Tải bản đầy đủ (.doc) (28 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

báo cáo kỹ năng bảo mật_ tấn công mạng và phòng thủ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (367.32 KB, 28 trang )

Báo cáo: Kỹ
năng bảo mật
Tấn công mạng
và phòng thủ
Chương 18: Tấn công mạng và cách phòng chống Page 1
MỤC LỤC
Báo cáo: Kỹ năng bảo mật Tấn công mạng và phòng thủ 1
MỤC LỤC 2
C

H

A

P

T

E

R
18
Network Attack and
Defense
(Tấn Công Mạng Và Cách Phòng Chống)
Mọi người đều nghĩ rằng vấn đề bảo mật hệ thống mạng có thể được giải quyết bằng
cách sử dụng mật mã học mà không hiểu vấn đề chính trong việc mã hóa là gì!
18.1 Introduction(Giới Thiệu)
Bảo mật mạng Internet đang là một lĩnh vực phát triển nhanh chóng , các cuộc
tấn công được bắt trên các đường truyền có thể thay đổi ý nghĩa . Bất kể kẻ tấn
công đang trực tiếp liên quan đến công việc hay không thì các cuộc tấn công


trên mạng như vậy đang trở nên đa dạng nó có thể có để lại một số tác động ngay
cả khi kẻ tấn công chỉ sử dụng đánh cắp để lưu giữ những nạn nhân cũng làm gia
tăng nghiêm trọng về mối đe dọa về an toàn thông tin. Vấn đề là, một số kiến
thức về chủ đề này đang rất cần thiết cho các kỹ sư bảo mật.
Một số lĩnh vực mới chẳng hạn như một hệ thống mạng có thể được bảo vệ bởi
việc mã hóa và hệ thống tường lửa.Nơi an toàn để bắt đầu những khái niệm có
Chương 18: Tấn công mạng và cách phòng chống Page 2
thể được xem xét từ các cuộc tấn công phổ biến nhất.(Tuy nhiên có rất nhiều cuộc
tấn công được trình bày trên các phương tiện truyền thông như việc tấn công
mạng khi mà kẻ tấn công đang thực sự thực hiện bằng nhiều cách tấn công
truyền thống. Một ví dụ như là : bị rò rỉ thông tin của các email từ các văn
phòng của thủ tướng Anh, và bước đầu đổ lỗi cho tin tặc. Khi các thông tin đó bị
lộ ra, các email đã được tìm ra trong của cuộc thăm dò dư luận bởi một thám
tử tư được gọi là Benji the Binman, người đã đạt được nhiều thành tựu nổi tiếng.)
18.1.1 The Most Common Attacks(Các vụ tấn công thường gặp)
Nhiều cuộc tấn công thực tế liên quan đến các lỗ hổng của hệ thống mạng .Ví dụ
chúng ta có thể nhìn thấy từ đề tài bao gồm các cuộc tấn công tràn bộ nhớ đệm và
đoán mật khẩu,cả hai đều được thực hiện bởi các loại virus phát tán trên mạng
internet.
Một chiến lược phổ biến là để có được một tài khoản của bất kỳ đối tượng nào trên
mạng thì kẻ tấn công phải cài đặt một phần mềm password sniffer để có được một tài
khoản trên máy tính nạn nhân, sau đó kẻ tấn công sử dụng phương pháp tấn công tràn
bộ đệm vào máy nạn nhân và lấy cắp tài khoản gốc.
Dưới đây là danh sách 10 lỗ hổng bảo mật hàng đầu:
1. Một tấn công tràn bộ đệm trên chương trình BIND, kẻ tấn công sử
dụng nhiều Hệ Điều Hành Unix và Linux làm máy chủ DNS và cho phép truy
cập tài khoản máy chủ.
2. Các chương trình CGI trên các máy chủ Web, thường được cung cấp bởi các
nhà cung cấp như các chương trình mẫu và không loại bỏ. Lỗ hổng của chương
trình CGI đang được tin tặc dễ dàng vượt qua và không đươc bảo vệ cho các

máy chủ.
3. Cuộc tấn công tràn bộ đệm sử dụng cơ chế điều khiển từ xa (RPC), kẻ tấn công
sử dụng nhiều hệ điều hành Unix and Linux để làm máy chủ và nó cho phép
những kẻ xâm nhập truy cập tài khoản ngay lập tức(Các cuộc tấn công này đã
được sử dụng bởi hầu hết các tấn công từ chối dịch vụ được đưa ra trong năm
1999 và đầu năm2000).
4. Lỗi Internet Information Server (IIS) của hãng Microsoft trên máy
chủ Webserver đã cho phép truy cập tới một tài khoản administrator trên máy
chủ.
5. Lỗi trong sendmail, các chương trình mail phổ biến nhất trên hệ điều hành Unix
và Linux. Rất nhiều lỗi đã được tìm thấy trong sendmail trong những năm qua,
và đã có nhiều công bố do CERT năm 1988. Một trong những lỗ hổng gần đây
có thể được sử dụng bị sử dụng để làm máy tính nạn nhân gửi tập tin mật khẩu
của mình cho những kẻ tấn công, sau đó những kẻ tấn công có thể cố gắng để
giai mã nó.
Chương 18: Tấn công mạng và cách phòng chống Page 3
6. Một tấn công tràn bộ đệm vào hệ điều hành Sun’s Solaris đã cho phép những
kẻ xâm nhập truy cập vào tài khoản admin ngay lập tức.
7. Tấn công trên NFS và tương tự trên các hệ thống máy chủ UNIX và
MACINTOSH,và sử dụng các cơ chế để share dữ liệu trong mạng cục bộ.
8. Đoán các usernames and passwords,đặc biệt ở đây các password root và
admin không đảm bảo an toàn hoặc là hệ thống đang gửi
p
a
sswords mặc
định mà các máy nạn nhân không bận tâm thay đổi nó.
9. Các giao thức IMAP and POP cho phép điều khiển từ xa đến email nhưng nó
thường được cấu hình sai cho phép kẻ đột nhập có thể truy cập vào.
10. Sự yếu kém của viec chứng thực trong giao thức SNTP do các nhà quản trị
mạng để quản lí tất cả các thiêt bị kết nối đến thiết bị.Giao thức SNTP sử dụng

