TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT THÀNH PHỐ HỐ CHÍ MINH
KHOA HỆ THỐNG THÔNG TIN
LỚP K11406

Đề tài:
TẤN CÔNG QUA MẠNG VÀ CÁCH PHÒNG CHỐNG
Nhóm BEGIN:
Trần Quốc Bảo K114060970
Nguyễn Ngọc Đăng K114060982
Đỗ Thị Ngọc Phương K114061029
Dương Nguyễn Hoài Phương K114061031
Vũ Thị Thu Thủy K114061051
Tấn công qua mạng và cách phòng chống.
Mục lục
2
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
I. MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG VÀ KỸ THUẬT XÂM NHẬP MẠNG.
Phần lớn các cuộc tấn công trên mạng được thực hiện thông qua việc sử dụng một hoặc
nhiều công cụ phần mềm. Trong bài báo cáo này nhóm nghiên cứu các phần mềm phá
hoại. Phần mềm phá hoại là những phần mềm được thiết kế, xây dựng nhằm mục đích tấn
công gây tổn thất hay chiếm dụng bất hợp pháp tài nguyên của máy tính mục tiêu (máy
tính bị tấn công). Những phần mềm phá hoại thường được che dấu hay ngụy trang như là
phần mềm hợp lệ, công khai hoặc bí mật thâm nhập vào máy tính mục tiêu. Những phần
mềm phá hoại khác nhau có phương thức và nguy cơ gây hại khác nhau.
1. Thực trạng tấn công của tội phạm trên mạng.
Trong tương lai, những kẻ viết virus có thể gia tăng khả năng điều khiển lên virus của
mình sau khi đã phát tán chúng trên mạng. Ngày càng nhiều sâu máy tính có chứa
backdoor và tác giả của chúng có thể “nâng cấp” một cách trực tiếp để vượt qua các phần
mềm diệt virus hay bổ sung thêm tính năng. Hơn nữa, sâu máy tính còn có khả năng tự
thiết lập các kênh liên lạc riêng giữa chúng để tập hợp lại và nâng cấp. Điều này không

chỉ giúp chúng tránh khỏi sự phát hiện của các chương trình diệt virus mà còn gia tăng
đáng kể sức tàn phá.
Ngày nay, vấn đề tấn công trên mạng đã không còn chỉ là “trò chơi” của giới hacker mà
nhiều quốc gia đã tận dụng khả năng này phục vụ các mục đích chính trị, quân sự. Ở
nhiều quốc gia, nhất là các quốc gia phát triển, máy tính được ứng dụng ở mọi nơi, mọi
lĩnh vực, trong an ninh quốc phòng, vì vậy những khả năng gây thương hại cho đối
phương bằng các hoạt động tấn công trên mạng viễn thông - tin học là vô cùng to lớn.
Hiện nay các nước đều có các: “Cục tác chiến điện tử” trên mạng. Hàng năm các nước
này đã chi ra hàng trăm triệu USD phục vụ cho việc nghiên cứu này như Trung Quốc,
Đài Loan, Hàn Quốc, Thái Lan, v.v…
Tấn công trên mạng nhằm vào một hệ thống máy tính ở đây là những hành động
nhằm làm ảnh hưởng đến sự ổn định của hệ thống, truy nhập bất hợp pháp đến các
tài nguyên của hệ thống, làm sai lệch hoặc lấy cắp thông tin…
Tấn công trên mạng là vấn đề khó. Việc tấn công có thể thực hiện được hay không có
đảm bảo thành công hay không phụ thuộc vào rất nhiều yếu tố.
- Về khách quan, nó phụ thuộc vào hệ thống người ta định tấn công.
- Về mặt chủ quan, nó phụ thuộc vào khả năng của người tấn công.
2. Các phương pháp tấn công.
3
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Các công cụ sử dụng để tấn công là một thành phần hết sức quan trọng. Người ta có thể
sử dụng các công cụ có sẵn (vốn đã có khá nhiều) hay tự tạo ra công cụ mới tuỳ theo mục
đích, độ phức tạp và hiệu quả mong muốn. Cuộc tấn công là không hề đơn giản, bởi lẽ
con người luôn cố gắng để bảo đảm an toàn cho mình. Vì thế, hacker phải tìm hiểu và
chuẩn bị chu đáo. Hacker thường phải sử dụng nhiều phương pháp tổng hợp, kể cả các
biện pháp tổ chức lẫn các giải pháp công nghệ. Một số phương pháp tấn công và kỹ thuật
xâm nhập mạng quan trọng như sau:
2.1 Tấn công trực tiếp.
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm

quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử
dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều
kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người
dùng, ngày sinh, địa chỉ, số nhà vv… để đoán mật khẩu. Trong trường hợp có được danh
sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình tự
động hoá về việc dò tìm mật khẩu này. Có chương trình có thể dễ dàng lấy được từ
Internet để giải các mật khẩu đã mã hoá của hệ thống unix có tên là crack, có khả năng
thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định
nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới
30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã
được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy
nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền
của người quản trị hệ thống (root hay administrator).
2.2 Nghe trộm.
Việc nghe trộm thông tin trên mạng có thể để lại những thông tin có ích như tên, mật
khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường
được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập (truy cập) hệ
thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface
Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin
này cũng có thể dễ dàng lấy được trên Internet.
2.3 Giả mạo địa chỉ.
4
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn
đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới
mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc
một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các
gói tin IP phải gửi đi.

2.4 Vô hiệu hóa các chức năng của hệ thống mục tiêu.
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó
thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ
chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên
mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao
toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài
nguyên để thực hiện những công việc có ích khác.
2.5 Sử dụng lỗi của người quản trị hệ thống.
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người
quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập
vào mạng nội bộ.
2.6 Tấn công vào yếu tố con người.
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng
để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc
thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công
khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu,
và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề
cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm
yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp
tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
3. Các kỹ thuật xâm nhập mạng.
Theo Seatle Times đa số người sử dụng đều nghĩ rằng dữ liệu truyền đi từ máy tính của
mình sẽ được bảo vệ và có thể chu du khắp Internet mà không bị một kẻ nào đó chặn lại.
Nhưng thực ra đây là một quan niệm sai lầm.
Sự kết hợp của các máy tính bị tấn công và các lỗ hổng trong mạng không dây đã làm
tăng đáng kể khả năng xâm nhập vào luồng thông tin đang lưu chuyển của bạn. Thông tin
5
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
khi rời khỏi máy tính của bạn nói chung là không được bảo vệ một máy tính khác ở trên

cùng một mạng với máy tính của bạn có thể lấy được bất kỳ thông tin gì được truyền qua.
3.1 Rình mò (IGMP snooping).
Internet Group Membership Protocol Snooping (IGMP Snooping) là giao thức hoạt động
trên switch để biết về các cuộc truyền multicast động. IGMP Snooping, một chuẩn công
nghiệp, thực hiện như sau: nó rình mò tất cả danh sách truyền mà có các gói IGMP. Một
khi nó thấy gói IGMP, nó biết được cuộc truyền dành cho địa chỉ MAC gì, và cuộc truyền
đến từ địa chỉ MAC gì. Một khi Switch biết điạ chỉ MAC, nó có thể nhìn vào bảng cơ sở
dữ liệu của nó để gởi gói tin đi đến đúng cổng cần nhận.
3.2 Đánh lừa (IP spoofing…).
Trò đánh lừa IP (IP spoofing) là sự giả mạo địa chỉ IP hoặc khống chế tập tin lưu trữ
thông tin về địa chỉ IP của các thiết bị trong hệ thống mạng. Đây là một trong những cách
thông dụng mà giới hacker thường dùng để mạo danh là một máy tính hợp pháp để xâm
nhập một hệ thống mạng, chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn
công, biến máy tính đó thành một công cụ khai thác thông tin. Phương thức hoạt động là
hacker truyền những gói dữ liệu do họ tạo ra với một địa chỉ IP hợp pháp của một máy
tính trong mạng.
Có các kiểu tấn công:
* Kiểu mò mẫm (blind spoofing): Để tìm hiểu cách thức truyền tải dữ liệu trong
mạng, hacker sẽ gửi nhiều gói dữ liệu đến một máy nào đó trong mạng để nhận lại những
thông điệp xác nhận. Bằng cách phân tích những thông điệp này, hacker có thể biết được
quy tắc gán chỉ số thứ tự cho từng gói dữ liệu của hệ thống mạng. Một khi đã biết được
quy tắc này, hacker có thể đưa dữ liệu của họ vào các gói dữ liệu mà không phải qua quá
trình xác nhận (authentication) khi kết nối được thiết lập lần đầu tiên. Kiểu tấn công này
hiện nay ít được áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán chỉ số thứ
tự một cách ngẫu nhiên khiến hacker khó lòng đoán đúng những chỉ số này.
* Kiểu ẩn mình (nonblind spoofing): Trong kiểu tấn công này, hacker tìm cách
“ẩn mình” trong cùng mạng phụ với máy tính sẽ bị tấn công. Từ đó, họ có thể nắm được
toàn bộ chu trình gửi và phúc đáp tín hiệu giữa máy bị tấn công với các máy tính khác
trong mạng. Bằng cách đó, hacker biết được các chỉ số thứ tự của gói dữ liệu và có thể
chiếm quyền điều khiển các phiên trao đổi thông tin, vượt qua được quy trình xác nhận

