Đồ án môn học An ninh mạng: Tìm hiểu về an ninh mạng và kỹ thuật tấn công web Server
lượt xem 59
download
An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Bởi vì, tài nguyên dễ dàng bị phân tán, dễ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị.... Xuất phát từ thực tế đó mà "Đồ án môn học An ninh mạng: Tìm hiểu về an ninh mạng và kỹ thuật tấn công web Server" đã được thực hiện.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Đồ án môn học An ninh mạng: Tìm hiểu về an ninh mạng và kỹ thuật tấn công web Server
- TRƯỜNG CAO ĐẲNG CNTT HỮU NGHỊ VIỆT- HÀN KHOA KHOA HỌC MÁY TÍNH BỘ MÔN: MẠNG MÁY TÍNH ĐỒ ÁN MÔN HỌC AN NINH MẠNG TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TÁN CÔNG WEB SERVER Họ và tên SV : NGÔ TÙNG DƯƠNG Lớp : MM03A CBHD : Ths. LÊ TỰ THANH
- NÔI DUNG ̣ Tổng quan về an ninh mạng và Web Server Muc tiêu và nhi ̣ ệm vụ Nội dung chính Kết luận của đề tài Tài liệu tham khảo 29/11/15 2/15
- NỘI DUNG CHÍNH Tổng quan về an ninh mạng và Web Server •An ninh mạng là gì ? An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau. Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và như thế an ninh mạng ra đời. 29/11/15 3/15
- NỘI DUNG CHÍNH • Kẻ tấn công là ai • Hacker mũ đen. Đây là tên trộm chính hiệu, với những Hacker có kinh nghiệm thì đặc biệt nguy hiểm đối với hệ thống mạng. Mục tiêu của chúng là đột nhập vào hệ thống mạng của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những tội phạm thật sự cần sự trừng trị của pháp luật • Hacker mũ trắng Họ là những nhà bảo mật và bảo vệ hệ thống. Họ cũng xâm nhập vào hệ thống, mục đích là tìm ra những kẽ hở, những lổ hổng chết người và sau đó tìm cách vá lại chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen. • Hacker mũ xám Lọai này được sự kết hợp giữa hai loại trên. Thông thường họ là 29/11/15 4/13
- NỘI DUNG CHÍNH • Lỗ hổng bảo mật. • Lỗ hổng loại A. Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ thống. • Lỗ hổng loại B. Các lỗ hổng này cho phép người sử dụng thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin dữ liệu. • Lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS. Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng 29/11/15 dữ liệu hoặc được quyền truy 5/13
- NỘI DUNG CHÍNH • Website là gì Website là một “trang web” được lưu trữ tại các máy chủ hay các hosting hoạt động trên Internet. Đây là nới giới thiệu những thông tin, hình ảnh về doanh nghiệp, sản phần và dịch vụ của doanh nghiệp hay giới thiệu bất cứ kì thông tin gì để khách hàng có thể truy cập bất kì ở đâu, bất cứ lúc nào. Website là tập hợp của nhiều web page. Khi doanh nghiệp, công ty xây dựng website nghĩa là đang xây dựng nhiều trang thông tin về sản phẩm, dịch vụ hay giới thiệu,... 29/11/15 6/15
- NỘI DUNG CHÍNH • Khái niệm Web Server Web Server (máy phục vụ Web): máy tính mà trên đó cài đặt phần mềm phục vụ Web, đôi khi người ta cũng gọi chính phần mềm đó là Web Server.Tất cả các Web Server đều hiểu và chạy được các file *.htm và *.html, tuy nhiên mỗi Web Server lại phục vụ một số kiểu file chuyên biệt chẳng hạn như IIS của Microsoft dành cho *.asp, *.aspx...; Apache dành cho *.php...; Sun Java System Web Server của SUN dành cho *.jsp…. 29/11/15 7/15
- NỘI DUNG CHÍNH Web Server là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân hàng dữ liệu, chứa những website đã được thiết kế cùng với những thông tin liên quan khác. (các mã Script, các chương trình, và các file Multimedia) 29/11/15 8/13
- NỘI DUNG CHÍNH • Máy chủ IIS (Internet Information Services ) IIS là dịch vụ thông tin Internet do Microsoft phát triển, sản phẩm này được tích hợp cùng với hệ điều hành Windows. Phiên bản mới nhất hiện nay là IIS 7.5 được chạy trên hệ điều hành Windows server 2008 (hay windows 7). Trong IIS bao gồm nhiều d ịch v ụ d ịch v ụ nh ư: d ịch v ụ Web Server, dịch vụ FTP Server … 29/11/15 9/13
- NỘI DUNG CHÍNH • Apache Web Server Apache Web Server được xem như một sự nỗ lực rất lớn trong việc phát triển và duy trì một Web Server mã nguồn mở cho các hệ điều hành, bao gồm Unix, Linux và Windows NT. Đây là một Web Server hội tụ tất cả các tính năng: bảo mật, hiệu suất, mở rộng và phát triển cung cấp các dịch vụ Web được đồng bộ trong các chuẩn Web hiện hành. 29/11/15 10/13
