banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất?  XML
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 12/09/2009 21:22:12 (+0700) | #1 | 192550
jforum3000
Member

[Minus]    0    [Plus]
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
[Profile] [PM]
Hiện nay để liên lạc giữa 2 nơi ở xa nhau, chúng ta có một số phương tiện kỹ thuật để liên lạc qua mạng internet và mạng viễn thông như sau

- Email
- Chat
- Điện thoại bàn
- Điện thoại VOIP
- Điện thoại di động, SMS, MMS
- Tin nhắn cá nhân trên các ứng dụng web (tự lập hoặc có sẵn): forum, blog, ...
...

Xin hỏi phương thức liên lạc nào là an toàn nhất, thông tin trên đường truyền bảo đảm được mã hóa, và khó bị theo dõi nhất, kể cả các cơ quan an ninh, ISP, hacker, ...

Có phải giải pháp mã hóa và đính kèm đoạn text vào những tập tin thông thường khi truyền tải qua mạng là an toàn nhất không?
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 00:06:20 (+0700) | #2 | 192567
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Bạn tham khảo cái http://vnhacker.blogspot.com/2006/11/nu-ti-l-huyremy.html xem, sẽ trả lời được các câu hỏi của bạn đặt ra. smilie

Good luck
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 00:35:13 (+0700) | #3 | 192574
jforum3000
Member

[Minus]    0    [Plus]
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
[Profile] [PM]
Oh, bài viết rất thú vị, phần mềm Tor đơn giản mà hiệu quả nhỉ, còn cách mã hóa dữ liệu trên ổ cứng cục bộ có vẻ hơi rắc rối, qua khá nhiều bước, mình sẽ tìm hiểu sau. Cám ơn Kas, bạn còn trẻ mà hiểu biết nhiều thật.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 02:19:10 (+0700) | #4 | 192581
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Ý bạn là an toàn về những thông tin bạn gởi hay thông tin cá nhân.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 02:35:15 (+0700) | #5 | 192586
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
hihi đọc qua thì có nhưng ...hiểu biết thì chưa chắc . Hi đường nội bộ của các nguyên thủ quốc gia còn bị nghe lén thì cái gì là không thể đươc chứ. Đọc truyện "pháo đài số" hay lắm đó
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 02:57:31 (+0700) | #6 | 192587
jforum3000
Member

[Minus]    0    [Plus]
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
[Profile] [PM]

Jino_Hoang wrote:
Ý bạn là an toàn về những thông tin bạn gởi hay thông tin cá nhân. 

À, là nội dung thông điệp mà mình muốn gửi đi, cốt làm sao để đến được đúng nơi, đúng người, không bị nghe lén, xem trộm, ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 07:30:29 (+0700) | #7 | 192604
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]

Mr.Kas wrote:
Bạn tham khảo cái http://vnhacker.blogspot.com/2006/11/nu-ti-l-huyremy.html xem, sẽ trả lời được các câu hỏi của bạn đặt ra. smilie

Good luck 


@Mr.kas: tor thì hay thật nhưng nó cũng sẽ kéo đường truyền internet xuống rất chậm
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 13/09/2009 09:07:03 (+0700) | #8 | 192609
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
@ jforum3000 : Bạn nên tìm hiểu thêm về vài cái công cụ mã hóa dữ liệu khác, một vài công cụ mà chúng ta có thể nói đến ở đây là VZip, trên Linux thì tớ hay dùng eCryptsf, eCryptfs là một công cụ mã hóa tập tin được thiết kế riêng và nhúng trong nhân Linux (từ phiên bản 2.6.19).

@ vikjava: Nghe lén thì hoàn toàn có thể, chúng ta có thể sniff bất kì thông điệp nào trên mạng, và càng dễ dàng hơn với các tổ chức hay công ty có quy mô lớn (như C15 chẳng hạn). Nhưng câu hỏi được đặt ra ở đây là : Bạn làm gì mới mớ dữ liệu thu được đó khi mà tất chúng đã được mã hóa ? Giải mã ư, tất nhiên, nhưng không phải dễ dàng. Mấu chốt vấn đề là đây. Việc này giống như bạn tìm cách nào đó có được pass admin, nhưng pass đó được mã hóa bằng MD5, bạn sẽ làm gì tiếp theo smilie

@ holiganvn: Đường truyền không là vấn đề khi mục đích cuối cùng của chúng ta là "bảo mật".
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 14/09/2009 06:36:24 (+0700) | #9 | 192691
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Tạo những đường ống mã hóa (encrypted tunnels) để đẩy thông tin đi từ điểm này sang điểm khác mà không bị sniff.

Từ một máy A (trong LAN) đi xuyên qua một proxy X đến một server B được thiết lập một "đường ống" để thông tin sẽ đi đến server C:

---------------------------------------------------------------
A =======> proxy =======> B ========= C
---------------------------------------------------------------

proxy chỉ có thể biết được A connect với B mà không thể biết A gởi B cái gì, càng không biết rằng A dùng B để đến C.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 03:08:44 (+0700) | #10 | 192869
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:
Tạo những đường ống mã hóa (encrypted tunnels) để đẩy thông tin đi từ điểm này sang điểm khác mà không bị sniff.

Từ một máy A (trong LAN) đi xuyên qua một proxy X đến một server B được thiết lập một "đường ống" để thông tin sẽ đi đến server C:

---------------------------------------------------------------
A =======> proxy =======> B ========= C
---------------------------------------------------------------

proxy chỉ có thể biết được A connect với B mà không thể biết A gởi B cái gì, càng không biết rằng A dùng B để đến C. 