password mặc định và đã bị các tin tặc đánh cắp và thay đổi password.
Chú ý rằng các cuộc tấn công không bị dừng lại ở cấp độ mã hóa và không phải tất cả
các máy đều sử dụng tường lửa.Ví dụ các lỗ hỗng của máy chủ Web Server có thể
được đặt cách xa các hệ thống kinh doanh bằng cách đặt chúng bên ngoài tường lửa
nhưng chúng vẫn có thể bị mở để phá hoại và nếu hệ thống tường lửa chạy trên hệ
điều hành đã bị lỗ hỗng thì sau đó các kẻ tấn công có thể tìm cách để vượt qua nó.
Mặc dù một số các cuộc tấn công có thể đã được sữa lỗi lỗ hổng theo thời gian trong
quyển sách Network Attack and Defense này đang được xuất bản , các mô hình cơ
bản tương đối ổn định.Hầu hết đều khai thác lỗi trong các chương trình ,trong đó phần
lớn là lỗ hổng tràn bộ nhớ đệm .Viêc khai thác lỗ hổng trong các giao thức(giống như
NFS) với mật khẩu yếu là nơi thuận lợi cho các tin tặc.
Trong thực tế thì lỗ hổng đang là cuộc đua của những cuộc tấn công ,kẻ tấn công thử
để tìm thấy sự sơ hở từ lỗ hổng và các nhà cung cấp sẽ phát triển các bản vá lỗi của
những tin tặc.Những kẻ tấn công có khả năng có thể tìm thấy những lỗi từ lỗ hổng cho
mình và giữ im lặng về chúng,nhưng nhiều bản báo cáo xoáy xung quanh việc khai
thác lỗ hổng của tin tặc rằng chùng không chỉ có kiến thức tốt am hiểu về mạng mà
còn sử dụng rất nhiều công cụ có sẵn trên mạng.
18.1.2 Skill Issues: Script Kiddies and Packaged Defense
Một trong những thay đổi của nền văn minh được truyền tải trên mạng cho đến gần
đây các cuộc tấn công tinh vi trên thông tin liên lạc đã cơ bản được chính phủ
vệ.Ngày nay chngs ta tìm thấy không phải là các cuộc tấn công đánh hơi password mà
còn những cuộc tấn công để tìm thấy sự thích thú trong thiếu niên thời nay .Sự ccaanf
thiết ở đây là mọi người nếu khai thác được lỗi trong các phần mềm thì sau đó gửi các
lỗi đó vào các trang web như www.rootshell.com, từ đó mọi nguwoowif có thể tải
về và sử dụng nó. Những điều khoản này chủ yếu đề cập đến giới trẻ ,những người sử
dụng các cuộc tấn công đã chỉnh sửa từ những tin tặc khác,nó cũng có nghĩa là bất kì
người nào cũng có thể tải và sử dụng các công cụ tấn công dù không hiểu gì về tấn
công.Khi hệ thống càng bảo mật phức tạp thì ngay cả những kẻ tấn công tinh vi hay cá
nhân nào cũng theo kịp với sự khai thác các lỗ hổng tù các hệ điều hành và các giao
Chương 18: Tấn công mạng và cách phòng chống Page 4

thức mạng.Trong thực tế thì những tin tặc đang bị đào tạo tay nghề cao trong khi việc
bảo vệ đang ngày khó khăn cho các nhà quản trị mạng.
Kĩ năng cũng là 1 yếu tố quan trọng trong việc bảo vệ.Một số tổ chức như công
ty máy tính, trường đại học lớn, và các cơ quan tình báo quân sự, họ có những
người biết làm thế nào để theo dõi những gì đang xảy ra và điều chỉnh việc bảo vệ hệ
thống một cách thích hợp. Nhưng hầu hết các công ty đều dựa trên sự kết hợp của
các tiêu chuẩn sản phẩm và dịch vụ. Các sản phẩm bao gồm tường lửa, quét virus, và
các hệ thống phát hiện xâm nhập, các dịch vụ thường được cung cấp dưới dạng tập
tin cấu hình mới cho các sản phẩm này. Theo những cách này, lỗ hổng sẽ trở nên tập
trung. Một kẻ tấn công có thể làm việc trong một hệ thống bị đánh sụp được bán rộng
rãi, có một loạt các mục tiêu để hướng đến hệ thống
Bây giờ chúng ta sẽ xem xét một số cuộc tấn công cụ thể và cơ chế bảo vệ. Hãy nhớ
rằng đây là cuộc tấn công quan trọng nhất là tấn công ghi đè lên bộ nhớ đệm và quan
trọng thứ hai là đoán mật khẩu, nhưng vì đã được giới thiệu trong chương 4 và trong
các chương 2-3 nên sẽ giới thiệu tiếp theo: lỗ hổng trong giao thức mạng.
18.2
Vulnerabilities
in Network Protocols
(
Lỗ hổng trong giao thức mạng)
Các điều hành thường được sử dụng như Unix và NT được vận hành với phạm
vi rất lớn của các dịch vụ mạng, nhiều hệ điều hành trong số đó đang cho phép kích
hoạt mặc định, hoặc vận hành với các cấu hình sẵn làm cho "plug and play" dễ
dàng cho những kẻ tấn công giống như người dùng hượp pháp. Chúng ta sẽ xem xét ở
cả hai mạng cục bộ và các vấn đề Internet; một chủ đề chung đó là các phương
pháp ánh xạ (giữa các địa chỉ IP, tên tập tin, vv) cung cấp rất nhiều các điểm yếu.
Cuốn sách này không phải là một nơi thích hợp để giải thích các giao thức mạng, vì
vậy chúng tôi cung cấp một bản tóm tắt điện tín, như sau: các giao thức mạng
Internet (IP) là một giao thức truyền dữ liệu không điều kiện mà nó vận chuyển gói
tin từ một máy khác, nó sử dụng địa chỉ IP gồm 32-bit ,nó thường được

viết giống bốn số thập phân trong khoảng từ 0-255 , như 172.16.8.93. Hầu hết
các dịch vụ mạng đều sử dụng một giao thức được gọi là giao thức TCP, nằm
trên phân lớp trên IP, và cung cấp đường giao thông trên mạng bằng cách phân
chia luồng dữ liệu vào các gói IP và ghép nó vào cuối gói dữ liệu, yêu cầu này lặp đi
lặp lại của bất kỳ các gói dữ liệu bị mất.Địa chỉ IP phục được chuyển đổi thành địa
chỉ quen thuộc bằng cách sử dụng các hệ thống tên miền(DNS), dich vụ DNS phân
phối tên miền cho các server cao cấp đến các server cục bộ của hệ thống tên miền đặc
biệt.Mạng cục bộ chủ yếu là sử dụng chuẩn Ethernet, trong đó thiết bị của mạng cục
bộ có địa chỉ mạng duy nhất, nó ánh xạ tới các địa chỉ IP sử dụng giao thức phân
giải địa chỉ (ARP).
Chương 18: Tấn công mạng và cách phòng chống Page 5
Có nhiều thành phần khác trong bộ giao thức sử dụng để quản lý thông tin liên
lạc và cung cấp dịch vụ cao cấp hơn. Hầu hết trong số các bộ giao thức đã được phát
triển trong những ngày trước thì chỉ tin cậy vào hệ thống máy chủ, và mối quan
tâm không phải là vấn đề về an ninh. Vì vậy, có rất ít các hệ thống chứng thực được
xây dựng và nỗ lực để khắc phục lỗi này với việc giới thiệu thế hệ tiếp theo
của IP (IPv6) có thể sẽ mất nhiều năm.
18.2.1 Attacks on Local Networks(Tấn Công Trên mạng cục bộ)
Hãy giả sử rằng kẻ tấn công là một trong những nhân viên của bạn, kẻ tấn công đã có
một máy thuộc mạng LAN của bạn, và muốn vượt qua một tài khoản bằng tên của
người khác để lấy cắp thông tin. Sau khi thu thập dữ liệu cần thiết để truy cập vào
mạng, kẻ tấn công có thể cài đặt gói phần mềm đánh hơi (sniffer) để thu thập mật
khẩu , nhận được mật khẩu admin, và tạo mới một tài khoản hợp lệ. Tuy nhiên, nếu
nhân viên của bạn sử dụng chương trình tạo mật khẩu hay cẩn thận chỉ sử dụng một
mật khẩu root tại bàn phím của máy đó được phép áp dụng ,thì sau đó nó sẽ dễ bị tin
tặc tấn công.
Một cách để tin tặc tiếp cận mạng cục bộ là cố gắng thử giả mạo như là một người
dùng máy tính hợp lệ mà đối tượng người sử dụng dùng để đăng nhập. Hệ thống
ARP là một trong những mục tiêu tốt bằng cách tin tặc sẽ chạy những đoạn mã lệnh
phù hợp, những kẻ tấn công có thể đưa ra câu trả lời sai cho thông báo của hệ