đã được xác lập trước đó trong quá trình kết nối giữa máy bị tấn công với các máy tính
khác trong mạng.
6
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
* Từ chối dịch vụ (Denial of service): Đây là một trong những kiểu tấn công khó
phòng ngừa nhất. Mục đích của hacker là làm cho đường truyền bị tắc nghẽn do có quá
nhiều yêu cầu được gửi đến máy tính bị tấn công trong một khoảng thời gian ngắn khiến
cho hệ thống mạng không thể gửi các gói tin báo nhận kịp thời. Hacker thường giả mạo
địa chỉ IP của nhiều máy tính khiến cho việc truy tìm các địa chỉ này và ngăn chặn cuộc
tấn công bằng cách từ chối dịch vụ khó lòng đạt hiệu quả cao.
* Chen giữa các máy tính (Man in the middle): Trong kiểu tấn công này, khi hai
máy tính đang truyền tin với nhau một cách bình thường, hacker sẽ chặn các gói dữ liệu
gửi đi từ hai máy đó, thay thế bằng những gói dữ liệu khác và gửi chúng đi. Khi đó, hai
máy tính bị giả mạo đều không hay biết gì về việc dữ liệu của chúng bị thay đổi. Kiểu tấn
công này thường được dùng để lấy những thông tin bảo mật của máy tính.
3.3 Điệp viên (Agent).
Hiện nay, việc sử dụng Keylogger khá phổ biến ở Việt Nam. Các chương trình này được
truyền nhau thông qua các diễn đàn (forum) trên mạng, có cả hướng dẫn chi tiết nên việc
sử dụng rất dễ dàng. Đối tượng sử dụng thường là sinh viên, học sinh. Keylogger thường
được cài ở dịch vụ Internet công cộng hoặc trường học. Sau khi cài chương trình
Keylogger, người cài đặt sẽ nhận được rất nhiều thông tin và cũng phải mất khá nhiều
thời gian để lọc những thông tin cần thiết. Thông thường, người cài đặt Keylogger sẽ có
được tài khoản (account) từ hộp thư điện tử, qua chat (thường là Yahoo! Messenger), khi
chơi game online (MU, Gunbound ), điện thoại Internet và đôi khi là những tài khoản
thẻ tín dụng
Nếu bạn không cẩn thận khi dùng chung máy tính hoặc cho một người nào đó mượn máy,
bạn sẽ có nguy cơ bị lấy cắp thông tin cá nhân. Ngoài ra, máy tính của bạn cũng có thể bị
cài Keylogger một cách gián tiếp qua việc nhận file đính kèm có cài chương trình
Keylogger….