Chú nói vậy cháu cũng có phần hiểu nhưng nếu một máy P nào đó trong LAN sniff máy A trước khi nó gởi qua Proxy thì làm thế nào và có cách nào ngăn được máy P không.
Cháu có sử dụng phần mềm Sniff Yahoo trong mạng LAN và không một máy nào biết cả. Kết quả là xem được hết nội dung chat.
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 05:29:11 (+0700) | #11 | 192903
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Để chống nó thì cũng không có gì khó khăn, nhưng phải hiểu bản chất của nó. Những chương trình thuộc dạng này đều tiên thường phải quét các địa chỉ IP trong mạng, khi đã có IP rồi thì mới tiến hành sniffer. Do đó cách đầu tiên là vô hiệu hóa Netbios name nhằm ngăn cản sự dò tìm IP. Về mặt bản chất thì tools này làm việc dựa trên phương thức thay đổi bảng ARP và tấn công theo kiểu "Man in the midle". Cách khắc phục thứ hai là khóa cứng bảng ARP và chọn dạng ARP startic.
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 05:44:11 (+0700) | #12 | 192907
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

Mr.Kas wrote:
Để chống nó thì cũng không có gì khó khăn, nhưng phải hiểu bản chất của nó. Những chương trình thuộc dạng này đều tiên thường phải quét các địa chỉ IP trong mạng, khi đã có IP rồi thì mới tiến hành sniffer. Do đó cách đầu tiên là vô hiệu hóa Netbios name nhằm ngăn cản sự dò tìm IP. Về mặt bản chất thì tools này làm việc dựa trên phương thức thay đổi bảng ARP và tấn công theo kiểu "Man in the midle". Cách khắc phục thứ hai là khóa cứng bảng ARP và chọn dạng ARP startic

Việc quét các địa chỉ IP thì liên quan như thế nào đến tấn công thay đổi bảng ARP nhỉ?
Tại sao vô hiệu hóa Netbios name mà ngăn chặn được dò tìm IP nhỉ?
Việc khóa cứng bảng ARP và dùng ARP static liệu thật sự có thể chống được "Man in the middle" không... nhỉ?
Bạn Mr.Kas có thể giải thích cho mình rõ được không?

Mind your thought.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 06:36:56 (+0700) | #13 | 192924
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Hi StarGhost,

Tớ nghĩ cậu đang hỏi khó tớ smilie Tớ xin phép được trả lời cậu trong pham vi hiểu biết của tớ, nếu có gì sai sót mong cậu bỏ qua và chỉnh sửa giúp smilie
Việc khóa cứng bảng ARP và dùng ARP static liệu thật sự có thể chống được "Man in the middle" không... nhỉ?  

Việc này không ngăn chặn được, nhưng hạn chế được một phần Man in the middle, cách khóa cứng bảng ARP chỉ ngăn cản hình thức Spoofing ARP. Muốn hạn chế Man in the middle thì ưu tiên hơn hết là không nên tiến hành các hình thức chứng thực username và password dưới dạng văn bản không mã hóa mà nên mã hóa chúng bằng IPSec hay SSL. Nhưng không phải lúc nào chúng ta cũng có thể thực hiện được các giải pháp này và cũng không phải lúc nào các giải pháp đó cũng mang lại hiệu quả vì vẫn có thể bị các chương trình như dsniff hay ettercap bẻ khoá. Do đó trong vai trò quản trị mạng, cách tốt nhất là thường xuyên giám sát các hành động bất thường trong hệ thống của mình để đưa ra hành động thích hợp.

Việc quét các địa chỉ IP thì liên quan như thế nào đến tấn công thay đổi bảng ARP nhỉ?  

Việc quét này không liên quan đến thay đổi ARP, nhưng thông qua việc quét này hacker có thể xác định đúng mục tiêu trong LAN của mình để tấn công (dùng Spoofing ARP).

Tại sao vô hiệu hóa Netbios name mà ngăn chặn được dò tìm IP nhỉ?  

Các Computer trong LAN sẽ được cấu hình với vai trò WINS client, sẽ đăng kí tên của mình (NetBIOS/Computer name) với WINS server. WINS client có thể gửi các yêu cầu truy vấn tên đến WINS server để phân giải Name thành IP address. Dựa vào tính chất đó của WINS Sever chúng ta có thể dựa vào WINS server để phân giải NetBIOS name và sử dụng các thông tin này để tìm kiếm các Computer trong LAN. smilie
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 08:10:39 (+0700) | #14 | 192938
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

Mr.Kas wrote:

Việc khóa cứng bảng ARP và dùng ARP static liệu thật sự có thể chống được "Man in the middle" không... nhỉ?  

Việc này không ngăn chặn được, nhưng hạn chế được một phần Man in the middle, cách khóa cứng bảng ARP chỉ ngăn cản hình thức Spoofing ARP. 

Vậy chứ việc khóa cứng ARP và dùng ARP static thì hạn chế MitM attacks ra sao?

Mr.Kas wrote:

Việc quét các địa chỉ IP thì liên quan như thế nào đến tấn công thay đổi bảng ARP nhỉ?  

Việc quét này không liên quan đến thay đổi ARP, nhưng thông qua việc quét này hacker có thể xác định đúng mục tiêu trong LAN của mình để tấn công (dùng Spoofing ARP). 

Thế nào là xác định đúng mục tiêu, địa chỉ IP nó có cái gì mà giúp xác định đúng mục tiêu vậy? Vậy nếu mình cứ muốn tấn công bất kì môt ai đó thì sao?

Mr.Kas wrote:

Tại sao vô hiệu hóa Netbios name mà ngăn chặn được dò tìm IP nhỉ?  