thống ARP và xin thông tin yêu cầu từ phía các máy nạn nhân. Các máy tính người
dùng có thể nhận thấy nếu cảnh báo trước ,nhưng các kẻ tấn công luôn có thể chờ
đợi cho đến khi là tải dữ liệu hoặc lấy nó xuống bằng cách sử dụng một cuộc tấn công
khác. Một khả năng là các kẻ tấn công sẽ sử dụng mặt nạ mạng con.
Ban đầu, địa chỉ IP đã sử dụng 3 byte đầu tiên để xác định phân chia giữa các địa
chỉ mạng và địa chỉ máy chủ . Bây giờ IP được hiểu là địa chỉ mạng,mạng con, và địa
chỉ máy chủ , với địa chỉ mạng con là 1 hằng số. Máy cục bộ khi khởi động sẽ gửi
một yêu cầu nhận subnet mask,và nó sẽ nhận bất kỳ địa chỉ subnet mask nhận
được .Vì vậy bằng cách gửi một subnet mask phù hợp thì máy cục bộ có thể bị kẻ tấn
công triệt tiêu.
Một phương pháp khác, nếu một công ty sử dụng hệ thống Unix,thì hệ thống tệp tin
mạng (NFS) sẽ là các chuẩn phổ biến để chia sẻ tập tin trên hệ thống Unix. Điều này
cho phép một số máy cục bộ sử dụng một ổ đĩa mạng như là một ổ đĩa cục bộ,vì
vậy nó sẽ có một số lỗ hổng bảo mật để tin tăc tấn công những máy cục bộ đang
trên cùng một mạng LAN. Khi một ổ đĩa đang được xác lập, thì các máy client gửi
một file yêu cầu đến máy chủ xử lí, trong đó client đề cập đến đường dẫn các thư mục
gốc của hệ thống tập tin đang xác lập. Yêu cầu này không phụ thuộc vào thời
gian, hoặc số lượng máy chủ và không thể bị hủy bỏ. Nó không có cơ
chế cho mỗi người dùng truy cập hay chứng thực do vậy các máy chủ phải tin
tưởng một máy client hoàn toàn hoặc không tin tất cả. Ngoài ra,máy chủ
Chương 18: Tấn công mạng và cách phòng chống Page 6
NFS thường trả lời yêu cầu từ một card mạng khác để một card mạng trong chúng có
nhiệm vụ trả lời các yêu cầu đến tiếp theo. Vì vậy nó có thể đợi cho đến khi một quản
trị mạng có đăng nhập vào một tập tin của máy chủ, sau đó sẽ ghi đè lên các tập
tin password. Vì lý do này, nhiều trang web sử dụng phương án thay thế hệ thống tập
tin , chẳng hạn như NFS.
18.2.2 Attacks Using Internet Protocols and Mechanisms
(Tấn công sử dụng giao thức mạng và các cơ chế)
Vấn đề cơ bản chuyển giao thức đến trang web là giống nhau ,chúng không có việc
chứng thực hay bảo vệ bí mật trong hầu hết các cơ chế. Điều này thể hiện đặc

biệt ở giao thức TCP / IP.
Xét ví dụ : Cách bắt tay ba bước được sử dụng bởi Alice để bắt đầu một kết
nối TCP đến Bob và để thiết lập các số thứ tự thể hiện trong hình 18.1.
Giao thức này có thể bị khai thác trong một số ngẫu nhiên bằng nhiều cách khác
nhau. Bây giờ việc tấn công chối dịch vụ(DOS) ngày càng trở nên thực sự quan
trọng, chúng ta hãy bắt đầu với các cuộc tấn công từ chối dịch vụ đơn giản: SYN
Flooding
18.2.2.1 SYN Flooding(Tấn công từ chối dich vụ SYN)
Các cuộc tấn công từ chối dịch vụ SYN chỉ đơn giản là sẽ gửi một số lượng lớn
các gói tin SYN và không bao giờ thừa biết bất kỳ câu trả lời nào . Điều này dẫn
đến người nhận (Bob, trong hình 18,1) sẽ nhận nhiều gói tin SYN hơn phần mềm của
mình có thể xử lý các gói tin đó. Kiểu tấn công này đã được biết đến là về mặt lý
thuyết có thể từ những năm 1980, nhưng tấn công này được sự chú ý của công chúng
rất nhiều vào năm 1996.
Figure 18.1 TCP/IP
handshake.
B1. The client requests a connection by sending a SYN ( synchronize ) message to the
server (Client yêu cầu kết nối bằng cách gửi 1 gói SYN đến server)
B2. The server acknowledges this request by sending SYN ACK back to the client.
(Server gởi lại gói SYN ACK chấp nhận cho client)
B3. The client responds with an ACK , and the connection is established.
(client trả lời gói ACK và kết nối)
Chương 18: Tấn công mạng và cách phòng chống Page 7
18.2.2.2 Smurfing
Một kiểu tấn công khác được biết đến đó là tấn công từ chối dịch vụ Smurfing.
Phương pháp tấn công này được khai thác tù giao thức mạng ICMP cho phép người
dùng gửi một gói tin ICMP echo request đến một máy chủ từ xa để kiểm
tra xem nó còn sống hay không Vấn đề phát sinh với các địa chỉ phát sóng được chia
sẻ bởi một số máy. Một số triển khai của các giao thức Internet trả lời ping đến địa
chỉcủa cả hai và phát địa chỉ địa phương của họ (ý tưởng là để thử nghiệm một mạng

LAN để xem những gì còn sống). Vì vậy, cácgiao thức cho phép cả hai loại havior-
được trong các bộ định tuyến. Một bộ sưu tập của chủ nhà ở một địa chỉ phát
sóng phản ứng theo cách này được gọi là bộ khuếch đại smurf
Kẻ tấn công đang xây dựng một gói tin với địa chỉ IP nguồn giả mạo là địa chỉ IP
của máy nạn nhân , và gửi đến một số các bộ khuếch đại smurf. Các máy nạn nhân
sẽ trả lời lại (nếu còn sống) bằng cách gửi một gói tin cho kẻ tấn công và máy nạn
nhân có thể bị sụp bẫy của kẻ tấn công bằng các gói dữ liệu hơn là nó có thể tự bảo
vệ . Smurfing thường được sử dụng bởi một số kẻ tấn công muốn vượt qua hệ thống
máy chủ Internet relay chat(IRC) ,vì vậy kẻ tấn công có thể nắm quyền kiểm
soát trong phòng chat. Việc đổi mới đã được tự động khai thác một số lượng lớn từ
các máy "vô haị " trên mạng để tấn công đến các nạn nhân
Một phần của biện pháp đối phó là kỹ thuật: Thay đổi các tiêu chuẩn giao
thức trong Tháng 8 năm 1999 để các gói tin ping được gửi đến một địa chỉ quảng bá
trong toàn mạng mà không cần trả lời [691]. Cách thực hiện như vậy làm cho số
lượng các bộ khuếch đại smurf trên mạng Internet là liên tục giảm xuống. Phần khác là
kinh tế xã hội: các trang web như www.netscan.org sản xuất một danh mục các bộ
khuếch đại smurf. Các nhà quản trị mạng giỏi sẽ đưa thiết bị mạng của họ vào đó và
sửa chữa chúng trong khic đó các nhà quản trị yếu kém biếng sẽ thấy rằng những kẻ
xấu đã chiếm sử dụng băng thông của mình quá nhiều vì vậy họ sẽ bị ép vào các vấn
đề phải sửa chữa
18.2.2.3 Distributed Denial-of-service Attacks: Tấn Công Từ Chối dich vụ
Một sự phát triển cùng với sự xuất hiện của nó vào tháng 10 năm 1999.Đây là 1 cuộc
tấn công từ chối dịch vụ (DDOS).Thay vì ket tấn công khai thác lỗi cấu hình ở các
chương trình giống Smurfing thì kẻ tấn công đồng loạt tấn công từ nhiều nơi trên
mạng kẻ tấn công đã cài đặt sẵn các phần mềm tấn công và tại 1 thời điểm hứa hẹn
trước đồng loạt cùng tấn công vào trang web bằng cách gửi liên tục các tin nhắn đến
máy chủ nên rất khó chống đỡ.Do vậy hệ thống bị tấn công sẽ qua tải và không thể
hoạt động được nữa.
Cho đến nay, các cuộc tấn công DDoS đã được triển khai tấn công tại một số các trang
web cao cấp bao gồm trang Amazon và Yahoo. Kẻ tấn công có thể làm gây gián đoạn

