Website: Email : Tel : 0918.775.368
I)Tờng lửa là gì.(firewall)
Tờng lửa là hệ thống ngăn chặn việc trái phép từ bên ngoài vào mang. Tờng lửa
thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định
trớc.
Intranet
firewall
Internet
1) Cấu trúc của một firewall:
Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
chức năng router.
Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thờng là
các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán
(Accounting)
2) Các thành phần của Firewall
Một firewall bao gồm một hay nhiều thành phần sau:
+ Bộ loc packet (packet-filtering router)
+ Cổng ứng dụng (Application-level gateway hay proxy server)

II) Phân loại tờng lửa
1
Website: Email : Tel : 0918.775.368
Có ba loại tờng lửa cơ bản:
Truyền thông đợc thực hiện giửa một nút đơn và mạng, hay giữa một số mạng.
Truyền thông đợc chặn tại tầng mạng, hay tầng ứng dụng.
Tờng lửa có theo dõi trạng thái của truyền thông hay không.
1) Phân loại theo phạm vi của các truyền trông đợc loc.
Tờng lửa cá nhân, một ứng dụng phần mền với chức năng thông thờng là lọc dữ
liệu ra vào một máy tính đơn.
Tờng lửa mạng, thờng chạy trên một thiết bị mạng hay máy tính chuyên dụng

đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung
gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tờng lửa thuộc loại này lọc tất
cả giao thông dữ liệu vào hoặc ra các mạng đợc kết nối qua đó.
2) Khi phân loại theo các tầng giao thức nơi giao thông dữ liêu có thể bị chặn,
có ba loại tờng lửa chính:
Tờng lửa tầng mạng. Ví dụ: Iptables
Tờng lửa tầng ứng dụng. Ví dụ: TCP Wrappers
Tờng lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FPT bằng việc định cấu hình
tại tệp /etc/ftpaccess
Có loại tờng lửa tầng mạng và tờng lửa tầng ứng dụng thờng trùm lên nhau,
mặc dù tờng lửa cá nhân không phục vụ mạng, nhng một số hệ thống đơn đã cài đặt
chung cả hai.
3) Phân loại theo tiêu chí rằng tờng lửa theo dõi trạng thái của các kết nối
mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tờng
lửa:
Tờng lửa có trạng thái
Tờng lửa phi trạng thái

III) Khả năng và hạn chế của tờng lửa hiện nay.
2
Website: Email : Tel : 0918.775.368
1) Khả năng của một firewall
Các chức năng cơ bản của một Firewall là :
Cho phép hoặc cấm các dịch vụ truy nhập ra ngoai ( từ intranet ra internet) .
Cho phép hoặc cấm các dịch vụ truy nhập vào trong ( từ internet vào
intranet ) .
Theo dõi luồng dữ liệu trao đổi giũa mạng bên trong ( intranet ) và mạng
internet.
Kiểm soát địa chỉ truy nhập , cấm địa chỉ truy nhập .Xác định địa chỉ truy
nhập giả mạo

Kiểm soát ngòi sử dụng và việc truy nhập của ngời sử dụng .
2) Hạn chế của một firewall
Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn
chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải
xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc
tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép
bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu
(data-driven attack). Khi có một số chơng trình đợc chuyển theo th điện tử,
vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện
3
Website: Email : Tel : 0918.775.368
liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát
khỏi khả năng kiểm soát của firewall.
IV) Các phơng thức tấn công tờng lửa của hacker và biện pháp
phòng chống.
Trên lí thuyết, Firewall là phơng pháp bảo mật an toàn nhất cho hệ thống của
bạn khi có kết nối internet. Tuy nhiên vẫn tồn tại những vấn đề xung quanh môi tr-
ờng bảo mật này. Nếu Firewall đợc cấu hình quá chặt chẽ thì sẽ làm giảm tiến trình
làm việc của mạng, đặc biệt là trong môi truờng ngời dùng phụ thuộc hoàn toàn vào
các ứng dụng phân tán. Do vậy, việc lựa chọn cấu hình Firewall sao cho vừa đảm
bảo tiến trình hoạt động của mạng vùa có đựoc mức độ bảo mật cao quả là một vấn
đề nan giải đối với ngời quản trị mạng .
Khai thác triệt để vấn đề này, các hacker đã nghiên cứu rất nhiều phong pháp
để vợt qua Firewall. Nhng cơ bản thì đều gôm hai giai đoạn sau :