Các Computer trong LAN sẽ được cấu hình với vai trò WINS client, sẽ đăng kí tên của mình (NetBIOS/Computer name) với WINS server. WINS client có thể gửi các yêu cầu truy vấn tên đến WINS server để phân giải Name thành IP address. Dựa vào tính chất đó của WINS Sever chúng ta có thể dựa vào WINS server để phân giải NetBIOS name và sử dụng các thông tin này để tìm kiếm các Computer trong LAN. smilie 

Từ hồi mình biết dùng Internet đến nay, chưa có hệ thống mạng nào mình sử dụng mà có cái gì gọi là WINS server cả, vậy phải chăng các hệ thống mạng đó đã ngăn chặn việc dò tìm địa chỉ IP?
Mind your thought.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 10:21:41 (+0700) | #15 | 192952
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
hi StarGhost,

Từ hồi mình biết dùng Internet đến nay, chưa có hệ thống mạng nào mình sử dụng mà có cái gì gọi là WINS server cả, vậy phải chăng các hệ thống mạng đó đã ngăn chặn việc dò tìm địa chỉ IP? 

Xin trả lời bạn vài điểm như sau, WINS chính là Windows Internet Name Service, được triển khai trong LAN để phục vụ các máy tính trong mạng phân giải NetBIOS name (Computer name) lẫn nhau. Trong các mô hình Network. Hiện nay (ví dụ Network Microsoft Windows 2000/2003) sử dụng giải pháp tìm tên là DNS service, WINS service triển khai thêm là một sự lựa chọn mở rộng và hoàn toàn không bắt buộc gì cả. Tuy nhiên nhiều Tổ chức muốn dùng My Network Places để có thể xác định các Server trên Network. My Network Places hoạt động tìm kiếm các Network Computer dựa trên Windows Browser service. Và Windows Browser service giải quyết tên dựa trên nền tảng broadcast (broadcast-based service), nếu Network triển khai WINS server thì Windows Browser service trên các Computer sẽ phụ thuộc vào WINS server để thu thập thông tin về các Computer phân tán khắp các Segment của Network.

Vậy chứ việc khóa cứng ARP và dùng ARP static thì hạn chế MitM attacks ra sao? 

Khóa cứng bảng ARP và chọn dạng ARP startic sẽ giúp máy chúng ta hạn chế được hình thức tấn công thay đổi bảng ARP (còn gọi là Spoofing ARP). Và sẽ tránh được sniff.

Thế nào là xác định đúng mục tiêu, địa chỉ IP nó có cái gì mà giúp xác định đúng mục tiêu vậy? Vậy nếu mình cứ muốn tấn công bất kì môt ai đó thì sao?  

Mình nghĩ khi attack thì hacker sẽ nhắm vào một hay một vài mục tiêu nào đó được xác định rõ ràng. Không tấn công tràng lang được. Ví dụ trong một LAN có 100 máy, hacker muốn sniff thông tin từ một ai đó quan trọng thì không thể sniff tất cả và phân tích, mà phải tìm chính xác máy mà mình muốn tấn công. Còn tấn công kiểu "hên xui" thì mình không nói smilie

Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 10:32:18 (+0700) | #16 | 192955
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]

Mr.Kas wrote:
@ holiganvn: Đường truyền không là vấn đề khi mục đích cuối cùng của chúng ta là "bảo mật". 


@Mr.kas:phần mềm tor đơn thuần chỉ là phần mềm ẩn danh trên mạng thôi,thời đại bây giời chẳng có "Phương thức liên lạc qua mạng nào an toàn" tuyệt đối cả,chỉ là tương đối thôi smilie ,ví dụ:

/hvaonline/posts/list/31037.html

theo mình nghĩ "Phương thức liên lạc qua mạng nào an toàn" nhất chính là "ý thức" và "trình độ" của mỗi người smilie
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 11:18:22 (+0700) | #17 | 192969
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

Mr.Kas wrote:
Từ hồi mình biết dùng Internet đến nay, chưa có hệ thống mạng nào mình sử dụng mà có cái gì gọi là WINS server cả, vậy phải chăng các hệ thống mạng đó đã ngăn chặn việc dò tìm địa chỉ IP? 

Xin trả lời bạn vài điểm như sau, WINS chính là Windows Internet Name Service, được triển khai trong LAN để phục vụ các máy tính trong mạng phân giải NetBIOS name (Computer name) lẫn nhau. Trong các mô hình Network. Hiện nay (ví dụ Network Microsoft Windows 2000/2003) sử dụng giải pháp tìm tên là DNS service, WINS service triển khai thêm là một sự lựa chọn mở rộng và hoàn toàn không bắt buộc gì cả. Tuy nhiên nhiều Tổ chức muốn dùng My Network Places để có thể xác định các Server trên Network. My Network Places hoạt động tìm kiếm các Network Computer dựa trên Windows Browser service. Và Windows Browser service giải quyết tên dựa trên nền tảng broadcast (broadcast-based service), nếu Network triển khai WINS server thì Windows Browser service trên các Computer sẽ phụ thuộc vào WINS server để thu thập thông tin về các Computer phân tán khắp các Segment của Network. 

Bạn còn chưa trả lời câu hỏi của mình. Mình đâu có hỏi bạn WINS là gì và hoạt động ra sao, mình chỉ hỏi là nếu một network không có WINS, vậy phải chăng network đó đã ngăn chặn attacker tìm ra địa chỉ IP của các máy?

Mr.Kas wrote:

Vậy chứ việc khóa cứng ARP và dùng ARP static thì hạn chế MitM attacks ra sao? 

Khóa cứng bảng ARP và chọn dạng ARP startic sẽ giúp máy chúng ta hạn chế được hình thức tấn công thay đổi bảng ARP (còn gọi là Spoofing ARP). Và sẽ tránh được sniff

A, cái này do bạn đọc được ở đâu hay suy luận ra vậy? Bạn có chắc không vậy?

Mr.Kas wrote:

Thế nào là xác định đúng mục tiêu, địa chỉ IP nó có cái gì mà giúp xác định đúng mục tiêu vậy? Vậy nếu mình cứ muốn tấn công bất kì môt ai đó thì sao?  

