 1989128490:1989128490(0) win 2048 <mss 1460>
17:18:28.652418 IP conmale.55956 > hvaonline.rtelnet: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:28.652420 IP conmale.55956 > hvaonline.90: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:28.652570 IP conmale.55956 > hvaonline.kerberos: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:28.652574 IP conmale.55956 > hvaonline.96: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:28.652585 IP conmale.55956 > hvaonline.108: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:28.944831 IP conmale.55956 > hvaonline.http: R 1989128491:1989128491(0) win 0
17:18:28.947913 IP conmale.55956 > hvaonline.82: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:28.952060 IP conmale.55956 > hvaonline.93: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:28.952063 IP conmale.55956 > hvaonline.89: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:28.952067 IP conmale.55956 > hvaonline.csnet-ns: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:30.835813 IP conmale.55957 > hvaonline.csnet-ns: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:30.840805 IP conmale.55957 > hvaonline.89: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:30.845229 IP conmale.55957 > hvaonline.93: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:30.845233 IP conmale.55957 > hvaonline.90: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:30.845244 IP conmale.55957 > hvaonline.84: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:30.845247 IP conmale.55957 > hvaonline.96: S 1989062955:1989062955(0) win 2048 <mss 1460>
17:18:30.845260 IP conmale.55957 > hvaonline.rtelnet: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:30.845262 IP conmale.55957 > hvaonline.108: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:30.845274 IP conmale.55957 > hvaonline.kerberos: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:30.845275 IP conmale.55957 > hvaonline.97: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:30.845290 IP conmale.55957 > hvaonline.hostname: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:30.845292 IP conmale.55957 > hvaonline.82: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:32.026005 IP conmale.55967 > hvaonline.pop3: S 2005905450:2005905450(0) win 3072 <mss 1460>
17:18:32.026065 IP hvaonline.pop3 > conmale.55967: R 0:0(0) ack 2005905451 win 0
17:18:32.031688 IP conmale.55956 > hvaonline.81: S 1989128490:1989128490(0) win 2048 <mss 1460>
17:18:32.034511 IP conmale.55956 > hvaonline.85: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:32.034513 IP conmale.55956 > hvaonline.91: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:32.034515 IP conmale.55956 > hvaonline.94: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:32.034529 IP conmale.55956 > hvaonline.83: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:32.034531 IP conmale.55956 > hvaonline.100: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:32.034540 IP conmale.55956 > hvaonline.pop2: S 1989128490:1989128490(0) win 1024 <mss 1460>
17:18:32.034542 IP conmale.55956 > hvaonline.poppassd: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:32.034555 IP conmale.55956 > hvaonline.linuxconf: S 1989128490:1989128490(0) win 2048 <mss 1460>
17:18:32.034556 IP conmale.55956 > hvaonline.86: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:32.034569 IP conmale.55956 > hvaonline.99: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:32.332199 IP conmale.55956 > hvaonline.iso-tsap: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:32.336519 IP conmale.55956 > hvaonline.92: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:32.340921 IP conmale.55956 > hvaonline.87: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:32.340923 IP conmale.55956 > hvaonline.104: S 1989128490:1989128490(0) win 3072 <mss 1460>
