ĐẠI HỌC QUỐC GIA TPHCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Mạng Máy Tính & Truyền Thông 03
o0o
BÁO CÁO
Môn Học: Ứng Dụng Truyền Thông & An Toàn Thông Tin
Đề Tài: Phân Tích Đặc Điểm Gói Tin -
Analyzing Packet Signatures
Giáo Viên hướng dẫn:
Th.sĩ: Tô Nguyễn Nhật Quang
SV thực hiện :
Nguyễn Thành 08520347
Nguyễn Hữu Ru 08520582
Trần Minh Kỳ 08520558
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Trần Quang Khánh 08520552
Mục Lục
I.Tổng quan về phân tích đặc điểm của gói tin: 3
II.Phân tích các đặc điểm : 3
III.Common Vulnerabilities and Exposures – CVE : 5
IV.Đặc điểm các cuộc tấn công: 7
1.CGI Script: 7
3.Tấn công Web Browser: 9
5.Tấn công IMAP : 10
6.IP Spoofing : 10
V.Các dấu hiệu của lưu lượng bình thường : 13
1.Snort Logs : 14
2.Các dấu hiệu của gói tin Ping : 15
3.Các dấu hiệu của gói tin Web 20
4.Các dấu hiệu của gói tin FTP : 22
5.Các dấu hiệu của gói tin Telnet : 24

VI.Đặc điểm các lưu lượng bất thường : 26
1.Ping Sweeps: 26
3.Đặc điểm của Backdoor và Trojan Horse: 28
4.Quét với công cụ Nmap : 31
6.Quét Syn với Nmap: 32
7.Quét Fin với Nmap 33
8.Quét XMAS với Nmap : 34
08520347 – 08520582 – 08520558 - 08520552 Page 2
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
I. Tổng quan về phân tích đặc điểm của gói tin:
Trong bài này bạn sẽ được giới thiệu về khái niệm cốt lõi của việc phân tích gói
tin, bao gồm những việc được chỉ định cho phép và không cho phép sử dụng trên
mạng. Bạn sẽ kiểm tra chi tiết cả 2 phần header và payload của một số loại gói tin.
Mục đích : để phân tích các dấu hiệu của gói tin TCP/IP, trong bài này gồm các
nội dung sau.
A. Mô tả khái niệm của việc phân tích đặc điểm gói tin TCP/IP.
Bạn sẽ mô tả các khái niệm về thực hiện phân tích các dấu hiệu ở các cấp của
gói tin trong môi trường mạng .
B. Mô tả lợi ích của các chuẩn CVE.
Bạn sẽ kiểm tra chức năng cơ bản của các chuẩn CVE, và lợi ích của nó đối
với các chuyên gia an ninh mạng.
C. Xem xét các khái niệm về các đặc điểm chính của các lưu lượng có hại.
Bạn sẽ xem xét các khái niệm của các đặc điểm để xác định nhiều loại truy
cập mạng nguy hại .
D. Kiểm tra và xác định đặc điểm của các truy cập thông thường mạng
TCP/IP.
Bắt lấy gói tin trên đường truyền mạng, bạn sẽ kiểm tra và xác định đặc điểm
của các gói tin với hành vi truy cập mạng bình thường.
E. Kiểm tra và xác định đặc điểm của các truy cập bất thường trên mạng
TCP/IP.

Bắt lấy gói tin trên đường truyền mạng, bạn sẽ kiểm tra và xác định các đặc
điểm gói tin với hành vi truy cập mạng bất thường.
II. Phân tích các đặc điểm :
Khoá học Tactical Perimeter Defense, bạn thực hiện việc bắt gói tin và dùng
những công cụ phát hiện xâm nhập, như là Snort. Những công cụ tiêu biểu này
được thiết kế để giúp cho công việc phát hiện xâm nhập. Nhưng bạn muốn tìm
hiểu kỹ về cái gì? Và bắt đầu từ đâu?
Bạn biết là những công cụ đó có thể thực hiện việc bắt các gói tin. Nhưng, nếu
bạn thật sự muốn tìm hiểu kỹ việc phát hiện xâm nhập, bạn sẽ phải kiểm tra
từng gói tin, cũng như một nhóm các gói tin hay toàn bộ. Chỉ như vậy thì bạn
08520347 – 08520582 – 08520558 - 08520552 Page 3
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
mới có một nền tảng vững chắc về phát hiện xâm nhập. Trong việc phân tích
các đặc điểm, bạn sẽ nhìn thẳng vào mỗi gói tin, và phân tích chi tiết chúng.
Trước khi bạn nhận định đúng các gói tin, bạn phải có một nền tảng. Các khái
niệm trong việc phân tích các đặc điểm phải được làm sáng tỏ trước khi bạn
bắt đầu thực hiện việc đó.
 Phân tích đặc điểm gói tin là gì?
Trong bài trước, bạn xem xét cấu trúc của gói tin truyền đi được thực hiện với
giao thức TCP/IP. Những tài liệu RFC là những quy tắc chuẩn giúp cho các kỹ
thuật viên xây dựng hệ thống TCP/IP của họ có thể liên kết được các hệ thống
và thiết bị khác nhau. Giao tiếp giữa bất kỳ hai máy phải tuân thủ theo một số
quy tắc được xác định , rất nhiều quy tắc trong số đó trở thành các mô hình
mẫu. Các mô hình mẫu có thể được xếp thành mục, và thường được gọi là đặc
điểm mẫu. Khi bạn bắt được gói tin, bạn có thể xác định được thông tin liên lạc
diễn ra giữa hai hay nhiều máy với nhau.
 Mục tiêu của phân tích các đặc điểm:
Hầu như tất cả mọi người sử dụng máy tính để giao tiếp hợp pháp, bạn không
có nhu cầu thực tế cho việc phân tích các đặc điểm, ngoài việc xử lý sự cố,
giám sát băng thông, V.V… Tuy nhiên, có rất nhiều người dùng với mục đích