nhiều hơn là chúng ăn cắp thông tin vì kẻ tấn công có thể nhắm vào mục tiêu là dịch
Chương 18: Tấn công mạng và cách phòng chống Page 8
vụ như DNS do đó làm hệ thống mạng Internet tại các web này không thể hoạt động
được nữa.Giống như một cuộc chiến tranh thông tin có thể được dự kiến từ trước và
nó cũng có thể là một hành động phá hoại của một cá nhân nào đó.Các máy thường
được sử dụng phần mềm như là máy chủ cho các cuộc tấn công vào đầu năm 2000 đã
được đưa lên các trang website của Mỹ. Mỗi tran web có các lỗ hổng bảo mật nhất
định vì FDA đã nhấn mạnh rằng hệ thống Unix được chứng thực cho các mục đích
nhất định và cấu hình sẵn bên trong. Một khi lỗi đã được phát hiện tại hệ thống thì hệ
thống sẽ tự động gửi đến máy chủ phần mềm đang tấn công này.
Tại thời điểm này thì các ý tưởng chống lại cuộc tấn công DDOS đang được tiến hành
bằng cách thêm giao thức thông báo điều khiển mạng internet (ICMP)vào thông điệp
trong kiến trúc hạ tầng mạng
Ý tưởng là bất cứ khi nào một router gửi một gói tin IP thì hệ thống cũng sẽ gửi một
gói tin ICMP đến đích với một khả năng xác suất trong khoảng 1 trong 20.000 gói tin.
Các gói tin sẽ bao gồm chi tiết của các đường truyền trước đây,các đường truyền kế
tiếp, và càng nhiều các gói dữ liệu sẽ khớp nhau. Nhà quản trị hệ thống mạng sau đó
sẽ có trách nhiệm theo dõi các cuộc tấn công từ chối dịch vụ trở lại . Ngay cả khi
những kẻ tấn công sử dụng địa chỉ IP nguồn giả mạo để bao phủ máy tính của kẻ tấn
công [93]. Hệ thống cũng có thể giúp bắt giữ kẻ tấn công gửi thư rác với quy mô
lớn ,thông điệp không phải được gửi từ địa chỉ email và do giao thức SMTP được
thiết kế để cung cấp dịch vụ.
18.2.2.4 Spam and Address Forgery
(Tấn công bằn thư rác và giả mạo địa chỉ)
Các dịch vụ như email và Web (SMTP và HTTP) thường kém độ an toàn về bảo mật.
Cách tốt nhất để tìm tên máy với một địa chỉ IP thì sử dung dịch vụ phân giải tên miền
DNS Vì vậy kẻ tấn công có thể lạm dụng lỗ hổng này để giả mạo địa chỉ IP . Ví dụ phổ
biến nhất là thư giả mạo bằng cách gửi thư rác còn có nhiều cách khác. Ví dụ: nếu 1 kẻ
tấn có thể cung cấp thông tin không chính xác về dich vụ DNS cho trang website của
công ty bạn thì trang web này có thể bị chuyển hướng đến 1 trang web khác mà bạn

không thể làm gì đượcVì vậy kẻ tấn công thường cung cấp các thông tin sai lệch trong
bảng bộ nhớ DNS sau đó kẻ tấn công sẽ làm dich vụ DNS bị nhiễm độc.
18.2.2.5 Spoofing Attacks
( Tấn công giả mạo)
Chúng ta có thể kết hợp một số ý tưởng trước vào các cuộc tấn công giả mạo hoạt
động ở phạm vi lớn (có nghĩa bảo là từ bên ngoài mạng cục bộ hoặc miền)
Charlie nói rằng Alice và Bob đang là một mục tiêu trên mạng LAN và Charlie
muốn
Nói chuyện như Alice với Bob. Charlie có thể làm Alice rớt khỏi mạng với một cuộc
tấn công từ chối dịch vụ của một số loại phần mềm tấn công, sau đó bắt đầu một kết
nối mới với Bob [559, 90]. Điều này đòi hỏi phải đoán một dãy số Y, mà Bob sẽ chỉ
định trong phiên giao dịch theo giao thức thể hiện trong hình 18.1. Một cách đơn giản
Chương 18: Tấn công mạng và cách phòng chống Page 9
để đoán dãy số Y là phải làm việc trong một thời gian dài, sau đó Charlie kết nối thưc
sự đến Alice ngay trước khi sử dụng và trong thực tế lthì giá trị của dãy số Y thay đổi
một cách có thể dự đoán được từ một kết nối tiếp theo. Ngăn xếp sử dụng hệ thống
các dãy số ngẫu nhiên và các kỹ thuật khác để tránh kẻ tấn công dự đoán đươc dãy
số, nhưng hệ thống cấp số ngẫu nhiên thường cấp ít các dãy số ngẫu nhiên hơn so với
với dự kiến để chờ đợi một dãy số lớn từ các lỗi bảo mật [774].
Nếu số thứ tự dự đoán là khả thi thì sau đó Charlie sẽ có thể gửi tin nhắn cho Bob, mà
Bob sẽ tin tưởng tin nhắn đó đến từ Alice (mặc dù Charlie sẽ không thể đọc được trả
lời của Bob ). Trong một số trường hợp, Charlie sẽ không có thể tấn công được Alice
khi Alice bỏ qua câu trả lời ngẫu nhiên từ Charlie. Đây là một cuộc tấn công phức tạp
nhưng không có vấn đề gì vì đã có những kịch bản có sẵn trên mạng để làm điều đó.
18.2.2.6 Routing Attacks
Tấn công định tuyến là các cuộc tấn công đa dạng. Vụ tấn công cơ bản liên quan
đến Charlie nói với Alice và Bob bằng một đường truyền đã định tuyến thuận tiện
cho sự trao đổi tín hiệu qua lại giữa hai người. Tấn công định tuyến đã được sắp xếp
vào giao thức TCP để làm hệ thống nhận được các bộ định tuyến sẵn từ môi trường
xung quanh không tốt. Các hạ tầng cơ sở giả định rằng" server đang trung thực" và

