Page 33 - Tự Khắc Phục Máy Tính Khi Bị Vi Rút Tấn Công
P. 33
Giải pháp phòng chống
Qua một số ví dụ trên, chúng ta nhận thấy các thông tin
quan trọng và những tập tin riêng tư có thể bị đánh cắp khá
dễ dàng. Để phòng ngừa các trường hợp như vậy, chúng ta
không nên tiến hành các hình thức chứng thực username và
passvvord dưới dạng vãn bản đơn thuần (không mã hóa) mà
nên mã hóa chúng bằng IPSec hay SSL. Tuy nhiên, không
phải lúc nào chúng ta cũng có thể thực hiện được các giải
pháp này và cũng không phải lúc nào các giải pháp đó cũng
mang lại hiệu quả tốt nhất (vẫn có thể bị các chương trình
như dsniff hay ettercap bẻ khoá). Do đó, trong vai trò quản trị
mạng, cách tốt nhất là bạn thường xuyên giám sát các hành
động bất thường trong hệ thống của mình để đưa ra hành
động thích hợp.
Như trong trường hợp ở trên, hệ thống bị tấn công do cơ
chế giả danh ARP (hay còn gọi bằng thuật ngữ “spoofing
arp”) - một giao thức dùng để phân giải địa chỉ vật lý MAC
của máy tính. Ta có thể dùng arpvvatch giám sát các thông tin
arp trong hệ thống để phát hiện khi bị tân công bằng các
phương pháp spooíing arp hay sniffer. Hoặc bạn tiến hành cài
đặt các hệ thống IDS như Snort, GFI để phát hiện các hành
động bất thường trên mạng.
Thực tế, bạn có thể dùng chính etteracp để dò tìm ra chính
nó cũng như các chương trình sniffer khác trên mạng theo
phương pháp “đĩ độc trị độc”. Ettercap có hái plug-in rất hữu
ích, một dùng để tìm kiếm các máy tính chạy chương trìiứi
ettercap khác ưên mạng và plug-in còn lại dùng để phát hiện
các chương trình sniffer khả nghi khác. Ví dụ, nếu nghi ngờ có
ai đó đang “nghe lén” trên mạng, bạn khởi động ettercap và
nhấn phím p, sau đó chọn plug-in đầu tiên sẽ tìm ra các máy
đang chạy ettercap. Còn khi đối phương sử dụng các chương
trình khác như dsniff, ta có thể dò tìm thông qua plug-in thứ 15
là arpcop, lúc đó một cửa sổ mới sẽ hiển thị nliững máy tính
đang chạy các chương trình spooPing arp trên mạng.
33