17:18:32.340939 IP conmale.55956 > hvaonline.supdup: S 1989128490:1989128490(0) win 2048 <mss 1460>
17:18:32.340941 IP conmale.55956 > hvaonline.103: S 1989128490:1989128490(0) win 4096 <mss 1460>
17:18:33.001995 IP conmale.55957 > hvaonline.85: S 1989062955:1989062955(0) win 1024 <mss 1460>
17:18:33.005665 IP conmale.55957 > hvaonline.81: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.011142 IP conmale.55957 > hvaonline.pop2: S 1989062955:1989062955(0) win 1024 <mss 1460>
17:18:33.011144 IP conmale.55957 > hvaonline.99: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:33.011156 IP conmale.55957 > hvaonline.linuxconf: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.011236 IP conmale.55957 > hvaonline.100: S 1989062955:1989062955(0) win 1024 <mss 1460>
17:18:33.011246 IP conmale.55957 > hvaonline.86: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.011248 IP conmale.55957 > hvaonline.poppassd: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.011390 IP conmale.55957 > hvaonline.83: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:33.011394 IP conmale.55957 > hvaonline.94: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.011405 IP conmale.55957 > hvaonline.91: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.311127 IP conmale.55957 > hvaonline.103: S 1989062955:1989062955(0) win 2048 <mss 1460>
17:18:33.314637 IP conmale.55957 > hvaonline.104: S 1989062955:1989062955(0) win 4096 <mss 1460>
17:18:33.318227 IP conmale.55957 > hvaonline.supdup: S 1989062955:1989062955(0) win 3072 <mss 1460>
17:18:33.318230 IP conmale.55957 > hvaonline.87: S 1989062955:1989062955(0) win 1024 <mss 1460>
17:18:33.318242 IP conmale.55957 > hvaonline.iso-tsap: S 1989062955:1989062955(0) win 1024 <mss 1460>
17:18:33.318378 IP conmale.55957 > hvaonline.92: S 1989062955:1989062955(0) win 1024 <mss 1460>
17:18:33.580865 IP conmale.55968 > hvaonline.pop3: S 1955574570:1955574570(0) win 2048 <mss 1460>
17:18:33.580954 IP hvaonline.pop3 > conmale.55968: R 0:0(0) ack 1955574571 win 0
17:18:34.232347 IP conmale.56151 > hvaonline.http: S 4048229383:4048229383(0) win 1 <wscale 10,nop,mss 1460,timestamp 4294967295 0,sackOK>
17:18:34.232482 IP hvaonline.http > conmale.56151: S 4202374786:4202374786(0) ack 4048229384 win 5608 <mss 1414,sackOK,timestamp 218940111 4294967295,nop,wscale 5>
17:18:34.331936 IP conmale.56152 > hvaonline.http: S 4048229384:4048229384(0) win 63 <mss 1400,wscale 0,sackOK,timestamp 4294967295 0,eol>
17:18:34.332040 IP hvaonline.http > conmale.56152: S 4199173513:4199173513(0) ack 4048229385 win 5608 <mss 1414,sackOK,timestamp 218940136 4294967295,nop,wscale 5>
17:18:34.432162 IP conmale.56153 > hvaonline.http: S 4048229385:4048229385(0) win 4 <timestamp 4294967295 0,nop,nop,wscale 5,nop,mss 640>
17:18:34.432290 IP hvaonline.http > conmale.56153: S 4206717450:4206717450(0) ack 4048229386 win 5608 <mss 1414,nop,nop,timestamp 218940161 4294967295,nop,wscale 5>
17:18:34.533682 IP conmale.56154 > hvaonline.http: S 4048229386:4048229386(0) win 4 <sackOK,timestamp 4294967295 0,wscale 10,eol>
17:18:34.533815 IP hvaonline.http > conmale.56154: S 4210229862:4210229862(0) ack 4048229387 win 5608 <mss 1414,sackOK,timestamp 218940187 4294967295,nop,wscale 5>
17:18:34.544926 IP conmale.56151 > hvaonline.http: R 4048229384:4048229384(0) win 0
17:18:34.632648 IP conmale.56155 > hvaonline.http: S 4048229387:4048229387(0) win 16 <mss 536,sackOK,timestamp 4294967295 0,wscale 10,eol>
17:18:34.632743 IP hvaonline.http > conmale.56155: S 4218816218:4218816218(0) ack 4048229388 win 5608 <mss 1414,sackOK,timestamp 218940212 4294967295,nop,wscale 5>
17:18:34.635899 IP conmale.56152 > hvaonline.http: R 4048229385:4048229385(0) win 0