đây là đường đinh tuyến trở lại tốt nhất và chỉ có một giải pháp ngăn chặn định tuyến
là khóa bảng định tuyến. Tuy nhiên,giải pháp vẫn tiếp tục được sử dụng cho chẩn
đoán mạng.
Một phương pháp khác liên quan đến việc chuyển hướng thông điệp là dựa trên cùng
một tiền đề. Những ứng dụng nói rằng, "Bạn đã gửi thông điệp này thay vì đến các
cổng khác " và thường phương pháp này không được áp dụng để kiểm tra. Chúng có
thể được sử dụng để làm các việc lật đổ tương tự như cấp bảng định tuyến.
Việc gửi thư rác đã làm cho gần như tất cả kẻ tấn công giả mạo thư đang bị coi
thường. Việc định tuyến lại là rất khó khăn hơn, vì việc định tuyến hoàn toàn dựa trên
nhà cung cấp dịch vụ . Nhiễm độc bộ nhớ cache DNS chỉ là một trong những thủ thuật
mà có thể được sử dụng.
18.3 Defense against Network Attack: (Bảo vệ chống lại tấn công mạng)
Việc chống lại tấn công có vẻ hợp lý để hy vọng rằng hầu hết các cuộc tấn công được
những người đưa ra kịch bản có thể bị cản trở bởi một quản trị hệ thống cần cù theo
dõi bản thông tin bảo mật và áp dụng tất cả các bản vá lỗi phần mềm của mình kịp thời
cho nhà cung cấp . Đây là một phần của các chủ đề rộng hơn về quản lý cấu hình
18.3.1 Configuration Management : (Quản trị cấu hình)
Chương 18: Tấn công mạng và cách phòng chống Page 10
Quản trị chặt chẽ cấu hình là khía cạnh quan trọng nhất của một mô hình an toàn
mạng . Nếu bạn có thể chắc chắn rằng tất cả các máy trong hệ thống của bạn đang
chạy để cập nhật bản sao của hệ điều hành và đã cập nhật tất cả các bản vá lỗi được áp
dụng cho các tập tin cấu hình dịch vụ mà không có bất kỳ lỗ hổng nghiêm trọng
(chẳng hạn như các tập tin mật khẩu có thể bị ghi lại), các mật khẩu mặc định từ các
sản phẩm đang được cài đặt mới và được hỗ trợ bởi tổ chức bảo vệ hệ thống mạng uy
tín thì khi đó bạn có thể đối phó với hơn một nửa các cuộc tấn công mạng. (Bạn vẫn sẽ
phải kiểm tra với các lỗ hổng từ những ứng dụng như kịch bản CGI, nhưng không
chạy kich bản đó với quyền admins để bạn có thể hạn chế những thiệt hại mà kẻ tấn
công có thể khai thác lỗ hổng)
Quản trị cấu hình hợp lí cũng quan trọng như có một bức tường lửa , trong thực tế với
sự lựa chọn của một trong hai thiết bị thì bạn nên quên các bức tường lửa. Tuy nhiên

đó cũng là sự lựa chọn khó khăn hơn cho nhiều công ty bởi vì đó là nỗ lực thực sự
của các nhà quản trị mạng chứ không phải mua và cài đặt một sản phẩm . Việc quản
trị cấu hình bằng con số thậm chí có thể làm mọi điều trở nên điều tồi tệ hơn. Như đã
lưu ý tại mục 18.2.2.3, bệnh viện Hoa Kỳ đã phải sử dụng một cấu hình được biết đến
và quản tri hệ thống mạng yếu kém đã làm cho những kẻ tấn công lấy được những
thông tin quan trọng trong nội bộ).
Một số công cụ có sẵn để giúp các nhà quản trị hệ thống mạng bảo vệ mọi thứ chặt
chẽ. Một số hệ thống mạng cho phép người quản trị thực hiện việc điều khiển các
phiên bản tập trung do đó các bản vá lỗi có thể được áp dụng bất cứ lúc nào và tất cả
mọi thứ có thể được bảo vệ một cách đồng bộ.Những kẻ tấn công sẽ cố gắng đột
nhập vào các máy tính trong hệ thống mạng của nhà quản trị viên bằng cách sử
dụng một tập hợp các lỗ hổng thông thường [320 ]. Kẻ tấn công sử dụng một số công
cụ quen thuộc để thâm nhập là một ý tưởng rất tốt, vì các công cụ này cũng có
thể bị sử dụng bởi các tin tặc để cố gắng tấn công hệ thống mạng
Các bảng chi tiết sẵn có của các sản phẩm và những gì họ làm thay đổi từ một năm
đến kế tiếp, vì vậy nó là không thích hợp để đi vào chi tiết ở đây. Điều thích hợp cho
một nhà quản trị hệ thống là việc quản trị để ngăn chặn tất cả các lỗ hổng bằng những
kỹ năng và lòng nhiệt huyết của mình.Các tổ chức cá nhân có thể thấy rằng quá tốn
kém chi phí để sửa chữa tất cả các lỗ hổng bảo mật trên hệ thống chấp nhận được trên
một mạng nội bộ nhưng không có kết nối Internet. Một vấn đề khác là một tổ chức
thường xuyên chạy hầu hết các ứng dụng quan trọng trên hệ thống trên máy được bảo
mật nhất trong khi đó các quản trị viên hệ thống mạng lại không dám áp dụng để nâng
cấp hệ thống điều hành và các bản vá lỗi vì sợ mất dịch vụ.Điều này dẫn chúng ta đến
việc sử dụng tường lửa.
18.3.2 Firewalls(Tường lửa)
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
Chương 18: Tấn công mạng và cách phòng chống Page 11
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông

tin khác không mong muốn. Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ
mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network).
Internet Firewall là một thiết bị (phần cứng+phần mềm) giữa mạng của một tổ chức,
một công ty, hay một quốc gia (Intranet) và Internet. Nó thực hiện vai trò bảo mật các
thông tin Intranet từ thế giới Internet bên ngoài
Cấu trúc của Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
có chức năng router. Các phần mềm quản lý an ninh chạy trên hệ thống máy
chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền
(Authorization) và kế toán (Accounting).
Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
1.Bộ lọc packet ( packet-filtering router )
2.Cổng ứng dụng (application-level gateway hay proxy server )
3.Cổng mạch (circuite level gateway)
18.3.2.1 Packet Filtering
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều
đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP. Vì
giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng
trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet,
SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho các
packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các
loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của
chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các
luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở
đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng.
Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination
address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP
nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP

destination port) Dạng thông báo ICMP ( ICMP message type) giao diện packet đến
( incomming interface of packet) giao diện packet đi ( outcomming interface of
packet)
Chương 18: Tấn công mạng và cách phòng chống Page 12
Nếu luật lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không
packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy
chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội
bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ
nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy
được trên hệ thống mạng cục bộ.
18.3.2.2 Circuit Gateways:
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng.
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất
kỳ một hành động xử lý hay lọc packet nào.
Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một
sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi
dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên
ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống
firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho
những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng
bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn
hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong
mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp
chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
18.3.2.3 Application Relays:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại
dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của
nó dựa trên cách thức gọi là Proxy service (dịch vụ đại diện). Proxy service là các bộ

chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị
mạng không cài đặt chương trình proxy cho một ứng dụng nào đó, dịch vụ tương ứng
sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra,
proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng
mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm
khác. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì
nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm
bảo an ninh của một bastion host là:
Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ
thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích
Chương 18: Tấn công mạng và cách phòng chống Page 13
chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp
firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị
tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet,
DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. Bastion host có
thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart
card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ
đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký ghi
chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết
nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ
dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.
18.3.2.4 Ingress versus Egress Filtering: (Xâm nhập cổng ra của bộ lọc)
Hiện nay hầu hết tất cả hệ thống tường lửa đều đượ bảo vệ từ phía bên ngoài và bảo vệ
hệ thống khỏi những kẻ tấn công,hệ thống giám sát đảm bảo không có bất cứ thông tin
dữ liệu nào bị ăn cắp ra bên ngoài. Điều đó nói rằng, một số tổ chức thương mại đang
bắt đầu theo dõi lưu lượng các gói tin gửi đi trong hệ thống. Nếu công ty có các máy
được sử dụng trong các cuộc tấn công từ chối dịch vụ (như đã được đề xuất trong

