ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
Cán bộ hướng dẫn : Ths. Đoàn Minh Phương
Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải
HÀ NỘI – 2009
Lời cảm ơn
Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc
biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng
như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng
Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những
người đã chỉ dẫn em trong từng bước đề tài.
Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm học
đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô giáo đã
truyền đạt cho em những bài học quý báu trong thời gian vừa qua.
Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi thực
hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.
Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã
giúp em thành công trong học tập và cuộc sống.
Tóm tắt nội dung
2.1.4. Virus, Sâu và Trojan [8] ....................................................................................................................... 13
2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1] ................................................................. 14
2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP ........................................................................................... 18
2.3.1. Thu thập thông tin ................................................................................................................................ 18
2.3.2. Tấn công từ chối dịch vụ ...................................................................................................................... 18
2.3.3. Thâm nhập qua Trojan ......................................................................................................................... 19
2.3.4. Thâm nhập qua lỗ hổng bảo mật [5] .................................................................................................... 20
CHƯƠNG 3. THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ
THÂM NHẬP ....................................................................... 23
3.1. CÁC KHÁI NIỆM CƠ BẢN [2] ................................................................................................................. 23
3.2. THIẾT BỊ IPS PROVENTIA G200 ............................................................................................................ 26
3.3. SITEPROTECTOR SYSTEM [2] ............................................................................................................... 28
3.3.1. SiteProtector System là gì? .................................................................................................................. 28
3.3.2. Quá trình thiết lập hệ thống SiteProtector ........................................................................................... 30
3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS [5] ............................................................................................................. 32
3.4.1. Cài đặt ................................................................................................................................................. 32
3.4.2. Cấu hình hình thái hoạt động ............................................................................................................... 32
3.4.3. Cấu hình sự kiện an ninh ...................................................................................................................... 33
3.4.4. Cấu hình phản hồi ................................................................................................................................ 36
3.4.5. Cấu hình tường lửa .............................................................................................................................. 43
3.4.6. Cấu hình protection domain ................................................................................................................. 45
3.4.7. Cấu hình cảnh báo ............................................................................................................................... 47
3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS ........................................................................ 49
3.5.1. Ngăn chặn các hình thức thu thập thông tin ......................................................................................... 49
3.5.2. Ngăn chặn tấn công DoS ...................................................................................................................... 50
3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan ...................................................................................... 51
3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật ......................................................................................... 51
3.6. TRIỂN KHAI THỰC TẾ ............................................................................................................................ 52
CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH
HƯỚNG NGHIÊN CỨU TƯƠNG LAI ............................ 59
HÌNH 7 - GIAO DIỆN METASPLOIT............................21
HÌNH 8 - GIAO DIỆN METASPLOIT (2).......................22
HÌNH 9 – SECURITY EVENTS........................................35
HÌNH 10 – RESPONSE FILTERS....................................43
HÌNH 11 – PROTECTION DOMAIN..............................46
HÌNH 12 - PROTECTION DOMAIN...............................47
HÌNH 13 - MỨC ĐỘ NGHIÊM TRỌNG CỦA THÔNG
BÁO 48
HÌNH 14 - MINH HỌA THÔNG BÁO.............................48
HÌNH 15 - NGĂN CHẶN THU THẬP THÔNG TIN.....49
2
HÌNH 16 – ĐÁNH DẤU CẢNH BÁO SYNFLOOD........50
HÌNH 17 –NGĂN CHẶN TẤN CÔNG SYNFLOOD VÀ
SMURF ATTACK (PING SWEEP)..................................51
HÌNH 18 - NGĂN CHẶN THÂM NHẬP QUA TROJAN
BEAST 51
HÌNH 19 – ĐÁNH DẤU CẢNH BÁO
MSRPC_REMOTEACTIVE_BO......................................52
HÌNH 20 - NGĂN CHẶN TẤN CÔNG QUA LỖ HỔNG
MSRPC REMOTEACTIVE...............................................52
HÌNH 21 – MÔ HÌNH MẠNG VNUNET.........................53
HÌNH 22 – SƠ ĐỒ TRIỂN KHAI IPS..............................54
HÌNH 23 – KHI CÓ TẤN CÔNG HOẶC THÂM NHẬP
THÌ GỬI MAIL CHO CÁN BỘ TTMT...........................55
HÌNH 24 - MÔ HÌNH MẠNG VNUNET SAU KHI
TRIỂN KHAI HỆ THỐNG IDS/IPS.................................56
HÌNH 25 - HỆ THỐNG IPS GỬI MAIL CHO NGƯỜI
QUẢN TRỊ 57
HÌNH 26 - CÁC DÒ QUÉT VÀ TẤN CÔNG THỰC TẾ
58
1.1. AN NINH MẠNG
Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an
ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các
nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo mật
ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được việc
cập nhật đầy đủ các bản vá.
Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầu
hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web
và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần
mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ thông
hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựa trên tầng
ứng dụng và worm.
Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng trong
– bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên Internet
cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy, các thiết bị
phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ quan và công ty
hiện nay.
Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet Security
Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số đó,
sản phẩm của ISS có tiếng vang lớn nhất. Hiện nay, ngoài tính năng phát hiện thâm
nhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhập
thậm chí còn trước cả khi chúng đến được máy mục tiêu.
Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao,
một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm
nhập, đồng thời biết cách ngăn chặn chúng.
1.2. HỆ THỐNG MẠNG VNUNET [4]
1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet
Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thống
mạng VNUnet. Ta có thể tóm tắt một số ý chính như sau :
Viện CNTT
ĐH KHTN
ĐH KHXH-NV
Thư viện TĐ
KTX Mễ Trì
Khoa QTKD
TTPT Hệ thống, Khoa SP, Khoa SĐH
VP ĐHQGHN
TRƯỜNG
ĐH CÔNG
NGHỆ
Với hệ
thống thiết
bị ghép nối
mạng riêng
Trung tâm TTTV
10.1.0.0/16
10.10.0.0/16
Cáp quang
TT Đào tạo từ xa
Proxy
Web
Mail
• Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến
phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm
kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá
nhân, tập thể trên toàn hệ thống.
• Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.
• Có trung tâm dữ liệu mạnh.
• Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người
người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp
quyền của họ. Thâm nhập cũng có thể được thực hiện bởi “người bên ngoài”, họ khám
phá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng để chiếm
quyền điều khiển hệ thống.
Một thâm nhập có thể xảy ra dưới những dạng sau :
• Một virus, sâu hay trojan được cài vào máy qua những con đường như mail,
active X hay java script …
• Một mật khẩu bị mất trộm bằng những phương pháp như nghe trộm (sniffer),
nhìn trộm (shoulder surfing), tấn công vét cạn mã hoặc các phương pháp phá mã
khác.
• Chiếm đoạt những phiên dịch vụ hay những thiết bị không hỗ trợ mã hóa (telnet
cũ, ftp, IMAP hay POP mail …)
• Một tấn công vào lỗ hổng của các dịch vụ như ftp, Apache hay iis,…
• Thâm nhập vật lý vào máy tính và cướp tài khoản quản trị hay tạo những lỗ hổng
trong hệ thống cho phiên thâm nhập sau.
Một khi kẻ thâm nhập đã có được quyền hợp lệ với một máy tính hay một hệ
thống, họ thường cài đặt những phần mềm trojan mà che dấu sự điều khiển của họ với
hệ thống. Trojan là một chương trình giống như các chương trình khác mà người dùng
có thể muốn sử dụng, tuy nhiên khi sử dụng thì nó lại thực hiện những hoạt động bất
hợp pháp.
Một hành vi thâm nhập phổ thống khác là cài phần mềm nghe trộm hoặc
keylogger. Thông qua những máy bị chiếm quyền, kẻ thâm nhập có thể vươn ra cả mạng
bằng những mối quan hệ tin tưởng trên mạng.