xấu, sử dụng tính công khai và sự tiện lợi của giao thức TCP/IP để phá hoại và
làm tổn hại đến hệ thống hoặc toàn bộ các mạng. Vì vậy, mục tiêu của việc
phân tích các đặc điểm là để phân biệt được các hoạt động nguy hại và cố gắng
theo dõi những kẻ tấn công.
 Các file log (nhật ký) của ứng dụng:
Tùy thuộc vào các công cụ được sử dụng và cách thức chúng thực hiện trong
một khoảng thời gian, một số lượng lớn dữ liệu có thể được thu thập. Nó sẽ là
vô cùng khó khăn để tìm dữ liệu có liên quan để trao đổi thông tin cụ thể nếu
phiên làm việc không ghi quá trình. Do đó, khai thác file log là một phần của
phân tích hoạt động mạng.
 Làm thế nào để bắt chụp các gói tin:
Một số công cụ miễn phí có sẵn giúp cho việc thu thập các bản ghi gói tin từ
mạng, ngoài Window’s Network Monitor and Wireshark. Tcpdump với phiên
bản chạy trên nền Windows là Wimdump, là một trong những công cụ được sử
dụng rộng rãi nhất. Nó không cung cấp cách thức để xem các phần dữ liệu của
các gói tin bắt được, nhưng nó cho phép xuất ra đầy đủ các gói tin bắt được
trong định dạng hệ thập lục phân. Có một vài chương trình được viết ra để thực
08520347 – 08520582 – 08520558 - 08520552 Page 4
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
hiện việc chuyển đổi các chùm gói tin dạng thập lục phân từ Tcpdump thành
văn bản mã ASCII có thể đọc được, chẳng hạn như sniffit hoặc tcpshow, cung
cấp một bản tổng hợp các header của gói tin và cho phép người dùng xem phần
văn bản định dạng mã ASCII của mỗi gói tin của dữ liệu.
III. Common Vulnerabilities and Exposures – CVE :
Bạn có thể nhớ lại kiến thức trong khóa học Hardening the Infrastructure, CVE
là một danh sách các tên tiêu chuẩn cho các lỗ hỏng và các lỗi bảo mật khác.
CVE nhằm mục đích chuẩn hóa tên cho tất cả các lỗ hỏng công khai và các lỗi
bảo mật. Để biết chi tiết hơn, bạn nên truy cập vào trang web CVE tại
www.cve.mitre.org/about .
Mục tiêu của CVE là tạo nên sự dễ dàng cho việc chia sẻ dữ liệu thông qua các

cơ sở dữ liệu về lổ hổng riêng biệt và các công cụ bảo mật. Trong khi CVE có
thể tạo nên sự dễ dàng trong việc tìm kiếm, nghiên cứu thông tin trong cơ sở
dữ liệu khác thì CVE không nên được xem như là một cơ sở dữ liệu về lỗ hổng
của chính nó.
CVE là một cộng đồng có ảnh hưởng rộng rãi, nội dung của CVE là một kết
quả của một nỗ lực hợp tác của các thành viên CVE. Các thành viên bao gồm
các đại diện từ nhiều tổ chức bảo mật liên quan như các nhà cung cấp công cụ
bảo mật, các trường đại học, và chính phủ, cũng như các chuyên gia bảo mật
nổi tiếng khác. Tổng công ty Mitre hỗ trợ, duy trì CVE và điều phối các cuộc
hôi thảo của các thành viên CVE.
 Phân loại CVE:
Phiên bản CVE hiện nay là 20010507. Trong đó, tất cả các lỗ hỏng đã biết
được liệt kê bằng một con số duy nhất và bất kỳ tài liệu tham khảo có liên
quan tới lỗ hỏng được áp dụng. Tên CVE bao gồm:
• Tên (cũng được gọi như là một con số) là một mã của năm và một số n duy
nhất cho các ứng cử viên thứ n được đề xuất trong năm đó. Ví dụ, tên CVE
là CVE-1999-0067 là ứng cử viên 67 từ năm 1999.
• Một mô tả ngắn gọn về các lỗ hổng và lỗi bảo mật.
• Bất kỳ tài liệu tham khảo thích hợp.
Các minh họa sau đây cho thấy một vài phân loại lỗ hỏng, đây chỉ là một vài ví
dụ mà bạn sẽ thấy khi bạn truy cập vào các trang web.
08520347 – 08520582 – 08520558 - 08520552 Page 5
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Hình 8-1: Biểu diễn CVE cho một hệ thống tập tin mạng (NFS) có lỗ hỏng tràn
bộ nhớ đệm.
Hình 8-2: Biểu diễn CVE cho một phương thức gọi từ xa (RPC) có lỗ hỏng
tràn bộ đệm.
Hình 8-3: Biểu diễn CVE cho một IMAP có lỗ hỏng tràn bộ đệm.
08520347 – 08520582 – 08520558 - 08520552 Page 6
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN

IV. Đặc điểm các cuộc tấn công:
Việc phân tích các đặc điểm đòi hỏi sự hiểu biết các phương thức tấn công
thường được sử dụng. Từ phương pháp ping cơ bản đến quét port, tấn công từ
chối dịch vụ đến tấn công toàn bộ (full attempt) và truy cập trái
phép(unauthorized access) hoặc thỏa hiệp hệ thống (system compromise). Các
đặc điểm tấn công được phân chia làm 3 loại:
• Exploit.
• Reconnaissance scan.
• Tấn công DoS.
 Khai thác các lỗi thông thường :
Phần này đề cập đến một số kiểu khai thác lỗi rất phổ biến trong thế giới
mạng. Nhiều loại trong đó đã trở nên quen thuộc như bạn kiểm tra một
cuộc tấn công phổ biến và khai thác. Từ các cuộc tấn công web để khai thác
mail, bạn sẽ tìm được các cuộc tấn công đó là một phần trong việc phân
tích đặc điểm các cuộc tấn công hàng ngày.
1. CGI Script:
CGI (Common Gateway Interface) : là một phương thức mà web server
sử dụng để cho phép tương tác giữa server và client.
Bug: một đặc tính không mong muốn và không mong đợi của một
chương trình hay phần cứng, đặc biệt là nguyên nhân làm cho nó trục
trặc.
CGI Script: cho phép việc tạo ra các trang web động và tương tác. Đó
cũng là một phần dễ bị tổn thương nhất của máy chủ web (bên cạnh
việc bảo mật bên dưới máy chủ).
08520347 – 08520582 – 08520558 - 08520552 Page 7
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
PHF: chương trình tập tin danh bạ điên thoại trình diễn mà hacker sử
dụng để được truy cập vào một hệ thống máy tính và có khả năng đọc
và nắm bắt mật khẩu file.
Chương trình CGI là một chương trình nổi tiếng không an toàn. Các

lỗ hổng bảo mật điển hình bao gồm truyền nhiễm trực tiếp vào lệnh
shell thông qua việc sử dụng siêu kí tự shell, dùng các biến ẩn xác định
bất kỳ tên tập tin trên hệ thống và nếu không để lộ thêm về hệ thống thì
tốt hơn. Lỗi CGI nổi tiếng nhất là thư viện vận chuyển PHF với NCSA
httpd. Thư viện PHF yêu cầu cho phép máy chủ phân tích cú pháp
HTML, nhưng có thể được khai thác để cung cấp lại cho các tập tin bất
kì. Các tập lệnh CGI nổi tiếng khác mà những kẻ xâm nhập có thể cố
gắng khai thác là TextCounter, GuestBook , EWS, info2www,
Count.cgi, handler, webdist.cig, php.cig, files.pl, nph-test-cgi, nph-
publish, AnyForm, and FormMail. Nếu bạn nhận thấy một ai đó cố gắng
truy cập một hay tất cả những tập lệnh CGI khi bạn không dùng đến, đó
là dấu hiệu rõ ràng của một nỗ lực xâm nhập, giả sử bạn không có một
phiên bản cài đặt mà bạn thực sự muốn sử dụng.
2. Tấn công Web Server:
Ngoài việc thực hiện các chương trình CGI, web server còn có các lổ
hổng khác. Một số lượng lớn máy chủ tự viết (bao gồm IIS 1.0 và
NetWare 2.x) có các lỗ hổng mà theo đó một tên file có thể bao gồm
một chuỗi / trong tên đường dẫn đến một nơi nào đó trong file hệ
thống, cho phép người dùng lấy file bất kì.Một lỗi phổ biến khác là làm
tràn bộ nhớ đệm trong trường request hoặc một trong các trường HTTP
khác.
Web server thường có các lỗi liên quan đến sự tương tác của nó với hệ
thống điều hành cơ bản. Một lỗi cũ trong các giao dịch Microsoft IIS
với thực tế các tập tin có 2 tên, một tên tập tin dài, và một chuỗi băm
ngắn mà đôi lúc có thể được truy cập bằng cách vượt quyền. NTFS có
một tính năng gọi là Chuỗi Dữ Liệu Thay Thế (Alternate Data Stream)
tương tự như dữ liệu Macintosh và các nguồn tài nguyên phân nhánh.
Bạn có thể truy câp một file thông qua chuỗi tên của nó được gắn vào ::
$DATA để xem một một tập lệnh hơn là chạy nó.
Các server từ lâu đã có vấn đề với các URL. Ví dụ như vấn đề “chết bởi

