HomeĐời SốngTấn công non-electronic

Tấn công non-electronic

14:39, 27/03/2021

Chương 8 - System hacking. Trong những cmùi hương trước, bọn họ đã khảo sát qua quá trình thu thập thông tin của kim chỉ nam phải tấn công. Những kỹ thuật nlỗi footprinting, social engineering, enumeration, google hacking…đã làm được vận dụng đến mục đích truy hỏi tìm lên tiếng. Đến chương này, chúng ta bước đầu lấn sân vào quá trình tấn công hệ thống thiệt sự. Mời các bạn cùng tham khảo.




Bạn đang xem: Tấn công non-electronic

*

CHƯƠNG 8: SYSTEM HACKINGPhạm Tkhô giòn TânTrong những chương thơm trước, chúng ta vẫn điều tra qua quá trình thu thập báo cáo của mục tiêuđề nghị tiến công. Những nghệ thuật nlỗi Footprinting, Social engineering, Enumeration, GoogleHacking…đã được áp dụng mang lại mục đích truy tìm thông tin.Đến cmùi hương này, bạn bắt đầu đi vào quy trình tiến công khối hệ thống thiệt sự. Mục tiêu của bạnbây chừ sẽ lộ rõ trước mắt, bạn đề xuất triển khai phần lớn nghệ thuật không giống nhau để triển khai sao vàođược trong hệ thống đó, thực hiện phần đa câu hỏi mà mình mong ước, nlỗi xóa dữ liệu, chạychương trình trojan, keylogger…Quá trình tiến công hệ thốngTrước Khi liên tiếp nói đến System Hacking chúng ta dành chút ít thờigian đến việc tò mò một quá trình tấn công khối hệ thống. Mục tiêuphía đằng trước của họ là một khối hệ thống máy tính xách tay. Các bước đểtấn công, đánh sập nó, có thể được liệt kê nhỏng hình mẫu vẽ ở kề bên.Nó bao gồm 6 công đoạn nlỗi sau:1. Enumerate (liệt kê): Trích ra toàn bộ gần như thông báo cóthể về user trong khối hệ thống. Sử dụng phương thức thăm dòSNMP.. để sở hữu được các lên tiếng hữu dụng, đúng mực rộng.Quý Khách vẫn tìm hiểu về phương thức SNMP.. trong phần trước.2. Crack: Công đoạn này có lẽ hấp dẫn những hacker tuyệt nhất.Bước này từng trải chúng ta bẽ khóa mật khẩu đăng nhập đăng nhậpcủa user. Hoặc bằng một biện pháp làm sao khác, kim chỉ nam buộc phải đạttới là quyền truy vấn vào hệ thống.3. Escalste (leo thang): Nói mang lại dễ nắm bắt là thay đổi giớihạn truy cập tự user binc thường lên admin hoặc user cóquyền cao hơn nữa đầy đủ đến bọn họ tiến công.4. Execute (thực thi): Thực thi áp dụng bên trên khối hệ thống máyđích. Chuẩn bị trước malware, keylogger, rootkit…để chạy Hình 8. 1: Quy trìnhtấn công hệ thốngnó trên laptop tiến công.5. Hide (ẩn file): Những tệp tin xúc tiến, tệp tin soucecode chạychương trình…cần phải được thiết kế ẩn đi, tránh bị phương châm vạc hiện hủy hoại. 6. Tracks (dấu vết): Tất nhiên không hẳn là giữ lại vết tích. Những công bố gồm liênquan mang đến bạn phải bị xóa sạch sẽ, không còn lại bất kể vật dụng gì. Nếu ko khả năngbạn bị vạc hiện là người chợt nhập là không nhỏ.Trong cmùi hương này, các bạn sẽ thuộc trải qua đều công nghệ triển khai các bước trên để tấncông hệ thống. Qua đó bọn họ sẽ chỉ dẫn phần đông chiến thuật để chống lại tiến công kia. PhầnEnumeration đã làm được luận bàn trong cmùi hương trước, buộc phải sẽ không kể vào phần này.Phần 1: Cracking Passwords1. Mật khẩu và các hình trạng tấn công mật khẩuMột vài hình dáng password dùng để truy vấn vào hệ thống. Các ký từ cần sử dụng có tác dụng mật khẩu đăng nhập có thểrơi vào cảnh những ngôi trường thích hợp sau.Chỉ là vần âm. VD: ABCDJChỉ là số. VD: 457895Chỉ là số đông cam kết trường đoản cú đặc biệt. VD: #$^