Mình nghĩ khi attack thì hacker sẽ nhắm vào một hay một vài mục tiêu nào đó được xác định rõ ràng. Không tấn công tràng lang được. Ví dụ trong một LAN có 100 máy, hacker muốn sniff thông tin từ một ai đó quan trọng thì không thể sniff tất cả và phân tích, mà phải tìm chính xác máy mà mình muốn tấn công. Còn tấn công kiểu "hên xui" thì mình không nói smilie 

Mình thấy bạn hơi "ngây thơ" khi nghĩ attacker sẽ phải lựa chọn một mục tiêu nào đó để tấn công. Mình cũng chắc là bạn chưa bao giờ thử sniff và phân tích traffic từ một network với nhiều máy. Mình nói thật với bạn là monitor traffic của 100 máy chả ăn nhằm gì cả, và minh trước đây cũng đã từng làm rồi. Hơn nữa, không một kẻ tấn công nào lại ngồi mò mẫm một cách thủ công mớ traffic được dumped từ tcpdump hoặc wireshark cả. Một nguyên tắc trong security là không bao giờ được phép có những giả định bất lợi cho attacker.
Mind your thought.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 19:37:24 (+0700) | #18 | 192985
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Bạn còn chưa trả lời câu hỏi của mình. Mình đâu có hỏi bạn WINS là gì và hoạt động ra sao, mình chỉ hỏi là nếu một network không có WINS, vậy phải chăng network đó đã ngăn chặn attacker tìm ra địa chỉ IP của các máy?  

Mình nghĩ là không ngăn chặn được, vì NetBIOS name có 3 cơ chế phân giải tên là Phân giải bằng broadcast hoặc Phân giải qua 1 Name Server hoặc lmhost lookup. Nếu thiếu đi một thì vẫn còn cách phân giản bằng boardcast.
A, cái này do bạn đọc được ở đâu hay suy luận ra vậy? Bạn có chắc không vậy? 

Cái này là do mình đọc và suy luận thôi, có gì sai mong StarGhost bổ sung thêm smilie Từ "tránh" ở đây nghĩa là "hạn chế" một phần hay là một dạng tấn công thôi. Mình nghĩ sniff có rất nhiều dạng như Living Promiscuously, nghe trong mạng có Hub hay Switched, Port Mirroring, Hubbing Out, ARP Cache Poisoning, Nghe trong mạng sử dụng Router, và tất nhiên cách khóa ARP không giải quyết hết được những hình thức nghe này, nhưng hạn chế được một cũng là tốt rồi smilie
Một nguyên tắc trong security là không bao giờ được phép có những giả định bất lợi cho attacker. 

Cám ơn cậu, tớ vừa được học thêm một quy tắc quý báu trong Security. smilie

holiganvn wrote:

@Mr.kas:phần mềm tor đơn thuần chỉ là phần mềm ẩn danh trên mạng thôi,thời đại bây giời chẳng có "Phương thức liên lạc qua mạng nào an toàn" tuyệt đối cả,chỉ là tương đối thôi smilie ,ví dụ:
/hvaonline/posts/list/31037.html
theo mình nghĩ "Phương thức liên lạc qua mạng nào an toàn" nhất chính là "ý thức" và "trình độ" của mỗi người smilie
 

Thực ra là vẫn có nhưng bạn chưa biết cách áp dụng. Như tớ thì thường hay dùng Linux là chỉnh nên những con Trojan này chẳng làm gì được tớ cả smilie
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 19:55:27 (+0700) | #19 | 192988
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Jino_Hoang wrote:

conmale wrote:
Tạo những đường ống mã hóa (encrypted tunnels) để đẩy thông tin đi từ điểm này sang điểm khác mà không bị sniff.

Từ một máy A (trong LAN) đi xuyên qua một proxy X đến một server B được thiết lập một "đường ống" để thông tin sẽ đi đến server C:

---------------------------------------------------------------
A =======> proxy =======> B ========= C
---------------------------------------------------------------

proxy chỉ có thể biết được A connect với B mà không thể biết A gởi B cái gì, càng không biết rằng A dùng B để đến C. 

Chú nói vậy cháu cũng có phần hiểu nhưng nếu một máy P nào đó trong LAN sniff máy A trước khi nó gởi qua Proxy thì làm thế nào và có cách nào ngăn được máy P không.
Cháu có sử dụng phần mềm Sniff Yahoo trong mạng LAN và không một máy nào biết cả. Kết quả là xem được hết nội dung chat. 


P chỉ có thể sniff packets đi từ A (chớ không phải sniff A) nếu như P và A cũng trong một mạng kết nối qua hub. Ngay cả như thế, việc thiết lập một tunnel giữa A và proxy có sniff được cũng không thể xác định được A đi đến B hoặc C hoặc D.... nếu như thông tin từ A đến B (xuyên qua proxy) được encrypted hoàn toàn.

Ví dụ, đây là một đoạn khởi đầu khi tôi dùng putty để connect đến SSH server riêng của tôi (nó là B trong trường hợp này) xuyên qua proxy dùng CONNECT method:
Code:
CONNECT my.own.server:443 HTTP/1.1