7
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
II. MỘT SỐ NGUYÊN TẮC TẤN CÔNG TRÊN MẠNG.
1. Phát hiện điểm yếu trong cơ chế bảo mật.
Muốn thực hiện tấn công thành công một mục tiêu phải tìm hiểu, nghiên cứu rất kỹ mục
tiêu đó. Mỗi hệ thống máy tính đều có các điểm yếu – các lỗ hổng bảo mật. Dò tìm được
các lỗ hổng bảo mật này đã là một bảo đảm quan trọng cho việc thắng lợi của việc tấn
công.
* Hệ điều hành: Nhiều người quản trị mạng cài đặt hệ điều hành cấu hình mặc
định và không cập nhật các bản vá lỗi. Rất nhiều lỗ hổng tiềm tàng ở đây.
* Ứng dụng: Rất khó để kiểm tra hết các điểm yếu bảo mật của các ứng dụng.
Có nhiều cách để khai thác tấn công các lỗi bảo mật ứng dụng.
* Tính năng nâng cao chương trình: Nhiều chương trình có nhiều tính năng
nâng cao mà người dùng ít sử dụng tới. Đây cũng là nơi dễ lợi dụng để khai thác tấn
công.
Ví dụ: Macro trong Microsoft Word, Excel là nơi có thể chứa các đoạn mã độc hại.
* Cấu hình sai: Hệ thống có thể bị cấu hình sai hay ở mức bảo mật thấp nhất
nhằm tăng tính dễ sử dụng cho người dùng.
2. Tận dụng công cụ có sẵn.
Sử dụng tối đa khả năng của các công cụ là nguyên tắc thiết yếu trong quá trình thực hiện
tấn công trên mạng. Các công cụ thường được sử dụng để đơn giản hóa những tác vụ
nhất định trong quá trình chung nhằm nâng cao tốc độ, đảm bảo hiệu quả công việc tấn
công.
3. Khai thác tối đa điểm yếu của mục tiêu.
Lỗ hổng bảo mật là những lỗi trong một hệ thống mà người khác có thể tận dụng để thực
hiện những công việc vốn không được hệ thống đó cung cấp và thường là dùng vào mục
đích tấn công.
8
Nhóm: Begin.

Tấn công qua mạng và cách phòng chống.
Tấn công hệ thống (System hacking) bao gồm những kỹ thuật lấy username, password
dựa vào phần mềm cài trên hệ thống hoặc tính dễ cài đặt và chạy các dịch vụ từ xa của hệ
điều hành window. Nâng quyền trong hệ thống, sử dụng keyloger để lấy thông tin, xóa
những log file hệ thống.
4. Nguyên tắc phối hợp tấn công.
Bước 1: Khảo sát thu thập thông tin.
Thu thập thông tin về nơi cần tấn công như phát hiện các host, địa chỉ IP, các dịch
vụ mạng.
Bước 2: Dò tìm.
Sử dụng các thông tin thu thập được từ pha 1 để sử dụng tìm kiếm thêm thông tin
lỗ hổng, điểm yếu của hệ thống mạng. Các công cụ thường được sử dụng cho quá trình
này là: các công cụ dùng quét cổng, quét dãy địa chỉ IP, dò tìm lỗ hổng,…
Bước 3: Xâm nhập.
Các lỗ hổng, điểm yếu được dò tìm trong hai bước trên được sử dụng khai thác để
xâm nhập vào hệ thống.
Bước 4: Duy trì xâm nhập.
Một khi kẻ tấn công đã xâm nhập được vào hệ thống, bước tiếp theo là làm sao để
duy trì các xâm nhập này để có thể khai thác và xâm nhập tiếp trong tương lai. Một vài kĩ
thuật như backdoors, Trojans. Một khi kẻ tấn công đã làm chủ hệ thống chúng có sử dụng
hệ thống để tấn công vào các hệ thống khác.
Bước 5: Che đậy, xóa dấu vết.
Một khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập. Bước tiếp theo là phải
làm sao xóa hết dấu vết để không còn chứng cứ pháp lý xâm nhập. Kẻ tấn công phải xóa
các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
9
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
III. GIỚI THIỆU MỘT SỐ PHẦN MỀM MẪU.
1. Netbus.