Tìm ra dạng tờng lủa mà mạng đang sử dụng và các dịch vụ hoạt
động phía sau nó .
Khai thác các tuyến quan hệ (trusted relationship) và các nút bảo mật
kết nối lỏng lẻo nhất để cố gắng đi vòng qua Firewall .
Mt trong nhng vic phi l m c a các hacker l tách các th nh ph n thc ra
khi các th nh ph n gi mo. Nhiu tng la s dng trm (sacrificial hosts) - l
h thng c thit k nh các server Web (có th sn s ng b i) hay by
(decoys), dùng bt các h nh vi thâm nh p ca hacker. By có th cn dùng ti
nhng thit b ngy trang phc tp nhm che du tính cht tht ca nó, ví dụ : a
ra câu tr li tng t h thng tp tin hay các ng dng thc. Vì vy, công vic
u tiên ca hacker l ph i xác nh ây là các đối tợng tồn tại thật .
4
Website: Email : Tel : 0918.775.368
có c thông tin v h thng, hacker cn dùng ti thit b có kh nng
phc v mail v các d ch v khác. Hacker s tìm cách nhn c mt thông
ip n t bên hệ thống . Khi đó, đờng đI đợc kiểm tra và có thể tìm ra những
manh mối về cấu trúc hệ thống.
Dới đây là một số phơng thức thông dụng mà hacker sử dụng để định danh
Firewall và xác định cấu trúc của mạng nội bộ :
1) Định danh firewall
Hu ht mi Firewall u mang mt "mùi hơng"in t duy nht. Ngha l ,
vi mt tin trình quét cng, lp cu la, v n m gi biu ng n gin, bn tn
công có th hiu qu xác nh kiu, phiên bn, v các quy t c ca hu ht mi
Firewall trên mng. Ti sao vic nh danh n y l i quan trng? Bi vỡ mt khi ó
ánh x c các Firewall, chúng có th bt u tìm hiu các im yu v g ng khai
thác chúng.
a) Quét trực tiếp
Cách d nht tìm kim các Firewall ó l quét các c ng ngm nh c th.
Mt s Firewall trên th trng s t nh danh duy nht bng các t quét cng
n gin bn ch cn bit ni dung tìm kim.

Ví d, Firewall-1 ca Check point lng ch trên các cng TCP 256, 257, 258,
v Proxy Server c a Microsoft thng lng ch trên các cng TCP 1080 v 1745.
Vi s hiu bit n y, quá trình tìm ki m các kiu Firewall n y ch ng có gì khó vi
mt b quét cng nh nmap :
nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254
5
Website: Email : Tel : 0918.775.368
Dùng khóa chuyn -PO vô hiu hóa tính nng ping ICMP trc khi quét.
Điu n y quan tr ng bi hu ht Firewall không áp ng các yêu cu di ICMP.
C bn tn công nhút nhát ln hung bo u tin h nh quét r ng rãi mng theo
cách n y, tìm ki m các Firewall n y v tìm ki m mi khe h trong két st v nh
ai. Nhng bn tn công nguy him hn s lùng sc v nh ai c ng lén lút c ng t t.
Có nhiu k thut m b n tn công có th s dng h sp radar, bao gm ngu
nhiên hóa các ping, các cng ích, các a ch ích, v các c ng ngun;dùng các
h ch cò mi; v th c hin các t quét ngun có phân phi.
Các Biện Pháp Phòng Chống :
Đ ngn cn các t quét cng bc tng la t Internet, cn phong ta các
cng n y trên các b nh tuyn ng trc các Firewall . Nu các thit b n y do
ISP qun lý, cn liên h vi h tin h nh phong t a.
b) Ra tuyến đờng
Mt cách thinh lng v tinh t hn tìm các Firewall trên mt mng ó l
dùng traceroute . Các hacker sử dụng traceroute ca UNIX hoc tracert.exe ca NT
tìm tng chng dc trên ng truyn n đích v ti n h nh suy di n.
Traceroute ca Linux có tùy chn -I, thc hin r ng bng cách gi các gói tin
ICMP, trái vi k thut gúi tin UDP ngm nh.
Biện Pháp Phòng Chống :
Đ ngn cn các traceroute chy trên biên, có th cu hình các b nh tuyn
không áp ng các thông ip TTL EXPI#800000 khi nó nhn mt gói tin có TTL
l 0 ho c 1. Hoc nên phong ta to n b lung lu thông UDP không cn thit ti
ứac b nh tuyn biên.

