KỶ NGHÊ BẢO MẬT
ĐH Duy Tân – Khoa Công Nghệ Thông Tin
NỘI DUNG
13/07/14Network Attacks and Defense
2
1. The Most Common Attacks
2. Lỗ hỗng trong giao thức mạng
3. Distributed Denial-of-service Attacks
3.1 SYN Flooding
3.2 Smurfing Attack
4. Malicious Code
4.1 Worm (Sâu máy tính)
4.2 Trojan
4.3 Phishing (Lừa đảo)
5. Bảo vệ, chống lại Tấn công mạng
1. The Most Common Attacks
13/07/14Network Attacks and Defense
3
1. Một lỗi trong Microsoft Internet Information Server (IIS)
phần mềm máy chủ Web, cho phép truy cập ngay tới một
tài khoản quản trị trên máy chủ.
2. Đoán tên người dùng và mật khẩu, đặc biệt là độ phức
tạp của các mật khẩu root kém, hoặc khi hệ thống hoăc nhà
cung cấp đặt mật khẩu mặc định mà mọi người không bận
tâm thay đổi.
- VD: Mật khẩu là: 123456, admin, root, password
3. Tấn công tràn bộ đệm vào hệ điều hành Solaris của Sun,
cho phép người dùng có quyền root ngay lập tức.
4. Tấn công DNS chiếm quyền kiểm soát domain.
5. Các cuộc tấn công DoS làm hệ thống trở nên trì truệ
hoặc sụp đổ.

2. Lỗ hỗng trong giao thức mạng
13/07/14Network Attacks and Defense
4
-
Một giao thức mạng được sử dụng rộng rãi trên toàn cầu, nếu giao
thức kém bảo mật có thể gây nên thiêt hại rất nặng nề cho người sử
dụng, công ty hoăc các tập đoàn lớn.
-
Lỗ hỗng trong giao thức mạng được đánh giá là một trong các lỗ
hỗng nguy hiểm nhất.
-
Vào giữa năm 2007: Lỗi bảo mật trong dịch vụ tên miền DNS các
phiên bản Windows Server của Microsoft có thể bị hackers chiếm
toàn quyền điểu khiển hê thống.
-
VD: Pavietnam.vn , matbao.net, microsoft.com Bị chiếm quyền
3. Distributed Denial-of-service Attacks
13/07/14Network Attacks and Defense
5
- Đây là cách thức tấn công rất nguy hiểm. Hacker xâm nhập vào các hệ
thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt
đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn
công vào một mục tiêu và làm hết băng thông của mục tiêu hoặc làm sụp
đổ hệ thống trong nháy mắt.
- Mục đích của tấn công DoS:
+ Ngốn băng thông, sụp hệ thống (không thể truy cập được).
+ Tê liệt firewall để tiến hành khai thác bước tiếp theo.
- Các dạng tấn công DoS
+ SYN Flooding
+ Smurf Attack

+ Buffer Overflow Attack
+ Ping of Death
+ Botnet

3.1 SYN Flooding
13/07/14Network Attacks and Defense
6
SYN Flooding là phương thức tấn công ngập lụt theo giao thức TCP.
- VD: A muốn làm viêc với B theo giao thức TCP thì thủ tuc đầu tiên phải bắt
tay «handshaking».
- A gởi yêu cầu tới B gói «SYN».
- B nhận đc sẽ gởi lại gói «SYN/ACK», cấp phát tài nguyên để làm
việc với A và chờ A trả lời
- A trả lời bằng gói “ACK” => Phiên giao dịch bắt đầu
- Hacker sẽ khai thác lỗ hổng như sau:
+ Hacker(A) gởi gói SYN nặc danh A’ với IP không có thực đến B.
+ B nhận đc sẽ gởi lại gói «SYN/ACK» và cấp phát tài nguyên dể làm việc
với A’. Nhưng trên thực tế A’ không có thực và B phải chờ sự đồng ý của
A’.
+ Nếu A gửi liên tiếp gói tin giả mạo thì B sẽ phải dành hết tài nguyên này
đến tài nguyên khác của mình ra để đối thoại, cuối cùng B sẽ hết sạch tài
nguyên và không thể đáp ứng được các yêu cầu khác nữa, nghĩa là B bị
"ngập lụt" bởi các yêu cầu đồng bộ và phải "từ chối phục vụ" chỉ vì bận
"bắt tay".
3.2 Smurfing Attack
13/07/14Network Attacks and Defense
7
- Khi hackers ping tới địa chỉ
Broadcast của mạng nào đó thì toàn bộ
các máy tính trong mạng đó sẽ Reply