- NỘI DUNG CHÍNH MỘT SỐ CÁCH TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG WEB SERVER. •Tấn công Directory Traversal. Directory traversal hay còn được biết với một số tên khác như “dot-dot-slash”, “path Traversal”,”directory clumbing” và “backtracking” là hình thức tấn công truy cập đến những file và thư mục mà được lưu bên ngoài thư mục webroot. Hình thức tấn công này không cần sử dụng một công cụ nào mà chỉ đơn thuần thao tác các biến với (dot-dot-slash) để truy cập đến file, thư mục, bao gồm cả source code, những file hệ thống, … 29/11/15 11/13
- NỘI DUNG CHÍNH • Tấn công HTTP Response Splitting. Lỗi HTTP Response Splitting tấn công vào ứng dụng web và diễn ra khi nó không thể xử lý đúng các thông tin đầu vào người dùng nhập. Kẻ tấn công từ xa có thể gửi một yêu cầu HTTP đặc biệt làm cho máy chủ web định dạng yêu cầu nhầm tưởng rằng nó chứa 2 yêu cầu HTTP chứ không phải một. Chỉ yêu cầu thứ nhất được xử lý bởi người sử dụng. HTTP Response Splitting cho phép tiến hành một lượng lớn các cuộc tấn công, chặn và ăn cắp thông tin người dùng. 29/11/15 12/13
- NỘI DUNG CHÍNH • Tấn công SSH Bruteforce Giao thức SSH sử dụng để tạo ra một đường hầm mã hóa giữa 2 máy chủ, nhằm chuyển dữ liệu giữa người dùng. Kẻ tấn công Bruteforce có thể bắt SSH tin là mình là một thông tin đăng nhập hợp lệ để truy cập trái phép vào đường hầm SSH. Sau đó đường hầm có thể được sử dụng để truyền cách malware và khai thác các nạn nhân mà không bị hủy lệnh. 29/11/15 13/13
- NỘI DUNG CHÍNH •Tấn công Man-in-the-Middle. Một trong những tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức lớn chính là các tấn công Man in the Middle. Có thể hiểu nôm na về kiểu tấn công này thì nó như một kẻ nghe trộm. Man in the Middle hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng. 29/11/15 14/13
- NỘI DUNG CHÍNH • Một số cách phòng chống tấn công máy chủ Web. • Patches và Updates. • Protocols • Accounts • Files and Directories • Lockdown IIS • Services 29/11/15 15/13
- NỘI DUNG CHÍNH • MỘT SỐ CÔNG CỤ TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG WEB SERVER. Công cụ tấn công. •Metasploit Framework •Wfetch •Brutus Công cụ phòng chốn tấn công •Microsoft Baseline Security Analyzer (MBSA) •Sandcat 29/11/15 16/13
- KẾT LUẬN • Qua đề tài thì có thể nắm được cơ bản những mánh khóe hay các lỗ hổng bảo mật giúp Hacker có thể dễ dàng xâm nhập vào hệ thống máy chủ Web Server. Trước hết là bảo vệ mình khỏi những cạm bẫy hay những lời dụ dỗ từ Hacker để có thể lấy những thông tin cần thiết từ người dùng. • Đối với cộng đồng người dùng Internet là những người dễ bị Hacker lợi dụng nhất với kiến thực hạn hẹp của mình về công nghệ thông tin. Khi đọc đề tài này thì ít nhiều cũng có thể thấy được sự lợi hại của Hacker và không nhiều thì ít cũng có chút kiến thức để có thể tự mình xử lý các tình huống như tấn công XSS thông qua spam mail,... • Còn đối với một người quản trị mạng thì với đề tài này sẽ giúp biết được những lỗ hổng nhỏ mà được Hacker tận dụng để có thể xâm nhập vào hệ thống. 29/11/15 17/15
- HẠN CHẾ CỦA ĐỀ TÀI • Hạn chế lớn nhất trong đề tài chính là không demo đầy đủ các hình thức tấn công được mà chỉnh demo được một phần nhỏ của một số hình thức tấn công của Hacker. • Tiếp theo có thể nói là để Hacker được Web Server thì đòi hỏi phải biết rõ về ngôn ngữ lập trình Web để mà khi phân tích đoạn code mới thấy được lỗ hổng trong đấy và việc xây dụng một hệ thống Web Server cũng là một vấn đề lớn. Vì những hạn chế đấy mà đề tài chỉ nói rõ phần lý thuyết còn demo thì cũng có nhưng chỉ là một phần nhỏ để hiểu thêm về phần lý thuyết đấy. 29/11/15 18/13
- TÀI LIÊU THAM KHAO ̣ ̉ • [1] CEH toàn tập tiếng việt do VSIC biên soạn. • [2] Hacking Exposed, Stuart McClure, Joel Scambray, George Kurtz • [3] Slide tiếng anh CEH toàn tập. • http://ceh.vn • http://hvaonline.net • http://tailieu.vn 29/11/15 19/15
- Chân thà nh cam ̉ ơn!