17:18:34.732644 IP conmale.56156 > hvaonline.http: S 4048229388:4048229388(0) win 512 <mss 265,sackOK,timestamp 4294967295 0>
17:18:34.732754 IP hvaonline.http > conmale.56156: S 4206887745:4206887745(0) ack 4048229389 win 5608 <mss 1414,sackOK,timestamp 218940237 4294967295>
17:18:34.741664 IP conmale.56153 > hvaonline.http: R 4048229386:4048229386(0) win 0
17:18:34.842164 IP conmale.56154 > hvaonline.http: R 4048229387:4048229387(0) win 0
17:18:34.945893 IP conmale.56155 > hvaonline.http: R 4048229388:4048229388(0) win 0
17:18:35.049632 IP conmale.56156 > hvaonline.http: R 4048229389:4048229389(0) win 0
17:18:35.051602 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:35.072425 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:35.096856 IP conmale.55990 > hvaonline.40004: UDP, length 300
17:18:35.122062 IP conmale.56163 > hvaonline.http: SWE 4048229383:4048229383(0) win 3 <wscale 10,nop,mss 1460,sackOK,nop,nop>
17:18:35.122180 IP hvaonline.http > conmale.56163: S 4219383696:4219383696(0) ack 4048229384 win 5656 <mss 1414,nop,nop,sackOK,nop,wscale 5>
17:18:35.203878 IP conmale.56167 > hvaonline.http: . ack 1622947049 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:35.222129 IP conmale.56168 > hvaonline.pop3: S 4048229383:4048229383(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:35.222238 IP hvaonline.pop3 > conmale.56168: R 0:0(0) ack 4048229384 win 0
17:18:35.246299 IP conmale.56169 > hvaonline.pop3: . ack 1622947049 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:35.428569 IP conmale.56163 > hvaonline.http: R 4048229384:4048229384(0) win 0
17:18:35.447584 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:35.471085 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:35.496836 IP conmale.55990 > hvaonline.40004: UDP, length 300
17:18:35.588057 IP conmale.56167 > hvaonline.http: . ack 1 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:35.633781 IP conmale.56169 > hvaonline.pop3: . ack 1 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:35.832137 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:35.857895 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:35.884572 IP conmale.55990 > hvaonline.40004: UDP, length 300
17:18:35.974366 IP conmale.56167 > hvaonline.http: . ack 1 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:36.022369 IP conmale.56169 > hvaonline.pop3: . ack 1 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:36.220029 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:36.245526 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:36.278893 IP conmale.55990 > hvaonline.40004: UDP, length 300
17:18:36.362105 IP conmale.56167 > hvaonline.http: . ack 1 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:36.411579 IP conmale.56169 > hvaonline.pop3: . ack 1 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:38.037289 IP conmale.56151 > hvaonline.http: S 1946721848:1946721848(0) win 1 <wscale 10,nop,mss 1460,timestamp 4294967295 0,sackOK>
17:18:38.037425 IP hvaonline.http > conmale.56151: S 4261827055:4261827055(0) ack 1946721849 win 5608 <mss 1414,sackOK,timestamp 218941063 4294967295,nop,wscale 5>
17:18:38.137759 IP conmale.56152 > hvaonline.http: S 1946721849:1946721849(0) win 63 <mss 1400,wscale 0,sackOK,timestamp 4294967295 0,eol>
17:18:38.137887 IP hvaonline.http > conmale.56152: S 4258639847:4258639847(0) ack 1946721850 win 5608 <mss 1414,sackOK,timestamp 218941088 4294967295,nop,wscale 5>
17:18:38.241436 IP conmale.56153 > hvaonline.http: S 1946721850:1946721850(0) win 4 <timestamp 4294967295 0,nop,nop,wscale 5,nop,mss 640>
17:18:38.241547 IP hvaonline.http > conmale.56153: S 4266237142:4266237142(0) ack 1946721851 win 5608 <mss 1414,nop,nop,timestamp 218941114 4294967295,nop,wscale 5>
17:18:38.336744 IP conmale.56151 > hvaonline.http: R 1946721849:1946721849(0) win 0