Host: my.own.server:443

Proxy-Authorization: Basic dTMxOTIyNTpkaWV1czNwMm9vOQ==




HTTP/1.1 200 Connection established




SSH-2.0-OpenSSH_5.1


SSH-2.0-PuTTY_Release_0.58


....
..%..n.,.gOm..v.X...~diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1....ssh-rsa,ssh-dss....aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr....aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr...ihmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96...ihmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96....none,zlib@openssh.com....none,zlib@openssh.com.......................
......I...h..q0..=.......Ydiffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1....ssh-rsa,ssh-dss....aes256-cbc,rijndael256-cbc,rijndael-cbc@lysator.liu.se,aes192-cbc,rijndael192-cbc,aes128-cbc,rijndael128-cbc,blowfish-cbc,3des-cbc....aes256-cbc,rijndael256-cbc,rijndael-cbc@lysator.liu.se,aes192-cbc,rijndael192-cbc,aes128-cbc,rijndael128-cbc,blowfish-cbc,3des-cbc....hmac-sha1,hmac-md5,none....hmac-sha1,hmac-md5,none....none,zlib....none,zlib..............._Y....-
...........%=U..
............8(-.a...O12^.... ..'l.a.:,....;..u. ..S.....$q.)Hb.........a.'.......T...U.*.Q(!.G....{S..KH...............u._..7.cP.K'..g.`38.....o....T=._...........2.QE...C.......Z..q...~...........h.
.p.4."H....'...cQ....^V;..-......A.....-...,..n......*jn.!.52.&...............
..... ....Sn<..>.gB........k....,-.}..N..R.v..$Y(..p.o.e.1..e..9.cV.. 9...5.........#f.<...>...M....UbC..2w........Pb1?..}.d6*....3....C.._.1c<........
.........(9.bBYC.{.D.B.
4.K.A.iP.S.a.........1.........3..uN..C......Enj..8.SK._.1..fz..<o....6...9..|...2f......~Q..
...><.!........ssh-rsa....#............~...d....CH..x.....o..?ee..Fn.9................g..+.y@.C6.....V.|\rbC:.Q..a}.. m.u...#.#...:y.."....k..1-........M.;..$..D..................X...U..n..H.0
2t.....}4....1.Z........b...T-.5..c...l.....S....V.}........Lo.E...p....a.7_..;.1...Y..B.SF,Y..........J3.v.'.`
5.-*R..q9.-.{. ....Sb1..)...h..K.....C.btR..s.G.H....`;ON...P...*...3u.^.4....../..4..yS..e.Ki..,. ...e..6...9yY`..Vj....s....u..dI.E.....3...%hZ.Nf......&.{.qy*<..3........... .cD..U.q.......v....v.r........I...*..e.g.k.%...(b3..T.N..'..........ssh-rsa....k..>...I....'.<.)G.bk..../9`.....:.#..^c..}.,.......Bl...,...{...$.......%T....?E..G..hS$E..y)....H....(.w(. l.....G3B.j.Z..A..........i.&....t..k>.....X.T...IZ/0..`..q...1iz(....raS..`E`.3d#....U..0.AE.Y.b.n9...z..n..t...Hj..(s^)E`.....RC..o..N.^..I.1.s...............
...........
....
....Z...7."
..B...Tw.vM)........)..QP.....uj...N..T.Gb...U......
J9..u#..w
(...Fr..Zz..T......`.qV.1..;.h.h..|.E.M..
...
....}.K.........#...c...R...U....._0?l.....3iz..G.:......h.....
..w... .r\9....
({z,......j"....X.o..&.(_...(v... '.%w.G....D.k;z....&9.../'...Z....
..Y.{.'&.Uv.`.w...d....x......>......8=..........p.N.i...vs..:...3..
$..~f!........T...k#.n(..:9..C.v".Z.3.SU.._#.~.4........m ..HQv.q.Eq........5^.c....;.........8s."..i....E..+2...6.c...l..0y...vm..ph6...8.....q..$-.!e"so.j/.r2.r......VLX...2.j....A.d.....!O.9........
s.H...U...*.p.B}..v.8x...WiI......G
..F.K.r..-....53...|.>.1...t.p6
...@..vR..y..Z*....,..#..}..xmi~.0$.
.0|u..z...~KKk...n.E...\X.E......e.u.......n?.3.....
.jP..4-.A.s.......us./.^=....(........ZjS....tR.......~.;......N.......X..Tu..x...i...m2.bk...l.UC.
...u......F..1..
...Z.}...X.N...K.~.
.......u.....$.F..e..P..2x6....
..nx...G...$....~.~
.=.Lh....h.)p....+L....}........7....V...e'..mX..y3r...A...@%...h.gv#,un..o\!.#
d..0.o..
l.&..Jw.3..1...X%'.(.s.Tr....................K....*.("....\./..#.....m>.x..#..r...m...V..,..U....
id.~....L6..9.....W.'.8v....=.q.46 .BT..b..%..^".......?5.9hyS...\m.
....K. .......|.e......_..k.._g....;.dz.e...E6.=g.Vv...M..;D..t..@....+v.o..jaA.J...\f...L|.e..H'..5.........k...h.$Y..AC.mr.%.d...........S.g.....F....b....k..U.um.4.!...
.{...`.....$.CY..+..y&..^c;).h.|x@.k


Thông tin ở trên hoàn toàn vô nghĩa nếu như bồ không có key để giải mã.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 20:56:15 (+0700) | #20 | 192993
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
@conmale: giả sử máy anh mới cài lại, sau đó anh SSH đến server đúng lúc có attacker trong hệ thống, thì hơi gay go đấy.

@Mr.Kas: mình thấy bạn cứ luẩn quẩn mãi về NetBIOS. Bây giờ mình giả sử tất cả các máy trong network đều tắt hết những gì liên quan đến NetBIOS, vậy việc tìm ra địa chỉ IP các máy đó có khả thi không?

Còn về cái việc sniffing trong network, sẽ rất thú vị nếu bạn mô tả (ngắn gọn) các kiểu tấn công và phân tích xem việc cấu hình static ARP thì ngăn chặn được cái gì và không ngăn chặn được cái gì, tại sao. Mình thì không có nhiều kiến thức về mảng này, tuy nhiên mình có thể thảo luận dựa trên quan điểm của bạn.
Mind your thought.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 16/09/2009 21:39:26 (+0700) | #21 | 192995
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

StarGhost wrote:
@conmale: giả sử máy anh mới cài lại, sau đó anh SSH đến server đúng lúc có attacker trong hệ thống, thì hơi gay go đấy.

@Mr.Kas: mình thấy bạn cứ luẩn quẩn mãi về NetBIOS. Bây giờ mình giả sử tất cả các máy trong network đều tắt hết những gì liên quan đến NetBIOS, vậy việc tìm ra địa chỉ IP các máy đó có khả thi không?