6
Website: Email : Tel : 0918.775.368
c) N¾m gi÷ biÓu ng÷
Kỹ thuật quÐt t×m c¸c cổng Firewall l hà ữu Ých trong việc định vị c¸c Firewall
, nhng hầu hết c¸c Firewall kh«ng lắng chờ trªn c¸c cổng ngầm định nh Check
point v Microsoft, do ®ã vià ệc ph¸t hiện phải ®îc suy diễn. Nhiều Firewall phổ
dụng sẽ c«ng bố sự hiện diện của chóng bằng c¸ch đơn giản nối với chóng. VÝ dụ ,
nhiều Firewall gi¸m quản sẽ c«ng bố chức năng cña chóng với t c¸ch một Firewall
, v mà ột số sẽ quảng c¸o kiểu v phiªn bà ản của chóng. VÝ dụ, khi ta nối với một
m¸y được tin l mà ột bức tường lửa bằng netcat trªn cổng 21 (FTP ), ta sẽ thấy một
số th«ng tin thó vị :
:
C:\TEMP>nc -v -n 192.168.51.129 2 l
[UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open
220 Secure Gateway FTP server ready .
Biểu ngữ "Secure Gateway server FTP ready" l mà ột dấu hiệu lộ tẩy của một
hộp Eagle Raptor cũ. Việc nối thªm với cổng 23 (telnet) sẽ x¸c nhận tªn bức tường
lửa l "Eagle." à
C:\TEMP>nc -v -n 192.168.51.129 23
[UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open
Eagle Secure Gateway . Hostname :
7
Website: Email : Tel : 0918.775.368
V cu i cùng. nu vn cha b thuyt phc h ch l m t bc tng la, có
th netcat vi cng 25 ( SMTP ), v nó sẽ bảo cho bi t nó l gì:
C:\TEMP>nc -v -n 192.168.51.129 25
[UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open
421 fw3.acme.com Sorry, the firewall does not provide mail service to you.
Nh ó thy trong các ví d trên ây, thông tin biu ng có th cung cp các
thông tin quý giá cho bn tn công trong khi nh danh các bc tng la. Dùng

thông tin n y, chúng có th khai thác các ch yu ph bin hoc các cu hình sai
chung.
Biện Pháp Phòng Chống :
Đ chnh sa ch yu rò r thông tin n y, chúng ta gi i hn thông tin biu
ng qung cáo. Mt biu ng tt có th kèm theo mt mc cnh giác mang tính
pháp lý v t t c mi n lc giao kt s c ghi s. Hoặc có thể thay đổi thông tin
về Firewall từ các biểu ngữ quảng cáo .
2) Quét qua các tờng lửa
a) Kĩ thuật hping
Hping l m vi c bng cách gi các gói tin TCP n mt cng ích v báo cáo
các gói tin m nó nh n tr li. hping tr v nhiu áp ng khác nhau tùy theo s
iu kin. Mi gói tin tng phn v to n th có th cung cp mt bc tranh khá rõ
v các kiu kim soát truy cp ca Firewall. Ví d, khi dùng hping ta có th phát
hln các gói tin m, b phong ta, th, v lo i b.
8
Website: Email : Tel : 0918.775.368
Trong vÝ dụ sau đ©y, hping b¸o c¸o cổng 80 đang mở v sà ẵn s ng nhà ận một
tuyến nối. Ta biết điều n y bà ởi nã đãn nhận một gãi tin với cờ SA đợc ấn định
(một gãi tin SYN/ACK).
[ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S
-p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S
set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA
seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms
Giờ đ©y ta biết cã một cống mở th«ng đến đÝch, nhng cha biết nơi của
Firewall. Trong vÝ dụ kế tiếp, hping b¸o c¸o nhận một ICMP unreachable type 13
từ 192.168.70.2. Một ICMP type 13 l mà ột gãi tin lọc bị ICMP admin ngăn cấm,
thêng ®îc gửi từ một bộ định tuyến lọc gãi tin.
[root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S
-p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S
set, 40 data bytes ICMP Unreachable type 13 f rom

192.168.70.2
Giờ đ©y nã ®· x¸c nhận, 192.168.70.2 ắt hẳn l bà ức tường lửa, v ta bià ết nã đang
râ rệt phong tỏa cổng 23 đến đÝch của chóng ta.
b) Firewalk
Firewalk l mà ột công cụ nhỏ tiện dụng, nh một bộ quÐt cổng, ®îc dïng để
ph¸t hiện c¸c cổng mở đ»ng sau một Firewall. §ợc viết bởi Mike Schiffnlan, tr×nh
9
Website: Email : Tel : 0918.775.368
tin ích n y s quét mt h ch sử dụng Firewall v báo cáo tr li các quy tc đ-
ợc phép n h ch ó m không ph i thc t chm n h ích. Firewalk l m vi c
bng cách kin to các gói tin vi mt IP TTL đợc tính toán kt thúc mt chặng
vợt qúa bc tng la. V lý thuyt, nu gói tin đợc Firewall cho phép, nó s đợc
phép i qua v s kt thúc nh d kin, suy ra mt thông ip "ICMP TTL expired
in transit." Mt kuasc, nu áoi tin b ACL ca Firewall phong ta, nó s b th, v
hoc không có dáp ng n o s đợc gi, hoc mt gói tin lc b ICMP type 13
admin ngn cm s c gi.
Biện Pháp Phòng Chống :
Bn có th phong ta các gói tin ICMP TTL EXPI#800000 ti cp giao din
bên ngo i, nh ng iu n y có th tác ng tiêu ec n kh nng vn h nh c a
nó, vì các h khách hp pháp ang ni s không bao gi bit iu gì ó xy ra vi
tuyn ni ca chúng.
V) Địa chỉ IP
1) Địa chỉ IP là gì ?
Mỗi máy tính khi kết nối vào internet đều có một địa chỉ duy nhất, đó là địa
chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy tính còn lại trên
mạng internet .
Địa chỉ ip là một số 32 bit = 4 byte nên có thể coi địa chỉ ip đợc tạo thành từ 4
số có kích thớc 1 byte, mỗi số có giá trị từ o-255 .Mỗi địa chỉ ip đều gôm 2 phần là
địa chỉ mạng ( network ) và địa chỉ máy (host).Ví dụ :
192.168.10.56;255.144.10.51