lại.
- Nhưng hackers thay đổi địa chỉ
nguồn là địa chỉ máy C và hacker
ping tới địa chỉ Broadcast của một
mạng nào đó, thì toàn bộ các máy tính
trong mạng đó sẽ reply trả lại về máy
C -> là tấn công Smurf.
- Kết quả đích tấn công sẽ phải chịu
nhận một đợt reply gói ICMP cực lớn
và làm cho mạng bị dớt hoặc bị chậm
lại không có khả năng đáp ứng các
dịch vụ khác
13/07/14Network Attacks and Defense
8
Ví dụ một mô hình tường lửa nhiều lớp.
5. Malicious Code
13/07/14Network Attacks and Defense
9
Malicious Code (Mã độc hại) là một loại phần mềm hệ thống do các
tay tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các máy
tính. Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các lọai
phần mềm ác tính có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa
cho đến việc tấn công chiếm máy và lây lan sang các máy khác.
Phần mềm độc hại bao gồm các phần mềm sau:
Virus (máy tính): Các dạng mã độc nhiễm nhiễm trực tiếp vào file.
Worm - Sâu máy tính: Lây nhiễm qua internet, USB, mạng LAN
Trojan
- Spyware: Tự động ghi lại các thông tin của máy tính bị xâm nhập
- Adware: Tự động hiện các bản quảng cáo
- Keyloger: Ghi nhận lại toàn bộ thao tác của bàn phím

- Backdoor: Mở cửa hậu cho kẻ khác xâm nhập
Rootkit: Dạng mã độc "tàng hình" trước các chương trình kiểm soát
file, tiến trình (process)
5.1 Worm (Sâu máy tính)
13/07/14Network Attacks and Defense

10
- Sâu máy tính (Worm) là các chương trình cũng có
khả năng tự nhân bản tự tìm cách lan truyền qua hệ
thống mạng (thường là qua hệ thống thư điện tử).
Ngoài tác hại lên nhiễm lên máy tính, nhiệm vụ
chính của worm là phá các mạng thông tin, làm
giảm khả năng hoạt động hay ngay cả hủy hoại các
mạng này.
- Năm 1988: Sâu Morris là loại Worm đầu tiên được
thả lên mạng và người ta thống kê rằng có 6.000
máy tính chay Unix bị nhiễm và riêng Nước Mỹ bị
thiệt hại khoảng 10 đến 100 triệu USD.
5.2 Trojan
13/07/14Network Attacks and Defense

11
- Trojan cũng là một phần mềm độc hại, tuy không có chức năng lây lan,
nhân bản như virus nhưng nó có chức năng hủy hoại tương tự như virus.
- Đặc điểm:
+ Chứa đựng các phần mềm gián điệp để thân chủ có thể điều khiển
máy nạn nhân.
+ Gây những phiền toái cho người dùng.
-
Các biến dạng của Trojan như:

+ Spyware: Tự động ghi lại các thông tin của nạn nhân
+ Adware: Tự động hiện các bản quảng cáo
+ Keyloger: Ghi nhận lại toàn bộ thao tác của bàn phím
+ Backdoor: Mở cửa hậu cho kẻ khác xâm nhập
+ Botnet: Là những máy tính bị nhiễm mã đôc và điều khiển bởi
người khác thông qua Trojan, virus
5.3 Phishing (Lừa đảo)
13/07/14Network Attacks and Defense

12
-
Phishing là một hoạt động phạm tội dùng các kỹ thuật
lừa đảo. Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy
cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín
dụng, bằng cách giả là một người hoặc một doanh
nghiệp đáng tin cậy trong một giao dịch điện tử.
-
Phishing thường được thực hiện bằng cách sử dụng thư
điện tử, tin nhắn.
-
Hoăc hacker có thể coding website, phần mềm giả mạo
để dẫn dụ người nhẹ dạ vào để lấy thông tin, mật khẩu
hoăc tùy vào mục đích của hacker
13/07/14Network Attacks and Defense

13
4.3 Phishing (Lừa đảo)
Một đia chỉ facebook giả mạo để lấy thông tin người dùng.
13/07/14Network Attacks and Defense


14
Trang fake gmail.
4. Bảo vệ, chống lại Tấn công mạng
13/07/14Network Attacks and Defense

15
-
Để bảo vệ và ngăn chặn tấn công mạng có nhiều phương
pháp, phần mềm, phần cứng. Có một số biện pháp phòng
chống thông dụng hiện nay như:
-
Thường xuyên cập nhập bản vá lỗi phần mềm, hệ điều
hành mới nhất.
-
Kết hợp cài đặt firewall phần mềm, phần cứng tốt nhất
hoăc cài đặt firewall nhiều lớp.
-
Cài đặt các chương trình diệt virus bản quyền tốt như:
Kaspersky, Norton, Bitdefender
-
Packet Filtering: Lọc các gói tin IP, Port
-
Mã hóa các thông tin, gói tin quan trọng được gửi đi.
13/07/14Network Attacks and Defense

16
- Bảo mật là một đòi hỏi thiết yếu bởi vì những
máy tính mang tính toàn cầu đang ngày càng
trở nên kém an toàn. Thử tưởng tượng một gói
dữ liệu khi di chuyển từ điểm A sang điểm B,

gói dữ liệu này có thể đi qua nhiều điểm trên
mạng và nếu như tại một máy nào đó người sử
dụng có thể lấy thông tin trên gói dữ liệu này
và biết các thông tin chi tiết của máy gửi, họ
có thể sử dụng các kỹ thuật cao để truy nhập
bất hợp pháp và có thể phá hỏng máy này hoặc
toàn bộ hệ thống tùy theo mức độ thao tác.
6. TÓM LẠI