17:18:38.339697 IP conmale.56154 > hvaonline.http: S 1946721851:1946721851(0) win 4 <sackOK,timestamp 4294967295 0,wscale 10,eol>
17:18:38.339820 IP hvaonline.http > conmale.56154: S 4269698677:4269698677(0) ack 1946721852 win 5608 <mss 1414,sackOK,timestamp 218941138 4294967295,nop,wscale 5>
17:18:38.444415 IP conmale.56155 > hvaonline.http: S 1946721852:1946721852(0) win 16 <mss 536,sackOK,timestamp 4294967295 0,wscale 10,eol>
17:18:38.444508 IP hvaonline.http > conmale.56155: S 4278374978:4278374978(0) ack 1946721853 win 5608 <mss 1414,sackOK,timestamp 218941164 4294967295,nop,wscale 5>
17:18:38.447512 IP conmale.56152 > hvaonline.http: R 1946721850:1946721850(0) win 0
17:18:38.539909 IP conmale.56156 > hvaonline.http: S 1946721853:1946721853(0) win 512 <mss 265,sackOK,timestamp 4294967295 0>
17:18:38.540002 IP hvaonline.http > conmale.56156: S 4266376069:4266376069(0) ack 1946721854 win 5608 <mss 1414,sackOK,timestamp 218941188 4294967295>
17:18:38.544238 IP conmale.56153 > hvaonline.http: R 1946721851:1946721851(0) win 0
17:18:38.642002 IP conmale.56154 > hvaonline.http: R 1946721852:1946721852(0) win 0
17:18:38.742399 IP conmale.56155 > hvaonline.http: R 1946721853:1946721853(0) win 0
17:18:38.839243 IP conmale.56156 > hvaonline.http: R 1946721854:1946721854(0) win 0
17:18:38.845173 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:38.862197 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:38.891269 IP conmale.55990 > hvaonline.35565: UDP, length 300
17:18:38.915918 IP conmale.56163 > hvaonline.http: SWE 1946721848:1946721848(0) win 3 <wscale 10,nop,mss 1460,sackOK,nop,nop>
17:18:38.916008 IP hvaonline.http > conmale.56163: S 4278662278:4278662278(0) ack 1946721849 win 5656 <mss 1414,nop,nop,sackOK,nop,wscale 5>
17:18:38.990986 IP conmale.56167 > hvaonline.http: . ack 4120722118 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.013647 IP conmale.56168 > hvaonline.pop3: S 1946721848:1946721848(0) win 31337 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.013758 IP hvaonline.pop3 > conmale.56168: R 0:0(0) ack 2193459762 win 0
17:18:39.037738 IP conmale.56169 > hvaonline.pop3: . ack 4120722118 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.171726 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:39.195934 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:39.215958 IP conmale.56163 > hvaonline.http: R 1946721849:1946721849(0) win 0
17:18:39.223190 IP conmale.55990 > hvaonline.35565: UDP, length 300
17:18:39.317487 IP conmale.56167 > hvaonline.http: . ack 4120722118 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.364136 IP conmale.56169 > hvaonline.pop3: . ack 4120722118 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.498141 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:39.524239 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:39.552992 IP conmale.55990 > hvaonline.35565: UDP, length 300
17:18:39.644466 IP conmale.56167 > hvaonline.http: . ack 4120722118 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.695863 IP conmale.56169 > hvaonline.pop3: . ack 4120722118 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:39.825078 IP conmale > hvaonline: icmp 128: echo request seq 295
17:18:39.858451 IP conmale > hvaonline: icmp 158: echo request seq 296
17:18:39.874980 IP conmale.55990 > hvaonline.35565: UDP, length 300
17:18:39.969355 IP conmale.56167 > hvaonline.http: . ack 4120722118 win 1024 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
17:18:40.019852 IP conmale.56169 > hvaonline.pop3: . ack 4120722118 win 32768 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
Trên máy của tôi, tôi thâu thập được kết quả:
Code:
Starting Nmap 5.00 ( http://nmap.org ) at 2009-08-25 18:15 EST
NSE: Loaded 0 scripts for scanning.