nghìn gạch chéo” trong các phiên bản cũ của Apache Web Server sẽ
làm cho CPU tải lớn như các server cố gắng xử lý mỗi thư mục trong
một nghìn gạch chéo URL.
08520347 – 08520582 – 08520558 - 08520552 Page 8
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
3. Tấn công Web Browser:
Có vẻ như tất cả web browser của Microsoft hay Netcape đều có những
lổ hổng bảo mật. Nó bao gồm cả các hình thức tấn công URL, HTTP,
HTLM, JavaScript, Frames, Java, và Active-X.
Trường URL có thể là nguyên nhân tràn bộ nhớ đệm quyết định bởi: khi
chúng được phân tách trong phần HTTP header, khi được hiển thị trên
màn hình, hoặc khi được xử lý trong một số dạng (như lưu trong lịch sử
bộ nhớ cache). Ngoài ra, một lỗi cũ với Internet Explorer cho phép
tương tác với một lỗi mà nhờ đó trình duyệt thực thi các lệnh .LNK hay
URL.
Phần HTTP header có thể được dùng để khai thác bởi vì một số trường
được thông qua hàm mà chỉ mong đợi một số thông tin. HTML có thể
thường được khai thác giống như tràn MIME-type trong các lệnh nhúng
Netscap Communicator.
JavaScript là điểm tấn công ưa thích trong nhiều năm, và những kẻ tấn
công thường thử phân tích các hàm Upload File bằng cách tạo ra một
tên file và tự động ẩn đi nút SUBMIT. Có nhiều biến thể của lỗi này,
với nhiều bản vá đã tìm thấy nhưng sau đó lại bị phá vỡ bởi các cách
khác.
Các Frame cũng thường được sử dụng như một phần trong việc hack
JavaScript hay Java (ví dụ như ẩn trang web trong một-điểm-ảnh-bởi-
một-điểm-ảnh cỡ màn hình), nhưng chúng hiện là một vấn đề đặc biệt.
Ví dụ như một kẻ tấn công có thể chèn đến một site đáng tin cậy mà sử
dụng các frame, sau đó thay thế một số frame đó với trang web từ các
site của họ, và các site đó sẽ xuất hiện đến user cuối cùng đến phần của

site từ xa đó.
Java có một mô hình bảo mật mạnh mẽ, nhưng mô hình đó đã được
chứng minh vẫn thường có lỗi (mặc dù nó đã được chứng minh là một
trong những yếu tố an toàn nhất của toàn bộ hệ thống). Hơn nữa, sự bảo
mật mạnh mẽ có thể phá hoại; bình thường Java applet không có quyền
truy cập vào hệ thống địa phương, nhưng đôi khi nó sẽ hữu ích hơn nếu
có quyền đó. Do đó, việc thực hiện các mô hình tin cậy có thể dễ dàng
bị hack.
ActiveX cũng nguy hiểm như Java, kể từ khi nó hoạt động hoàn toàn từ
một mô hình tin cậy và chạy mã nguồn gốc. Thậm chí bạn có thể vô tình
bắt một virus đã được nhúng ngẫu nhiên vào một số mã của nhà cung
cấp.
08520347 – 08520582 – 08520558 - 08520552 Page 9
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
4. Các tấn công vào SMTP(SendMail)
SendMail là một chương trình cực kì phức tạp và được sử dụng rộng rãi,
và như một hệ quả nó trở thành nguồn thường xuyên của các lỗ hổng
bảo mật. Trong những năm trước (Morris Worm ‘88), hacker sẽ lợi
dụng lỗ hổng trong các lệnh DEBUG hay tính năng ẩn WIZ để phá vỡ
SMTP. Trong thời điểm đó, chúng thường cố gắng làm tràn độ đệm.
SMTP cũng có thể được khai thác trong các cuộc tấn công do thám, như
việc sử dụng lệnh VRFY để tìm các tên user.
5. Tấn công IMAP :
Người dùng lấy lại mail từ các server thông qua giao thức IMAP (trong
khi ngược lại, SMTP chuyển mail giữa các máy chủ). Hacker đã tìm
thấy một số lỗi trong những server IMAP phổ biến.
6. IP Spoofing :
Đó là một chuỗi các tấn công mà lợi dụng khả năng giả mạo (hay đánh
lừa) của địa chỉ IP. Trong khi địa chỉ nguồn gửi cùng với mỗi gói IP,
thực sự nó không dùng cho việc định tuyến. Điều này có nghĩa những

kẻ xâm nhập có thể giả mạo bạn khi giao tiếp với server. Những kẻ xâm
nhập không bao giờ thấy những gói trả về khi máy tính của bạn còn làm
việc, nhưng nó ném chúng đi bởi vì chúng không phù hợp với bất kì yêu
cầu nào mà bạn đã gửi. Những kẻ xâm nhập sẽ không nhận được dữ
liệu từ cách này, nhưng có thể gửi các lệnh đến server để giả mạo bạn.
Giả mạo IP thường được sử dụng như một phần của cuộc tấn công khác
như:
- Các cuộc tấn công Smurf: trong các cuộc tấn công Smurf, địa chỉ
nguồn của một vùng quảng bá ping được giả mạo, thế nên một số
lượng khổng lồ của các thiết bị trả lời lại với một nạn nhân được chỉ
định, làm cho nó quá tải.
- Dự đoán số sequence number TCP: khi mở một kết nối TCP, máy
tính bạn sẽ lựa chọn số sequence number kết thúc. Và server phải
lựa chọn một số sequence number cho kết thúc đó. Các ngăn xếp
TCP cũ sẽ dự đoán một số sequence number, cho phép những kẻ
xâm nhập tạo ra một kết nối TCP từ việc giả mạo địa chỉ IP (mà sẽ
không bao giờ nhìn thấy gói tin trả về) có thể bỏ qua an ninh.
- Nhiễm độc DNS thông qua dự đoán sequence number: DNS server
phân giải tên DNS theo kiểu đệ quy. Do đó, các DNS server thỏa
mãn client yêu cầu nó và trở thành client cho server tiếp theo trong
chuỗi đệ quy. Sequence number là số mà nó dùng để dự đoán, vậy
08520347 – 08520582 – 08520558 - 08520552 Page 10
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
nên một kẻ xâm nhập có thể gửi yêu cầu đến DNS server và một
phản ứng về server giả mạo từ server tiếp theo trong cái chuỗi đó.
7. Tràn bộ đệm :
Ngoài những thứ được đề cập trong các cuộc thảo luận trên CVE, một
số cuộc tấn công tràn bộ đệm khác là:
- Tràn DNS là một cái tên DNS quá dài để gửi đến server. DNS lớn
nhất đến 64 byte trên tiểu hợp phần và 256 byte tổng thể. Bất cứ cái