Còn về cái việc sniffing trong network, sẽ rất thú vị nếu bạn mô tả (ngắn gọn) các kiểu tấn công và phân tích xem việc cấu hình static ARP thì ngăn chặn được cái gì và không ngăn chặn được cái gì, tại sao. Mình thì không có nhiều kiến thức về mảng này, tuy nhiên mình có thể thảo luận dựa trên quan điểm của bạn. 



---> là sao?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 00:01:05 (+0700) | #22 | 193006
halh
Member

[Minus]    0    [Plus]
Joined: 22/01/2008 16:03:25
Messages: 26
Offline
[Profile] [PM]
Theo mình biết nếu trong mạng có switch định danh MAC gán theo port thì hoàn toàn có thể ngăn chặn được việc bị giả mạo MAC và sniff.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 00:20:05 (+0700) | #23 | 193011
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

conmale wrote:
Tạo những đường ống mã hóa (encrypted tunnels) để đẩy thông tin đi từ điểm này sang điểm khác mà không bị sniff.

Từ một máy A (trong LAN) đi xuyên qua một proxy X đến một server B được thiết lập một "đường ống" để thông tin sẽ đi đến server C:

---------------------------------------------------------------
A =======> proxy =======> B ========= C
---------------------------------------------------------------

proxy chỉ có thể biết được A connect với B mà không thể biết A gởi B cái gì, càng không biết rằng A dùng B để đến C. 


Mọi người thảo luận hầu hết ở khía cạnh, bị dò ra trên đường truyền dẫn nhỉ ?
Thế nhưng nếu để ngăn bị dò ra dấu vết và chứng cứ "phạm tội" thì phải ngăn từ mức độ ....bàn phím kìa.
Dữ liệu truyền tải trên đường truyền có thể được mã hóa ngay khi nó "đi ra khỏi" ứng dụng (application) dùng để mã hóa. Thế nhưng trước đó, ngay bên trong ứng dụng, nó vẫn chưa được mã hóa, thậm chí nhiều ứng dụng còn "ghi tạm" nội dung chưa mã hóa hoặc đã mã hóa 1 phần xuống thiết bị lưu trữ, rồi sau đó xóa nó.
Đó là chưa tính đến máy tính bị cài "gián điệp".
Mã hóa để bảo mật thông tin trong quá trình liên lạc ( trao đổi thông tin ) phải được bảo mật toàn diện ngay từ cái...bàn phím là vậy smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 01:20:19 (+0700) | #24 | 193018
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]
@Mr.kas: coi cái này rồi nghĩ lại nhé,coi linux có an toàn "tuyệt đối" không smilie

----Ubuntu Package Backdoor Using Metasploit

This is a great demo by Redmeat_uk ( redmeat_uk[] hotmail [] com ) where he shows how to create a trojan using the xbomb game package. He creates the trojan by bundling a Metasploit reverse TCP stager payload with the game package. When the game is installed and executed, the Metasploit payload executes and connects back to the attacker, giving him a shell on the system. As most installations are done as root, this in most cases will end up becoming a root shell. smilie Very creative! This is another example to show that Linux Malware can very easily be written and deployed, contrary to popular belief.


http://securitytube.net/Ubuntu-Package-Backdoor-using-a-Metasploit-Payload-video.aspx

HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 01:32:18 (+0700) | #25 | 193020
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Chào bạn StartGhost;

Xin phép mọi người cho tớ múa rìu qua mắt thợ. Tớ cũng không có kiến thức nhiều về mảng này, những gì tớ đang có hầu như chỉ xây dựng trên cơ sở kinh nghiệm và tự học, chưa qua một trường lớp chính quy nào, vì vậy có gì sai sót mong mọi người bổ sung chỉnh sửa. smilie Giờ tớ xin trình bày lại vấn đề:

Đầu tiên chúng ta cùng nói lại về về Man In The Middle. Để có thể chẩn đoán và khắc phục sự cố mạng, các quản trị mạng thường sử dụng các chương trình phân tích gói tin như Network Monitor, Sniffer Pro, WireShark, Iris Packet Sniffer, ... Tuy nhiên, đây cũng là những công cụ thường được attacker sử dụng để “nghe lén” hệ thống mạng và lấy cắp các thông tin nhạy cảm như username, password hay các thông tin quan trọng khác trong máy. Để đối phó được với mối nguy hiểm này, chúng ta sử dụng thiết bị chuyển mạch như switch để bảo đảm các gói tin chỉ được truyền đến đúng máy tính có địa chỉ thích hợp chứ không áp dụng broadcast trong hệ thống LAN.

Nhưng ngay cả với mạng dùng switch chúng ta vẫn có thể bị tấn công bởi các chương trình phân tích gói tin mạnh như dsniff, snort hay ettercap. Ettercap có thể giả danh địa chỉ MAC của card mạng máy tính bị tấn công, thay vì gói tin được truyền đến máy tính cần đến thì nó lại được chuyển đến máy tính có cài đặt ettercap trước rồi sau đó mới truyền đến máy tính đích. Đây là một dạng tấn công rất nguy hiểm được gọi là Man In The Middle.

Có vài cách thức nghe ngóng thông tin trong mạng mà chúng ta có thể liệt kê như:

- Living Promiscuously (bắt tất cả các gói tin đi qua):
Cần một card mạng có chế độ Promiscuous, chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin đi qua hệ thống dây mạng. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ các gói tin tới CPU. Còn khi một card mạng không ở chế độ Promiscuous, nó nhìn thấy một số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ drop các gói tin này.

- Sniff trong mạng có Hub:
Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub. Để phân tích một máy tính trên một hub, tất cả các công việc mà bạn cần làm là cắm máy nghe vào một cổng còn trống trên hub. Bạn có thể nhìn thấy tất cả các thông tin truyền và nhận từ tất cả các máy đang kết nối với hub đó.