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Đề tài:"Giải pháp nâng cao hiệu quả cho vay tiêu dùng tại Ngân hàng thương mại cổ phần Hàng hải Quảng Ninh"
78 p | 884 | 245
-
Thuyết minh đồ án môn học xây dựng cầu đường
0 p | 342 | 104
-
Báo cáo An ninh mạng: Tìm hiểu về SSL và ứng dụng trên Web sever
22 p | 399 | 88
-
Đề tài “Hoàn thiện các hình thức trả lương tại nhà máy xi măng Lam Thạch – Công ty cổ phần xi măng và xây dựng Quảng Ninh"
56 p | 224 | 83
-
Luận văn: Cải tiến công tác phân tích công việc tại Công ty cổ phần xi măng Thăng Long.
22 p | 196 | 65
-
Đề tài " BÁO CÁO TÌM HIỂU HỆ THỐNG ĐIỆN NHÀ MÁY ĐẠM NINH BÌNH "
35 p | 273 | 64
-
Nghiên cứu: Thực trạng dạy học môn Giáo dục quốc phòng, an ninh ở trường Đại học Cần Thơ
8 p | 400 | 57
-
Đề tài " THỰC TRẠNG CHUYỂN ĐỔI NGHỀ NGHIỆP, ĐÀO TẠO VIỆC LÀM CHO DÂN CƯ CÁC VÙNG NHÀ NƯỚC THU HỒI ĐẤT PHÁT TRIỂN CÁC KCN TẬP TRUNG VÀ ĐÔ THỊ TỈNH BẮC NINH THỜI KỲ 2001-2005 "
106 p | 199 | 54
-
Nghiên cứu và lựa chọn một số bài tập nhằm khắc phục những sai lầm thường mắc trong kỹ thuật đệm bóng thấp tay bằng hai tay cho học sinh khối 11 trường trung học phổ thông Nho Quan B, Ninh Bình
41 p | 266 | 48
-
Báo cáo khóa luận tốt nghiệp: Một số giải pháp nhằm giúp cho học sinh, sinh viên trường Cao Đẳng Cần Thơ học tập tốt và yêu thích môn học Giáo dục quốc phòng, an ninh - Bùi Thanh Sang
24 p | 246 | 39
-
Đồ án môn học: Thiết kế kỹ thuật lưới trắc địa
22 p | 210 | 32
-
Luận án Tiến sĩ Giáo dục học: Ứng dụng phương pháp dạy học bằng sơ đồ đối với môn học lý luận và phương pháp giáo dục thể chất cho sinh viên trường Đại học Thể dục Thể thao Bắc Ninh
273 p | 67 | 11
-
Luận văn Thạc sĩ Quản lý giáo dục: Tổ chức hoạt động dạy học môn giáo dục thể chất tại Trường Cao đẳng An ninh nhân dân I trong giai đoạn đổi mới hiện nay
118 p | 37 | 10
-
Luận văn Thạc sĩ Khoa học giáo dục: Vận dụng phương pháp dự án trong tổ chức dạy học môn GDCD ở các trường THPT huyện Thuận Thành, tỉnh Bắc Ninh
154 p | 39 | 9
-
Luận văn Thạc sĩ Khoa học giáo dục: Sử dụng phương pháp nêu vấn đề trong dạy học học phần: “Công tác quốc phòng, an ninh” ở Trung tâm Giáo dục Quốc phòng và an ninh - Đại học Thái Nguyên
129 p | 29 | 5
-
Luận văn Thạc sĩ Khoa học giáo dục: Vận dụng phương pháp thảo luận nhóm trong dạy học môn Công tác quốc phòng, an ninh ở Trung tâm Giáo dục quốc phòng và an ninh - Đại học Thái Nguyên
152 p | 36 | 4
-
Tóm tắt Luận án Tiến sĩ Giáo dục học: Nghiên cứu giải pháp nâng cao chất lượng giảng dạy môn võ thuật Công an Nhân dân cho sinh viên (hệ đào tạo) tại Học viện An ninh Nhân dân
32 p | 15 | 4
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn