Tải bản đầy đủ (.pdf) (77 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Giáo trình An ninh mạng (Nghề: Quản trị mạng máy tính - Trình độ Cao đẳng) - Trường Cao đẳng Nghề An Giang

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.21 MB, 77 trang )

ỦY BAN NHÂN DÂN TỈNH AN GIANG

TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG

GIÁO TRÌNH

An ninh mạng
NGHỀ : QUẢN TRỊ MẠNG MÁY TÍNH
TRÌNH ĐỘ CAO ĐẲNG
(Ban hành theo Quyết định số:
/QĐ-CĐN, ngày tháng
của Hiệu trưởng trường Cao đẳng nghề An Giang)

An Giang, Năm ban hành: 2019

năm 20


TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thơng tin có thể được
phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh
doanh thiếu lành mạnh sẽ bị nghiêm cấm.


LỜI GIỚI THIỆU
Giáo trình này phục vụ cho sinh viên hệ cao đẳng chun ngành Quản trị
mạng máy tính.
Giáo trình này sẽ giúp cho sinh viên hiểu các khái niệm về hệ thống an ninh
mạng, nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng
như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ


thống mạng hay trên hệ phân tán.
Giáo trình gồm những nội dung chính như sau:
Bài 1 : Tổng quan về bảo mật mạng. Với bài chúng ta này các sinh viên sẽ
có cái nhìn khái qt về một thống được bảo mật, các phần mềm độc hại cũng như
những loại lỗ hỏng trong bảo mật hệ thống mạng.
Bài 2 : Mã hóa. Với bài học này chúng ta sẽ khái quát về các vấn đề mã hóa
dữ liệu, những cách mã hóa hiện đang được được áp dụng vào thực tế.
Bài 3 : Bảo mật hạ tầng mạng. Với bài chúng ta này sẽ trình bày về cách
thức bảo mật hệ thống hạ tầng mạng bằng những công nghệ phổ biến hiện nay như
Proxy, NAT, IPSec, VLAN.
Giáo trình khơng chỉ đề cập đến những vấn đề cơ sở lý luận mà cịn trình
bày một số kỹ năng, kinh nghiệm cần thiết để thiết kế và bảo mật hệ thống mạng
máy tính. Hy vọng giáo trình sẽ có ích cho các em sinh viên và những người
muốn xây dựng các hệ thống an toàn, bảo mật cao phục vụ cho sản xuất, quản lý
trong các doanh nghiệp. Có thể cịn nhiều thiếu sót trong trình bày và biên soạn do
khả năng, trình độ, nhưng người biên soạn mạnh dạn giới thiệu tài liệu này và
mong nhận được sự góp ý của mọi người.

An Giang, ngày

tháng

năm 2019

Tham gia biên soạn
1. Thái Kim Ngân
2. Huỳnh Thị Mỹ Ngọc

1



MỤC LỤC
ĐỀ MỤC

TRANG

1. Lời giới thiệu .................................................................................................. 1
2. Mục lục ........................................................................................................... 2
Bài 1: Tổng quan về bảo mật mạng ................................................................. 5
1. Tổng quan về bảo mật mạng máy tính ....................................................... 5
2. Phân loại các lỗ hổng bảo mật ..................................................................... 8
a. Giới thiệu về các loại lỗ hỏng bảo mật. ................................................... 8
b. Phân loại lỗ hổng bảo mật. ....................................................................... 8
c. Tác hại của các lỗ hổng bảo mật. ............................................................. 11
3. Phần mềm độc hại ........................................................................................ 12
a. Các kiểu phần mềm độc hại .................................................................... 12
b. Kiểu lan truyền theo lây nhiễm nội dung ............................................... 12
c. Kiểu lan truyền theo khai thác lỗ hổng ................................................... 13
d. Kiểu lan truyền theo kỹ nghệ xã hội ....................................................... 13
e. Kiểu hành vi hủy hoại hệ thống ............................................................... 13
f. Kiểu hành vi tác tử tấn công ..................................................................... 13
g. Kiểu hành vi đánh cắp thông tin.............................................................. 13
h. Kiểu hành vi tàng hình ............................................................................. 14
i. Các biện phịng chống .............................................................................. .14
4. Tấn công từ chối dịch vụ.............................................................................. .14
a. Các tấn công phát tràn ............................................................................. .14
b. Các tấn công từ chối dịch vụ phân tán .................................................... .16
c. Các tấn công băng thông dựa vào ứng dụng .......................................... .16
d. Các tấn cơng phản xạ và khuếch đại ....................................................... .17
e. Phịng thủ trước các tấn công từ chối dịch vụ ........................................ .17

f. Phản ứng lại một tấn công từ chối dịch vụ .............................................. .19
Bài 2: mã hóa ..................................................................................................... .21
1. Căn bản về mã hóa ........................................................................................ .21
a. Khái niệm về mã hóa................................................................................. .21
b. Nhu cầu mã hóa thơng tin. ....................................................................... .22
2. Một số kỹ thuật mã hóa ................................................................................ .23
a. Mã hóa cổ điển. .......................................................................................... .23
b. Mã hóa đối xứng. ....................................................................................... .24
c. Mã hóa bất đối xứng.................................................................................. .25
d. Hệ thống mã khóa lai. ............................................................................... .26
3. Ứng dụng mã hóa. ......................................................................................... .31
a. Securing Email........................................................................................... .31
b. Authentication System .............................................................................. .35
c. Secure E-Commerce .................................................................................. .36
d. Virtual Private Network ........................................................................... .36
e. Wireless Encryption .................................................................................. .37
Bài 3: Bảo mật hạ tầng mạng ........................................................................... .38
1. Giới thiệu ........................................................................................................ .38
2. Proxy ............................................................................................................. .41
a. Giới thiệu Proxy ........................................................................................ .41
2


b. Minh họa hệ thống Proxy ......................................................................... 46
3. VLAN ............................................................................................................. 48
a. Giới thiệu VLAN ....................................................................................... 48
b. Bảo mật hệ thống với VLAN .................................................................... 51
4. NAT ............................................................................................................. 55
a. Giới thiệu .................................................................................................... 55
b. Nat trong Windows Server ...................................................................... 58

5. IPSec ............................................................................................................. 64
a. Các chính sách IPSec mặc định. .............................................................. 65
b. Tạo quy tắc IPSec...................................................................................... 65
c. Cấu hình chứng thực các quy tắc IPSec .................................................. 69
Các thuật ngữ chuyên môn ........................................................................... 73
Tài liệu tham khảo......................................................................................... 75

3


GIÁO TRÌNH MƠ ĐUN
Tên mơ đun: AN NINH MẠNG
Mã mơ đun: MĐ 27
Vị trí, tính chất, ý nghĩa và vai trị của mơ đun:
- Vị trí: Mơ đun được bố trí sau khi sinh viên đã học các mơn chung , mơ đun
cơ sở chun ngành Quản trị mạng.
- Tính chất: Mô đun chuyên nghành bắt buộc.
- Ý nghĩa và vai trị của mơ đun: trang bị cho học sinh, sinh viên đầy đủ các
kiến thức và kỹ năng về bảo mật hệ thống mạng. Nhận biết được các kiểu tấn công
trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát
hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán.
Mục tiêu của mô đun:
- Về kiến thức:
+ Hiểu các khái niệm về hệ thống an ninh mạng.
+ Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại và
những thảm họa do chúng gây ra.
+ Nắm vững các phương pháp phát hiện thâm nhập trên máy đơn, hệ thống
mạng, trên hệ phân tán.
+ Trình bày được các phương thức bảo mật hạ tầng mạng.
- Về kỹ năng:

+ Đánh giá và lựa chọn giải pháp an ninh mạng phù hợp cho các mạng thực
tế.
+ Cấu hình được các phương pháp bảo mật hạ tầng mạng như: Proxy, NAT,
IPSec, VLAN.
+ Bảo mật được hệ thống mạng theo mô hình thực tế đặt ra.
+ Xây dựng giải pháp an ninh và xử lý các lỗi trong quá trình cài đặt và cấu
hình
- Về năng lực tự chủ và trách nhiệm:
+ Làm việc nhóm.
+ Tăng tính chia sẻ và làm việc cộng đồng.

4


BÀI 1: TỔNG QUAN VỀ BẢO MẬT MẠNG
Giới thiệu:
Với bài này chúng ta sẽ giới thiệu một cái nhìn khái quát về quá trình hình
thành hệ thống mạng, quy trình vận hành của hệ thống mạng. Bên cạnh đó sẽ cho
chúng ta một cái nhìn đầy đủ về các loại phần mềm độc hại cũng như những loại lỗ
hỏng trong bảo mật hệ thống mạng.
Mục tiêu:
- Trình bày được nguyên nhân tấn cơng mạng máy tính
- Phân loại và trình bày được đặc điểm cơ bản các lỗ hổng trong hệ thống
mạng.
- Trình bày được các loại phần mềm độc hại.
- Phân loại và trình bày được các loại tấn công từ chối dịch vụ.
- Đưa ra được các biện pháp phịng chống.
Nội dung chính:
1. TỔNG QUAN VỀ MẠNG MÁY TÍNH
- Giới thiệu về mạng máy tính.

Nói một cách ngắn gọn thì mạng máy tính là tập hợp các máy tính độc lập
được kết nối với nhau thơng qua các đường truyền vật lý và tuân theo các quy ước
truyền thơng nào đó.
Khái niệm máy tính độc lập được hiểu là các máy tính khơng có máy nào có
khả năng khởi động hoặc đình chỉ một máy khác)
Các đường truyền vật lý được hiểu là các mơi trường truyền tín hiệu vật lý
(có thể là hữu tuyến hoặc vơ tuyến).
Các quy ước truyền thơng chính là cơ sở để các máy tính có thể "nói
chuyện" được với nhau và là một yếu tố quan trọng hàng đầu khi nói về cơng nghệ
mạng máy tính.
- Mơ hình OSI.
Mơ hình OSI là một mơ hình khơng thể thiếu trong q trình trao đổi dữ liệu
trong mạng . Bất kỳ một trao đỗi dữ liệu, kết nối dữ liệu nào cũng được thực thi và
xây dựng trên nền tảng mơ hình OSI.
Mơ hình OSI được chia thành 7 tầng (lớp), mỗi tầng bao gồm những hoạt
động, thiết bị và giao thức mạng khác nhau.
Application Layer: cung cấp các ứng dụng truy xuất đến các dịch vụ mạng.
Nó bao gồm các ứng dụng của người dùng
Presentation Layer (lớp trình bày): thoả thuận khn dạng trao đổi dữ liệu.
Session Layer (lớp phiên): cho phép người dùng thiết lập các kết nối.
Transport Layer (lớp vận chuyển): đảm bảo truyền thông giữa hai hệ thống.
Network Layer (lớp mạng): định hướng dữ liệu truyền trong môi trường liên
mạng.
Data link Layer (lớp liên kết dữ liệu): xác định việc truy xuất đến các thiết
bị.
Physical Layer (lớp vật lý): chuyển đổi dữ liệu thành các bit và truyền đi.

5



Các chức năng của các tầng trong mơ hình OSI
- Tầng 1: Tầng vật lý (Physical
Layer): Điều khiển việc truyền tải thật
sự các bit trên đường truyền vật lý.
Nó định nghĩa các tín hiệu điện, trạng
thái đường truyền, phương pháp mã
hóa dữ liệu, các loại đầu nối được sử
dụng. Tầng này chuyển đổi dữ liệu
thành các bit và truyền đi.
- Tầng 2: Tầng liên kết dữ liệu
(Tầng kết nối dữ liệu) (Data-Link
Layer): Tầng này đảm bảo truyền tải
các khung dữ liệu (Frame) giữa hai
máy tính. Nó cài đặt cơ chế phát hiện
Hình 1: Mơ Hình OSI
và xử lý lỗi dữ liệu nhận.Tầng này
xác định việc truy xuất đến các thiết bị.
- Tầng 3: Tầng mạng (Network Layer): Tầng này đảm bảo các gói tin dữ liệu
(Packet) có thể truyền từ máy tính này đến máy tính kia cho dù khơng có đường
truyền vật lý trực tiếp giữa chúng. Nó nhận nhiệm vụ tìm đường đi cho dữ liệu đến
các đích khác nhau trong mạng.Tầng này định hướng dữ liệu truyền trong môi
trường liên mạng.
- Tầng 4: Tầng vận chuyển (Tầng chuyển tải)(Transport Layer): Tầng này
đảm bảo truyền tải dữ liệu giữa các quá trình. Dữ liệu gởi đi được đảm bảo khơng
có lỗi, theo đúng trình tự, khơng bị mất, trùng lắp. Đối với các gói tin có kích
thước lớn, tầng này sẽ phân chia chúng thành các phần nhỏ trước khi gởi đi, cũng
như tập hợp lại chúng khi nhận được)Tầng này đảm bảo truyền thông giữa hai hệ
thống.
- Tầng 5: Tầng giao dịch (Tầng phiên làm việc) (Session Layer): Tầng này
cho phép các ứng dụng thiết lập, sử dụng và xóa các kênh giao tiếp giữa chúng

(được gọi là giao dịch). Nó cung cấp cơ chế cho việc nhận biết tên và các chức
năng về bảo mật thông tin khi truyền qua mạng. Tầng này cho phép người dùng
thiết lập các kết nối.
- Tầng 6: Tầng trình bày (Presentation Layer): Tầng này đảm bảo các máy
tính có kiểu định dạng dữ liệu khác nhau vẫn có thể trao đổi thơng tin cho nhau.
Thơng thường các máy tính sẽ thống nhất với nhau về một kiểu định dạng dữ liệu
trung gian để trao đổi thông tin giữa các máy tính. Một dữ liệu cần gởi đi sẽ được
tầng trình bày chuyển sang định dạng trung gian trước khi nó được truyền lên
mạng. Ngược lại, khi nhận dữ liệu từ mạng, tầng trình bày sẽ chuyển dữ liệu sang
định dạng riêng của nó. Tầng này thoả thuận khn dạng trao đổi dữ liệu.
- Tầng 7: Tầng ứng dụng (Application Layer): Đây là tầng trên cùng, cung
cấp các ứng dụng truy xuất đến các dịch vụ mạng. Nó bao gồm các ứng dụng của
người dùng, ví dụ như các Web Browser (Netscape Navigator, Internet Explorer),
các Mail User Agent (Outlook Express, Netscape Messenger, ...) hay các chương
trình làm server cung cấp các dịch vụ mạng như các Web Server (Netscape
Enterprise, Internet Information Service, Apache, ...), Các FTP Server, các Mail
server (Send mail, MDeamon). Người dùng mạng giao tiếp trực tiếp với tầng này.
6


Về nguyên tắc, tầng n của một hệ thống chỉ giao tiếp, trao đổi thông tin với
tầng n của hệ thống khác) Mỗi tầng sẽ có các đơn vị truyền dữ liệu riêng:
Tầng vật lý: bit
Tầng liên kết dữ liệu: Khung (Frame)
Tầng Mạng: Gói tin (Packet)
Tầng vận chuyển: Đoạn (Segment)
- Giao thức TCP/IP
- Ưu thế chính của bộ giao thức này là khả năng liên kết hoạt động của
nhiều loại máy tính khác nhau.
TCP/IP đã trở thành tiêu chuẩn thực tế cho kết nối liên mạng cũng như kết

nối Internet toàn cầu.
TCP/IP được thiết kế hoàn toàn độc lập với các phương pháp truy cập mạng,
cấu trúc gói dữ liệu (data frame), mơi trường truyền, do đó mà TCP/IP có thể dùng
để liên kết các dạng mạng khác nhau như mạng LAN Ethernet, LAN Token Ring
hay các dạng WAN như: Frame Relay, X.25

Hình 2: Phương thức hoạt động của TCP/IP
Ngày nay, TCP/IP được sử dụng rộng rãi trong các mạng cục bộ cũng như
trên mạng Internet toàn cầu.
TCP/IP được xem là giản lược của mơ hình tham chiếu OSI với bốn tầng như sau:
- Tầng liên kết mạng (Network Access Layer hoặc Network Interface and
Hardware )
- Tầng Internet (Internet Layer)
- Tầng vận chuyển (Host-to-Host Transport Layer)
- Tầng ứng dụng (Application Layer)
Chức năng chính về các tầng trong bộ giao thức TCP/IP
- Tầng liên kết:
Tầng liên kết (còn được gọi là tầng liên kết dữ liệu hay là tầng giao tiếp
mạng) là tầng thấp nhất trong mơ hình TCP/IP, bao gồm các thiết bị giao tiếp mạng
và chương trình cung cấp các thơng tin cần thiết để có thể hoạt động, truy nhập
đường truyền vật lý qua thiết bị giao tiếp mạng đó.
- Tầng Internet:
Tầng Internet (cịn gọi là tầng mạng) xử lý q trình truyền gói tin trên mạng.
Các giao thức của tầng này bao gồm: IP (Internet Protocol), ICMP (Internet
Control Message Protocol), IGMP (Internet Group Messages Protocol).
- Tầng vận chuyển:
Tầng vận chuyển phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng
dụng của tầng trên. Tầng này có hai giao thức chính: TCP (Transmission Control
7



Protocol) và UDP (User Datagram Protocol) TCP cung cấp một luồng dữ liệu tin
cậy giữa hai trạm, nó sử dụng các cơ chế như chia nhỏ các gói tin của tầng trên
thành các gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói
tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết được các gói tin đã
gửi đi. Do tầng này đảm bảo tính tin cậy, tầng trên sẽ khơng cần quan tâm đến nữa)
UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng. Nó chỉ gửi các gói dữ
liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được tới đích. Các
cơ chế đảm bảo độ tin cậy cần được thực hiện bởi tầng trên.
- Tầng ứng dụng:
Tầng ứng dụng là tầng trên cùng của mơ hình TCP/IP bao gồm các tiến trình
và các ứng dụng cung cấp cho người sử dụng để truy cập mạng. Có rất nhiều ứng
dụng được cung cấp trong tầng này, mà phổ biến là: Telnet: sử dụng trong việc
truy cập mạng từ xa, FTP (File Transfer Protocol): dịch vụ truyền tệp, Email: dịch
vụ thư tín điện tử, WWW (World Wide Web).

Hình 3: Hoạt động tầng ứng dụng trong TCP/IP
2. PHÂN LOẠI CÁC LỖ HỔNG BẢO MẬT
a. Giới thiệu về các loại lỗ hỏng bảo mật.
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng
trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập
không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung
cấp như send mail, web, ftp ... Ngoài ra các lỗ hổng cịn tồn tại ngay chính tại hệ
điều hành như trong Windows XP, Windows NT, UNIX; hoặc trong các ứng dụng
mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ
databases...
b. Phân loại lỗ hổng bảo mật.
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biệt.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ
thống được chia như sau:

8


- Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức
tấn công theo DoS (Dinal of Services –Từchối dịch vụ). Mức độ nguy hiểm thấp,
chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống;
không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
Các lỗ hổng loại này cho phép thực hiện các cuộc tấn cơng DoS. DoS là hình
thức tấn cơng sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để
làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy
nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong
khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp
ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Các dịch vụ có
chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn cơng DoS có thể được nâng
cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện
nay, chưa có một giải pháp tồn diện nào để khắc phục các lỗ hổng loại này vì bản
thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP
đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này.Tuy nhiên, mức độ
nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm
gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy
hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp
pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho
phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu
với hình thức tấn công này là sử dụng dịch vụ Web.
Giả sử: trên một Web Server có những trang Web trong đó có chứa các
đoạn mã Java hoặc JavaScripts, làm ―treo‖ hệ thống của người sử dụng trình
duyệt Web của Netscape bằng các bước sau:
- Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape. Nếu
sử dụng Netscape, sẽ tạo một vịng lặp vơ thời hạn, sinh ra vơ số các cửa sổ, trong

mỗi cửa sổ đó nối đến các Web Server khác nhau.
- Với một hình thức tấn cơng đơn giản này, có thể làm treo hệ thống. Đây
cùng là một hình thức tấn cơng kiểu DoS. Người sử dụng trong trường hợp này
chỉ có thể khởi động lại hệ thống.
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không
xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động
spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu
và chuyển tiếp; một số hệ thống mail khơng có các xác thực khi người dùng gửi
thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để
thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ
thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ khơng xác
định, vì máy chủ mail ln phải tốn năng lực đi tìm những địa chỉ khơng có thực
dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có thể sinh ra từ các
chương trình làm bom thư rất phổ biến trên mạng Internet.
- Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền
trên hệ thống mà khơng cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm
trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể
dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người
sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.
9


Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người
sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số
quyền hạn nhất định. Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất
hiện trong ứng dụng Sendmail:
- Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống
UNIX để thực hiện gửi thư điện tử cho những người sử dụng trong nội bộ mạng.
Thông thường, sendmail là một daemon chạy ở chế độ nền được kích hoạt khi khởi

động hệ thống.
- Trong trạng thái hoạt động, send mail mở port 25 đợi một yêu cầu tới sẽ
thực hiện gửi hoặc chuyển tiếp thư. Sendmail khi được kích hoạt sẽ chạy dưới
quyền root hoặc quyền tương ứng (vì liên quan đến các hành động tạo file và ghi
log file). Lợi dụng đặc điểm này và một số lỗ hổng trong các đoạn mã của
sendmail, mà các đối tượng tấn cơng có thể dùng sendmail để đạt được quyền root
trên hệ thống. Để khắc phục lỗi của send mail cần tham gia các nhóm tin về bảo
mật; vì send mail là chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử
dụng nên các lỗ hổng bảo mật thường được phát hiện và khắc phục nhanh chóng.
Khi phát hiện lỗ hổng trong sendmail cần nâng cấp, thay thế phiên bản sendmail
đang sử dụng. Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX
cũng thường gây nên các lỗ hổng loại B. Vì trên hệ thống UNIX, một chương trình
có thể được thực thi với 2 khả năng:
- Người chủ sở hữu chương trình đó kích hoạt chạy.
- Người mang quyền của người chủ sở hữu chủ nhân của file đó. Một dạng
khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng C.
Những chương trình viết bằng C thường sử dụng một vùng đệm –là một vùng
trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình
thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ
nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết chương trình nhập trường tên
người sử dụng; qui định trường này dài 20 ký tự. Do đó chúng ta sẽ khai báo:
Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập
dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35
ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả15 ký tự dư thừa sẽ nằm ở một
vị trí khơng kiểm sốt được trong bộ nhớ. Đối với những người tấn cơng, có thể
lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh
đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi dụng bởi
những người sử dụng trên hệ thống để đạt được quyền root khơng hợp lệ. Việc
kiểm sốt chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ
hổng loại B.

- Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngồi có thể
truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy
tồn bộ hệ thống.
Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính tồn vẹn và bảo mật
của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị
yếu kém hoặc không kiểm sốt được cấu hình mạng. Một ví dụ thường thấy là
trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này
thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin; trong đó có một
10


Scripts được viết sẵn để thử hoạt động của apache là test-cgi. Đối với các phiên
bản cũ của Apache (trước version 1.1), có dịng sau trong file test-cgi:echo
QUERY_STRING = $QUERY_STRING. Biến mơi trường QUERY_STRING do
khơng được đặt trong có dấu ‖ (quote) nên khi phía client thưc hiện một yêu cầu
trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự―*‖, web server
sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts
cgi). Người sử dụng có thể nhìn thấy tồn bộ nội dung các file trong thư mục hiện
thời trên hệ thống server. Một ví dụ khác cũng xảy ra tương tự đối với các Web
server chạy trên hệ điều hành Novell; Các web server này có một scripts là
convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ
thống. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
sẽ có thể bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thơng báo của
các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt
các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP,
Gopher, Telnet, Sendmail, ARP, finger...
c. Tác hại của các lỗ hổng bảo mật.
Phần trình bày ở trên đã phân tích một số trường hợp có những lỗ hổng bảo

mật, những người tấn cơng có thể lợi dụng những lỗ hổng này để tạo ra những lỗ
hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một người muốn
xâm nhập vào hệ thống mà họ khơng có tài khoản truy nhập hợp lệ trên hệ thống
đó. Trong trường hợp này, trước tiên họ sẽ tìm ra các điểm yếu trên hệ thống, hoặc
từ các chính sách bảo mật, hoặc sử dụng các cơng cụ dị xét thơng tin trên hệ thống
đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu như nhất đã đạt
được, họ có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm
yếu và thực hiện các hành động tấn công tinh vi hơn. Tuy nhiên, có phải bất kỳ lỗ
hổng bảo mật nào cùng nguy hiểm đến hệ thống hay khơng? Có rất nhiều thơng
báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ
hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ
hổng về sendmail được thơng báo trên mạng, khơng phải ngay lập tức ảnh hưởng
trên tồn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc
chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. Trên
mạng Internet có một số nhóm tin thường thảo luận về các chủ đề liên quan đến
các lỗ hổng bảo mật đó là:
- CERT (Computer Emergency Reponse Team): Nhóm tin này hình thành sau
khi có phương thức tấn cơng Worm xuất hiện trên mạng Internet. Nhóm tin này
thường thơng báo và đưa ra các trợ giúp liên quan đến các lỗ hổng bảo mật. Ngồi
ra nhóm tin cịn có những báo cáo thường niên để khuyến nghị người quản trị
mạng về các vấn đề liên quan đến bảo mật hệ thống. Địa chỉ Web site của nhóm
tin: />- CIAC (Department of Energy Computer Incident Advisory Capability): tổ
chức này xây dựng một cơ sở dữ l iệu liên quan đến bảo mật cho bộ năng lượng
của Mỹ. Thông tin của CIAC được đánh giá là một kho dữ liệu đầy đủ nhất về các
vấn đề liên quan đến bảo mật hệ thống. Địa chỉ web site của CIAC :
/>11


- FIRST (The Forum of Incident Response and Security Teams): Đây là một
diễn đàn liên kết nhiều tổ chức xã hội và tư nhân, làm việc tình nguyện để giải

quyết các vấn đề về an ninh của mạng Internet. Địa chỉ Website của FIRST:
./ Một số thành viên của FIRST gồm: CIAC, NASA.
3. PHẦN MỀM ĐỘC HẠI
a. Các kiểu phần mềm độc hại
Chúng ta thường có xu hướng coi tất cả các phần mềm độc hại là virus, nhưng
điều đó là khơng chính xác. Một virus sửa đổi các host files và khi chúng ta thực
thi một file trong hệ thống của nạn nhân, chúng ta cũng sẽ thực thi virus. Ngày
nay, với các loại phần mềm độc hại khác nhau lây nhiễm vào thế giới mạng, virus
máy tính đã trở nên không quá phổ biến; chúng chiếm chưa đến 10% tổng số phần
mềm độc hại.

Hình 4: Phần mềm độc hại nói chung.
Hãy nhớ rằng, virus lây nhiễm các tệp khác, chúng là phần mềm độc hại duy
nhất lây nhiễm các tệp khác và do đó, rất khó để dọn sạch chúng. Ngay cả các
chương trình diệt virus tốt nhất cũng sống chung với điều này; hầu hết thời gian họ
sẽ xóa hoặc cách ly tệp bị nhiễm và khơng thể thoát khỏi virus.
b. Kiểu lan truyền theo lây nhiễm nội dung
Worm là phần mềm độc hại có khả năng tự sao chép và lây lan mà khơng có
hành động của người dùng cuối, gây ra sự tàn phá thực sự. Virus cần người dùng
cuối để loại bỏ chúng để chúng có thể tiếp tục và lây nhiễm các tệp và hệ thống
khác. Worm không cần bất kỳ hành động nào của người dùng cuối như vậy. Nó
chỉ đơn giản là tự lan truyền, tự sao chép trong quá trình và phá hủy các hệ thống,
thiết bị, mạng và cơ sở hạ tầng được kết nối.

12


Hình 5: Mơ phỏng kiểu lây nhiễm theo nội dung.
Worms lây lan bằng cách khai thác các tệp và chương trình khác để thực hiện
cơng việc lây lan. Khi một người trong một tổ chức mở một email có chứa một

Worm, tồn bộ mạng trong tổ chức có thể bị lây nhiễm chỉ sau vài phút.
c. Kiểu lan truyền theo khai thác lỗ hổng
Trong khi phần mềm độc hại truyền thống di chuyển và lây nhiễm các hệ
thống bằng hệ thống tệp, phần mềm độc hại khơng có tệp sẽ di chuyển và lây
nhiễm mà không trực tiếp sử dụng tệp hoặc hệ thống tệp. Phần mềm độc hại đó chỉ
khai thác và phát tán trong bộ nhớ; chúng cũng lan truyền bằng cách sử dụng các
đối tượng OS không phải tệp, như API, registry keys, v.v.
Các cuộc tấn công phần mềm độc hại khơng có tệp chủ yếu được bắt đầu
bằng việc khai thác một chương trình hợp pháp đã có hoặc bằng cách sử dụng các
cơng cụ hợp pháp hiện có được tích hợp trong HĐH (ví dụ: Microsoft,
Powershell). Do đó, nó trở nên thực sự khó khăn để phát hiện và ngăn chặn các
loại tấn công này.
d. Kiểu lan truyền theo kỹ nghệ xã hội
Phần mềm quảng cáo (Adware) khơng là gì ngồi việc cố gắng đưa người
dùng đến quảng cáo độc hại không mong muốn. Những quảng cáo này rất có thể sẽ
lây nhiễm cho một thiết bị người dùng.
Có những chương trình phần mềm quảng cáo chuyển hướng người dùng,
trong quá trình tìm kiếm trên trình duyệt, đến các trang web trơng có vẻ giống
nhau có quảng cáo các sản phẩm khác. Loại bỏ phần mềm quảng cáo dễ dàng hơn.
Chúng ta chỉ cần tìm mã độc thực thi và loại bỏ nó.
e. Kiểu hành vi hủy hoại hệ thống
Virus trên Boot sector :Virus có thể lây nhiễm vào các Boot sector của ổ đĩa
cứng hoặc ổ đĩa mềm nơi chưa các chương trình khởi động. Nếu hệ thống nhiễm
loại này thì khả năng rất cao sẽ hủy hoại hệ thống.
f. Kiểu hành vi tác tử tấn cơng
Ransomware, như tên cho thấy, địi tiền chuộc từ chúng ta để đưa mọi thứ trở
lại như cũ. Vấn đề chính với ransomware, loại malware đã lan truyền rất nhanh
trên khắp các tổ chức, mạng và quốc gia, là họ mã hóa tất cả các tệp trong một hệ
thống hoặc mạng, khiến chúng không thể truy cập được. Một lưu ý tiền chuộc bật
lên, yêu cầu thanh toán bằng tiền điện tử, để giải mã các tệp. Nếu tiền chuộc khơng

được trả, các tệp được mã hóa cuối cùng có thể bị phá hủy và do đó, ransomware
sẽ được coi là một trong những hình thức phần mềm độc hại tàn phá nhất.
Hầu hết các ransomware là Trojan và lan truyền thông qua social engineering.
Thật không may, trong một số trường hợp, tin tặc từ chối giải mã các tập tin ngay
cả sau khi chúng ta trả tiền chuộc.
g. Kiểu hành vi đánh cắp thông tin
Phần mềm gián điệp, như tên cho thấy, giúp tin tặc theo dõi các hệ thống và
người dùng. Loại phần mềm độc hại này có thể được sử dụng làm key-logging và
các hoạt động tương tự, do đó giúp tin tặc truy cập vào dữ liệu cá nhân (bao gồm
thông tin đăng nhập) và tài sản trí tuệ.
Phần mềm gián điệp cũng được sử dụng bởi những người muốn kiểm tra hoạt
động máy tính của những người mà cá nhân họ biết. Phần mềm gián điệp, giống
như phần mềm quảng cáo, rất dễ dàng để loại bỏ.
13


h. Kiểu hành vi tàng hình
Trojans, nhắc nhở chúng ta về những gì đã xảy ra trong cuộc chiến thành
Trojan, giả trang thành các chương trình hợp pháp. Tuy nhiên, chúng chứa các
hướng dẫn độc hại. Trojan chủ yếu đến qua email hoặc lây lan từ các trang web bị
nhiễm mà người dùng truy cập. Họ chỉ làm việc khi nạn nhân thực hiện nó.
Một người dùng có thể tìm thấy một pop up cho biết hệ thống của anh ta đã bị
nhiễm. Pop up sẽ hướng dẫn anh ta chạy một chương trình để dọn dẹp hệ thống
của anh ta. Anh ta thực hiện theo mà không biết rằng đó là một Trojan. Trojans rất
phổ biến, đặc biệt là vì nó dễ viết. Ngồi ra, chúng rất dễ dàng vì Trojan lan truyền
bằng cách lừa người dùng cuối thực thi chúng. Điều này có sẽ làm cho phần mềm
bảo mật trở nên vơ dụng.
i. Các biện pháp phịng chống
Đây là một số điều cơ bản có thể giúp ngăn ngừa nhiễm phần mềm độc hại, ở
một mức độ lớn:

- Cập nhật hệ điều hành, trình duyệt, plugin, vv thường xuyên.
- Sử dụng tất cả các công cụ bảo mật cần thiết.
- Cập nhật tất cả phần mềm thường xuyên.
- Cảnh giác với các cuộc tấn công kỹ thuật xã hội (engineering attacks), cảnh
giác với các email lừa đảo.
- Không bao giờ nhấp vào liên kết hoặc tải xuống tệp đính kèm nghi ngờ đến
từ các nguồn khơng xác định.
- Thực hành duyệt web an tồn.
- Có mật khẩu mạnh, thay đổi mật khẩu định kỳ.
- Không sử dụng các kết nối cơng cộng khơng được mã hóa.
- Lớp bảo mật của chúng ta bắt đầu với các giải pháp an ninh mạng cơ bản
như tường lửa và chống virus.
4. TẤN CƠNG TỪ CHỐI DỊCH VỤ
a. Các tấn cơng phát tràn
Tấn Cơng DoS Là Gì ?Một khi khơng thể tìm được cách thức xâm nhập vào
hệ thống mục tiêu bằng cách dị tìm và khai thác lỗi thì các hacker sẽ áp dụng
phương pháp tấn công từ chối dịch vụ hay còn gọi là Denial of Service (DoS). DoS
là dạng tấn công làm cho các hệ thống máy chủ, trang web bị tê liệt không thể
đáp ứng lại các yêu cầu của người dùng.

Hình 6: Mơ phỏng một đợt tấn cơng DDos
Đây là một trong các hình thức tấn cơng đem lại hiệu quả cao cho các
hacker cũng như là giải pháp sau cùng nêu như khơng tìm được cách nào đột nhập
14


vào mục tiêu. DOS đánh vào bản chất tự nhiên của một q trình truyền thơng
của client và server, nếu có q nhiều clicent truy cập thì server sẽ bị quá tải, buộc
lòng phải từ chối các yêu cầu truy cập khác. Trong vai trò của một CEH chúng ta
cần hiểu rõ về DoS và DDoS, đây là những thuật ngữ rất hay được nhắc đến trong

các kì thi lấy chứng chỉ hacker mũ trắng này.Có khá nhiều tình huống tấn công
DoS được nhắc đến trên các phương tiện truyền thơng gần đây, ví dụ như BKAV
bị tấn cơng từ chối dịch vụ làm cho website không thể truy cập vào ngày
6/2/2012 hay trang web của Cục Tình báo Trung ương Mỹ đã bị hạ gục suốt
đêm 10/2/2012 (giờ VN), hậu quả của một vụ tấn công từ chối dịch vụ có chủ
đích (DDoS). Một tài khoản Twitter tun bố chính nhóm hacker khét tiếng
Anonymous đã gây ra vụ việc (theo tin từ VietnamNet).
Có nhiều loại cơng cụ tấn cơng DoS khác nhau và mỗi loại sử dụng những cơ
chế riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau –
làm cho hệ thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp
ứng được các yêu cầu của người dùng, và một khi không thể đáp ứng được những
yêu cầu này sẽ làm thiệt hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang
web bị tấn cơng (thường thì DoS hay nhắm vào các trang web có chức năng kinh
doanh trực tuyến, ứng dụng thương mại điện tử).
Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà
cái như Bet365.Com, SportingBet ... có rất nhiều khách hàng đăng kí tham gia dự
đốn kết quả của những trận cầu nóng bỏng đem đến các nguồn lợi khổng lồ. Và
các hacker biết rất rõ những điều này, chính vì vậy họ thường hăm dọa những
nhà cái trên sẽ tấn công DoS / DDoS làm tê liệt trang web ngăn khơng cho khách
hàng truy cập, cịn nếu khơng muốn bị tấn cơng thì phải đồng ý trả cho các hacker
một khoản tiền lớn. Hình thức tống tiền này được các băng nhóm tội phạm mạng
ưa chuộng vì đem đến hiệu quả cao.
Vậy thì các hacker thường sử dụng các cơng cụ nào đề tấn công DoS, dưới
đây là một số ứng dụng điển hình :
-Ping of Death : Các cơng cụ tấn cơng Ping of Death gởi nhiều gói tin IP với
kích thước lớn đến mục tiêu làm cho các máy này phải mất nhiều thời gian và
tài nguyên hệ thống để xử lý, kết quả là không thể đáp ứng được các yêu cầu kết
nối thông thường của những máy tính khác dẫn đến bị từ chối dịch vụ.
- LAND Attack : Những cơng cụ có chức năng tấn cơng LAND Attack sẽ gởi
các gói tin có địa chỉ IP trùng lắp với các địa chỉ IP đích khiến cho việc xử lý các

yêu cầu này có thể dẫn đến tình trạng bị lặp lại (loop) và khơng thể tiếp nhận thêm
các yêu cầu truy cập khác.
- WinNuke : Chương trình này tìm kiếm các máy tính đang mở port 139 để
gởi các gói tin IP rác đến mục tiêu. Dạng tấn cơng này cịn được gọi là Out of
Bound(OOB) và làm tràn ngập bộ nhớ đệm của giao thức IP.-CPU Hog : Công
cụ này làm quá tải nguồn tài nguyên CPU của các máy bị tấn công .-Bubonic :
Là công cụ DoS hoạt động bằng cách gởi các gói tin TCP với những thiết lập ngẫu
nhiên làm cho mục tiêu bị tấn công bị quá tải hay thậm chí bị gãy đổ.
- RPC Locator : Đây là một dịch vụ nhạy cảm nếu như không được vá lỗi có
khả năng bị tấn cơng gây tràn bộ đệm. Dịch vụ này hoạt động trên các hệ thống
Windows để phân phối các bản cài đặt hay ứng dụng trên toàn hệ thống, đây cũng
là một dịch vụ dễ bị tấn cơng gây ra tình trạng từ chối dịch vụ trên các máy chủ.
15


-Ngồi ra cịn có các cơng cụ như SSPing hay Targa có thể gởi các gói
tin với kích thước lớn đến mục tiêu làm tê liệt khả năng đáp ứng cũng như xử lý
các dữ liệu này, điều đó cũng có nghĩa nạn nhân sẽ khơng thể tiếp nhận các yêu
cầu khác dẫn đến tình trạng ―từ chối dịch vụ.
b. Các tấn công từ chối dịch vụ phân tán
Tấn công DDoS (Distributed Denial Of Service) là gì?
Một cuộc tấn cơng từ chối dịch vụ phân tán (DDoS) là một nỗ lực độc hại
nhằm phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng
được nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với
lưu lượng truy cập Internet. Các cuộc tấn công DDoS đạt được hiệu quả bằng cách
sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn cơng. Các
máy được khai thác có thể bao gồm máy tính và các tài nguyên được nối mạng
khác như thiết bị IoT. Một ví dụ trực quan, cuộc tấn công DDoS giống như việc cố
gắng làm tắc nghẽn đường cao tốc, ngăn chặn lưu lượng truy cập thường xun
đến đích mong muốn.

Một cuộc tấn cơng DDoS hoạt động như thế nào?
Một cuộc tấn công DDoS yêu cầu kẻ tấn cơng giành quyền kiểm sốt mạng
lưới các máy trực tuyến để thực hiện một cuộc tấn công. Máy tính và các máy khác
(như thiết bị IoT) bị nhiễm phần mềm độc hại, biến chúng thành bot (hoặc
zombie). Kẻ tấn cơng sau đó có quyền điều khiển từ xa đối với nhóm bot, được gọi
là botnet.
Khi botnet đã được thiết lập, kẻ tấn cơng có thể điều khiển các máy bằng cách
gửi các hướng dẫn cập nhật tới từng bot thông qua một phương pháp điều khiển từ
xa. Khi địa chỉ IP của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ phản hồi bằng
cách gửi yêu cầu đến mục tiêu, có khả năng khiến máy chủ hoặc mạng được nhắm
mục tiêu tràn dung lượng, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập
bình thường. Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng
tấn công khỏi lưu lượng thơng thường là rất khó khăn.
Các vectơ tấn cơng DDoS khác nhau nhắm vào các thành phần khác nhau của
kết nối mạng. Để hiểu cách thức các cuộc tấn công DDoS khác nhau hoạt động,
cần phải biết cách kết nối mạng được thực hiện. Một kết nối mạng trên Internet
bao gồm nhiều thành phần khác nhau hoặc các lớp (layers) khác nhau. Giống như
xây dựng một ngôi nhà từ mặt đất lên, mỗi bước trong mơ hình có một mục đích
khác nhau. Mơ hình OSI (phí bên dưới), là một khung khái niệm được sử dụng để
mô tả kết nối mạng trong 7 lớp riêng biệt.
Trong khi gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo
một thiết bị hoặc mạng mục tiêu có lưu lượng truy cập, các cuộc tấn cơng có thể
được chia thành ba loại. Kẻ tấn cơng có thể sử dụng một hoặc nhiều vectơ tấn công
khác nhau hoặc vectơ tấn cơng theo chu kỳ có khả năng dựa trên các biện pháp đối
phó được thực hiện bởi mục tiêu.
c. Các tấn công băng thông dựa vào ứng dụng
- Làm tràn ngập hệ thống mạng bằng số lượng rất lớn của các dữ liệu truyền,
khiến cho các giao dịch thông thường khác khơng thể thực hiện được. Ví dụ vào
khoảng cuối năm 2012 và đầu năm 2011 các hệ thống mạng trong nhiều công ty và
tổ chức bị tê liệt khiến cho người dùng không thể kết nối đến máy chủ hay truy cập

internet do nhiều máy tính bị lây nhiễm virus conflicker. Để hỗ trợ xử lý cũng như
phát hiện nguyên nhân trên, và với giải pháp cài đặt những ứng dụng như
16


Wiresharke để phân tích đường truyền thì nhận thấy ràng các luồng dữ liệu đề
xuất phát từ những máy bị nhiễm một loạt virus có nhiều tên gọi khác nhau là
conflicker hay kido..virus trên lây nhiễm vào các hệ thống Windows do thiếu
cài đặt một bản vá lỗi có tên là Microsoft Security Bulletin MS08-067.
- DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer –
một giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là
phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này.
d. Các tấn công phản xạ và khuếch đại
Các vụ tấn công khuếch đại tận dụng lượng lớn phản hồi đến những yêu cầu
nhỏ, từ đó khuếch đại lượng yêu cầu để làm quá tải hệ thống mục tiêu. Quá trình
này thường được thực hiện bằng cách giả mạo nguồn của các gói, hay cịn gọi là
phản xạ hay tấn cơng phản xạ. Ví dụ, với việc giả mạo nguồn IP của một yêu cầu
DNS, kẻ tấn cơng có thể lừa máy chủ DNS gửi phản hồi đến mục tiêu thay vì
nguồn truyền dữ liệu. Vì yêu cầu gửi đến máy chủ DNS rất nhỏ nhưng phản hồi
gửi đến hệ thống nạn nhân lại lớn nên kẻ tấn công sẽ sử dụng phản xạ để khuếch
đại lượng yêu cầu gửi đến hệ thống này.

Hình 7: Mơ phỏng kiểu tấn cơng khuếch đại
e. Phịng thủ trước các tấn cơng từ chối dịch vụ
Do tính chất nghiêm trọng của tấn cơng DDoS, nhiều giải pháp phịng chống
đã được nghiên cứu và đề xuất trong những năm qua. Tuy nhiên, cho đến hiện nay
gần như chưa có giải pháp nào có khả năng phịng chống DDoS một cách tồn diện
và hiệu quả do tính chất phức tạp, quy mơ lớn và tính phân tán rất cao của tấn công
DDoS. Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt
nhất là ngắt hệ thống nạn nhân khỏi tất cả các tài nguyên do mọi hành động phản

ứng lại tấn công đều cần đến các tài nguyên trong khi các tài nguyên này đã bị tấn
công DDoS làm cho cạn kiệt. Sau khi hệ thống nạn nhân được ngắt khỏi các tài
nguyên, việc truy tìm nguồn gốc và nhận dạng tấn cơng có thể được tiến hành.
Nhiều biện pháp phịng chống tấn cơng DDoS đã được nghiên cứu trong những
năm gần đây. Tựu chung có thể chia các biện pháp phịng chống tấn cơng DDoS
thành 3 dạng theo 3 tiêu chí chính:
Dựa trên vị trí triển khai.
17


Các biện pháp phịng chống tấn cơng DDoS được phân loại vào dạng này dựa
trên vị trí cài đặt và tiếp tục được chia nhỏ thành 3 dạng con.
- Triển khai ở nguồn tấn cơng: Các biện pháp phịng chống tấn công DDoS
được triển khai ở gần nguồn của tấn công. Phương pháp này nhằm hạn chế các
mạng người dùng tham gia tấn công DDoS. Một số biện pháp cụ thể bao gồm:
+ Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở
cổng mạng;
+ Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các
gói tin hoặc u cầu khơng được xác nhận.
- Triển khai ở đích tấn cơng: Các biện pháp phịng chống tấn cơng DDoS
được triển khai ở gần đích của tấn cơng, tức là tại bộ định tuyến ở cổng mạng hoặc
bộ định tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm:
+ Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả
mạo.
+ Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ
thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ
thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa
trên đếm, Nhận dạng đường dẫn,…
- Triển khai ở mạng đích tấn cơng: Các biện pháp phịng chống tấn công
DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát

hiện và lọc các gói tin độc hại.
Dựa trên giao thức mạng.
- Dựa trên giao thức mạng
Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng:
IP, TCP và ứng dụng
- Phịng chống tấn cơng DDoS ở tầng IP bao gồm một số biện pháp:
Pushback: Là cơ chế phịng chống tấn cơng DDoS ở tầng IP cho phép một bộ
định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các
gói tin.
SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin
giữa các máy chủ SIP và người dùng và proxy bên ngồi với mục đích phát hiện và
ngăn chặn tấn công vào các máy chủ SIP.
Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ
mật mã để chống lại tấn cơng DDoS ở mức IP.
- Phịng chống tấn cơng DDoS ở tầng TCP bao gồm một số biện pháp:
Dựa trên thời điểm hành động.
Dựa trên thời điểm hành động, có thể phân loại các biện pháp phịng chống
tấn cơng DdoS thành 3 dạng theo 3 thời điểm.
- Trước khi xảy ra tấn cơng: Các biện pháp phịng chống tấn cơng DDoS
thuộc dạng này được triển khai nhằm ngăn chặn tấn công xảy ra. Một phần lớn các
biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm bảo cấu hình an
ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị tin tặc khai thác
phục vụ tấn công.
- Trong khi xảy ra tấn công: Các biện pháp phịng chống tấn cơng DDoS
thuộc dạng này tập trung phát hiện và ngăn chặn tấn công. Tường lửa và các hệ
thống IDS/IPS thuộc nhóm này.
18


- Sau khi xảy ra tấn công: Gồm các biện pháp được triển khai để lần vết và

truy tìm nguồn gốc của tấn công DDoS.
f. Phản ứng lại một tấn công từ chối dịch vụ.
- Ngắt kết nối giữa hai máy tính, ngăn khơng cho máy khách truy cập các dịch
vụ trên máy chủ.
- Chặn một host nào đó khơng cho truy cập dịch vụ.
- Ngắt các đáp ứng đối với một hệ thống hay người dùng.
- Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP bằng cách:
Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ
thống đích.
Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ
các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải
phóng tài nguyên các kết nối chờ chiếm giữ.
Sử dụng SYN cache giúp duy trì Backlogs chung cho tồn máy chủ thay vì
Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ
xác nhận.
Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã
được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi
được chuyển cho máy chủ đích. Phương pháp này có thể giúp phịng chống tấn
công SYN Flood hiệu quả.
Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách
an ninh đã xác lập trước.
- Phịng chống tấn cơng DDoS ở tầng ứng dụng có thể bao gồm:
- Tối thiểu hóa hành vi truy nhập trang để phịng chống tấn công gây ngập lụt
HTTP.
- Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức
HTTP.
- Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn
công.

19



CÂU HỎI ÔN TẬP
1. So sánh sự giống nhau và khác nhau giữa mơ hình OSI và mơ hình
TCP/IP?
2. Cho biết dạng dữ liệu ở các tầng trong mơ hình OSI và TCP/IP?
3. Thế nào là lỗ hỏng bảo mật? Tác hại của nó?
4. Thế nào là tấn cơng từ chối dịch vụ, phương pháp của kiểu tấn công này?
5. Trong lịch sử đã có bao nhiêu cuộc tấn cơng từ chối dịch vụ nổi bật nào?
Thiệt hại của loại tấn công này sẽ như thế nào? Hiện nay đã có chương trình hay
một phương thức nào phịng chống các cuộc tấn công từ chối dịch vụ này một cách
triệt để hay chưa? Nếu có thì nêu cách thức đó, nếu chưa thì phải làm gì để đối phó
với hiện trạng này?

20


BÀI 2: MÃ HĨA
Giới thiệu:
Trong bài Mã Hóa này sẽ giới thiệu đến người học những khái niệm cơ bản
về mã hóa, lịch sử hình thành mã hóa, lợi ích của mã hóa mang lại cho mơi trường
hệ thống thơng tin cũng như Internet bùng nổ như hiện nay. Bên cạnh đó bài học
cịn giới thiệu những cách mã hóa và giải mã và những ứng dụng của mã hóa vào
thực tế.
Mục tiêu:
- Trình bày được vai trị của mã hố dữ liệu trong an tồn thơng tin và truyền
tin trên mạng;
- Trình bày được thuật tốn của một số giao thức mã hố phổ biến
- Ứng dụng mã hóa vào việc đảm bảo an tồn thơng tin trên hệ thống mạng.
Nội dung chính:

1. CĂN BẢN VỀ MÃ HĨA
a. Khái niệm về mã hóa.
Người ta gọi mã hóa là một khoa học nghiên cứu nghệ thuật nhằm che giấu
thông tin, bằng cách mã hóa (encryption) tức là biến đổi ―thơng tin gốc‖ dạng
tường minh (plaintext) thành ―thơng tin mã hóa‖ dạng ẩn tàng (cipher text) bằng
cách sử dụng một khóa mã (thuật tốn mã hóa) nào đó. Chỉ có những người giữ
chìa khóa (key) bí mật mới có thể giải mã (decryption) thông tin dạng ẩn tàng trở
lại thành dạng thơng tin có dạng tường minh.

HÌnh 8: Sơ đồ mã hóa và giải mã
Thơng tin ẩn tàng đơi khi vẫn bị khám phá mà khơng cần biết khóa bí mật:
việc đó gọi là bẻ khóa. Ngành học nghiên cứu về việc bẻ khóa (attack/crack/hack)
này cịn gọi là cryptanalysis. Như đã nói ở ví dụ trên, trong các phương pháp tấn
cơng thám mã ta gọi tấn công bạo lực - brute-force attack (exhaustive key search):
là phương pháp tấn công bằng cách thử tất cả những khả năng chìa khóa có thể có.
Đây là phương pháp tấn cơng thơ sơ nhất và cũng khó khăn nhất. Theo lý
thuyết, tất cả các thuật tốn hiện đại đều có thể bị đánh bại bởi tấn công bạo lực
nhưng trong thực tiễn việc này chỉ có thể thực hiện được trong thời gian rất dài nên
thực tế là khơng khả thi. Vì thế có thể coi một thuật tốn là an tồn nếu như khơng
cịn cách nào khác để tấn cơng nó ngồi cách sử dụng brute-force attack. Để chống
lại tấn cơng này, chìa khóa bí mật được thay đổi một cách thường xuyên hơn.
Trong lý thuyết mật mã, người ta nghiên cứu đồng thời các thuật toán lập mã và
vấn đề thám mã được dùng để đánh giá mức độ an toàn và khả năng bảo mật thơng
tin của mỗi thuật tốn mã hóa.
21


b. Nhu cầu mã hóa thơng tin.
Có thể xem là lịch sử mã hóa bắt nguồn từ người Ai Cập vào khoảng những
năm 2000 trước Công nguyên khi họ dùng những ký hiệu tượng hình khó hiểu để

trang trí trên các ngơi mộ nhằm bí mật ghi lại tiểu sử và những chiến tích, cơng lao
của người đã khuất. Trong một thời gian dài hàng thế kỷ một trong những loại
cơng trình nghiên cứu thu hút rất nhiều nhà khoa học trên thế giới là các nghiên
cứu giải mã những ―dấu tích bí mật‖ trên các ngơi mộ cổ Ai Cập, nhờ đó mà ta
hiểu biết được khá nhiều về lịch sử, phong tục, tập quán sinh hoạt của đất nước Ai
Cập cổ huyền bí.
Người Hebrew (Do Thái cổ) đã sáng tạo một thuật tốn mã hóa đơn giản và
hiệu quả gọi là thuật tốn atbash mà chìa khóa mã hóa và giải mã là một sự thay
thế (substitution) trong bảng chữ cái. Giả sử dùng chìa khóa mã hóa là bảng hốn
vị:
ABCDEFGHIJKLMNOPQRSTUVWXYZ

ZYXWVUTSRQPONMLKJIHGFEDCBA
Khi đó chẳng hạn từ gốc (plaintext): JERUSALEM sẽ được mã hóa thành từ
mã (ciphertext): QVIFHZOVN. Nếu người nhận tin có chìa khóa thì việc biến đổi
QVIFHZOVN trở lại thành JERUSALEM là điều hoàn toàn đơn giản, nhưng nếu
khơng có chìa khóa thì quả là khó khăn, người nhận được thơng điệp khơng thể
nào hiểu nổi QVIFHZOVN có nghĩa là gì cả! Cho dù biết rằng quy luật mã hóa chỉ
là một sự thay thế của 25 chữ cái nhưng nếu tấn cơng bạo lực thì phải thử lần lượt
hết mọi khả năng tạo chìa khóa, tức là phải thử 25! khả năng (tất nhiên về sau
người ta có rất nhiều biện pháp để giảm bớt khả năng dị tìm, chẳng hạn nếu
plaintext có độ dài khá lớn thì có thể sử dụng dị tìm theo tần suất xuất hiện của các
ký tự).
Thuật tốn mã hóa bằng thay thế này chỉ dùng một ký tự (chữ cái) thay thế
cho một ký tự nên được gọi là thuật toán mã hóa thay thế đơn (monoalphabetic
substitution). Người ta cũng có thể tạo những thuật tốn mã hóa thay thế khối
(multiple alphabetic substitution) nếu thay vì thay thế từng ký tự ta thay thế một
dãy ký tự gốc bởi một dãy ký tự mã hóa: thuật tốn này cho ta nhiều khả năng tạo
khóa hơn nên khả năng bị tấn cơng lại càng giảm xuống.
Vào khoảng năm 400 trước CN, người Sparte sử dụng một dụng cụ gọi là gậy

mật mã. Các đối tác viết thư lên một hàng ngang của mảnh giấy dài cuốn quanh
một cây gậy có đường kính và độ dài quy ước với nhau trước rồi tháo ra và điền
vào các ô trống những ký tự bất kỳ. Đối tác nhận thư phải có một cây gậy giống
hệt, cùng đường kính và độ dài, lại quấn mảnh giấy vào gậy và ―giải mã‖ được.
Nếu không hiểu quy luật và khơng có cây gậy như thế thì khơng thể nào đọc hiểu
những ký tự nối đuôi nhau một cách ―vơ nghĩa‖ trên mảnh giấy.
Về thời Trung Cổ, hồng đế La Mã nổi tiếng là Julius Caesar tạo một cơng cụ
lập mã rất đơn giản cho thuật tốn gọi là ―mã vịng‖ (cyclic code) tương tự như
thuật tốn atbash của người Hebrew nhưng đây không phải là một sự thay thế bất
kỳ mà là một sự thay thế theo hốn vị vịng quanh. Caesar dùng hai vành trịn đồng
tâm, trên cả hai vành đều ghi bảng chữ cái La-tinh, vành trong ứng với plaintext
cịn vành ngồi ứng với ciphertext. Chìa khóa mã hóa là phép xoay vành trịn bên
ngồi một số bước, do đó các chữ cái thay đổi đi. Chẳng hạn nếu chìa khóa là +3
22


tức là xoay theo chiều thuận +3 ơ thì các chữ cái A, B, C…X, Y, Z trong plaintext
sẽ chuyển đến D, E, F …A, B, C trong ciphertext, từ HANOI trong plaintext được
mã hóa thành từ KDQRL trong ciphertext. Người nhận sẽ giải mã bằng cách xoay
ngược vành chữ ngồi -3 ơ thì tìm lại được plaintext.
Ngày nay, các phương pháp mã hóa và lập mã đó xem ra q đơn giản nên
khơng cịn được dùng trong các vấn đề bảo mật thơng tin quan trọng, tuy nhiên
cũng cịn giá trị cho một số người khi muốn dùng để bảo mật những ghi chép cá
nhân thông thường của chúng ta và ý tưởng của chúng vẫn còn được sử dụng
trong một số công cụ lập mã hiện đại. Mã hóa được phát triển mạnh ở châu Âu và
mãi đến khoảng năm 1800 chủ yếu vẫn chỉ được sử dụng nhiều trong việc bảo mật
các thơng điệp qn sự. Chính nguyên lý mã vòng của Caesar là ý tưởng cho việc
phát triển một thiết bị mã hóa nổi tiếng nhất trong lịch sử: máy mã hóa Enigma của
người Đức dùng trong Đại chiến thế giới lần thứ hai. Enigma có 3 ổ quay, mỗi ký
tự trong plaintext khi đưa vào sẽ được thay thế 3 lần theo những quy luật định sẵn

khác nhau cho nên quá trình thám mã rất khó khăn.
Về sau một nhóm các nhà mã hóa Ba Lan đã bẻ khóa được thuật tốn lập mã
của Enigma và cung cấp cho người Anh mọi thông tin quân sự của Đức: người ta
đánh giá rằng thành công của việc phá khóa đó đã rút ngắn thời gian kéo dài của
Thế chiến II bớt được 2 năm. Sau khi Thế chiến II kết thúc, bí mật của Enigma
được cơng bố và ngày nay một máy Enigma còn được triển lãm tại Viện
Smithsonian, Washington D.C, Hoa Kỳ.

Hình 9: William Frederick Friedman (1891 – 1989)
2. MỘT SỐ KỸ THUẬT MÃ HÓA
a. Mã hóa cổ điển.
- Thuật tốn thay thế (Substitution) là thuật tốn mã hóa trong đó từng ký tự
(hoặc từng nhóm ký tự) của plaintext được thay thế bằng một (hay một nhóm) ký
tự khác. Thuật tốn atbash của người Hebrew hay thuật tốn vịng của Caesar đều
là các thuật tốn thay thế. Chính ý tưởng của mã vịng Caesar đã được ứng dụng
trong máy Enigma.
- Thuật toán chuyển vị (Transposition) là thuật tốn mã hóa trong đó các ký tự
trong văn bản ban đầu chỉ thay đổi vị trí cho nhau cịn bản thân các ký tự khơng hề
bị biến đổi.
Xét một ví dụ về thuật tốn hốn vị. Trong thuật tốn này chúng ta ngắt thơng
điệp gốc thành từng nhóm 4 ký tự đánh số trong từng nhóm từ 1 đến 4. Chìa khóa
ở đây là một hốn vị bất kỳ của 1234 gán cho mỗi nhóm:
23


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×