- Sniff trong mạng có switched:
Switch cung cấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast. Switch cho phép kết nối song công (full-duplex). Khi bạn cắm một máy nghe vào một cổng của switch, bạn chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và nhận của máy tính mà bạn đang sử dụng. Có 3 cách chính để bắt được các gói tin từ một thiết bị mục tiêu trên mạng switch, đó là: port mirroring, ARP cache poisoning và hubbing out.

+ Port mirroring (port spanning) là cách đơn giản nhất để bắt các lưu lượng từ thiết bị trên mạng switch. Bạn phải truy cập được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào. Tất nhiên là switch này phải hỗ trợ tính năng port mirroring và có một port trống để bạn có thể cắm máy nghe vào. Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổng này sang một cổng khác

+ Hubbing Out là một cách đơn giản để bắt các lưu lượng của thiết bị mục tiêu trong một mạng switch. Hubbing out là kỹ thuật mà trong đó bạn đặt thiết bị mục tiêu và máy nghe vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub.

+ ARP Cache Poisoning:
Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Do switch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ MAC sang địa chỉ IP hoặc ngược lại để có thể chuyển tiếp gói tin tới thiết bị tương ứng. Quá trình phiên dịch được thực hiện thông qua một giao thức tầng 3 là ARP (Address Resolution Protocol). Khi một máy tính cần gửi dữ liệu cho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối. Switch đó sẽ gửi một gói ARP broadcast tới tất cả các máy đang kết nối với nó để hỏi. Khi mà máy đích nhận được gói tin này, nó sẽ thông báo cho switch bằng cách gửi địa chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết nối tới máy đích. Thông tin nhận được được lưu trữ trong ARP cache của switch và switch sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu tới máy nhận.

ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong một mạng switch. Attacker gửi các gói tin địa chỉ sai tới máy nhận với mục đích để nghe trộm đường truyền hiện tại, ARP cache poisoning là quá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu.

Bây giờ mình giả sử tất cả các máy trong network đều tắt hết những gì liên quan đến NetBIOS, vậy việc tìm ra địa chỉ IP các máy đó có khả thi không?  

Mình nghĩ là vẫn có thể tìm ra IP của các máy smilie

@ holiganvn:

Bạn mở một topic khác trong phần UNIX để nói đến việc này đi, mọi người sẽ tham gia sôi nổi hơn ở đây và cũng dễ tách các loại chủ đề ra trả lời cho tiện.
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 03:20:05 (+0700) | #26 | 193027
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong một mạng switch. Attacker gửi các gói tin địa chỉ sai tới máy nhận với mục đích để nghe trộm đường truyền hiện tại, ARP cache poisoning là quá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu.

Bây giờ mình giả sử tất cả các máy trong network đều tắt hết những gì liên quan đến NetBIOS, vậy việc tìm ra địa chỉ IP các máy đó có khả thi không?


Mình nghĩ là vẫn có thể tìm ra IP của các máy smilie 

Máy có cài tường lửa, HDH được thiết lập, không trả lời các kiểu gói tin "địa chỉ sai" thì attacker làm gì được.
Liệt kê lí thuyết với chuyện "mình nghĩ rằng" không có chứng thực gì được nha bạn.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 06:46:05 (+0700) | #27 | 193043
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
@conmale: trước khi anh cài lại máy, anh có nghĩ đến chuyện export và backup đoạn registry chứa host keys của putty hay không? Em thấy mọi người cứ hay bàn về mã hóa này nọ, nhưng điều quan trọng hơn, và cũng là nền tảng của security, tức là authentication, thì không thấy ai nói đến. Câu hỏi cần đặt ra là: làm sao ta biết được người đang kết nối với mình chính xác là người mình muốn kết nối. Vấn đề này rất quan trọng khi các securiy infrastructure thuộc dạng phức tạp và đắt đỏ như PKI, Web of Trust, database of credentials không tồn tại.

@Mr.Kas: để mình phân tích thử xem nhé:
- Living Promiscuously: cái này thì chả có gì đáng nói cả, vì hầu hết NIC bây giờ đều có promiscuous mode.

- Sniff trong mạng hub: cũng chả có gì đáng nói, vì dùng hub thì ráng chịu.

- port mirroring: nếu attacker không login được vào switch (trong hầu hết trường hợp), thì cách này vô tác dụng. Nếu switch không support port mirroring thì cũng vô tác dụng.

- hubbing out: đòi hỏi attacker phải có một cái hub trong tay, và phải sờ được vào đường dây kết nối đến đối tượng. Nếu attacker không thỏa mãn 2 điều kiện này, thì cũng vô dụng.

- ARP poisoning:

Mr.Kas wrote:
Khi một máy tính cần gửi dữ liệu cho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối. Switch đó sẽ gửi một gói ARP broadcast tới tất cả các máy đang kết nối với nó để hỏi. Khi mà máy đích nhận được gói tin này, nó sẽ thông báo cho switch bằng cách gửi địa chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết nối tới máy đích. Thông tin nhận được được lưu trữ trong ARP cache của switch và switch sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu tới máy nhận.  

Đoạn này cho thấy bạn chưa thật sự hiểu ARP và switch hoạt động như thế nào. ARP là protocol thuộc dạng end-to-end, nó không cần sự can thiệp của switch. Ở mức độ cơ bản nhất, switch thậm chí không cần phải biết ARP là cái gì mà vẫn hoạt động đúng với chức năng của nó. Vậy nên cũng không có chuyện switch cần và lưu thông tin gì từ ARP cả.

Mr.Kas wrote:
ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong một mạng switch. Attacker gửi các gói tin địa chỉ sai tới máy nhận với mục đích để nghe trộm đường truyền hiện tại, ARP cache poisoning là quá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu.  

Một gói tin địa chỉ sai là một gói tin như thế nào? Gói tin đó làm thế nào mà giúp attacker đạt được mục đích nghe lén? Vậy sử dụng static ARP có ngăn chặn được việc này hay không, và sử dụng ra sao?