[771]) thì bộ lọc gói về nguyên tắc có thể được sử dụng để phát hiện và ngăn chặn các
cuộc tấn công như vậy. Ngoài ra một xu hướng ngày càng đó là công nghệ thu thập
dữ liệu và chuyển tiếp các thông tin về một thuê bao trực tuyến mà không cần uỷ
quyền của họ. Phần mềm cho điện thoại trong nhà có thể tiết lộ những tài liệu nhạy
cảm cao như các thư mục dữ liệutrong ổ cứng. Hy vọng rằng mọi người sẽ ngày càng
thận trọng trong việc tổ chức theo dõi và kiểm soát loại lưu lượng.
18.3.2.5 Combinations (Kết Hợp)
Tại các trang web có nhiều bức tường lửa có thể được sử dụng bộ lọc gói tin sau đó
kết nối thế giới bên ngoài .Một mạng con cũng được biết đến như một khu phi quân
sự (DMZ), trong đó có một số máy chủ ứng dụng hoặc proxy để lọc mail và các dịch
vụ khác. Các DMZ sau đó có thể được kết nối với mạng nội bộ thông qua một bộ lọc
địa chỉ mạng. Trong tổ chức hệ thống có thể có thêm các thiết bị quản lí kiểm soát
hoạt động của hệ thống mạng để đảm bảo rằng thông tin phân loại không thể bị ăn cắp
ra bên ngoài (hình 18,2).
Việc cài đặt ,xây dựng hệ thống như vậy sẽ có thể mất chi phí lắp đặt rất cao như
nhiều thông điệp cần phải thường được kiểm tra và thông qua bằng tay. Điều này có
thể có được thực hiện bằng nhiều cách mà nhà quản tri mạng cài đặt cấp phép ra vào
mạng, chẳng hạn như thiết bị quay số (dial -up) có thể thực hiện được công việc bảo
mật thực hiện nếu nhà quản trị mạng cài đặt là nhằm ngăn chặn thông tin bị rò rỉ ra
Chương 18: Tấn công mạng và cách phòng chống Page 14
bên ngoài thì có thể dùng để ngăn chặn một số loại virus từ bên trong.Chúng ta sẽ
thảo luận về vấn đề này tại Mục 18.4.6

18.3.3 Strengths and Limitations of Firewalls: (Ưu điểm và nhược điểm của firewall)
 Ưu Điểm:
1. Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên
ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và
cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.
2. Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và ngược
lại đều phải thực hiện thông qua Firewall.

3. Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội
bộ mới được quyền lưu thông qua Firewall.
 Nhược Điểm:
1. Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin
và phân tích nội dung tốt hay xấu của nó.
2. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không
mong muốn nhưng phải xác định rõ các thông số địa chỉ.
3. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
4. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
driven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua
firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là
các virus máy tính
5. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua
nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều
cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.
Chương 18: Tấn công mạng và cách phòng chống Page 15
Figure 18.2 Multiple firewalls.
18.3.4 Encryption
Thuật toán Cryptography đề cập tới nghành khoa học nghiên cứu về mã hoá và giải mã
thông tin. Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ
(clear text) sang dạng mờ (cipher text) và ngược lại. Đây là một phương pháp hỗ trợ
rất tốt cho trong việc chống lại những truy cập bất hợp pháp tới dữ liệu được truyền đi
trên mạng, áp dụng mã hoá sẽ khiến cho nội dung thông tin được truyền đi dưới dạng
mờ và không thể đọc được đối với bất kỳ ai cố tình muốn lấy thông tin đó.
Không phải ai hay bất kỳ ứng dụng nào cũng phải sử dụng mã hoá. Nhu cầu về sử
dụng mã hoá xuất hiện khi các bên tham gia trao đổi thông tin muốn bảo vệ các tài liệu
quan trọng hay gửi chúng đi một cách an toàn. Các tài liệu quan trọng có thể là: tài

liệu quân sự, tài chính, kinh doanh hoặc đơn giản là một thông tin nào đó mang tính
riêng tư.
Như chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ Mỹ
nhằm phục vụ cho mục đích quân sự. Khi chúng ta tham gia trao đổi thông tin, thì
Internet là môi trường không an toàn, đầy rủi ro và nguy hiểm, không có gì đảm bảo
rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường truyền. Do đó, mã
hoá được áp dụng như một biện pháp nhằm giúp chúng ta tự bảo vệ chính mình cũng
như những thông tin mà chúng ta gửi đi. Bên cạnh đó, mã hoá còn có những ứng dụng
khác như là bảo đảm tính toàn vẹn của dữ liệu.
Theo một số tài liệu thì trước đây tính an toàn, bí mật của một thuật toán phụ thuộc
vào phương thức làm việc của thuật toán đó. Nếu như tính an toàn của một thuật toán
chỉ dựa vào sự bí mật của thuật toán đó thì thuật toán đó là một thuật toán hạn chế
(Restricted Algrorithm). Restricted Algrorithm có tầm quan trọng trong lịch sử nhưng
không còn phù hợp trong thời đại ngày nay. Giờ đây, nó không còn được mọi người sử
dụng do mặt hạn chế của nó: mỗi khi một user rời khỏi một nhóm thì toàn bộ nhóm đó
phải chuyển sang sử dụng thuật toán khác hoặc nếu người đó người trong nhóm đó tiết
lộ thông tin về thuật toán hay có kẻ phát hiện ra tính bí mật của thuật toán thì coi như
thuật toán đó đã bị phá vỡ, tất cả những user còn lại trong nhóm buộc phải thay đổi lại
thuật toán dẫn đến mất thời gian và công sức.
Hệ thống mã hoá hiện nay đã giải quyết vấn đề trên thông qua khoá (Key) là một yếu
tố có liên quan nhưng tách rời ra khỏi thuật toán mã hoá. Do các thuật toán hầu như
được công khai cho nên tính an toàn của mã hoá giờ đây phụ thuộc vào khoá. Khoá
này có thể là bất kì một giá trị chữ hoặc số nào. Phạm vi không gian các giá trị có thể
có của khoá được gọi là Keyspace . Hai quá trình mã hoá và giải mã đều dùng đến
Chương 18: Tấn công mạng và cách phòng chống Page 16
khoá. Hiện nay, người ta phân loại thuật toán dựa trên số lượng và đặc tính của khoá
được sử dụng.
Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải đảm bảo các
mục tiêu sau:
a.Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một cách an

toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có được nội
dung của dữ liệu gốc ban đầu. Chỉ những người được phép mới có khả năng đọc
được nội dung thông tin ban đầu.
b.Authentication (Tính xác thực): Giúp cho người nhận dữ liệu xác định được
chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu. Kẻ giả mạo không thể có
khả năng để giả dạng một người khác hay nói cách khác không thể mạo danh để
gửi dữ liệu. Người nhận có khả năng kiểm tra nguồn gốc thông tin mà họ nhận
được.
c.Integrity (Tính toàn vẹn): Giúp cho người nhận dữ liệu kiểm tra được rằng dữ
liệu không bị thay đổi trong quá trình truyền đi. Kẻ giả mạo không thể có khả
năng thay thế dữ liệu ban đầu băng dữ liệu giả mạo
d.Non-repudation (Tính không thể chối bỏ): Người gửi hay người nhận không
thể chối bỏ sau khi đã gửi hoặc nhận thông tin.
Nguyên tắc đầu tiên trong mã hoá là “Thuật toán nào cũng có thể bị phá vỡ”. Các thuật
toán khác nhau cung cấp mức độ an toàn khác nhau, phụ thuộc vào độ phức tạp để phá
vỡ chúng. Tại một thời điểm, độ an toàn của một thuật toán phụ thuộc:
- Nếu chi phí hay phí tổn cần thiết để phá vỡ một thuật toán lớn hơn giá trị của
thông tin đã mã hóa thuật toán thì thuật toán đó tạm thời được coi là an toàn.
- Nếu thời gian cần thiết dùng để phá vỡ một thuật toán là quá lâu thì thuật toán
đó tạm thời được coi là an toàn.
- Nếu lượng dữ liệu cần thiết để phá vỡ một thuật toán quá lơn so với lượng dữ
liệu đã được mã hoá thì thuật toán đó tạm thời được coi là an toàn
Từ tạm thời ở đây có nghĩa là độ an toàn của thuật toán đó chỉ đúng trong một thời
điểm nhất định nào đó, luôn luôn có khả năng cho phép những người phá mã tìm ra
cách để phá vỡ thuật toán. Điều này chỉ phụ thuộc vào thời gian, công sức, lòng đam
mê cũng như tính kiên trì bên bỉ. Càng ngày tốc độ xử lý của CPU càng cao, tốc độ
tính toán của máy tính ngày càng nhanh, cho nên không ai dám khẳng định chắc chắn
một điều rằng thuật toán mà mình xây dựng sẽ an toàn mãi mãi. Trong lĩnh vực mạng
máy tính và truyền thông luôn luôn tồn tại hai phe đối lập với nhau những người
chuyên đi tấn công, khai thác lỗ hổng của hệ thống và những người chuyên phòng thủ,