8
Việc xác định được có thâm nhập trong mạng hay không là một việc khá khó khăn
vì những phần mềm gián điệp thường có cách để che giấu hoạt động đối với người quản
trị và người dùng. Chỉ có một cách để biết chắc chắn rằng có thâm nhập là kiểm tra lưu
lượng mạng tới các máy nghi ngờ ở bên ngoài, hoặc kiểm tra máy tính với những công
cụ an toàn.
2.1.2. Tấn công từ chối dịch vụ [11]
• Smurf Attack
• SYNFlood
• Land Attack
• UDP Flood
• Tear Drop
Chi tiết về các cách tấn công này xem trong phụ lục C.
Tấn công từ chối dịch vụ phân tán (Distributed DoS)
Tấn công từ chối dịch vụ phân tán xảy ra khi có nhiều máy trạm cùng tham gia vào quá
trình làm ngập lụt băng thông hoặc tài nguyên của máy bị tấn công. Để thực hiện được
tấn công DDoS, kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các chương
trình điều kiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời
điểm để đồng loạt tấn công vào một mục tiêu. Cách thức này có thể huy động tới hàng
trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công một lúc (tùy vào sự chuẩn bị
trước đó) và có thể ngốn hết băng thông của mục tiêu trong nháy mắt.
Các cách phòng chống
Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất
nhiều thời gian để khắc phục. Để phòng chống DoS có thể sử dụng một số biện pháp sau:
• Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá
mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.
• Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các
nguồn tài nguyên quan trọng khác.
• Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên
mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định
tuyến giữa các router.
• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống
lại SYN flood.
• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ
chưa có yêu cầu hoặc không sử dụng.
• Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn
ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để
cập tới máy tính. Hệ điều hành sai lầm khi cho phép các virus và phần mềm độc hại
thực thi các lệnh ở chế độ administrator.
Các lỗi phần mềm: Các lập trình viên thường bỏ qua một lỗi có thể khai thác trong
một chương trình phần mềm. Lỗi phần mềm này có thể cho phép một kẻ tấn công lạm
dụng một phần mềm.
Không kiểm tra nhập vào của người dùng. Một chương trình giả định rằng tất cả
các nhập vào của người dùng là an toàn. Các chương trình sẽ không thực hiện việc kiểm
tra nhập vào của người dùng có thể cho phép sự thực thi trực tiếp mà không được định
trước của các câu lệnh hoặc các câu lệnh SQL (vd như tràn bộ đệm , SQL injection hoặc
các đầu vào không có giá trị khác).
Phân loại lỗ hổng có thể xem thêm trong phụ lục D.
11
Công bố lỗ hổng
Các phương pháp làm giảm các lỗ hổng là một đề tài của cuộc tranh luận trong
giao tiếp an toàn máy tính. Một số người bảo nên lập tức đưa đầy đủ các thông tin về lỗ
hổng ngay khi chúng được phát hiện. Một số khác chứng minh rằng việc giới hạn khi
đưa ra các thông tin về lỗ hổng sẽ đặt người dùng vào những rủi ro lớn, và chỉ nên đưa
ra các thông tin chi tiết sau một thời gian, thậm chí có thể không đưa ra. Việc đưa ra
thông tin về các lỗ hổng sau một thời gian có thể cho phép thông báo để khắc phục các
vấn đề bởi nhà phát triển bằng các bản vá, nhưng có thể làm tăng rủi ro với người dùng.
Gần đây, hình thức thương mại hóa với việc đưa ra lỗ hổng bảo mật, như một vài công
ty bảo mật thương mại đã bỏ tiền cho việc độc quyền đưa ra lỗ hổng zero day. Những
người này sẽ cung cấp một thị trường hợp pháp để mua và bán các thông tin lỗ hổng từ
các trung tâm bảo mật.