Cuối cùng, nếu static ARP có thể ngăn chặn được ARP cache poisoning, và nếu các attacks bên trên cũng không khả thi, vậy thì việc sniff trong switched network đã bị ngăn chặn hay chưa?
Mind your thought.
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 07:24:45 (+0700) | #28 | 193048
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Một gói tin địa chỉ sai là một gói tin như thế nào? Gói tin đó làm thế nào mà giúp attacker đạt được mục đích nghe lén? Vậy sử dụng static ARP có ngăn chặn được việc này hay không, và sử dụng ra sao? 

Bản thân ARP request đã chứa địa chỉ vật lý của sender trong Ethernet frame nên receiver nhận được ARP request này hoàn toàn có thể trả lời cho sender mà không cần phải tạo một ARP request nữa. Điểm yếu của giao thức ARP là ở chỗ nó là một stateless protocol, nó sẽ không theo dõi các frame trả lời cho các request mà nó đã gửi, và vì thế sẽ chấp nhận các ARP reply mà trước đó không có request.

Nếu attacker muốn lấy cắp thông tin từ một trạm khác, attacker sẽ gửi các ARP reply giả mạo phù hợp một địa chỉ IP nào đó đã chọn trước với địa chỉ MAC của chúng. Trạm nhận được các ARP reply giả mạo này không thể phân biệt được nó là ARP reply hợp lệ hay không, và bắt đầu gửi dữ liệu tới địa chỉ MAC của attacker.

Một điểm yếu nữa của giao thức ARP đó là bảng thông tin ARP được lưu trữ tại mỗi trạm trong một mạng. Điều này nhằm mục đích tăng tốc độ truyền dữ liệu bởi vì địa chỉ MAC sẽ không cần phải kiểm tra mỗi lần một thiết bị này muốn liên lạc với một thiết bị khác. Một kẻ tấn công muốn tiếp tục giả mạo một địa chỉ IP nào đó, nó cần phải Flood trạm đó với các ARP reply ghi đè lên các ARP hợp lệ từ trạm nguồn.

Cuối cùng, nếu static ARP có thể ngăn chặn được ARP cache poisoning, và nếu các attacks bên trên cũng không khả thi, vậy thì việc sniff trong switched network đã bị ngăn chặn hay chưa? 

Có lẽ (nghi vấn - chưa chắc chắn) là chưa. Vì tớ chưa nghĩ ra biện pháp nào sniff trong LAN khác ngoài những trường hợp bên trên. Không biết StarGhost có cách nào không ?
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 17/09/2009 12:24:15 (+0700) | #29 | 193065
[Avatar]
radiohead
Member

[Minus]    0    [Plus]
Joined: 07/01/2009 22:19:36
Messages: 12
Offline
[Profile] [PM]
Cuối cùng, nếu static ARP có thể ngăn chặn được ARP cache poisoning, và nếu các attacks bên trên cũng không khả thi, vậy thì việc sniff trong switched network đã bị ngăn chặn hay chưa?  

Trao đổi sôi nổi quá smilie
Theo mình việc set tĩnh ARP table "có thể" coi như đã giải quyết ARP cache poisoning, tuy nhiên giải pháp này quá cứng nhắc và khó thực hiện:
- Không phải user nào cũng biết cách static ARP
- Khi di chuyển qua nhiều mạng khác nhau, ta lấy đâu thông tin rằng MAC address của các thiết bị khác cụ thể ntn? Đó là chưa kể đến việc muốn gửi file gấp cho em thư kí phòng bên, ta không thể bảo "em bật cmd rồi đọc MAC address cho anh được", làm vậy ẻm ghét liền

Trong switched network, có nhiều cách khác nữa có thể phục vụ việc sniff như MAC flooding, DHCP spoofing, DNS cache poisoning....hẳn nhiên là việc sniff vẫn còn là vấn đề to thù lù
[Up] [Print Copy]
  [Discussion]   Phương thức liên lạc qua mạng nào an toàn và khó bị theo dõi nhất? 18/09/2009 21:43:25 (+0700) | #30 | 193209
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

StarGhost wrote:
@conmale: trước khi anh cài lại máy, anh có nghĩ đến chuyện export và backup đoạn registry chứa host keys của putty hay không? Em thấy mọi người cứ hay bàn về mã hóa này nọ, nhưng điều quan trọng hơn, và cũng là nền tảng của security, tức là authentication, thì không thấy ai nói đến. Câu hỏi cần đặt ra là: làm sao ta biết được người đang kết nối với mình chính xác là người mình muốn kết nối. Vấn đề này rất quan trọng khi các securiy infrastructure thuộc dạng phức tạp và đắt đỏ như PKI, Web of Trust, database of credentials không tồn tại.
 


Trên mặt nguyên tắc thì điểm này hoàn toàn hữu lý và quan trọng. Tuy nhiên, với mô hình anh đưa ra ở trên, anh biết chắc máy A của anh connect đến server B (xuyên qua proxy) đúng là server B bởi vì nếu covert channel (tunnel anh muốn tạo giữa máy A và server B) bị người quản lý proxy khám phá, họ không thể tạo một server B giả mạo để lừa anh vào được. Lý do rất đơn giản là server B anh muốn login có account (name + pass hoặc username + key) mà người quản lý proxy không cách gì biết được (do payload chèn trong http hoàn toàn bị mã hóa). Họ chỉ có thể biết rằng anh cố CONNECT đến server B và đó là thông tin duy nhất họ biết được. Việc duy nhất họ có thể làm là cản không cho máy A của anh truy cập đến server B. Ngoài ra, họ hoàn toàn không biết chuyện gì xảy ra giữa máy A và server B (và những gì bên ngoài biên độ đó).

Không biết điều anh phân tích ở đây có trùng hợp với điều em đưa ra hay không? Nếu không, em khai triển thêm rồi mình bàn tiếp.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|