Initiating Parallel DNS resolution of 1 host. at 18:15
Completed Parallel DNS resolution of 1 host. at 18:15, 0.36s elapsed
Initiating SYN Stealth Scan at 18:15
Scanning hvaonline (hvaonline) [31 ports]
Discovered open port 80/tcp on hvaonline
Completed SYN Stealth Scan at 18:15, 5.49s elapsed (31 total ports)
Initiating OS detection (try #1) against hvaonline (hvaonline)
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56165 > hvaonline:80 ttl=38 id=34285 iplen=60 seq=4048229383 win=128 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56166 > hvaonline:80 SFPU ttl=58 id=61837 iplen=60 seq=4048229383 win=256 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56170 > hvaonline:110 FPU ttl=40 id=5707 iplen=60 seq=4048229383 win=65535 <wscale 15,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56165 > hvaonline:80 ttl=40 id=4115 iplen=60 seq=4048229383 win=128 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56166 > hvaonline:80 SFPU ttl=43 id=26609 iplen=60 seq=4048229383 win=256 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56170 > hvaonline:110 FPU ttl=55 id=52134 iplen=60 seq=4048229383 win=65535 <wscale 15,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56165 > hvaonline:80 ttl=42 id=46930 iplen=60 seq=4048229383 win=128 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56166 > hvaonline:80 SFPU ttl=49 id=29102 iplen=60 seq=4048229383 win=256 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56170 > hvaonline:110 FPU ttl=54 id=43061 iplen=60 seq=4048229383 win=65535 <wscale 15,nop,mss 265,timestamp 4294967295 0,sackOK>
sendto in send_ip_packet: sendto(5, packet, 60, 0, hvaonline, 16) => Operation not permitted
Offending packet: TCP conmale:56165 > hvaonline:80 ttl=47 id=31019 iplen=60 seq=4048229383 win=128 <wscale 10,nop,mss 265,timestamp 4294967295 0,sackOK>
Omitting future Sendto error messages now that 10 have been shown. Use -d2 if you really want to see them.
Retrying OS detection (try #2) against hvaonline (hvaonline)
Host hvaonline (hvaonline) is up (0.30s latency).
Interesting ports on hvaonline (hvaonline):
Not shown: 29 filtered ports
PORT STATE SERVICE
80/tcp open http
110/tcp closed pop3
Device type: general purpose
Running (JUST GUESSING) : Linux 2.6.X (86%)
Aggressive OS guesses: Linux 2.6.24 (Debian) (86%), Linux 2.6.15 - 2.6.26 (86%), Linux 2.6.15 (Ubuntu) (85%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (85%), Linux 2.6.27.21-grsec (85%), Linux 2.6.22 (Debian 4.0) (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 10.136 days (since Sat Aug 15 14:59:30 2009)
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Read data files from: /usr/local/share/nmap
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.13 seconds
Raw packets sent: 118 (9848B) | Rcvd: 72 (18.336KB)
Hãy thử phân tích đoạn packets được sniff xem nmap đã làm gì? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 16:42:49 (+0700) | #18 | 191086 |
|
Mr.Kas
Member
|
0 |
|
|
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
|
|
Obscurity ở mức độ làm chậm thời gian tìm tòi mục tiêu và đánh lạc hướng script kiddie đã xem là có hiệu quả rồi. Những cố gắng tạo obscurity đến mức thay đổi tcp/ip stack nhằm đánh lừa cả nmap (nhận diện Linux hoặc Windows) thành MacOS X thì quả là xtreme
Em nghĩ áp dụng một hình thức bảo mật nào đó không chỉ đơn giản là dùng nó, mà quan trọng là phải tùy thuộc vào trong môi trường áp dụng để có thể có những "cải biến" khác nhau nhằm phát huy tác dụng nhiều hơn, và cũng tùy môi trường mà các biện pháp này tỏ ra ưu nhược khác nhau.
Bảo mật thì dù là sever nào cũng được bảo mật, nhưng nếu là sever riêng do chính bản thân quản lí hoặc là sever mua và quản lí qua SSH thì phương pháo bảo mật obscurity có tác dụng nhiều hơn, còn nếu là sever thương mại và trên đó cho phép chạy nhiều forum diễn đàn thì việc áp dụng obsecurity chẳng có tác dụng gì cả. Vì thông tin sever không sớm thì muộn cũng bị tiết lộ, mà bị tiết lộ thì obscurity sẽ vô dụng. Một cách "anti obscurity" trên sever thương mại chính là Social Engineering. Cái này thì sever riêng cũng khó đỡ chứ đừng nói là sever thương mại.
HVA thì không nói làm gì rồi, vì HVA rất kiên cố, một phần của kiên cố là do sự care của các admin, một phần khác vì nó áp dụng obscurity rất tốt, dựa vào đó hạn chế rất nhiều những đợt tấn công dựa vào khai thác lỗi web sever.
Đối với config sever thì sever thương mại tớ hay dùng Windows hơn linux, lí do vì trên windows có nhiều dụng cụ giúp cho việc quản lí nhìn trong sáng hơn, dễ dàng sữ dụng hơn và cũng có nhiều anti shell và mấy cái tương tự để chống shell. Còn sever riêng và cho 1 site duy nhất thì tớ hay dùng linux, vì dùng obscurity trên linux dễ dàng hơn windows, ít cần sự hỗ trợ của soft có bản quyền, tiết kiệm chi phí. Và còn nhiều mặc ưu nhược khác nhau của hai cái nữa, mà phân tích ra cũng dài dòng nên thôi.
@ ham_chơi: Trường hợp shell trên sever rồi thì dù có làm thế nào cũng dễ bị nhận diện ra chân tướng à. Fake thông tin kiểu đó thì anti hacker lang thang thôi, chứ hacker nào ghét mình nó bỏ thêm tí thời gian ra thì không có tác dụng gì đâu.
@ changnhan: Tìm hiểu về SeverMask xem, nó là một phần mềm thương mại chạy trên windows có chức năng như bạn nói.
@ conmale: Anh dùng từ tiếng Việt hơi lạ, có nhiều từ anh viết sai quá, ví dụ "tạo sao" => "tại sao", "thâu thập" => "thu thập", ... |
|
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ... |
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 17:27:29 (+0700) | #19 | 191093 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Mr.Kas wrote:
...
@ conmale: Anh dùng từ tiếng Việt hơi lạ, có nhiều từ anh viết sai quá, ví dụ "tạo sao" => "tại sao", "thâu thập" => "thu thập", ...
Ùm... từ "tạo sao" thì do gõ nhanh quá nên mắc lỗi thật còn chữ "thâu thập" thì nó tương tương với "thu thập". "Thu" và "thâu" y như nhau. "Thâu thập" thì hơi... cổ hơn "thu thập". Chậc... tớ ở nước ngoài hai mươi mấy năm rồi mà. Cố gắng lắm mới giữ được tiếng Việt như vậy đó. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 19:51:11 (+0700) | #20 | 191101 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
Mr.Kas wrote:
...
@ conmale: Anh dùng từ tiếng Việt hơi lạ, có nhiều từ anh viết sai quá, ví dụ "tạo sao" => "tại sao", "thâu thập" => "thu thập", ...
Đừng bắt lỗi vội. Một từ là lỗi 'typo', còn từ kia 'có vẻ' là người trong Nam hay dùng hơn ngoài Bắc. Ví dụ trong Nam gọi là Ngô Thời Nhiệm còn ngoài Bắc là Ngô Thì Nhậm.
Mình tin rằng nhiều người sống ở trong nước mà dùng tiếng Việt chưa chắc đã chuẩn và trong sáng bằng anh conmale đâu. |
|
Let's build on a great foundation! |
|
|
|
[Question] Thảo luận: security through obscurity |
25/08/2009 20:55:58 (+0700) | #21 | 191105 |
|
changnhan
Member
|
0 |
|
|
Joined: 24/07/2009 20:03:41
Messages: 15
Offline
|
|
bằng cách nào chỉnh "đuôi" .php thành .abc vậy mấy huynh , sử dụng mod_rewrite không thấy hiệu quả . |
|
|
|
|
[Question] Thảo luận: security through obscurity |
28/08/2009 14:38:44 (+0700) | #22 | 191318 |
theory
Member
|
0 |
|
|
Joined: 11/02/2004 02:59:35
Messages: 17
Offline
|
|
conmale wrote:
Từ trước đến nay đã có rất nhiều thảo luận về vấn đề "bảo mật bằng cách che dấu" và đã có ít nhất hai trường phái (bênh / chống).
Trên bình diện web hosting, hãy thử bàn xem, "security through obscurity" có những điểm lợi nào? Ví dụ:
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Những việc trên có những điểm lợi gì? Nó có thật sự gia tăng bảo mật cho dịch vụ?
Mời anh chị em thảo luận.
Hì, hai câu hỏi này anh đã từng nêu ra trong loạt bài "Những cuộc trò chuyện với rookie" rồi. Theo em, nếu làm những việc làm đó đúng hoàn cảnh thì có lợi, cụ thể là đánh lạc hướng những ai dùng passive foot print. Nhưng nó lại không thật sự gia tăng độ bảo mật cho dịch vụ |
|
|
|
|
[Discussion] Thảo luận: security through obscurity |
28/08/2009 23:30:11 (+0700) | #23 | 191407 |
Nowhereman
Elite Member
|
0 |
|
|
Joined: 19/11/2003 06:25:42
Messages: 108
Offline
|
|
conmale wrote:
Từ trước đến nay đã có rất nhiều thảo luận về vấn đề "bảo mật bằng cách che dấu" và đã có ít nhất hai trường phái (bênh / chống).
Trên bình diện web hosting, hãy thử bàn xem, "security through obscurity" có những điểm lợi nào? Ví dụ:
- bằng cách nào đó chỉnh server để nmap (hoặc một tool tương tự) nhận ra nó là Windows thay vì Linux.
- bằng cách nào đó chỉnh Web service từ Apache thành IIS 5.
- bằng cách nào đó, chỉnh "đuôi" .php thành .abc
Những việc trên có những điểm lợi gì? Nó có thật sự gia tăng bảo mật cho dịch vụ?
Mời anh chị em thảo luận.
lâu rùi mới thấy anh conmale "hở" ra cái mà anh đã làm bấy lâu nay nha hì hì. kiểu này là kiểu " lạy ông tôi ở bụi này " ( nhưng thực ra tôi đang ở bụi khác , em tự gọi dí dủm như vậy he he ) . em cũng đã từng nghĩ thôi ( chỉ dám mơ màng thôi nhé ) về cái vụ " show đầu dê, có thịt ếch này " . như cái vụ Netframework poisioning viết một dòng Console.Writeln ( " The End " ) thay vào 1 dòng được print out đó khi thực hiện nó sẽ chạy ra vài dòng chẳng hạn , vì nó hơi sâu xa nên em chưa hỉu được. chỉ dám mơ mộng tìm và cố giả vờ hiểu mà vẫn chưa hiểu anh ạ .
hoặc add : A record là DNS của 72.ab.cc.c.. nhưng MX và NS lại là của JP chẳng hạn (cái reserve DNS server ) . << em rất mong được bác chỉ cho các cách này .
em thấy ý tưởng này rất hay . nó có hơi hao hao giống Honey pot không nhỉ, ô chắc là không rồi vì .... em đau mắt rồi em xin lỗi mọi người .
|
|
lang thang vẫn mãi không nhà
đôi chân lê bước thê lương tháng ngày
càng đi càng thấy đắm say
tình thương con Chúa lòng này chẳng phai
thời gian cứ mãi miệt mài
lang thang đi tiếp ....rồi bay lên z ời
cúi đầu con lạy Ông Trời
xin thươn |
|
|
|
[Discussion] Thảo luận: security through obscurity |
29/08/2009 00:05:29 (+0700) | #24 | 191409 |
|
MrMe
Elite Member
|
0 |
|
|
Joined: 08/07/2006 13:01:01
Messages: 150
Offline
|
|
|
|
[Question] Thảo luận: security through obscurity |
29/08/2009 09:15:22 (+0700) | #25 | 191424 |
|
F10
Member
|
0 |
|
|
Joined: 01/12/2008 23:38:12
Messages: 89
Offline
|
|
Nhìn vào đoạn sniff của anh conmale chụp thì \theo_em có vẻ như nmap lần lượt gửi các gói tin tới các ports service . Để đoán xem service nào đang được open. Nhưng còn dòng này Aggressive OS guesses: Linux 2.6.24 (Debian) (86%), Linux 2.6.15 - 2.6.26 (86%), Linux 2.6.15 (Ubuntu) (85%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (85%), Linux 2.6.27.21-grsec (85%), Linux 2.6.22 (Debian 4.0) (85%)
thì em không biết làm sao nmap lại xác định được kernel của OS hơn nữa còn xác định được đó là debian OR Ubuntu. ANh gợi ý thêm đi nhé .!... |
|
|
|
|
[Question] Thảo luận: security through obscurity |
29/08/2009 10:31:24 (+0700) | #26 | 191427 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
F10 wrote:
Nhìn vào đoạn sniff của anh conmale chụp thì \theo_em có vẻ như nmap lần lượt gửi các gói tin tới các ports service . Để đoán xem service nào đang được open.