2) Các lớp của địa chỉ IP
10
Website: Email : Tel : 0918.775.368
Toàn bộ địa chỉ IP đợc chia vào 6 lớp khác nhau : A,B,C,D,E và loopback .
Mỗi lớp có cách xác định địa chỉ network và địa chỉ host khác nhau .
Biểu đồ cấu trúc các lớp của địa chỉ IP :
Lớ
p
Cấu trúc địa chỉ IP
0 32
A 0 Netid Hostid N.H.H.
H
7/24 126 17.777
7.214
1.0.0.1-
126.0.0.0
B 1 0 Netid Hostid N.N.H.
H
14/1
6
16.382 65.643 128.1.0.0
-
191.254.
0.0
C 1 1 0 netid Hostid N.N.N.
H
22/8 4194.3
02
245 195.0.1.0
-

233.255.
254.0
D 1 1 1 0 địa chỉ
multicast
- - - - 224.0.0.0
-
239.255.
255.255
E 1 1 1 1 Dành riêng - - - - 240.0.0.0
-
254.255.
11
Website: Email : Tel : 0918.775.368
255.255
Lo
opb
ack
- - - - - 127.x.x.x
ghi chú : N=network ; H = host .
Giải thích :
Lớp A : bit đầu tiên là 0, 7 bit tiếp theo dành cho địa chỉ network nên có tối đa
2^7-2 = 126 địa chỉ mạng trên lớp A, 24 địa chỉ tiếp theo dành cho địa chỉ
host nên mỗi mạng thuộc lớp A sẽ có tối đa là 2^24-2=17.777.214
máy.Nguyên nhân phảI trừ đi 2 tại vì có 2 địa chỉ đợc dành riêng là địa chỉ
mạng ( x.x.x.0) và địa chỉ broadcast ( x.x.x.255).Lớp A chỉ dành riêng cho
các tổ chức lớn trên thế giới , vùng địa chỉ ip của lớp A là 1.0.0.1-126.0.0.0.
Lớp B có 2 bit đầu tiên là 10, 14 bit tiếp theo dành cho địa chỉ nework , 16 bit
còn lại dùng cho địa chỉ host, số mạng tối đa trên lớp B là 16.382 và số máy
tối đa trên mỗi mạng là 65.643 máy. Lớp B đợc dành cho các tổ chức hạng
trung trên thế giới. Vùng địa chỉ dành cho lớpB là 128.1.0.0*192.254.0.0.

Lớp C có 3 bit đầu tiên là 110 , 22 bit tiếp theo dành cho địa chỉ network ,8 bit
còn lại dành cho host . Số mạng tối đa trên lớp C là 4194302 mạng và mỗi
mạng chứa tối đa 245 máy. Lớp C đợc dành cho các tổ chức nhỏ và các máy
tính cá nhân .vùng địa chỉ của lớp C là 192.0.1.0-223.255.254.0.
12
Website: Email : Tel : 0918.775.368
Lớp D Bốn bit đầu tiên luôn là 1110, đợc dành cho các nhóm multicast, có
vùng địa chỉ từ 224.0.0.0-239.255.255.255.
Lớp E với 4 bit đầu là 1111 , lớp này đợc dùng cho các mục đích nghiên cứu.
Vùng địa chỉ từ 240.0.0.0-254.255.255.255
Loopback là địa chỉ quay trở lại, 127.x.x.x. Bạn thờng bắt gặp địa chỉ
127.0.0.1 đây chính là địa chỉ IP quay trở lại máytính mà bạn đang nối
internet.
Ví dụ : 128.7.15.1
Bin 10000000 00000111 00001111 00000001
Dec 128 7 15 1
Hai bit đầu tiên là 10 vậy đây là địa chỉ thuộc lớp B (N.N.H.H) từ đó có thể
suy ra địa chỉ mạng là 127.7 còn địa chỉ máy là 15.1
Ta cũng có thể xác định dựa vào byte đầu tiên của địa chỉ IP :
Lớp Byte đầu tiên của địa chỉ IP
A 1-126
B 128-191
C 192-223
D 224-239
E 240-254
Loopback 127
13
Website: Email : Tel : 0918.775.368
3) Tìm hiểu về subnet
Để cấp phát địa chỉ IP cho các mạng khác nhau một cách hiệu qủa và dễ quản