Từ người bảo mật, việc tiết lộ các lỗ hổng miễn phí và công cộng chỉ thành công
nếu bên nhận bị ảnh hưởng lấy được thông tin thích đáng trước khi bị tin tặc, nếu không
các tin tặc sẽ có ngay lập tức có lợi thế trong việc lợi dụng khai thác. Việc bảo mật
thông qua việc che dấu thông tin các lỗ hổng cũng phải tương tự như trên .
Việc cho phép một cách công bằng việc phổ biến các thông tin bảo mật tích cực là
rất quan trọng. Thường sẽ có một kênh tin tưởng là nguồn của các thông tin bảo mật (vd
Virus là những phần mềm máy tính có khả năng lây nhiễm và phá hủy các phần
mềm thậm chí phần cứng máy tính. Các virus không thể lây lan nếu không thông qua
phương tiện chia sẻ như trao đổi tệp hoặc thư điện tử.
Sâu
Sâu có khả năng lây lan từ máy này sang máy khác giống như virus, nhưng chúng
khác virus ở chỗ chúng có thể tự lây lan mà không cần có sự điều
khiển của người phát tán. Chúng có thể nắm quyền điều khiển
máy tính, tự động trao đổi file. Bởi vì nó có khả năng sao chép
với số lượng rất lớn, sâu có thể làm cho những gói tin lưu thông
trong mạng tắc nghẽn, làm chậm tất cả các hoạt động liên quan
tới internet. Chúng còn làm cho ta trở thành những kẻ tấn công
bằng cách gửi đính kèm chính chúng trong những tệp tin gửi cho
danh sách bạn bè hay đồng nghiệp. Sâu cũng có thể là một công
cụ được sử dụng bởi những kẻ thâm nhập bằng cách chiếm quyền
hệ thống và tạo cổng sau cho kẻ thâm nhập truy cập vào.
Trojan
Trojan là các chương trình máy tính trông có vẻ như là
một phần mềm hữu ích, nhưng thực ra chúng làm tổn thương
bảo mật và gây ra rất nhiều phá hủy. Chúng chiếm quyền điều
khiển máy bị nhiễm và cho phép người ngoài truy cập trái pháp
tới, hoặc chúng có thể tự động download các lệnh thực thi từ
một địa chỉ ngoài. Trojan thường đi kèm với keylogger, một
phần mềm lưu lại các thao tác bàn phím của người dùng và gửi
13
cho kẻ điều khiển hoặc phần mềm theo dõi màn hình máy tính. Việc có được những mật
khẩu hợp lệ làm cho kẻ tấn công chiếm được toàn quyền với tài khoản của người dùng.
Cũng có những thuật ngữ khác về những mối đe dọa an ninh mạng, tuy nhiên
chúng chỉ là phương tiện dẫn đường cho những hoạt động kể trên.
2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1]
Thâm nhập vào một hệ thống không phải là một công việc đơn giản nhưng cũng
về tên miền của đối tượng, số địa chỉ IP đã cấp phát hay cả những thông tin cá nhân của
nhân viên trong một công ty đối tượng. Những thông tin tưởng chừng đơn giản này lại
là những thông tin không thể thiếu được khi bắt đầu một tấn công thâm nhập vào hệ
thống của đối tượng. Các thông tin cá nhân về nguồn tài nguyên con người như Số điện
thoại, quê, nhà, chức vụ, ngày sinh…, đôi khi chỉ với những thông tin này hacker đã có
thể làm chủ hệ thống.
Chỉ có một cách để ngăn ngừa việc in dấu là bảo vệ những thông tin nhạy cảm
khỏi những nơi có thể dễ dàng truy cập đến.
Bước tiếp theo trong quá trình này là dò quét (Scanning)
Nếu như in dấu chỉ tìm hiểu các thông tin bên ngoài của một nhà băng thì dò quét
là kiểm tra tất cả các cửa sổ hay cửa ra vào của nhà băng đó. Việc đầu tiên trong đó là
xác định xem hệ thống có “sống” hay không. Việc này có thể được thực hiện bằng các
15
công cụ như ping (hay fping hoặc nmap). Tiếp đó là xác định xem có những dịch vụ tcp
hay udp nào đang hoạt động trên các máy đối tượng. Có rất nhiều cách thức cũng như
công cụ để thực hiện việc này ngày nay. Bước cuối cùng là xác định hệ điều hành trên
các máy đó, việc này rất quan trọng trong việc tấn công thâm nhập qua các lỗ hổng bảo
mật.