Netbus là một công cụ quản trị từ xa, điều khiển các con Trojan xâm nhập vào máy tính
mục tiêu (máy cần tấn công) trong cùng mạng hoặc trên Internet.
Mục đích:
+ Lấy thông tin của Credit Card.
+ Lấy thông tin của tài khoản cá nhân như: Email, Password, Usernamer.
+ Lấy dữ liệu mật.
+ Thông tin tài chính: Tài khoản ngân hàng…
+ Sử dụng máy tính nạn nhân để thực hiện một tác vụ nào đó, như để tấn công, scan, hay
làm ngập hệ thống mạng của nạn nhân.
Cách thức hoạt động của netbus:
Các hacker tạo ra những con trojan và lưu trojan vào trong mail và web, khi nạn nhân mở
mail, trang web thì sẽ tự động bị nhiễm trojan.
Khi nạn nhân chạy file nhiễm trojan, nếu là trojan truy cập từ xa, file server sẽ luôn ở chế
độ chờ. Nó sẽ chờ, chờ mãi cho đến khi nó nhận tín hiệu của client, ngay lập tức nó sẽ
mở ngay một cổng nào đó để hacker có thể truy cập vào.
Khi bạn kết nối vào IP của nạn nhân, bạn có thể làm bất kỳ điều gì bạn muốn vì con
trojan đã bao hàm những lệnh trên.
* Trojan là một chương trình dạng vi rút, một kẻ làm nội gián trong máy tính của
bạn đã giúp cho Hacker điều khiển máy tính của bạn, Trojan giúp hacker lấy những thông
tin quý báu của bạn, thậm chí hắn có thể xóa hoặc định dạng lại cả ổ cứng của bạn.
Trojan có thể nhiễm vào máy của bạn qua tập tin gắn kèm thư điện tử mà bạn đã vô tình
tải về và chạy thử, hoặc có lẫn trong những chương trình trò chơi, những chương trình
mà bạn không rõ nguồn gốc.
2. KeyLogger.
KeyLogger là những chương trình chạy nền, chạy ẩn trên PC và nó sẽ ghi nhận lại tất cả
những gì bạn thao tác trên bàn phím, sau đó ghi tất cả thông tin này vào 1 file text sau đó
sẽ gửi file này về cho chủ của KeyLogger theo định kỳ do người này khai báo cấu hình.
10
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.

Và người chủ KeyLogger chỉ cần download file Log này về và đọc, thế có nghĩa là những
gì bạn gõ trên bàn phím, những chương trình nào bạn đã chạy họ đều biết được hết, và dĩ
nhiên trong đó sẽ bao gồm các account PTV của bạn.
11
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
IV. MỘT SỐ GIẢI PHÁP CỤ THỂ TẤN CÔNG TRÊN MẠNG MÁY TÍNH.
1. Giành quyền điều khiển hệ thống.
Để nắm quyền điểu khiển server, người ta phải chiếm được quyền download và upload
file. Muốn thực hiện điều này, ta cần tìm hiểu trước hết về một số giao thức sử dụng trong
quá trình giao tiếp mạng đủ để hiểu và ứng dụng vào việc tấn công.
1.1 Giao thức HTTP (HypeTtext Transfer Protocol).
Giao thức HTTP (HypeTtext Transfer Protocol – giao thức truyền siêu văn bản) là giao
thức chuẩn trên mạng toàn cầu cho phép truyền các siêu văn bản với các thẻ (tag) khác
nhau. Đây là giao thức hoạt động dựa trên cơ chế yêu cầu/trả lời (request/response). Giao
thức HTTP thường được thực hiện thông qua kết nối TCP/IP và không yêu cầu thông tin
xác thực, vì vậy nó được coi là một giao thức vô danh. Các phương thức thường xuyên sử
dụng trong giao thức HTTP là POST, GET và HEAD.
1.2 Giao thức TFTP (Trivial File Transfer Protocol).
Giao thức TFTP (Trivial File Transfer Protocol – giao thức truyền file đơn giản) được
thực hiện trên đỉnh giao thức UDP (User Datagram Protocol). TFTP cho phép trao đổi, di
chuyển file trên mạng có sử dụng giao thức UDP. Được thiết kế nhằm vào sự nhỏ gọn và
tính dễ sử dụng, TFTP thiếu nhiều đặc trưng của giao thức FTP – giao thức truyền file
chuẩn, điều duy nhất TFTP cho phép là đọc ghi file giữa các máy ở xa mà không thể hiện
danh sách thư mục hay cung cấp chứng thực quyền cho người sử dụng.
Giao thức TFTP tự mình thực hiện truy cập và cáng đáng việc giải quyết vấn đề quyền
hạn đối với các file.
1.3 Giao thức NetBIOS (Network Basic Input/Output System).
Giao thức NetBIOS (Network Basic Input/Output System) là một dịch vụ giao tiếp ở
tầng session trong mô hình OSI 7 tầng. Dịch vụ này cho phép người sử dụng chia sẻ tài

nguyên trên máy mình cho mọi người trong mạng cùng sử dụng như các file, thư mục, ổ
đĩa, máy in thậm chí cả cổng COM. Giao thức này còn được gọi là chuẩn SMB(System
Messege Block). Các mạng dựa trên SMB sử dụng một số giao thức có cơ sở từ giao thức
NetBIOS hơn như “NetBIOS over NetBEUI (NetBIOS Extended User Interface - giao
diện người dùng mở rộng trong NetBIOS)” và NetBIOS over TCP/IP. Như vậy, NetBIOS
cung cấp các ứng dụng và giao diện lập trình cho các dịch vụ chia sẻ tài nguyên thông
qua một số giao thức cấp thấp hơn, bao gồm cả giao thức TCP/IP.
12
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Vì giao thức “NetBIOS over TCP/IP” chạy trên họ giao thức TCP/IP – là họ giao thức
chuẩn trên Internet, người ta có thể chia sẻ tài nguyên ngay cả trên Internet. Nếu máy
đích người ta định tấn công cài đặt giao thức “NetBIOS over TCP/IP”. Ta có thể lợi dụng
điều này tấn công, nhất là khi đã khai thác được lỗi unicode trên hệ thống đó.
2. Một số hình thức tấn công.
Thông qua các giao thức vừa trình bày ở trên, kẻ tấn công mạng đã sử dụng các hình thức
sau để tấn công trên mạng.
2.1 Packet sniffers.
Là phần mềm ứng dụng dùng một card adapter với promiseous mode để bắt giữ tất cả các
gói tin gởi xuyên qua một mạng LAN. Kỹ thuật này chỉ thực hiện được trên cùng một
collision domain.
Packet sniffers sẽ khai thác những thông tin được truyền ở dạng clear text. Những giao
thức truyền ở dạng clear text bao gồm: Telnet, FTP, SNMP, POP, HTTP…
2.2 Port scans và ping sweeps.
Kỹ thuật này được tiến hành nhằm những mục đích như sau:
- Xác định những dịch vụ trong mạng.
- Xác định các host và thiết bị đang vận hành trong mạng.
- Xác định hệ điều hành trong hệ thống.
- Xác định tất cả các điểm yếu trong mạng, từ đó tiến hành những mục đích khác.
Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các host đang sống trong

một môi trường. Từ đó, hacker sử dụng công cụ port scans xoay vòng qua tất cả các port
và cung cấp một danh sách đầy đủ các dịch vụ đang chạy trên host đã tìm thấy bởi ping
sweeps. Công viêc tiếp theo là hacker xác định những dịch vụ có điểm yếu và bắt đầu tấn
công vào điểm yếu này.
2.3 Access attacks.
Trong phương pháp này, kẻ xâm nhập nhằm đánh cắp dữ liệu dành quyền access và
những đặc quyền access sau này.
3. Kết hợp công cụ quét tài nguyên được chia sẻ và công cụ bẻ mật khẩu.
Phần này mô tả giải pháp kết hợp công cụ quét tài nguyên được chia sẻ trên máy mục tiêu
với công cụ bẻ mật khẩu để truy nhập máy mục tiêu nhằm mục đích lấy cắp thông tin.
13
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Sau khi quét tài nguyên máy mục tiêu, ta xem tài nguyên đó có được share hay không.
Nếu tài nguyên đó được share mà không có mật khẩu thì việc truy cập tiến hành bình
thường.
Nếu tài nguyên có mật khẩu thì cần sử dụng thêm các công cụ bẻ mật khẩu.
Ví dụ sử dụng Passware Kit để bẻ mật khẩu của các file ứng dụng văn phòng như word,
excel…
14
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
V. CÁCH PHÒNG CHỐNG.
1. Đối với Trojan.
Sử dụng những chương trình chống virus, trojan mới nhất của những hãng đáng tin cậy
(AVP, Mscafe )
Mỗi khi bạn tắt máy, trojan cũng tắt và nó sẽ khởi động lại ngay khi máy đang load
windows. Nó không tự dưng chạy mà nó phải sửa file win.ini, system.ini hay lưu vào
trong registry. Vì thế bạn phải luôn luôn kiểm tra những file này. Công cụ sử dụng tốt
nhất trong win 98 là msconfig. Bạn chỉ cần vào RUN và gõ: MSCONFIG. Thường thì

