Luận Văn Một số dạng tấn công hệ thống thông tin

Đồ án tốt nghiệp năm 2013
Đề tài: Một số dạng tấn công hệ thống thông tin


MỤC LỤC
LỜI CẢM ƠN 2
CÁC KÝ HIỆU VIÉT TẮT 3
MỤC LỤC . 4
CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN 8
1.1. TÌM HIẺU AN TOÀN THÔNG TIN 8
1.1.1. Tại sao cần đảm bảo an toàn thông tin 8
1.1.2. Khái niệm về an toàn thông tin 8
1.1.2.1. Khái . niệm 8
1.1.2.2. Đặc điểm của hệ thống không an toàn 9
1.2. VẤN ĐÈ AN TOÀN THÔNG TIN . 10
1.2.1. Phương pháp bao vệ thông tin . 10
1.2.2. Nội dung an toàn thông tin . 10
1.2.2.1. Mục tiêu của an toàn thông tin 10
1.2.2.2. An toàn thông tin 11
1.2.2.3. Hành vi vi phạm thông tin . 12
1.2.3. Các chiến lược bảo vệ hệ thống thông tín . 13
1.2.3.1. Giới hạn quyền hạn tối thiểu . 13
1.2.3.2. Bảo vệ theo chiều sâu 13
1.2.3.3. Nút thắt 13
1.2.3.4. Điểm yếu nhất . 13
1.2.3.5. Tính đa dạng bảo vệ . 14
1.2.4. Một số giải pháp chung bảo đảm an toàn thông tin . 14
1.24.1. Chính sách . 14
1.2.4.2. Các giải pháp . 14
1.2.4.3. Công nghệ . 15
1.2.4.4. Con người 15
1.2.5. Nội dung ứng dụng về an toàn thông tin . 15
1.3. KHÁI NIỆM “LỖ HỒNG” 16
1.4 .LỖ HỒNG CHIA THEO MỨC Độ NGUY HIỂM 16
1.4.1. Lỗ hổng loại c 16
1.4.2. Lỗhấng loạiB . 16
1.4.3. Lô hểng loại A . 16
1.5. LỒ HỎNG THEO CHỨC NĂNG , NHIỆM vụ 17
1.5.1. Lỗ hổng trong thuật toán 17
1.5.2. Lỗ hổng trong ứng dụng: . 19
1.5.3. Lô hồng trong giao thức . 20
1.5.4. Một số vỉ dụ “Lo hổng” cụ thể 22
l.s.4.1. LỖ hông trong hệ điều hành 22
1.5.4.2. Lồ hổng trong phần mềm ứng dạng 22
1.5.4.3. LỖ hồng trong hệ thẳng mạng 23
1.5.4.4. Lẽ hồng trong Cơ sở dữ liệu (Database) . 25
CHƯƠNG 2. MỘT SỐ DẠNG TẤN CÔNG VÀO HỆ THÔNG TIN 27
2.1. TẤN CÔNG HỆ THÓNG THÔNG TIN 27
2.1.1. Đối tượng tẩn công 27
2.1.2. Mệt sế hình thức tẩn công thông tin 27
2.1.3. Các mức độ nguy hiểm đến hệ thống thông tin . 28
Hình 2.1 28
2.2. MỘT SÔ VÍ DỤ TẤN CÔNG VÀO LÔ HỐNG THIỂU AN TOÀN 29
2.2.1. Tẩn công hệ điều hành 29
2.2.1.1. Tấn công password của người dùng tài khoản Windows . 29
Hình 2.2 29
Hình 2.3 . 30
Hình 2.4 31
2.2.1.2. Tấn công hệ thống Windows qua lỗ hổng thiểu an toàn . 32
2.2.1.3. Ví dụ khác 32
2.2.2. Tấn công trên mạng . 33
2.2.2.1. Tấn công từ chối dịch vụ . 33
2.2.2.2. Tấn công giả mạo hệ thống tên miền trên Internet 34
2.2.3. Tấn công cơ sở dữ liệu 34
2.3. CÁC PHƯƠNG PHÁP PHÒNG TRÁNH TẤN CÔNG BẰNG xử LÝ LỖ HỒNG 37
2.3.1. Bảo vệ an toàn thông tin 37
2.3.1.1. Các lớp bảo vệ thông tín . 37
Hình 2.5 . 37
2.3.2. Phòng tránh tấn công hệ điều hành . 41
2.3.2.1. Phòng tránh tấn công hệ điều hành 41
2.3.2.2. Mội sổ ví dạ cụ thể 42
2.3.2.3. Xây dựng hệ thổng tường lữa 43
Hình 2.6 43
2.3.3. Phòng tránh tấn công phần mần ứng dụng 47
2.3.3.1. CM quan (Lỗi do người viết phần mềm) . 47
2.3.3.2. Khách quan (Lôi do người) . 47
2.3.4. Phòng tránh tần công mạng . 47
Hình 2.7 48
2.3.5 Mạng riêng ảo VPN 52
Hình 2.8 52
2.3.5.1. Khái niệm mọng riêng áo 53
23.5.2 Các thành phần của mạng riêng ảo 54
2.3.6. Tồng quan về công nghệ IPSec 55
2.3.6.1. Khái niệm IPSec . 55
Hình 2.9 56
2.3.6.2. IPSec và mục đích sử dụng 57
2.3.6.3. ưu điềm và hạn chế cửa IPSec . 62
2.3.7. Phòng tránh tấn công CSDL 63
2.3.7.1. Giỏi pháp phòng tránh tấn câng CSDL . 63
2.3.7.2. Vi dụ phòng tránh tấn công lỗ hẩng SQL injection attack . 64
CHƯƠNG 3. T^ử NGHrâM CHƯƠNG TRÌNH 66
3.1. TẤN CÔNG SQL INJECTION . 66
3.1.1. Bản chẩt 66
3.1.2 Yêu cầu hệ thống 66
3.1.2. Quá trình thực hiện 66
Hình 3.1 67
Hình 3.2 69
Hình 3.3 70
Hình 3.4 71
Hình 3.5 71
Hình 3.6 . 72
3.2. SỬ DỤNG PHẰN MÈM NGHE LÉN (SNIFFING) WIRESHARK . 73
3.2.1 Phần mềm WireShark 73
Hình 3.7 73
3.2.2 Yêu cầu hệ thống . 73
3.2.3. Hướng dẫn sử đụng WireShark . 74
3.2.4 Ví dụ sử dụng WireShark 74
Hình 3.8 74
Hình 3.9 75
Hình 3.10 . 76
Hình 3.11 . 76
Hình 3.12 . 77
Hình 3.13 . 77
3.3 CHƯƠNG TRÌNH KIẺM SOÁT SÓ LẦN ĐĂNG NHẬP CỦA NGƯỜI DỪNG TRÊN WEB 78
3.3.1 Yêu cầu hệ thống . 78
3.3.1 Kỹ thuật Brute Force 78
3.3.2 Các kỹ thuật chống Brute Force 80
Hình 3.14 . 80
KẾT LUẬN . 82
TÀI LIỆU THAM KHẢO . 83