Bước cuối cùng trong các bước tìm kiếm thông tin là enumeration (điểm danh).
Hành động này yêu cầu phải kết nối và truy vấn trực tiếp tới máy đối tượng nên nó khá
dễ bị lưu vết và cảnh báo. Cách thức cơ bản nhất của của điểm danh là lấy banner
(banner grabbing). Thông tin này sẽ cho biết các dịch vụ đang sử dụng và phiên bản của
các dịch vụ đó. Ví dụ :
C:\>telnet ww w .abc.com 80
HTTP/1.0 400 Bad Request
Server: Netscape-Commerce/1.12
Your browser sent a non-HTTP compliant message.
Có nhiều cổng có thể sử dụng cho việc lấy thông tin này như cổng 80 HTTP, cổng
25 SMTP, cổng 21 FTP.
Một trong những dịch vụ bị khai thác nhiều nhất từ xưa đến nay là dịch vụ DNS
vụ này trong cuốn Hacking Exposed ở phần tài liệu tham khảo bên dưới.
Sau khi đã lấy được đầy đủ thông tin về đối tượng, các hacker có thể chọn lựa các
phương thức tấn công, thâm nhập khác nhau. Đầu tiên, hacker có thể chọn DoS hoặc
DDoS đối tượng. Các cách thức tấn công từ chối dịch vụ này không làm hacker chiếm
được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tường lửa và
các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thống mạng qua đó
tạo điều kiện cho việc thâm nhập dễ dàng hơn.
Nếu lượng thông tin thu được trong các bước trên đủ để thực hiện một tấn công
nhằm vào hệ thống thì hacker không cần phải tấn công từ chối dịch vụ mà sẽ khai thác
các lỗ hổng bảo mật hoặc phã mã để có một số tài khoản quản trị thông qua nghe trộm,
phishing sử dụng keylogger, worm và trojan. Cũng có một số trường hợp, khi hacker
không tìm ra được các điểm yếu của hệ thống, họ tấn công vào điểm yếu con người. Ví
dụ như họ giả mạo đối tác kinh doanh để yêu cầu tài khoản hợp lệ, hoặc họ cũng có thể
gọi điện cho nhân viên quản lý và giả vờ bị mất tài khoản. Tất nhiên việc có được đầy
đủ các thông tin về con người là rất cần thiết.
Nếu hacker chỉ có được những tài khoản quản trị ở mức thấp thì họ sẽ tìm cách
nâng cấp quyền quản trị của tài khoản đó bằng cách lợi dụng sự tín nhiệm của tài khoản
đó.
Nếu sau bước này, hacker có được toàn quyền hệ thống thì việc cuối cùng mà họ
làm là xóa dấu vết và đặt backdoor để thâm nhập lần sau dễ dàng hơn. Công việc xóa
17
dấu vết chỉ đơn giản là xóa các log của hệ thống giám sát hay của hệ điều hành máy
thâm nhập, mức độ xóa dấu vết tùy thuộc vào mục đích tấn công của hacker. Một số
hacker muốn nổi danh thậm chí còn cố ý để lại dấu vết, ngoài ra có những hacker ăn cắp
các tư liệu mật, họ cũng muốn để lại thông điệp tống tiền hay tương tự để người quản trị
biết, tuy nhiên hầu như tất cả đều phải xóa những thông tin lộ ra họ là ai. Còn backdoor
được sử dụng cũng có nhiều mức độ khác nhau, các hacker có thể tạo một worm hay
trojan trong hệ thống, có thể cài đặt một phần mềm keylogger hay đơn giản chỉ tạo một
tài khoản ẩn.
2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP
Copyright: Tài liệu đại học ©