lý, ngời ta dùng một kĩ thuật gọi là subnet. Subnet sẽ vay mợn một số bit của host
id để là subnet mask (mặt nạ mạng) .
Subnet mask có tất cả các bit network va subnet đều bằng 1 còn các bit host
đều bằng 0
Tất cả các máy trên cùng một mạng phảI có cùng một subnet mask .
Để phân biệt đợc các mạng con (subnet) khác nhau , bộ định tuyến dùng
phép logic AND.
VI) Tấn công từ chối dịch vụ (DOS - Denial of sevices)
1) DOS attack là gì?
DoS attack l ki u tn công rt li hi, vi loi tn công n o, ch cn mt
máy tính kt ni Internet l ã có th thc hin vic tn công c máy tính ca
i phng. Thc cht ca DoS attack l hacker s chim dng mt lng ln t i
nguyên trên server (t i nguyên ó có th l b ng thông, b nh, cpu, a cng, )
l m cho server không th n o áp ng các yêu cu t các máy ca ngui khác
(máy ca nhng ngi dùng bình thng) v server cú th nhanh chóng b ngng
hot ng, crash hoc reboot.
2) Các loại DOS attack .
a) Winnuke
14
Website: Email : Tel : 0918.775.368
DOS attack loi n y ch có th áp dng cho các máy tính ang chy
Windows9x. Hacker s gửi các gói tin vi d liu ``Out of Band`` n cng 139
ca máy tính ích.( Cng 139 chính l c ng NetBIOS, cng n y ch chp nhn các
gói tin có c Out of Band c bt ). Khi máy tính ca victim nhn c gói tin
n y, m t m n hình xanh báo l i s c hin th lên vi nn nhân do chng trình
ca Windows nhn c các gói tin n y nh ng nó li không bit phn ng vi các
d liu Out Of Band nh th n o d n n h thng s b crash
b) Ping of Death
Trong kiểu DoS attack này, hacker sẽ gửi một gói dữ liệu có kích thớc lớn
thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo .

Ví dụ : ping i 65000.
c) TearDrop
Tt c các d liu chuyn i trên mng t h thng ngun n h thng ích
u phi tri qua 2 quá trình: d liu s c chia ra th nh các m nh nh h
thng ngun, mi mnh u phi có mt giá tr offset nht nh xác nh v trí
ca mnh ó trong gói d liu c chuyn i. Khi các mnh n y n h thng
ích, h thng ích s da v o giá tr offset sp xp các mnh li vi nhau theo
th t úng nh ban u. Li dng s h ó, Hacker ch cn gửi n h thng ích
mt lot gói packets vi giá tr offset chng chéo lên nhau. H thng ích s không
th n o s p xp li các packets n y, nó không iu khin c v có th b crash,
reboot hoc ngng hot ng nu s lng gói packets vi giá tr offset chng chéo
lên nhau quá ln.
d) SYN attack
15
Website: Email : Tel : 0918.775.368
Trong Smurf Attack, cần cã ba th nh phà ần: hacker (người ra lệnh tấn c«ng),
mạng khuếch đại (sẽ nghe lệnh của hacker) v hà ệ thống của nạn nh©n. Hacker sẽ
gởi c¸c gãi tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là
c¸c gãi tin ICMP packets n y cã à địa chỉ ip nguồn chÝnh l à địa chỉ ip của nạn nh©n .
Khi c¸c packets đã đến được địa chỉ broadcast của mạng khuếch đại, c¸c m¸y tÝnh
trong mạng khuếch đại sẽ tưởng rằng m¸y tÝnh nạn nh©n đã gởi gãi tin ICMP
packets đến v chóng sà ẽ đồng loạt gởi trả lại hệ thống nạn nh©n c¸c gãi tin phản
hồi ICMP packets. Hệ thống m¸y nạn nh©n sẽ kh«ng chịu nổi một khối lượng
khổng lồ c¸c gãi tin n y v nhanh chãng bà à ị ngừng hoạt động, crash hoặc reboot.
Như vậy, chỉ cần gởi một lượng nhỏ c¸c gãi tin ICMP packets đi th× hệ thống mạng
khuếch đại sẽ khuÕch đại lượng gãi tin ICMP packets n y lªn gà ấp bội. Tỉ lệ khuếch
đại phụ thuộc v o sà ố mạng tÝnh cã trong mạng khuếch đại. Nhiệm vụ của c¸c
hacker l cà ố chiếm được c ng nhià ều hệ thống mạng hoặc routers cho phÐp chuyển
trực tiếp c¸c gãi tin đến địa chỉ broadcast kh«ng qua chỗ lọc địa chỉ nguồn ở c¸c
đầu ra của gãi tin . Cã được c¸c hệ thống n y, hacker sà ẽ dễ d ng tià ến h nh Smurfà