Chương 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.1. TÌM HIỂU AN TOÀN THÔNG TIN
1.1.1. Tại sao cần đảm bảo an toàn thông tin
Sự ra đời của internet là một thay đổi lớn trong cách tiếp nhận,trao đổi thông tin của con người. Thương mại điện tử ( E-commerce) : giao thông buôn bán điện tử, e- banking:ngân hang điện tử.
Nhưng từ đó cũng nảy sinh ra nhiều vấn đề.Thông tin có thể bị đánh cắp, làm sai lệch, tráo đổi gây ra không ít tác hại. Điều này ảnh hưởng lớn tới các công ty, tập đoàn, an ninh quốc gia
Trong bối cảnh đó vấn đề an toàn thông tin (ATTT) được đặt ra ngay trong thực tiễn và từng bước lý luận
Cùng với sự phát triển mạnh mẽ của công nghệ thông tin (CNTT), ATTT đã trở thành một môn khoa học thực thụ.
1.1.2. Khái niệm về an toàn thông tin
1.1.2.1. Khái niệm
An toàn thông tin (ATTT) có nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai họa, lỗi và sự tác động không mong đợi, các tác động đến độ an toàn của hệ thống là nhỏ nhất.
1.1.2.2. Đặc điểm của hệ thống không an toàn
Hệ thống có một trong những địa điểm sau là không an toàn
- Các thông tin dữ liệu trong hệ thống bị người không được quyền truy cập tìm cách lấy và sử dụng (thông tin bị rò rỉ)
- Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dụng (thông tin bị xáo trộn)
Thông tin chỉ có giá trị khi đảm bảo tính chính xác và kịp thời. Quản lý an toàn và rủi ro gắn chặt với quản lý chất lượng. Khi đánh giá ATTT cần dựa trên sự phân tích rủi ro, tăng sự an toàn bằng cách giảm thiểu rủi ro. Đánh giá cần phù hợp với đặc tính, cấu trúc, quá trình kiểm tra chất lượng và các yêu cầu ATTT.


1.2. VẤN ĐÈ AN TOÀN THÔNG TIN
Khi nhu cầu trao đổi thông tin ngày càng lớn, sự phát triển của ngành công nghệ thông tin để nâng cao chất lượng và lưu lượng thông tin thì các quan niệm ý tưởng và biện pháp bảo vệ an toàn thông tin cũng được đổi mới. Bảo vệ thông tin là một vấn đề lớn, có lien quan đến nhiều lĩnh vực.
1.2.1. Phương pháp bảo vệ thông tin
Các phương pháp bảo vệ thông tin có thể gộp vào 3 nhóm sau:
- Bảo vệ thông tin bằng các phương pháp hành chính
- Bảo vệ thông tin bằng các phương pháp kỹ thuật (phần cứng)
- Bảo vệ thông tin bằng câc phương pháp thuật toán (phần mềm)
Ba nhóm trên có thể kết hợp với nhau hoặc triển khai độc lập.Hiện nay môi trường bảo vệ phức tạp nhất và cũng dễ bị tấn công nhất là môi trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay là biện pháp thuật toán.
1.2.2. Nội dung an toàn thông tin
1.2.2.1. Mục tiêu của an toàn thông tin
An toàn thông tin đảm bảo các yêu cầu sau:
1/. Bảo đảm bí mật (Bảo mật)
Bảo đảm thông tin không được tiết lộ cho người không có thẩm quyền
2/. Bảo đảm toàn vẹn
Ngăn chặn hay hạn chế việc bổ sung, loại bỏ, hay sửa đổi thông tin mà không được phép