tên DNS nào lớn hơn cũng sẽ là điều kiện để các lỗi tràn bộ đệm có
thể xảy ra.
- Trạng thái tràn xảy ra khi một cái tên DNS quá dài được cung cấp.
8. DNS Cache Poisoning:
Bất kì gói DNS nào cũng bao gồm phiên Hỏi và Trả lời. Những server
dể bị tấn công sẽ tin những câu trả lời mà bạn gửi cùng với câu hỏi. Hầu
hết, nhưng không phải tất cả, lỗ hổng server DNS đã được vá vào tháng
11 năm 1998.
9. Các hình thức quét do thám phổ biến
Nhiều kẻ tấn công bắt đầu với một ít hay không có kiến thức bên trong
các phiên làm việc của mạng mục tiêu. Nếu họ có ý muốn tạo tiến trình
quan trọng để thâm nhập vào hệ thống, họ phải tìm hiểu các chi tiết bên
trong.
10.Ping Sweeps :
Cách quét đơn giản này có thể ping đến một chuỗi địa chỉ IP để tìm các
thiết bị có tồn tại. Một chương trình quét tinh vi hơn sẽ sử dụng các giao
thức khác (chẳng hạn như SNMP) để làm việc tương tự.
11.Quét port :
Quét mở (lắng nghe) port là hành động thăm dò thông thường khác. Các
port quét thông thường bao gồm:
- Quét thăm dò TCP mở (lắng nghe) cổng TCP, tìm kiếm các dịch vụ
mà những kẻ xâm nhập có thể khai thác. Quá trình quét có thể sử
dụng kết nối TCP bình thường, hoặc có thể quét tàn hình sử dụng kết
nối haft-open (để ngăn ngừa đăng nhập), hoặc ngay cả quét FIN
(không bao giờ mở một cổng, để lắng nghe việc đăng nhập). Việc
quét có thể thực hiện tuần tự, ngẫu nhiên hoặc được cấu hình danh
sách các port.
- Quét UDP có một chút khó khăn bởi vì UDP là một giao thức phi
kết nối. Phương pháp đó là gửi một gói tin UDP rác vào cổng mong
muốn. Hầu hết các thiết bị sẽ trả lời với một tin ICMP Destination

08520347 – 08520582 – 08520558 - 08520552 Page 11
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Port Unreachable, để chỉ rằng không có dịch vụ nào đang lắng nghe
trên port đó. Tuy nhiên, có nhiều máy điều tiết các tin nhắn ICMP,
do đó bạn không thể làm điều này rất nhanh.
- Quét nhận dạng hệ điều hành làm việc bằng cách gửi các gói ICMP
hay TCP bất hợp pháp giúp cho kẻ xâm nhập nhân dạng hệ điều
hành đang chạy trên mục tiêu. Các tiêu chuẩn thường nêu rõ việc trả
lời các gói tin hợp pháp như thế nào, do đó mà các thiết bị có xu
hướng thống nhất trong các hồi đáp của chúng để đầu vào hợp lệ.
Tiêu chuẩn bỏ qua (thường là tiêu chuẩn quốc tê) những đáp ứng
không hợp lệ, do đó mỗi hệ điều hành có cách trả lời riêng đối với
dữ liệu đầu vào không hợp lệ tạo thành một chữ kí mà hacker có thể
sử dụng để tìm ra máy mục tiêu. Loại hoạt động này xẩy ra ở mức
độ thấp (giống như quét TCP tàn hình) mà hệ thống không đăng
nhập.
12.Quét user account :
Sau khi một kẻ tấn công nắm bắt được chi tiết của mạng, chẳng hạn như
địa chỉ IP và các port mở, hay là nhiều hơn. Các thông tin bổ sung này
có thể tập trung vào các tài khoản người dùng, tổ chức. Các tùy chọn
khác nhau mà kẻ tấn công có thể cố gắng để thực hiện là:
- Cố gắng đăng nhập vào các tài khoản khác nhau.
- Cố gắng đăng nhập vào các tài khoản không dùng password.
- Cố gắng đăng nhập với các tài khoản mà password giống như
username, hoặc dùng từ password làm password.
- Cố gắng để đăng nhập với các tài khoản mặc định có sẳn từ khi sản
xuất (phổ biến trên Microsoft cũng như Linux, được tạo bởi nhà sản
xuất và chạy ngầm dưới tài khoản người dùng).
13.Tấn công từ chối dịch vụ (DoS):
Một kẻ tấn công có thể không được quan tâm đến trong việc chiếm

quyền truy cập(gaining access) hay hệ thống thỏa hiêp (system
compromise). Nếu trong trường hợp đó thì tấn công từ chối dịch vụ có
thể là sự lựa chọn của một kẻ tấn công. Kĩ thuật tấn công từ chối dịch vụ
được liệt kê trong phần này.
14.Ping of Death Attacks:
Một trong kĩ thuật Dos hiển nhiên nhất là Ping of Death. Mục tiêu trước
tiên của nó là các thiết bị Microssft, nhưng các phiên bản hiện tại của hệ
điều hành Windows không còn dể bị tổn thương cho kiểu tấn công này.
Ping of Death gửi một đoạn không hợp lệ, bắt đầu lúc chưa kết thúc gói
tin và trải dài đến cuối cùng của gói tin đó. Một biến thể của Ping of
08520347 – 08520582 – 08520558 - 08520552 Page 12
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Death là gửi những gói tin bình thường với kích thước lớn, do đó máy
tính tiếp nhận không thể xử lý luồng đi vào dẫn đến tắt máy.
15.Tràn SYN (SYN Floods) :
Trong việc tràn SYN, kẻ tấn công gửi các gói SYN TCP ( bắt đầu kết
nối) rất nhanh, để lại nạn nhân chờ đợi để hoàn thành số lượng lớn các
kết nối, khiến cho nó hết tài nguyên và loại bỏ các kết nối hợp pháp.
Một cách phòng chống lại kiểu tấn công này là SYN cookies. Mỗi bên
của một kết nối có số thứ tự của riêng mình. Trong phản hồi đến một
SYN, một thiết bị tấn công tạo ra một số thứ tự đặc biệt là cookie của
một kết nối, và sau đó quên đi mọi thứ nó biết về kết nối đó. Nó có thể
tái tạo thông tin bị lãng quên về kết nối đó khi gói tin đến từ một kết nối
hợp pháp.
16.Land Attack :
Land Attack là khi một kẻ tấn công gửi một gói SYN giả mạo đến mục
tiêu, với nguồn giống nhau và địa chỉ IP đích và nguồn giống nhau với
các port đích, vì vậy hệ thống đi vào một vòng lặp vô hạn cố gắng để
hoàn thành kết nối TCP.
17.WinNuke Attacks :

Trong tấn công WinNuke, kẻ tấn công gửi dữ liệu OOB/URG trên kết
nối TCP ở port 139 (NetBIOS Sesion/SBM), là nguyên nhân hệ thống
Windows bị treo. Loại tấn công này bình thường trên các phiên bản
Windows cũ, nhưng các phiên bản mới hơn chẳng hạn như Windows
2000, 2003 và XP không còn dể bị tổn thương để tấn công.
V. Các dấu hiệu của lưu lượng bình thường :
Không phải tất cả các dấu hiệu đều được xem như một sự đe dọa trong mạng. Một
nhà phân tích tốt phải có khả năng định nghĩa được những lưu lượng bình thường
và phải phân biệt được với những lưu lượng bất thường khác. Việc học hỏi cách
phân chia các lưu lượng riêng biệt, có ích từ một lưu lượng hỗn hợp, không có giá
trị cần phải được cải thiện như là một kỹ năng quan trọng để có được những thông
tin hữu ích khi tìm kiếm thông qua các file log trong và sau khi các cuộc tấn công
xảy ra.
Phần này sẽ mô tả một vài loại dấu hiệu quen thuộc trong những lưu lượng mạng
thường ngày. Ví dụ như ping, web browsing, FTP và các phiên kết nối telnet. Các
gói tin minh họa được lưu trong đĩa CD của chương trình học.
08520347 – 08520582 – 08520558 - 08520552 Page 13
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
1. Snort Logs :
Tất cả các dấu hiệu được ghi nhận bằng việc sử dụng Snort – một tiện ích ghi
lại log. TCPDump là một tiện ích khác được dùng để phân tích các loại gói tin,
và trong khóa học Tactical Perimeter Defense, chúng ta sẽ làm việc với công
cụ Wireshark và Network Monitor. Để có thể nhận biết các dấu hiệu và bắt
được các gói tin, bạn cần phải xác định được vùng để bắt gói tin và dùng công
cụ gì.
Ví dụ sau sẽ đưa ra định dạng cơ bản của một gói tin được bắt bằng Snort và sự
phân chia các thành phần trong gói tin. Hình 8.4 đưa ra thông tin về gói tin
ICMP bắt được, hình 8.5 đưa ra thông tin về gói tin TCP bắt được.
Hình 8.4 được tạo ra bằng cách sử dụng chức năng ghi log của Snort bao gồm
cả phần header và phần mang thông tin.

Hình 8.5 sẽ trình bày thông tin cả phần header và phần thông tin của gói tin
TCP. Trong trường hợp này, gói tin là một yêu cầu đến một website. Sự khác
biệt trong gói tin này là các trường như flags, Time To Live, Sequence và
Acknoledgement đều được đặt các giá trị.
08520347 – 08520582 – 08520558 - 08520552 Page 14
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
2. Các dấu hiệu của gói tin Ping :
Một trong những tiện ích được sử dụng nhiều nhất trên mạng là ping hay còn
gọi là ICMP ECHO và ICMP ECHO REPLY. Vì vậy, chúng tôi khuyến cáo
các học viện của SCNP nên đọc các RFCs về TCP, IP, UDP và TCP.
ICMP ECHO REQUEST
08520347 – 08520582 – 08520558 - 08520552 Page 15
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Trong hình 8.6, bạn có thể xác định được vài thông tin để quyết định các dấu
hiệu của gói tin. Ví dụ như:
a. Trường Time To Live có giá trị là 128. Mặc dù giá trị được gán bởi chính
máy gửi sẽ không có những nhận định chính xác nhưng ta có thể đoán được
gói tin xuất phát từ một máy tính theo kiến trúc của Micosoft (vì các máy
theo kiến trúc Microsoft thường gán trường TTL là 128).
b. Quan sát trường IP Header Length (IpLen) và Datagram Length (DgmLen).
Trường IpLen được gán là 20 bytes, điều này thích hợp với nhiều loại hệ
điều hành, bao gồm cả Microsoft và Linux. Tuy nhiên, trường DgmLen
được gán là 60 bytes, điều này có thể khẳng định là gói tin đến từ một máy
theo kiến trúc Microsoft.
c. Phấn thứ hai của hai gói tin xác định phần bắt đầu của dữ liệu gói tin của
các máy theo kiến trúc Microsoft. Đối với các máy này thì trường sequence
của gói tin ICMP ECHO REQUEST dùng các kí tự alphabet, bắt đầu từ a
đến w. Gói tin trên tuân theo quy luật này.
d. Cuối cùng, để quyết định loại máy phát sinh gói tin này, ta chú ý giá trị ID
và Seq. Giá trị ID tăng từng đơn vị từ 9466 đến 9467. Điều này chỉ có ở

window 2000. Tương tự, giá trị Seq tăng từng đơn vị, từ 34 đến 35. Điều
này càng khẳng định gói tin xuất phát từ máy chạy hệ điều hành window
2000.
Kết hợp các giá trị được cung cấp với những dấu hiệu của gói tin ICMP ECHO
REQUEST, ta có thể biết được gói tin đến từ máy dùng window 2000. Xét một
ví dụ khác.
08520347 – 08520582 – 08520558 - 08520552 Page 16
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
ICMP ECHO REPLY
Quan sát gói tin ICMP ECHO REPLY trong hình 8.7 (đây là gói tin trả lời cho
các gói tin ICMP ECHO REQUEST trong hình 8.6), bạn có thể xác định các
giá trị tương tự.
a. Các trường như IP Header Length, Datagram Length cho ta xác định một
máy window trả lời yêu cầu của gói tin ping.
b. Giá trị TTL và phần truyền tải thông tin của gói tin cũng cho biết việc trả
lời đến từ một máy window.
c. Quan sát trường ID và Sequence ở phần cuối của gói tin trả lời yêu cầu, có
thể biết được gói tin được tạo bởi một máy window 2000.
Xét một ví dụ khác:
08520347 – 08520582 – 08520558 - 08520552 Page 17
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Quan sát 2 gói tin ICMP ECHO REQUEST trong hình 8.8, ta có thể phát hiện
vài dấu hiệu của môi trường window.
a. Giá trị IpLen là 20 bytes (như trên, giá trị này chỉ có ở windows) và trường
DgmLen là 60 bytes.
b. Một điều hiển nhiên có thể nhìn thấy ở phần chứa thông tin của gói tin là
các ký tự alphabet, bắt đầu từ a đến w. Điều này càng khẳng định thông tin
từ máy window.
c. Tuy nhiên, có vài sự khác biệt đối với ví dụ ban đầu. Trong trường TTL,
với các thế hệ window trước window 2000 thì trường này có giá trị là 128

nhưng ở đây là 32. Điều này thường chỉ có ở các máy window NT của
Microsoft.
d. Sự khác biệt thứ hai là việc gia tăng giá trị ở trường ID không giống như
các máy tính window. Trong trường hợp này, gói tin thứ nhất có giá trị là
56323, gói tin thứ hai có giá trị là 56579. Điều này chỉ phù hợp đối với các
dòng window NT như window NT 4.0. Nhứng máy window NT sẽ gia tăng
trường sequence một lần là 256 mãi cho đến khi máy tính khởi động lại.
Kết hợp những kiến thức từ việc bắt gói tin ICMP của window 2000, ta có thể
khẳng định gói tin được tạo bởi một máy window NT. Sau đây làm một ví dụ
khác.
08520347 – 08520582 – 08520558 - 08520552 Page 18
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Đối với hai gói tin trong hình 8.9, đây là hai gói tin ICMP ECHO REQUEST.
Tuy nhiên có vài giá trị khác với những ví dụ trước.
a. Trong hai gói tin này thì giá trị DgmLen được xác định là 84. Trong ví dụ
trước, ta đã xác định giá trị DgmLen đối với các máy window là 60 vì vậy
những gói tin này chắc chắn không phải được tạo từ một máy window. Giá
trị DmgLen 84 được biết như là dấu hiệu của những máy tính Linux hay
UNIX.
b. Một dấu hiệu khác của những máy Linux và UNIX là gói tin ICMP ECHO
bắt đầu với giá trị Sequence là 0 và tăng dần từng đơn vị. Đối với các máy
window thì giá trị Sequence có thể tăng từng đơn vị hoặc cũng có thể bắt
đầu bằng 0 cho mỗi lần ping nên chưa đủ để xác định dấu hiệu.
c. Một dấu hiệu cho biết các gói tin được khởi tạo từ a máy Linux là giá trị
TTL. Giá trị TTL của những máy Linux thường được gán là 64.
Một điều khác để nhận định đối với các máy Linux chính là trường dữ liệu.
Trong các gói tin bắt được từ các máy window, trường dữ liệu được tạo bởi
các ký tự alphabet nhưng ở đây là môt sự khác biệt hoàn toàn. Đối với các
máy Linux, dữ liệu của gói tin ping là một chuỗi gồm các ký tự và số.
Sử dụng các thông tin thu thập được trong gói tin ICMP ECHO REQUEST