xây dựng các qui trình bảo vệ hệ thống. Cuộc chiến giữa hai bên chẳng khác gì một
cuộc chơi trên bàn cờ, từng bước đi, nước bước sẽ quyết định số phận của mối bên.
Trong cuộc chiến này, ai giỏi hơn sẽ dành được phần thắng. Trong thế giới mã hoá
cũng vậy, tất cả phụ thuộc vào trình độ và thời gian…sẽ không ai có thể nói trước
được điều gì. Đó là điểm thú vị của trò chơi.
Chương 18: Tấn công mạng và cách phòng chống Page 17
Có rất nhiều các thuật toán mã hoá khác nhau. Từ những thuật toán được công khai để
mọi người cùng sử dụng và áp dụng như là một chuẩn chung cho việc mã hoá dữ liệu;
đến những thuật toán mã hoá không được công bố. Có thể phân loại các thuật toán mã
hoá như sau:
Phân loại theo các phương pháp:
- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
- Hàm băm (Hash function)
Phân loại theo số lượng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
18 4 Trojans, Viruses, and Worms
Trojan Horse được lấy tên từ một câu chuyện thần thoại cổ “ Con ngựa thành Trojan“.
Người ta định nghĩa :”Trojan horse là một chương trình không chính thức chứa trong
khoảng thời gian một chương trình hợp pháp”. Như vậy, Trojans có thể chạy được là
do các chương trình hợp pháp đã bị thay đổi mã của nó bằng những mã bất hợp pháp.
Những chương trình virus là một loại điển hình của các chương trình Trojans. Vì
những chương trình virus che dấu các đoạn mã trong những chương trình sử dụng hợp
pháp. Khi những chương trình này hoạt động thì những đoạn mã ẩn dấu thực thi để
thực hiện một số chức năng mà người sử dụng không biết (ăn cắp mật khẩu hay sao
chép files v.v…).
Xét về khía cạnh bảo mật và giám sát trên Internet thì một chương trình Trojan sẽ thực
hiện các vấn đề sau:

-Giúp người lập trình phát hiện ra các lỗi hoặc thông tin cá nhân của máy
người dùng trên hệ thống mạng.
-Giúp người lập trình phát hiện kiểm soát và khống chế các hoạt động
trên máy được kết nối vào mạng
Một vài chương trình trojan có thể thực hiện cả 2 chức năng này; ngoài ra, một số
chương trình trojans còn có thể phá hủy hệ thống bằng cách phá hoại các thông tin trên
ổ cứng (ví dụ các trường hợp là virus Melisa lây lan qua đường thư điện tử). Các
chương trình trojan có thể lây lan qua nhiều phương thức; hoạt động trên nhiều môi
trường hệ điều hành khác nhau (từ Unix tới Windows, DOS); đặc biệt thường lây lan
qua một số dịch vụ phổ biến như Mail, FTP hoặc qua các tiện ích, chương trình miễn
phí trên mạng Internet.
Việc đánh giá mức độ ảnh hưởng của các chương trình trojans hết sức khó khăn.
Trong một vài trường hợp, nó chỉ đơn giản là ảnh hưởng đến các truy nhập của khách
Chương 18: Tấn công mạng và cách phòng chống Page 18
hàng; ví dụ như các chương trình trojans lấy được nội dung của file password và gửi
mail tới kẻ phá hoại; cách thức sửa đơn giản nhất là thay thế toàn bộ nội dung của các
chương trình đã bị ảnh hưởng bởi các đoạn mã trojans và thay thế các passwords của
người sử dụng hệ thống.
Tuy nhiên với những trường hợp nghiêm trọng hơn, là những kẻ tấn công tạo ra những
lỗ hổng bảo mật thông qua các chương trình trojans; ví dụ những kẻ tấn công lấy được
quyền root trên hệ thống, lợi dụng nó để phá huỷ toàn bộ hoặc một phần của hệ thống;
chúng dùng các quyền root để thay đổi logfile; cài đặt các chương trình trojans khác
mà người quản trị không thể phát hiện. Trong trường hợp này, mức độ ảnh hưởng là
nghiêm trọng và người quản trị hệ thống đó chỉ còn cách là cài đặt lại toàn bộ hệ
thống.
Để có thêm nhiều thông tin hơn về chương tình trojan xem :

Ngoài những nguy cơ được liên quan đến khi nối máy tính (của) các bạn tới Internet, ở
đó là một số nguy cơ mà áp dụng dù máy tính không có những kết nối mạng chút nào.
Đó là những nguy cơ khá điển hình như : Lỗi đĩa cứng (Disk failure), Gián đoạn trong

việc cấp năng lượng và sóng (Power failure and surges), ăn trộm vật lý (Physical
Theft) v.v…
Ngoài ra còn có các virus và sâu, được tự tuyên truyền chương trình độc hại và để mà
chúng ta đã đề cập nhiều lần trong các chương trước đó. Có cuộc tranh luận về các
định nghĩa chính xác bằng ba điều kiện: sử dụng phổ biến là đoạn mã độc một chương
trình mà không gây cái gì đó độc hại (như chụp mật khẩu) khi chạy bởi một người
dùng không nghi ngờ; sâu một lần nhắc lại là cái gì đó và virus là một loại virus là loại
lây lan nhanh bằng cách gắn nó với các chương trình khác.
18.4.1 Early History of Malicious Code
Malware dường như có khả năng xuất hiện bất cứ khi nào số lượng người dùng chia
sẻ một nền tảng dữ liệu kha lớn. Mã độc ra đời vào đến đầu thập niên 1960. Các máy
móc của thời đại đó đã bị làm chậm và chu kỳ của CPU đã được cẩn thận hạn chế giữa
các nhóm khác nhau của người dùng. Bởi vì sinh viên của các trường đại học thường
phát minh ra những thủ thuật như viết trò chơi máy tính với đoạn mã độc bên trong
để kiểm tra xem các chương trình đã được chạy như là người chủ và nếu như vậy để
tạo một tài khoản bổ sung đặc biệt với một mật khẩu được biết trước. Đến năm 1970,
các hệ thống lớn ở trường đại học là mục tiêu của trò đùa nhiều hơn và nhiều hơn nữa
liên quan đến Trojan horses. Tất cả các loại thủ thuật được phát triển.
18.4.2 The Internet Worm
Worm là sâu máy tính là một loại phần mềm có sức lây lan nhanh, rộng và phổ biến
nhất hiện nay. Không giống với virus thời "nguyên thủy", worm không cần đến các tập
Chương 18: Tấn công mạng và cách phòng chống Page 19
tin "mồi" để lây nhiễm. Chúng tự nhân bản và phát tán qua môi trường Internet, mạng
ngang hàng, dịch vụ chia sẻ
Worm làm việc đó một cách tự động bằng cách nắm quyền kiểm soát các tính năng
trong máy tính, mà các tính năng này có thể truyền tải các tệp hoặc thông tin. Khi bạn
có sâu trong hệ thống của mình nó có thể tự di chuyển. Một nguy hiểm lớn của sâu là
nó có khả năng tái tạo ở lượng lớn.
Ví dụ, một sâu có thể gửi các bản sao chép của chính nó tới tất cả mọi người có trong
danh sách sổ địa chỉ thư điện tử của bạn, và máy tính của họ sau đó cũng sẽ làm như