Attack trªn c¸c hệ thống cần tấn c«ng .
e) UDP Flooding
C¸ch tấn c«ng UDP đßi hỏi phải cã 2 hệ thống m¸y cïng tham gia. Hackers sẽ
l m cho hà ệ thống của m×nh đi v o mà ột vßng lặp trao đổi c¸c dữ liệu qua giao thức
UDP. V già ả mạo địa chỉ ip của c¸c gãi tin l à địa chỉ loopback ( 127.0.0.1 ), rồi
gởi gãi tin n y à đến hệ thống của nạn nh©n trªn cổng UDP echo ( 7 ). Hệ thống của
nạn nh©n sẽ trả lời lại c¸c messages do 127.0.0.1( chÝnh nã ) gởi đến, kết quả l nãà
sẽ đi vßng một vßng lặp v« tận. Tuy nhiªn, cã nhiều hệ thống kh«ng cho dïng địa
chỉ loopback nªn hacker sẽ giả mạo một địa chỉ ip của một m¸y tÝnh n o à đã trªn
mạng nạn nh©n v tià ến h nh ngà ập lụt UDP trªn hệ thống của nạn nh©n .
16
Website: Email : Tel : 0918.775.368
f) TÊn c«ng DSN
Hacker cã thể đổi một lối v o trªn Domain Name Server cà ủa hệ thống nạn
nh©n rồi cho chỉ đến một website n o à đã của hacker. Khi m¸y kh¸ch yªu cầu DNS
ph©n tÝch địa chỉ bị x©m nhập th nh à địa chỉ ip, lập tức DNS ( đã bị hacker thay đổi
cache tạm thời ) sẽ đổi th nh à địa chỉ ip m hacker à đ· cho chỉ đến đã . Kết quả là
thay v× phải v o trang Web muà ốn v o th× c¸c nà ạn nh©n sẽ v o trang Web do chÝnhà
hacker tạo ra . Một c¸ch tấn c«ng từ chối dịch vụ thật hữu hiệu !.
g) Distributed DOS Attack.
DDoS yªu cầu phải cã Ýt nhất v i hackers cïng tham gia. à Đầu tiªn c¸c hackers sẽ
cố th©m nhập v o c¸c mà ạng m¸y tÝnh được bảo mật kÐm, sau đã c i lªn c¸c hà ệ
thống n y chà ương tr×nh DDoS server. Bëi giờ c¸c hackers sẽ hẹn nhau đến thời
gian đ· định sẽ dïng DDoS client kết nối đến c¸c DDoS servers, sau đã đồng loạt
ra lệnh cho c¸c DDoS servers n y tià ến h nh tà ấn c«ng DDoS đến hệ thống nạn nh©n
.
h) The Distributed Reflection Denial of Service Attack
Đ©y cã lẽ l kià ểu tấn c«ng lợi hại nhất v l m boot m¸y tÝnh cà à ủa đối phương
nhanh gọn nhất. C¸ch l m th× cà ũng tương tự như DDos nhưng thay v× tấn c«ng
bằng nhiều m¸y tÝnh th× người tấn c«ng chỉ cần dïng một m¸y tấn c«ng th«ng qua