Bởi vì lệnh nmap được dùng ở trên có option -O cho nên ngoài việc nó gởi các gói tin tới các ports, nó còn phải phân tích xem mục tiêu kia phản ứng thế nào, trả lời những gì.... và từ đó:
F10 wrote:
Nhưng còn dòng này Aggressive OS guesses: Linux 2.6.24 (Debian) (86%), Linux 2.6.15 - 2.6.26 (86%), Linux 2.6.15 (Ubuntu) (85%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (85%), Linux 2.6.27.21-grsec (85%), Linux 2.6.22 (Debian 4.0) (85%)
thì em không biết làm sao nmap lại xác định được kernel của OS hơn nữa còn xác định được đó là debian OR Ubuntu. ANh gợi ý thêm đi nhé .!...
..... mới đi đến chỗ này.
Sở dĩ nó đoán được như trên (mặc dù chưa chính xác) là vì những thông tin nó thu thập được có các đặc điểm đặc thù mà Linux (Debian, Ubuntu....) có. Chi tiết thế nào thì có thể viết thành một quyển sách . Tuy nhiên, điểm đáng bàn là cụ thể nmap đã làm những gì (mà đoạn sniff ở trên ghi nhận được).
Giả sử web service của HVA ở cổng 80 và nó được một firewall NAT vào một server khác chạy trên Linux. Đồng thời cổng 25 là cổng smtp được firewall NAT vào một server chạy trên bsd. Hơn nữa, có một số cổng "giả" mở ra nhưng các gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null) mà không hề trả lời nmap thì liệu nmap có "đoán" đúng OS footprint hay không? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Thảo luận: security through obscurity |
29/08/2009 12:27:45 (+0700) | #27 | 191432 |
|
Mr.Kas
Member
|
0 |
|
|
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
|
|
Có một quyển sách về nmap mà tớ post cách đây không lâu trong box tài liệu, nếu bạn F10 muốn xem thì qua đó download. Hoặc là lên trang chủ của nó xem thử có thêm thông tin cần thiết gì cho bạn không. |
|
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ... |
|
|
|
[Question] Thảo luận: security through obscurity |
29/08/2009 16:16:09 (+0700) | #28 | 191452 |
|
F10
Member
|
0 |
|
|
Joined: 01/12/2008 23:38:12
Messages: 89
Offline
|
|
Giả sử web service của HVA ở cổng 80 và nó được một firewall NAT vào một server khác chạy trên Linux. Đồng thời cổng 25 là cổng smtp được firewall NAT vào một server chạy trên bsd. Hơn nữa, có một số cổng "giả" mở ra nhưng các gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null) mà không hề trả lời nmap thì liệu nmap có "đoán" đúng OS footprint hay không?
Điều giả sử này rất hay ! Cảm ơn anh conmale rất nhiều về thông tin này. Từ trước tới giờ em chưa nghĩ được đến mức này. hi
Giả sử web service của HVA ở cổng 80 và nó được một firewall NAT vào một server khác chạy trên Linux. Đồng thời cổng 25 là cổng smtp được firewall NAT vào một server chạy trên bsd.
Trường hợp này chắc là thằng nmap nhầm con web server của HVA là linux rồi (chẳng lẽ web server của HVA dùng đồ của lão Bin thật ).
Hơn nữa, có một số cổng "giả" mở ra nhưng các gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null) mà không hề trả lời nmap thì liệu nmap có "đoán" đúng OS footprint hay không?
trường hợp này em nghĩ nmap sẽ không thể đoán được OSfootprint . vì đơn giản khi nmap nhận được các gói tin phản hồi thì nmap sẽ so sánh nó với một cơ sở dữ liệu được lưu chữ của riêng nó (hình như là nmap-os-db gì gì đó trong trường hợp này) nếu phù hợp với OS nào thì nó chỉ việc output ra thui. Trường hợp các gói tin đi vào mà không có trả lại cho nmap thì coi như http://nmap.org/book/nmap-os-db.html thông tin rùi.
...... gói tin đi vào những cổng này hoàn toàn biến mất (vào /dev/null)....
&& ...chỉnh Web service từ Apache thành IIS 5...
Anh già khó tính có thể dạy cho em . À bọn đàn em cái trò này được không ạ . Hay thật mất hút như tên của nó vậy null . |
|
|
|
|
|