của hình 8.9, ta có thể quyết định gói tin ping đến từ một máy Linux. Tiếp sau
là một ví dụ cuối cùng.
08520347 – 08520582 – 08520558 - 08520552 Page 19
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Với những kiến thức đã thảo luận về các dấu hiệu của windows 2000, windows
NT và Linux, ta có thể xác định được gói tin trả lời yêu cầu lệnh ping trong
hình 8.10 là từ một máy Linux.
3. Các dấu hiệu của gói tin Web
Xét theo số lượng thì lưu lượng web là trong những lưu lượng quan trọng trên
mạng. Hằng ngày thì việc sử dụng web tăng lên với tốc độ của một hàm lũy
thừa. Để nhận biết các dấu hiệu của lưu lượng web, bạn cần phải hiểu được
cách thức bắt tay 3 bước đối với lưu lượng web cũng như biết được phần dữ
liệu của mỗi gói tin.
08520347 – 08520582 – 08520558 - 08520552 Page 20
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Trong hình 8.11, ta có nhận biết các dấu hiệu của việc duyệt web một cách
bình thường.
+ Từ gói tin 1 đến gói tin 3 của gói tin biểu hiển quá trình bắt tay 3 bước
giữa client 10.0.10.235 và web server 10.0.10.236.
+ Gói tin thứ tư (đã được rút gọn) là phía client yêu cầu một trang web,
phương thức GET được sử dụng để lấy dữ liệu.
+ Gói tin thứ 5 cho thấy web server trả lời cho yêu cầu nhận một trang web.
08520347 – 08520582 – 08520558 - 08520552 Page 21
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
4. Các dấu hiệu của gói tin FTP :
Trong hình sau, chúng ta sẽ thấy được các dấu hiệu của việc truy cập FTP.
Những gói tin , bao gồm cả gói tin bắt tay 3 bước trong giao thức FTP, quá
trình login và việc xóa các file trong lúc login. Bạn phải có khả năng xác định
từng loại lưu lượng trong mạng và phân tích các gói tin một cách chắc chắn để
cho phép các lưu lượng vận chuyển trong mạng. Ví dụ như địa chỉ nguồn được

phép truy cập FTP server.
Trong hình 8.12 chính là các dấu hiệu của các gói tin trong quá trình bắt tay 3
bước của giao thức FTP.
+ Gói tin đầu tiên, client 192.168.0.56 bắt đầu quá trình bắt tay với server
192.168.0.9 bằng việc chỉ định một bit Syn.
+ Server trả lời với bit Ack và Syn đã được gán trong gói tin thứ hai.
+ Cuối cùng thì client trả lời với thông số Ack trong gói tin thứ ba.
Xét ví dụ sau:
08520347 – 08520582 – 08520558 - 08520552 Page 22
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Trong hình 8.13, ta có thể nhìn thấy các dấu hiệu login của một server đến một
FTP server.
+ Gói tin thứ hai là nơi chứa username có thể nhìn thấy nếu ở dạng
cleartext. Trong ví dụ này, sau từ USER chính là từ user. Điều này cho biết
username thật sự là user.
+ Trong gói tin thứ ba, FTP server yêu cầu nhập password để truy cập.
+ Trong gói tin thứ tư, gói tin chưa password. Nó có thể nhìn thấy được nếu
ở dạng mã ASCII như s3cr3t.
+ Sau khi password được nhập thì server sẽ gửi lệnh hello cho client (gói
tin thứ 5). Tiến trình FTP có thể bắt đầu bình thường.
Tiếp theo là một ví dụ khác.
08520347 – 08520582 – 08520558 - 08520552 Page 23
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Hình 8.14 sẽ đưa ra các dấu hiệu của việc user xóa một file trên FTP server.
+ Gói tin đầu tiên cho thấy user di chuyển đến một thư mục khác.
+ Gói tin thứ hai cho biết việc di chuyển đến thư mục mới thành công
+ Gói tin thứ ba xác đỉnh rằng user tại địa chỉ IP 192.168.0.56 đưa ra lệnh
xóa file README.TXT.
+ Trong gói tin cuối cùng, xác nhận user đã hoàn thành việc xóa file trên
FTP server.

5. Các dấu hiệu của gói tin Telnet :
Trong phần này, chúng ta sẽ xét các gói tin login đến một server Telnet. Nếu
bạn đang nghiên cứu khả năng xâm hại trong một phiên Telnet, bạn nên bắt
đầu bằng cách xác định địa chỉ nguồn và địa chỉ đích, thời gian thực hiện và
nhiều thứ khác nữa.
08520347 – 08520582 – 08520558 - 08520552 Page 24
PHÂN TÍCH ĐẶC ĐIỂM GÓI TIN
Đa số các dấu hiệu trước khi thực hiện bắt gói tin đều bình thường như mọi
ngày trong việc sử dụng tài nguyên mạng. Hình 8.5 cũng có thể được xem như
là phiên làm việc Telnet bình thường nhưng cần phải xét khả năng hệ thống bị
xâm hai hoặc là bị tấn công. Dấu hiệu chính là việc kết nối Telnet thất bại.
Điều đó không xác định được nguy cơ bị xâm nhập vì có thể là do sai sót
nhưng nếu cứ lập lại thì đó là một cuộc tấn công. Đây là dấu hiệu của một cuộc
tấn công cơ bản.
+ Gói tin đầu tiên yêu cầu thông tin xác thực user và user đã thử kết nối
nhưng không có các thông tin chứng thực.
+ Điều cần xem xét ở đây là thông điệp từ server được gửi kèm cùng với
gói tin Fin để kết thúc phiên Telnet. Dấu hiệu này thể hiện ở gói tin thứ ba.
08520347 – 08520582 – 08520558 - 08520552 Page 25