Xem thêm: Ổ Cứng Gpt Là Gì - Cách Kiểm Tra Ổ Cứng Chuẩn Mbr Hay Gpt

&*Chữ chiếc với số. VD: asw04d5sChỉ là số và ký kết từ quan trọng. VD: #$345%4#4Chữ mẫu ,số, và ký tự đặc trưng. VD: P


Xem thêm: Tìm Hiểu Về Công Nghệ Sạc Nhanh Quick Charge 3.0 Là Gì, Công Nghệ Sạc Nhanh Qc 3

ssw0rdĐộ mạnh mẽ của password phụ thuộc vào vào kỹ năng nhạy bén của hacker. Quy tắc dưới đây, đềnghị của Hội đồng EC, đề xuất được vận dụng khi bạn chế tạo ra một password, nhằm đảm bảo an toàn nó chốnglại các cuộc tiến công. Không đựng tên thông tin tài khoản tín đồ dùng Ngắn thêm tuyệt nhất nên 8 ký kết tự Phải cất những ký kết trường đoản cú từ ít nhất tía trong những các một số loại sauo Có chứa các ký kết từ bỏ sệt biệt/o Chứa hẹn chữ số.o Chữ loại viết thườngo Chữ mẫu viết hoa.Một hacker dùng các bí quyết tấn công khác nhau nhằm search password cùng thường xuyên truy vấn vào hệthống. Các hình dáng tiến công password hay ở dạng sau: Hình 8. 2: Các hình dạng tấn công mật khẩu Passive Online: Nghe trôm sự biến đổi password bên trên mạng. Cuộc tiến công thụđụng trực con đường gồm những: sniffing, man-in-the-middle, cùng replay attacks (tấn côngdựa vào phản nghịch hồi) Active Online: Đoán thù trước mật khẩu đăng nhập nguời quản lí trị. Các cuộc tiến công trực tuyếnbao hàm Việc đoán thù password auto. Offline: Các hình dạng tiến công nlỗi Dictionary, hybrid, với brute-force. Non-Electronic: Các cuộc tấn công dựa vào yếu tố bé bạn như Socialengineering, Phising…Passive sầu Online AttacksMột cuộc tiến công tiêu cực trực tuyến là tiến công hơi (sniffing) nhằm search những dấu vết, những mậtkhẩu trên một mạng. Mật khẩu là bị tóm gọn (capture) vào quá trình xác thực với sau đó tất cả thểđược so sánh với cùng một trường đoản cú điển (dictionary) hay những danh sách từ (word list). Tài khoản ngườidùng tất cả password thường xuyên được băm (hashed) hoặc mã hóa (encrypted) trước khi gửi lênmạng để ngăn chặn truy vấn trái phép với áp dụng. Nếu password được bảo đảm bởi cáchbên trên,một vài nguyên lý đặc biệt giúp hacker hoàn toàn có thể phá vỡ những thuật tân oán mã hóa mật khẩu.Active Online AttacksCách dễ nhất nhằm đã đạt được cấp độ truy cập của một cai quản trị viên hệ thống là đề nghị đoán từđơn giản thông qua trả định là các cai quản trị viên sử dụng một mật khẩu dễ dàng. Mật khẩu đoán là để tấn công. Active Online Attaông chồng dựa trên những nguyên tố con người tham mê gia vào việctạo thành mật khẩu cùng cách tiến công này chỉ bổ ích với phần đa mật khẩu đăng nhập yếu.Trong chương thơm 6, lúc chúng ta bàn thảo về các quá trình Enumeration, chúng ta đã học đượcsố đông lỗ hổng của NetBIOS Enumeration cùng Null Session. Giả sử rằng NetBIOS TCP.. mởport 139, phương pháp công dụng tốt nhất nhằm hốt nhiên nhtràn vào Win NT hoặc hệ thống Windows2000 là đoán mật khẩu đăng nhập. Cái này được thực hiện bằng phương pháp cố gắng kết nối cho hệ thốngy hệt như một quản trị viên thực hiện. Tài khoản và mật khẩu được phối hợp để đăng nhậpvào hệ thống.Một hacker, thứ nhất hoàn toàn có thể thử để liên kết với tài nguyên ổn chia sẽ mặc định là Admin$, C$hoặc C:Windows. Để kết nối tới những ổ đĩa máy vi tính, ổ đĩa share, gõ lệnh tiếp sau đây