c¸c server lớn trªn thế giới . Vẫn với phương ph¸p giả mạo địa chỉ IP của victim,
kẻ tấn c«ng sẽ gởi c¸c gãi tin đến c¸c server mạnh nhất, nhanh nhất v cã à đường
truyền rộng nhất như Yahoo v.v., c¸c server n y sà ẽ phản hồi c¸c gãi tin đã đến địa
chỉ của victim. Việc cïng một lóc nhận được nhiều gãi tin th«ng qua c¸c server lớn
n y sà ẽ nhanh chóng l m nghà ẽn đường truyền của m¸y tÝnh nạn nh©n v l mà à
crash, reboot m¸y tÝnh đã. C¸ch tấn c«ng n y là ợi hại ở chỗ chỉ cần một m¸y cã kết
17
Website: Email : Tel : 0918.775.368
ni Internet n gin vi ng truyn bình thng cng có th đánh bt c h
thng có ng truyn tt nht th gii nu nh ta không kp ngn chn .
3) Những wed bị tấn công
wedsite của bộ giáo duc bi tấn công. thông qua lỗ
hổng SQL của phần mềm và truy cập bất hợp pháp vào cơ sở dữ liệu trong may chủ
của Trung tâm tin học Bộ GD-ĐT làm thay đổi dữ liệu, huỷ hoại dữ liệu và gây
rối loại của trang.
www.vnn.vn website đợc xem là bộ măt của internet Việt Nam bị đánh sập.
www.vietcombank.com.vn , của ngân hàng ngoại thơng Việt Nam
(Vietcombank) bị tấn công và thông tin thẻ tín dụng của hơn 30 khách hàng đã bị
đánh cắp.
www.mobilefone.com.vn, trang chủ của công ty viễn thông di động Mobilefone
đã bị hacker xâm nhập vào cơ sở dữ liệu và thông tin vể tài khoản của một số khách
hàng đã bị rò rỉ.
VII) Router
1)Vài trò của router
Router vừa đợc sử dụng để phân đoạn mạng LAN vừa là thiết bị chính trong
mạng WAN. Do đó, trên router có cả cổng giao tiếp LAN va WAN. Thực chất các
kỹ thuật WAN đợc sử dụng để kết nối các router, router này giao tiếp với router
khác qua đờng liên kết WAN. Router là thiết bị xơng sống của mạng Intranet lớn
và mạng Internet. Router hoạt đọng ở lớp 3 (session) và thực hiện chuyển gói dữ
liệu dựa trên địa chỉ mạng. Router có hai chức năng chính là: chọn đờng đi ngắn

18
Website: Email : Tel : 0918.775.368
nhất và chuyển mạnh gói dữ liệu. Để thực hiện hai chức năng này, mỗi router phải
xây dựng một bảng định tuyến và thực hiện trao đổi thông tin định tuyến với nhau.
Vài trò của Router trong mạng WAN
Một trong những nhiệm vụ của router trong mạng WAN là định tuyến gói dữ liệu ở
lớp 3, đây cũng là nhiệm vụ của router trong mạng LAN. Tuy nhiên, định tuyến
không phải là nhiệm vụ chính yếu của router trong mạng WAN. Khi router sử dụng
các chuẩn và giao thức của lớp vật lý và lớp liên kết dữ liệu để kết nối mạng WAN
thì lúc này nhiệm vụ chính yếu của router trong mạng WAN không phải là định
tuyến nữa mà là cung cấp kết nối giữa các mạng WAN với các chuẩn vật lý và liên
kết dữ liệu khác nhau. Router phải có khả năng chuyển đổi luồng bít từ loại dịch vụ
này sang loại dịch vụ khác.
2) Cấu hình cho router
a) Đặt tên cho router.
Công việc đầu tiên khi cấu hình router là đặt tên cho router. Trong chế độ cấu hình
toàn cục, ta dùng lệnh sau:
Router(config)#hostname Tokyo
Tokyo(config)#
Ngay sau khi nhấn phím Enter để thực thi câu lệnh sẽ thấy dấu nhắc đổi tên mặc
định (Router) sang tên mà vừa mới đặt (Tokyo)
b) Đặt mật mă cho router
Mật mã đợc sử dụng để hạn chế việc truy cập vào router. Ngoài ra mật mã còn đợc
sử dụng để kiểm soát sự truy cập vào chế độ EXEC đặc quyền trên router. Khi đó,
19
Website: Email : Tel : 0918.775.368
chỉ những ngời nào đợc phép mới có thể thực hiện việc thay đổi tập tin cấu hình
trên router.
Chúng ta cũng cần đặt mật mã cho một hoặc nhiều đờng vty để kiểm soát các user
truy cập từ xa vào router bằng Telnet. Chúng ta thờng sử dụng một mật mã cho tất