nhiều trojan hay được lưu trong thư mục \windows hay \windows\system.
Nhiều trojan không thể dấu được khi bạn nhấn Ctrl+Alt+Del, lâu lâu thử nhấn 3 phím này
và kiểm tra xem có gì lạ không.
Sử dụng những chương trình scan port xem máy mình có mở cổng nào lạ không, nếu nó
không nằm trong những cổng thông thường hay nằm trong những cổng liệt kê trên thì bạn
biết chắc rằng máy bạn đã bị nhiễm trojan.
Không download file từ những nguồn không rõ hay nhận mail của người lạ, tốt nhất là
dùng chương trình check mail ngay trên server, thấy an toàn rồi mới load về.
Sử dụng một số chương trình có thể quan sát máy của bạn và lập firewall như lockdown,
log monitor, PrcView
Trước khi chạy file lạ nào, kiểm tra nó trước.
2. Đối với Virut.
2.1 Tường lửa.
Tường lửa (firewall) kiểm soát dữ liệu ra vào máy tính của bạn và cảnh báo những hành
vi đáng ngờ; là công cụ bảo vệ máy tính chống lại sự xâm nhập bất hợp pháp bằng cách
quản lý toàn bộ các cổng của máy tính khi kết nối với môi trường bên ngoài (mạng Lan,
Internet ). Tường lửa có sẵn trong Windows XP chỉ giám sát được dòng dữ liệu vào máy
tính chứ không kiểm soát được dòng dữ liệu ra khỏi máy tính. Người dùng gia đình
thường ít có kinh nghiệm về bảo mật và virus, tường lửa sẽ không phát huy tác dụng vì
người dùng không thể xử lý các cảnh báo. Hơn nữa, việc cài đặt tường lửa sẽ làm cho
máy tính hoạt động chậm đi.
2.2 Phần mềm chống virus.
15
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Rất nhiều bài viết đã giới thiệu với các bạn những phần mềm chống virus tốt nhất, từ
những bộ phần mềm "tất cả trong một" đến những phần mềm độc lập và miễn phí. Chúng
đều có những điểm mạnh yếu riêng nhưng đáng buồn là không phần mềm nào có thể bảo
vệ máy tính của bạn một cách toàn diện. Một số bạn đọc không cài đặt phần mềm chống
virus vì thấy hệ thống trở nên chậm chạp. Họ chấp nhận mạo hiểm (hoặc không biết)