trongStart > Run:\ ip_address c$Các lịch trình tự động hóa rất có thể lập cập tạo nên tệp tin từ điển, list trường đoản cú, hoặc kếthòa hợp toàn bộ có thể bao gồm của các vần âm, số và cam kết từ bỏ đặc biệt quan trọng cùng nỗ lực để đăng nhập lệ. Hầuhết những khối hệ thống ngăn ngừa hình dạng tiến công này bằng phương pháp tùy chỉnh một trong những lượng buổi tối nhiều củanhững cố gắng đăng nhập vào một hệ thống trước khi tài khoản bị khóa. (ví dụ khi bạn đăngnhập vào một trang web mà lại các bạn nhập sai password 5 lần thì thông tin tài khoản các bạn từ bỏ hễ bị khóalại 1 ngày)Trong những phần sau, bọn họ đang đàm luận làm rứa làm sao hacker hoàn toàn có thể tiến hành Việc trường đoản cú độngđoán thù password nghiêm ngặt hơn, cũng tương tự các biện pháp ứng phó cùng với các cuộc tiến công nhưvậy.Performing Automated Password Guessing: (Tự Động Đân oán Mật Khẩu)Để tăng vận tốc đoán thù của password, hacker hay sử dụng phương pháp tự động. Một biện pháp bao gồm quátrình, tiện lợi để auto đoán thù password là áp dụng cửa sổ lệnh dựa vào cú pháp chuẩncủa lệnh NET USE. Để tạo nên một kịch phiên bản đơn giản dễ dàng mang đến Việc đoán mật khẩu đăng nhập tự động, thựchiện tại quá trình sau đây:1. Tạo ra một tên người dùng đơn giản và tập tin mật khẩu bằng phương pháp áp dụng các cửasổ notepad. Dùng những cái lệnh nhằm tạo nên danh sách các trường đoản cú điển. Và sau đó lưu lại vàonhững tập tin vào ổ đĩa C, cùng với tên là credentials.txt2. Sử dụng lênh FORC:> FOR /F “token=1, 2*” %i in (credentials.txt) 3. Gõ lệnhnet use \targetIPIPC$ %i /u: %jđể sử dụng tệp tin credentials.txt cố gắng logon vào hệ thống phân tách sẽ ẩn trên hệ thống mụctiêuBảo Vệ Chống Lại Các Hoạt Động Đoán Mật KhẩuCó nhị vấn đề trường tồn là bảo đảm hạn chế lại đân oán mật khẩu với tiến công password. Cả nhì cáchtấn công đều rất hợp lý tạo tinh thần bất an Khi người tiêu dùng sinh sản password riêng biệt củachúng ta. Một người sử dụng cũng hoàn toàn có thể được chứng thực (authenticated) cùng chứng thực (validated)bằng cách khám nghiệm. Trong đó đòi hỏi hai hình thức dấn dạng (ví dụ như các thẻlý tưởng (smart card) cùng mật khẩu) Khi đúng đắn người dùng. Bằng biện pháp trải nghiệm một cáinào đó người dùng có thể bao gồm (smart card) cùng một cái gì đó mà người tiêu dùng biết (mật khẩu) ,bảo mật thông tin tăng, với ko dễ ợt tấn công .Offline AttacksCuộc tấn công Offline được tiến hành trên một địa điểm không giống hơn là hành động tại máy tính xách tay cócất mật khẩu đăng nhập hoặc địa điểm password được áp dụng. Cuộc tiến công Offline đề nghị phần cứngđể truy vấn đồ gia dụng lý vào máy tính với coppy các tập tin mật khẩu đăng nhập từ bỏ khối hệ thống lên phươngtiện thể di động cầm tay. tin tặc sau đó gồm tệp tin kia với thường xuyên khai quật lỗ hổng bảo mật thông tin. Bảng sauminch họa vài ba mô hình tấn công offline:Bảng 8.1: Các giao diện tấn công OfflineType of AttackDictionary attackHybrid attackBrute-force-attackCharacteristicsExample PasswordNỗ lực nhằm sử dụng password tự từđiểnAdministratorTtốt gắng một vài ba ký kết từ bỏ của mậtkhẩuTxuất xắc thay đổi cục bộ ký trường đoản cú của mật khẩuAdm1n1stratorMs!tr245

Chuyên mục: Đời Sống