Messages posted by: invalid-password

Voyage146 wrote:

@invalid_password: bạn nên đọc lại các case có trong diễn đàn. Policy này sẽ thực hiện tất cả các rule mình đã đưa vào trước, cuối cùng mới là drop all.

Mình thì lại tưởng nhầm đây là thứ tự trong file cấu hình mà không coi kỹ nó là command gõ vào smilie

Bạn hiểu chưa đúng rồi, firewall nó sẽ xem xét các rule theo thứ tự từ trên xuống dưới, khi gặp rule đầu tiên khớp thì nó sẽ hành động theo rule đó rồi ngưng xét các rule tiếp theo.

Voyage146 wrote:

Đây là cấu hình tôi sử dụng:
iptables -P INPUT DROP
...
Sau khi sử dụng cấu hình này thì lap của tôi không thể sử dụng bất kì dịch vụ nội bộ nào cả.

Dòng rule đầu tiên sẽ khớp tất cả gói tin đi vào nên phía ngoài không thể kết nối.

Giả sử trong mạng chỉ có 3 máy PC1, PC2, PC3. Bạn muốn cho PC1 và PC2 kết nối, nhưng chặn PC3, thì có 2 cách cấu hình như sau:

1. Kiểu "cho phép tất cả trước, chặn cụ thể sau":
    DROP PC3
    ACCEPT ALL
Đầu tiên viết dòng rule cho phép tất cả, sau đó cái nào cần chặn thì chỉ ra, và tất nhiên phải đặt nó lên trên dòng ACCEPT ALL.

2. Kiểu "chặn tất cả trước, cho phép cụ thể sau":
    ACCEPT PC1
    ACCEPT PC2
    DROP ALL
Đầu tiên viết dòng rule chặn tất cả, sau đó cái nào cần cho phép thì chỉ ra, và tất nhiên phải đặt nó lên trên dòng DROP ALL.

Kiểu thứ 2 là kiểu nên dùng !

Sao không tìm mấy site dính mấy lỗi "hiện đại" mà cứ tìm lỗi "cổ đại" chi vậy smilie

rennersstar wrote:

Vậy nếu muốn lấy thì họ lấy bằng cách nào, trong một mạng Lan lớn có hàng trăm máy tính truy cập internet mỗi ngày?

Yên tâm là có cách lấy, không có vấn đề gì về kỹ thuật, chỉ có rào cản pháp lý, hoặc số tiền lớn bỏ ra đề đầu tư mà lấy về chẳng dùng làm gì !
Những thứ có ở ISP không giống những thứ có trong mạng LAN trường học nên bạn nhìn vào mạng LAN sẽ không "thấy" nó là cái gì smilie

Proxy nó thường chỉ lưu log chứ không lưu cả nội dung, tuy nhiên không phải là không thể lấy được.
Ngoài proxy ra thì còn có ISP có thể đọc được nữa đó smilie

panfider wrote:

Mình nghĩ mmu ttrong cpu chỉ là đồ giã mà thôi

Đừng nghĩ, hãy chỉ ra chứng cứ ! smilie

Nếu bạn không phải là người nghiên cứu về các lỗ hổng mà chỉ là người quản trị, đảm bảo an toàn mạng thì bạn chỉ cần biết rằng hiện nay đang có một cái lỗ hổng gọi là HeartBleed, nó ảnh hưởng tới những cái gì-hệ thống nào, và cần làm gì (patch, update) để khắc phục nó, hết.

Mình thì mình không nghiên cứu về các lỗ hổng, đọc thì nhức đầu, mà cũng không dùng làm gì cả, lại mau trôi qua và chìm vào quên lãng, nên mình không đọc smilie

Mình cũng làm về sờ-cu rờ-ti (security) nè, việc của mình chỉ đơn giản là cài patch, sau đó lãnh lương. Nghề bảo mật thật là đơn giản !

Đang đi làm kiếm được tiền rồi thì học gì liên quan đến công việc để mau thăng tiến, tăng lương, chứ học hack làm gì. Không lẽ học hack có liên quan đến công việc à ? Học hack để kiếm thêm tiền à ?

Nhiều core thì nó chạy song song thật sự đó chứ !
Không biết các giáo trình vi xử lý ở VN hiện nay đã cập nhật các VXL đa core và VXL 64-bit chưa chứ hồi tui học vẫn còn học VXL 32-bit 386. Ai mới vừa học môn VXL xong cho biết thông tin nhé.

thienhoang562 wrote:

192.168.1.1 (A) => 192.168.0.1 (B) => 192.168.10.1 (C) => Laptop (L)

+ Trên con (A): Cấu hình NAT trỏ đến IP mà con A cấp cho con B. Ví dụ con B có IP là 192.168.1.10 thì NAT đến 192.168.1.10 (trên con B có 2 IP, IP 192.168.1.10 là IP đường lên do A cấp, IP 192.168.0.1 là IP đường xuống để làm gateway cho con C đứng sau). Port NAT là cái port cần mở, VD trên L làm web server port 8080 thì mở port 8080.
+ Trên con (B): Cấu hình NAT trỏ đến IP mà con B cấp cho con C. Ví dụ con C có IP là 192.168.0.5 thì NAT đến 192.168.0.5 (trên con C có 2 IP, IP 192.168.0.5 là IP đường lên do B cấp, IP 192.168.10.1 là IP đường xuống để làm gateway cho con L đứng sau). Port NAT là cái port cần mở, VD trên L làm web server port 8080 thì mở port 8080.
+ Trên con (C): Cấu hình NAT trỏ đến IP mà con C cấp cho con L. Ví dụ con L có IP là 192.168.10.100 thì NAT đến 192.168.10.100 (trên con L chỉ có 1 IP do C cấp). Port NAT là cái port cần mở, VD trên L làm web server port 8080 thì mở port 8080.

Cứ làm từ từ !

Biết là có tính năng NAT port rồi thì cấu hình đi, map từ từ từ ngoài vô trong

Cả 3 con router đó đều phải có tính năng NAT.
Bạn chui vô cả 3 con tìm tính năng NAT, nếu 1 con không có tính năng này thì không làm được.
Mà tui nghĩ con 192.168.10.1 có thể không làm được (mấy con đóng vai trò access point, repeater thường không có nhiều tính năng)

Đừng ham hố học hack, học cách xây dựng thì có nhiều cơ hội kiếm ra tiền hơn là học cách phá.
Theo tôi thì học cách bảo vệ một hệ thống thì không cần biết hack, đừng nghe lời mấy trung tâm dụ dỗ "học kỹ thuật của hacker để chống lại hacker".

phuchau89 wrote:

hiện em đang có 1 switch cisco

Bạn lấy mã hiệu của con switch đó (VD Cisco C2950), lên trang Cisco tra specification của nó, tìm 2 thông số này:
+ Switching capacity, tính bằng bit per second (bps)
+ Forwarding capacity, tính bằng packet per second (pps)
Tìm hiểu 2 thông số đó !

phuchau89 wrote:

nguyên tắc chia sẻ băng thông của switch như thế nào

- Đối với 1 port: cùng lúc truyền ra (output) và truyền vào (input) bằng tối đa khả năng của port đó. Tức là port 1000Mbps thì cùng lúc input=1000Mbps và output=1000Mbps (vì switching capacity luôn lớn hơn khả năng của 1 port).
- Đối với toàn bộ switch: tổng lưu lượng truyền vào của tất cả các port có tốc độ bit không vượt quá switching capacity, và tốc độ gói không vượt quá forwading capactity. VD: switching capacity của switch=20Gbps nghĩa là tổng input tất cả 24 port 1000Mbps không vượt quá 20Gbps.

phuchau89 wrote:

Có phải là 1000Mbps chia đều cho 23 hay không?

Việc bạn chia nó thành 1 port router và 23 port máy trạm là do bạn chia, switch nó vẫn coi là 24 port như nhau.

Cấp từ lớn đến nhỏ hay từ nhỏ đến lớn hay cấp ngẫu nhiên thì do phần mềm DHCP quyết định, không cấu hình được. Hồi 2011 mình có thử bắt gói ISC DHCP v4.2 và Windows 2k8R2 thì 1 thằng cấp từ lớn đến nhỏ, 1 thằng lại cấp ngẫu nhiên (lâu quá không nhớ rõ)

"Using smart switching" có phải là cách đặt thiết bị kiểu inline không vậy ?

tannewtan wrote:

nếu người dùng là lần đầu vào website thì đoạn script này sẽ tự động load file HTML này về máy và tác động vào trình duyệt web như (chome, firefox...) như thế nào đó để sau này khi người dùng gõ địa chỉ web vd: abc.com thì trình duyệt tự động load file html đã tải về trước đó trong máy và hiển thị ra

Kỹ thuật này đã có và đang chạy rầm rầm bạn nhé, nó là web cache. Lần đầu máy tải về hết nội dung kèm theo thời gian expire, những lần sau nếu chưa quá thời gian thì máy nó không tải lại nội dung lần nữa đâu.

tannewtan wrote:

như vậy nếu có DOSS xẩy ra thì chỉ có 1 lần truy cập duy nhất đến dc địa chỉ abc.com cho 1 máy tính và các lần sau thì.... chạy site trên máy rồi, không truy cập đến abc.com được nữa thế là ta CHẶN DƯỢC DOSS 100% rồi smilie

Đó chỉ là hoạt động bình thường của user, còn kẻ tấn công sẽ không chạy theo kiểu bình thường mà nó gửi lệnh trực tiếp đến server luôn, không bị ảnh hưởng bởi cache.

n2tforever wrote:

vẫn quy về vô hạn và hữu hạn thôi bác. nếu bác để ý thì số lượng hash md5 tối đa bằng 2^128 và số các string có thể có phụ thuộc vào chiều dài xâu, khi chiều dài xâu tăng lên thì số lượng các xâu có thể có cũng tăng lên theo, đến một độ dài nào đó ví dụ n chẳng hạn thì số lượng các xâu có chiều dài n sẽ vượt quá 2^128 và tất nhiên khi đó sẽ có 2 xâu chiều dài n có cùng hash.
=> câu trả lời cho câu 1 là có thể.

Hiểu rồi. Nguyên lý lồng chim smilie

n2tforever wrote:

tương tự cho câu 2, nếu bác dùng kêt hợp md5 và sha thì do md5 và sha đều có chiều dài cố định nên chắc chắn số lượng các giá trị hash kết hợp sẽ bị giới hạn còn số lượng string sẽ là vô hạn => chắc chắn cũng có đụng độ.

Hiểu luôn. Nếu chuỗi đạt đến độ dài n, ta lấy ra 2^128+1 chuỗi thì sẽ có ít nhất 1 cặp bị collision MD5. Sau khi trừ cặp đó ra và thêm 2 chuỗi nữa thì lại bị collision tiếp. Nếu lấy ra 2^128+1+2k chuỗi thì sẽ có k+1 lần bị collision. Và nếu k+1 mà lớn hơn 2^160 nữa thì trong số các MD5 collision sẽ có 1 cặp bị SHA collision.
Tuy nhiên cách dùng MD5 và SHA1 sẽ giảm khả năng collision rất nhiều.

Trên bài toán thực tế chắc không có bài toán mà số chuỗi lại dài vô hạn, mình phải dựa vào số lượng các chuỗi có thể có và tính được xác suất collision, từ đó quyết định nên dùng hash nào và mấy hash kết hợp.

n2tforever wrote:

số lượng các string là vô hạn, số lượng các giá trị hash là có hạn nên tất yếu có hai string cùng hash

Các bác chẳng hiểu em hỏi gì cả !
Em xin nói lại cho rõ hơn:
Câu 1: Có tồn tại 2 chuỗi s1 và s2 nào có chiều dài bằng nhau và hash MD5 giống nhau ? (MD5 giống nhau nhưng chiều dài khác nhau thì em biết là có rồi). Nếu điều này không tồn tại thì em chỉ cần kiểm tra vừa hash vừa chiều dài thì đảm bảo tránh được collision, nếu điều này tồn tại thì không thể dùng cách này.
Câu 2: (Giả sử không thể thực hiện theo câu 1) Có tồn tại 2 chuỗi s1 và s2 nào mà MD5 giống nhau và SHA1 cũng giống nhau nốt ? Nếu không tồn tại thì em chỉ cần dùng đồng thời MD5 và SHA1 là đảm bảo tránh được collision, còn không thì không thể dùng cách này.
Câu 3: (Giả sử không thể thực hiện theo câu 2) Có 2 phương pháp hash nào có thể sử dụng đồng thời để hoàn toàn tránh được collision ?

breakoflove wrote:

Bắt cái vô hạn nằm trong cái hữu hạn thì làm sao được .

Không hiểu lắm ?

Nếu công việc của bạn hiện tại có thể làm trên Excel và bạn muốn tự động thêm một ít thì tôi nghĩ Excel có thể đáp ứng được. Thực ra Excel mạnh hơn mình nghĩ, đặc biệt là đối với lớp bài toán thống kê như công việc dự báo của bạn.
Bạn nên qua diễn đàn Giải pháp Excel, nêu rõ vấn đề là bạn cần làm là gì. Đưa 1 số liệu đầu vào và cái bạn cần ở đầu ra là gì, người trên diễn đàn Excel sẽ giúp bạn. Excel 2010 đã giúp tôi giải quyết những vấn đề thống kê mà 10 năm trước tôi cứ phải viết mấy chương trình nhỏ nhỏ để làm (chắc Excel thời đó cũng có cách làm nhưng do tôi chưa biết smilie

).
Tiếp theo, nếu Excel là chưa đủ cho bài toán thống kê thì bạn học SQL 1 ngày rồi mở MS Access lên làm chắc là xong !

Máy tính chạy ra router, router nhìn thấy mac máy tính. Sau đó từ router chạy ra modem, modem chỉ nhìn thấy mac router mà không thể thấy mac máy tính, vì router là thiết bị ở lớp network. Vì vậy PC vẫn vào internet được.

Thử format USB bằng FAT32 thay vì NTFS xem sao !

Tôi định dùng hash MD5 để kiểm tra sự giống nhau và khác nhau của các string. Nếu MD5(str) khác nhau và len(str) khác nhau thì string khác nhau. Về lý thuyết khi số lượng string rất lớn thì vẫn có thể xảy ra collision.
Không biết người ta đã chứng minh được là trong tất cả những chuỗi có cùng độ dài thì không bao giờ xảy ra MD5 collision ?
Ngoài ra tôi còn thấy người ta dùng kết hợp kiểm tra MD5 lẫn SHA1. Như vậy người ta đã chứng minh được khi xảy ra MD5 collision thì không thể xảy ra SHA1 collision ?
Ngoài ra xin hỏi có những phương pháp đảm bảo nào khác để tránh collision trong bài toán này ?

nghich3 wrote:

Như theo lí thuyết thì trong 3 DHCP đấy, cái nào cấp phát cho client trước thì client sẽ nhận IP của dhcp đấy.

Đúng.

nghich3 wrote:

Cả 3 modem đều bật dhcp cho dải 192.168.1.0/24.

Không sao cả, nó không cấp trùng đâu !

Eagle007 wrote:

tất cả mọi người đều cùng biết user name với password nhé

Nếu bạn không muốn người ta vào thì đơn giản là đổi username+password đi, đừng cấp cho người ta. Còn nếu cấp user cho người ta mà lại không muốn họ vào được thì mâu thuẫn quá !

Apply access-list vào, chỉ cho phép login từ 1 IP của bạn.

Flask wrote:

Như title ạ. Trong LAN thì ARP được dùng để chuyển từ địa chỉ IP sang địa chỉ MAC để các máy giao tiếp với nhau, vậy thì tại sao không sử dụng luôn địa chỉ MAC ? Địa chỉ IP có cần thiết trong LAN ?

Hồi năm 2008 trên diễn đàn vnpro tôi có nêu ra và đóng vai trò bảo vệ cho ý kiến này (bỏ địa chỉ IP, chỉ dùng địa chỉ mac). Thực ra nó không phải là ý kiến đúng nhưng khá khó nhận ra tại sao lại như vậy nên tôi cố tình đưa ra để mọi người tranh luận tìm vấn đề. Bạn có thể tham khảo http://vnpro.org/forum/showthread.php/13557-T%E1%BA%A1i-sao-%C4%91%C6%B0a-MAC-v%C3%A0o-qu%C3%A1-tr%C3%ACnh-switching

Flask wrote:

Em có một thắc mắc đó là trong phần IP Header ở lớp 3 trong mô hình OSI có 1 phần dùng để xác định độ ưu tiên của các gói tin sẽ được gửi đi

Đúng, đó là DSCP (Differentiated Service Code Point).

Flask wrote:

không rõ là mức độ ưu tiên này được thiết lập như thế nào trong header ?

Nó là 1 số, số càng lớn thì ưu tiên càng cao.
Lưu lượng khi đi vào router sẽ được phân loại, đánh số DSCP, vd video đánh số khác, email đánh số khác. Sau đó gói IP được truyền trên mạng. Tại các router/switch trung gian được cấu hình QoS ưu tiên dịch vụ theo DSCP, nghĩa là khi có nghẽn xảy ra thì cái nào ưu tiên hơn sẽ được cho đi nhiều hơn, ngược lại sẽ bị drop nhiều hơn. Và thế là video được ưu tiên hơn mail.

Flask wrote:

làm thế nào để lớp network phân biệt được là gói tin nào là phục vụ cho việc xem video, gói tin nào cho việc gửi email.

Đó là quá trình classify, có nhiều cách:
+ Phân loại theo port: chẳng hạn server mail đấu vào port1, server video đấu vào port2. Hễ traffic đi vào từ port1 thì hiểu là mail còn vào từ port2 thì hiểu là video.
+ Phân loại theo dãy IP: chẳng hạn mail server có IP là 1 còn video server có IP là 2 thì người ta sẽ tạo ra một access-list để phân loại theo IP, và DSCP được gán sau khi phân loại.

Chú ý:
+ Ưu tiên chỉ có tác dụng khi xảy ra nghẽn mạng, còn bình thường thì mọi traffic đều như nhau.
+ Khi nghẽn, traffic ưu tiên hơn sẽ được cho đi nhiều hơn, ít drop hơn, chứ không phải ưu tiên hơn được cho đi 100% còn ít ưu tiên thì bị chặn hết.

Giả sử nếu khắc phục được không bị request time out dòng 4,5 thì việc đó sẽ cải thiện điều gì nhỉ ? dcom bị disconnect không phải do cái này

Nếu có kết nối backdoor thì kết nối đó (kết nối IP) sẽ từ USB 3G đi ra chứ không phải từ máy tính, nghĩa là đứng trên máy tính dùng TCPView sẽ không bao giờ nhìn thấy nó. Còn từ USB kết nối vào máy tính nó sẽ đi bằng đường điều khiển giữa phần mềm 3G và cái USB.