vậy, tạo nên một tác dụng lôi kéo làm cho lưu lượng mạng bị quá tải và điều này làm
chậm các mạng kinh doanh và Internet nói chung. Khi các sâu mới ra đời, chúng phát
tán rất nhanh, làm tắc nghẽn mạng và có thể làm cho bạn (và những người khác) phải
chờ lâu gấp hai lần để xem các trang Web trên Internet.
Sâu (Một phân lớp của virus. Sâu thường phát tán mà không cần có tác động của
người sử dụng và phân tán các bản sao đầy đủ (cũng có thể được sửa đổi) của chính nó
qua mạng. Sâu có thể ngốn bộ nhớ hoặc băng thông của mạng, do đó làm cho máy tính
không phản ứng. So sánh với Virus.
Bở vì sâu không cần dịch chuyển qua một chương trình “chủ” hoặc một tệp, chúng
cũng có thể khoét sâu vào hệ thống của bạn và cho phép một người khác kiểm soát
máy tính của bạn từ xa. Ví dụ, sâu MyDoom gần đây được thiết kế để mở một “cửa
sau” trên các hệ thống bị nhiễm và sử dụng hệ thống để tấn công các trang web.
18.4.3 Recent History:
Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt
và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại
virus:
- Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân bản
của một chương trình cho máy tính.
- Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108
một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập
tin tự hành. Lúc đó chưa có khái niệm virus.
- Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.
- Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra
khái niệm computer virus như định nghĩa ngày nay.
- Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại
Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot
sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại
"stealth virus" đầu tiên.
Chương 18: Tấn công mạng và cách phòng chống Page 20
- Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó

có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại
các máy tính VAX/VMS.
- Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
- Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các
quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính
(giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).
- Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của
ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc
dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).
- Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
- Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại
này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống
virus.
- Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện
thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good
Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax
virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của
các người nhận được điện thư này để tạo ra sự luân chuyển.
- Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong
các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều
hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho
các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn
phòng của Microsoft như Word, Excel, PowerPoint, OutLook, Loại macro này, nổi
tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word
hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi
một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong
các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word,
Excel và Power Point.
- Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi
người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng

"ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định
sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới
của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo.
Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì
Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính.
- Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.
- Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho
khoảng 75 ngàn máy trong 10 phút.
- Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người
ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm
nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy
chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm
Chương 18: Tấn công mạng và cách phòng chống Page 21
này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi,
Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa
án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.
- Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy
các rào an toàn của hệ điều hành hay chui vào các chỗ hở của các phần mềm nhất là các
chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư
điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính
Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải
nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật
của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm
giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có
hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn
chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo
vệ có đất dụng võ.
- Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm
mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và
còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware). Đồng thời nó có

thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ
điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ
không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu
của máy tính cũng như chương trình.
18.4 Các hình thức lây nhiễm của Virus
Virus lây nhiễm theo cách cổ điển
- Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông
qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình
thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít
được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di
động hoặc các thiết bị giải trí kỹ thuật số.
Virus lây nhiễm qua thư điện tử
- Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng
sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.
- Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư
điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ
tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị
phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi
tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong
một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ
quan trên toàn thế giới trong một thời gian rất ngắn.
- Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể
khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong
Chương 18: Tấn công mạng và cách phòng chống Page 22
danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư
phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
Phương thực lây nhiễm qua thư điển tử bao gồm:
- Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó người dùng
sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do
đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể

thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)
- Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể
dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của
trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã,
và máy tính bị có thể bị lây nhiễm virus.
- Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần
kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này
cũng thường khai thác các lỗi của hệ điều hành.
Virus lây nhiễm qua mạng Internet
- Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây
nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay.
Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:
- Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng
thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB ) bằng cách tải
từ Internet, trao đổi, thông qua các phần mềm
- Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc
cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần
mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.
- Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ
điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều
này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các
lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Winidow
Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat
Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các
file liên kết với các phần mềm này.
18.4.5 Cách phòng chống Virus, Worm và ngăn chặn các tác hại của nó.
- Có một câu nói vui rằng Để không bị lây nhiễm virus thì ngắt kết nối khỏi mạng,
không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính. Nhưng nghiêm
túc ra thì điều này có vẻ đúng khi mà hiện nay sự tăng trưởng số lượng virus hàng năm
trên thế giới rất lớn.

Chương 18: Tấn công mạng và cách phòng chống Page 23
- Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm hoạ
virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối đa có thể và có
các biện pháp bảo vệ dữ liệu của mình.
Sử dụng phần mềm diệt virus
- Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều
loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được
các virus mới.
- Trên thị trường hiện có rất nhiều phần mềm diệt virus.
- Trong nước (Việt Nam): Bkav, CMC…
- Của nước ngoài: Avira, Kaspersky, AVG, Norton…
Sử dụng tường lửa
- Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các nhà
cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng tường
lửa để bảo vệ trước virus và các phần mềm độc hại. Khi sử dụng tường lửa, các thông
tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý. Nếu một
phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường
lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa
giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát máy
tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính.
- Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet thông
qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà sản xuất
thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép
hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi
chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa
bằng các phần mềm.
- Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày nay đã
được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các
phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so
với tường lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm

Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các
phần mềm độc hại, chống spam, và tường lửa.
Cập nhật các bản sửa lỗi của hệ điều hành
- Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi
sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều
khiển hoặc phát tán virus và các phần mềm độc hại. Người sử dụng luôn cần cập nhật
các bản vá lỗi của Windows thông qua trang web Microsoft Update (cho việc nâng cấp
tất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng
cho Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic
Chương 18: Tấn công mạng và cách phòng chống Page 24
Updates) của Windows. Tính năng này chỉ hỗ trợ đối với các bản Windows mà
Microsoft nhận thấy rằng chúng hợp pháp.
Vận dụng kinh nghiệm sử dụng máy tính
- Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có khả
năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được cập
nhật kịp thời đối với phần mềm diệt virus. Người sử dụng máy tính cần sử dụng triệt để
các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm khác để bảo vệ
cho hệ điều hành và dữ liệu của mình. Một số kinh nghiệm tham khảo như sau:
- Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy tính
không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay
đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường
của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận
thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của
hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt
động khác của tường lửa). Mọi sự hoạt động khác thường này nếu không phải do phần
cứng gây ra thì cần nghi ngờ sự xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra
bằng cách cập nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng một
phần mềm diệt virus khác để quét toàn hệ thống.
- Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm
trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng

hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các
ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file
hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự
nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy
nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng.
- Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus:
Theo mặc định Windows thường cho phép các tính năng autorun giúp người sử dụng
thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ
thống. Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi
vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền
rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file
autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần
loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa
đổi trong Registry.
- Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến: Xem thêm phần
"Phần mềm diệt virus trực tuyến" tại bài phần mềm diệt virus
Bảo vệ dữ liệu máy tính
Chương 18: Tấn công mạng và cách phòng chống Page 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×