www.nhipsongcongnghe.net
7 open tcp echo
19 open tcp chargen
21 open tcp ftp
...
TCP Sequence Prediction: Class=random positive increments
Difficulty=17818 (Worthy challenge)
Remote operating system guess: Linux 2.2.13
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
Tuy nhiên, sử dụng các công cụ này không thể thay thế cho một người quản trị có
kiến thức. Bởi vì việc dò tìm thường dự báo một cuộc tấn công, các site nên ưu tiên
cho việc theo dõi chúng. Với các công cụ dò tìm, các nhà quản trị hệ thống mạng có
thể phát hiện ra những gì mà các hacker có thể thấy khi dò trên hệ thống của mình.
9.7. Phát hiện sự xâm nhập qua mạng
Nếu hệ thống của bạn có kết nối vào internet, bạn có thể trở thành một mục tiêu bị dò
tìm các lỗ hổng về bảo mật. Mặc dù hệ thống của bạn có ghi nhận điều này hay không
thì vẫn không đủ để xác định và phát hiện việc dò tìm này. Một vấn đề cần quan tâm
khác là các cuộc tấn công gây ngừng dịch vụ (Denial of Services - DoS), làm thế nào
để
ngăn ngừa, phát hiện và đối phó với chúng nếu bạn không muốn hệ thống của bạn
ngưng trệ.
Hệ thống phát hiện xâm nhập qua mạng (Network Intrusion Detection System -
NIDS) theo dõi các thông tin truyền trên mạng và phát hiện nếu có hacker đang cố
xâm nhập vào hệ thống (hoặc gây gây ra một vụ tấn công DoS). Một ví dụ điển hình
là hệ thống theo dõi số lượng lớn các yêu cầu kết nối TCP đến nhiều port trên một
máy nào đó, do vậy có thể phát hiện ra nếu có ai đó đang thử một tác vụ dò tìm TCP
port. Một NIDS có thể chạy trên máy cần theo dõi hoặc trên một máy độc lập theo dõi
toàn bộ thông tin trên mạng.
Các công cụ có thể được kết hợp để tạo một hệ thống phát hiện xâm nhập qua mạng.
Chẳng hạn dùng tcpwrapper để điều khiển, ghi nhận các dịch vụ đã được đăng ký.
Các chương trình phân tích nhật ký hệ thống, như swatch, có thể dùng để xác định các
tác vụ dò tìm trên hệ thống. Và điều quan trọng nhất là các công cụ có thể phân tích
các thông tin trên mạng để phát hiện các tấn công DoS hoặc đánh cắp thông tin như
tcpdump, ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel,
Snort, ...
Khi hiện thực một hệ thống phát hiện xâm nhập qua mạng bạn cần phải lưu tâm đến
hiệu suất của hệ thống cũng như các chính sách bảo đảm sự riêng tư.
9.8. Kiểm tra khả năng bị xâm nhập
Kiểm tra khả năng bị xâm nhập liên quan đến việc xác định và sắp xếp các lỗ hổng an
ninh trong hệ thống bằng cách dùng một số công cụ kiểm tra. Nhiều công cụ kiểm tra
cũng có khả năng khai thác một số lỗ hổng tìm thấy để làm rõ quá trình thâm nhập trái
phép sẽ được thực hiện như thế nào. Ví dụ, một lỗi tràn bộ đệm của chương trình phục
vụ dịch vụ FTP có thể dẫn đến việc thâm nhập vào hệ thống với quyền ‘root’. Nếu
người quản trị mạng có kiến thức về kiểm tra khả năng bị xâm nhập trước khi nó xảy
ra, họ có thể tiến hành các tác vụ để nâng cao mức độ an ninh của hệ thống mạng.