cả các đờng vty, nhng đôi khi nên đặt mật mã riêng cho một đờng để dự phòng khi
các đờng còn lại đều đạng sử dụng. Sau đây là các lệnh cần sử dụng để đặt mật mã
cho đờng vty:
Router (config) # line vty 0 4
Router (config-line) # password <password>
Router (config-line) # login
Mật mã enable và enable secret đợc sử dụng để hạn chế việc truy cập vào chế độ
EXEC đặc quyền. Mật mã enable chỉ đợc sử dụng khi chúng ta không cài đặt mật
mã enable chỉ đợc sử dụng khi chúng ta không cài đặt mạt mã enable secret. Chúng
ta nên sử dụng mật mã enable secret vì mật mã này đợc mã hoá còn mật mã enable
thì không.
Router (config) # enable password <password>
Router (config) # enable secret <password>
c) Kiểm tra bằng các lệnh show
Có rất nhiều lênh show đợc dùng để kiểm tra nội dung các tập tin trên router và để
tim ra sự cố.
- Show interfaces hiển thị trạng thái của tất cả các thông tin chuyển biệt về phần
cứng của các loại cổng serial.
20
Website: Email : Tel : 0918.775.368
Ví dụ: Router#show interfaces serial 0/1
- Show controllers serial hiển thị các thông tin chuyên biệt về phần cứng của các
cổng serial.
- Show clock hiển thị đồng hồ đợc cài đặt trên router.
- Show hosts hiển thị tất cả các user đang kết nối vào router.
- Show history hiển thị danh sách các câu lệnh vừa mới đợc sử dụng.
- Show flash hiển thị thông tin về bộ nhớ flash .
- Show version hiển thị thông tin router đang chạy trên RAM.
- Show ARP hiển thị bảng ARP trên router.
- Show protocol hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp

đã đợc cấu hình giao thức ở lớp 3.
- Show startup-configuration hiển thị tập tin cấu hình đang lu trong NVRAM.
- Show running-configuration hiển thị tập tin cấu hình đang chạy trên RAM.
d) Cấu hình cổng serial
Các bớc thực hiện khi cấu hình cổng serial.
Vào chế độ cấu hình toàn cục.
Vào chế độ cấu hình cổng serial.
Khai báo địa chỉ và subnet mask.
21
Website: Email : Tel : 0918.775.368
Đặt tốc độ clock nếu đầu cắm vào cổng serial lad DCE. Nừu đầu cáp là DTE thì
chúng ta có thể bỏ qua bớc này.
Khởi động cổng serial.
Mỗi một cổng serial đều phải có một địa chỉ IP và subnet mask để chúng có thể
định tuyết các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau:
Router (config) #interface serial 0/0
Router (config-if) #if address <if address> <net mask>
Cổng serial cần phải có tín hiệu clock để điều khiển thời gian thực hiện thông tin
liên lạc.
Trong môi trờng làm lab thì các đờng liên kết serial đợc kết nối trực tiếp với nhau.
Do đó phải có một đàu là DCE để cấp tín hiệu clock. Dùng lệnh clockrate để cài
đặt tốc độ clock.
VD:
Router (config) #interface serial 0/0
Router (config-if) #clock rate 56000
Router (config-if) #no shutdown
Lệnh no shutdown để mở hay khởi động các cổng giao tiếp trên router.
đ) Thực hiện việc thêm bớt, dịch chuyển và thay đổi tập tin cấu hình
Nếu cần chỉnh sửa tập tin cấu hình thì phải di chuyển vào đúng chế độ cấu hình
và thực hiện các lệnh cần thiết. Ví dụ: nếu cần mở một cổng nào đó trên router thì

22
Website: Email : Tel : 0918.775.368
trớc hết phải vào chế độ cấu hình toàn cục, sau đó vào chế độ cấu hình của cổng đó
rồi dùng lệnh no shutdown.
Để kiểm tra những gì mà vừa thay đổi, dùng lênh show running-config. Lệnh
này sẽ hiển thị nội dung tập tin cấu hình hiện tại. Nếu kết quả hiển thị có những chi
tiêt không đúng thì có thể chỉnh sửa lại bằng một hoặc nhiều cách sau:
- Dùng dạng no của các lệnh cấu hình.
- Khởi động lại router với tập tin cấu hình nguyên thuỷ trong NVRAM
- Chép tập tin cấu hình dự phòng từ TFTP sever
- Xoá tập tin cấu hình khởi động bằng lệnh erase startup-config, sau đó khởi
động lại router và vào chế độ cài đặt.
e) Cấu hình cổng Ethernet
Mỗi cổng Ethernet cũng cần phải có một địa chỉ IP và subnet mask để có thể thực
hiện định tuyến các gói IP qua cổng đó
Sau đây là các bớc thực hiện cấu hình cổng Ethernet:
- Vào chế độ cấu hình toàn cục.
- Vào chế độ cấu hình cổng Ethernet.
- Khai báo địa chỉ IP và subnet mask
- Khởi động cổng Ethernet
Nếu các cổng trên router đều đóng dùng lệnh no shutdown để mở hay khởi động
cổng. Nếu cần đóng cổng lại để bảo trì hay xử lý sự cố thì dùng lện shutdown.
23
Website: Email : Tel : 0918.775.368
VD:
Router (config) #interface e0
Router (config-if) #ip address 183.8.126 255.255.255.128
Router (config-if) #no shutdown





24