những rủi ro khi đánh đổi sự an toàn của máy tính để lấy tốc độ. Một vài bạn đọc lại cho
rằng máy tính sẽ an toàn hơn, được bảo vệ tốt hơn nếu cài đặt nhiều phần mềm chống
virus. Điều này cũng không tốt vì sẽ xảy ra tranh chấp giữa các phần mềm khi chúng
tranh giành quyền kiểm soát hệ thống.
2.3 Cập nhật bản sửa lỗi.
Lỗ hổng bảo mật của phần mềm là "điểm yếu" virus lợi dụng để xâm nhập vào máy tính
của bạn. Thật không may là những điểm yếu này lại khá nhiều và người dùng cũng không
quan tâm đến việc này. Hãy giữ cho hệ điều hành, trình duyệt web và phần mềm chống
virus luôn được cập nhật bằng tính năng tự động cập nhật (auto update); nếu tính năng
này không hoạt động (do sử dụng bản quyền bất hợp pháp), hãy cố gắng tải về từ website
của nhà sản xuất bằng cách thủ công. Bạn sẽ tăng cường tính năng phòng thủ hiệu quả
cho hệ thống và tránh tình trạng virus "tái nhiễm" sau khi diệt.
2.4 Trình duyệt an toàn hơn.
Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer là trình duyệt web có nhiều lỗ hổng
bảo mật nhất dù Microsoft liên tục đưa ra những bản sửa lỗi. Sử dụng những trình duyệt
thay thế như Mozilla Firefox, Opera hoặc cài đặt thêm một trong những trình duyệt này
để tận dụng những ưu điểm của mỗi phần mềm và tăng tính bảo mật khi lướt web.
Suy nghĩ kỹ trước khi cài đặt. Nhiều bạn đọc thích táy máy, tải về và cài đặt nhiều phần
mềm khác nhau để thử nghiệm. Điều này dẫn đến việc chúng ta không kiểm soát được
những phần mềm sẽ làm gì trên máy tính. Thực tế cho thấy cài đặt quá nhiều phần mềm
sẽ "bổ sung" thêm những lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm
nhập vào máy tính của bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày công tạo
dựng.
Sử dụng máy tính với quyền user. Với Windows NT/2000/XP, việc đăng nhập và sử dụng
máy tính với tài khoản mặc định thuộc nhóm Administrators là một hành động mạo hiểm
vì virus sẽ được "thừa hưởng" quyền hạn của tài khoản này khi xâm nhập vào hệ thống,
máy tính của bạn có thể trở thành zombie và tấn công máy tính khác. Tài khoản thuộc
nhóm Users sẽ không được phép thay đổi các thiết lập liên quan đến hệ thống, bạn sẽ
16
Nhóm: Begin.

Tấn công qua mạng và cách phòng chống.
tránh được nhiều nguy cơ bị phá hoại và những phiền toái, cả khi virus xâm nhập vào
máy tính. Sử dụng máy tính với quyền User sẽ khiến người dùng gặp nhiều khó khăn
trong quá trình cài đặt ứng dụng và thực hiện một số tác vụ liên quan đến hệ thống nhưng
chúng tôi vẫn khuyến khích bạn đọc tự giới hạn quyền sử dụng trên máy tính của mình.
Hơn nữa, bạn không cần cài thêm phần mềm phòng chống spyware. Tài nguyên hệ thống
không bị chiếm dụng, máy tính hoạt động nhanh hơn.
2.5 Sao lưu hệ thống.
Bạn có thể bỏ qua bước này nếu tin rằng máy tính của mình luôn chạy tốt. Hãy thực hiện
việc sao lưu vào thời điểm máy tính hoạt động ổn định, đã cài đặt những phần mềm cần
thiết. Bạn có thể đưa hệ thống trở lại trạng thái đã sao lưu chỉ với vài thao tác đơn giản
khi cần thiết. Để tạo tập tin ảnh của phân vùng đĩa cứng, bạn có thể sử dụng một trong
những phần mềm như Drive Image của PowerQuest, Norton Ghost của Symantec,
DriveWorks của V Communications, Acronis True Image của Acronis
Việc sao lưu sẽ rất hữu ích với những bạn đọc thích táy máy, thử nghiệm tính năng phần
mềm, thường xuyên truy cập vào những website "đen". Bạn sẽ tiết kiệm rất nhiều thời
gian thay vì phải đi xử lý những sự cố do virus gây ra hoặc phải cài lại HĐH và những
phần mềm cần thiết.
3. Đối với sniffer.
3.1 Active Sniff:
Công cụ kiểm tra băng thông: Như đã nêu trên các sniffer có thể gây nghẽn mạng do đó
có thể dùng các công cụ kiểm tra băng thông. Tuy nhiên, cách làm này không hiệu quả.
Công cụ bắt gói tin: Các sniffer phải đầu độc arp nên sẽ gởi arp đi liên tục, nếu dùng các
công cụ này ta có thể thấy được ai đang sniff trong mạng. Cách này tương đối hiệu quả
hơn, nhưng có một vài công cụ sniff có thể giả IP và MAC để đánh lừa.
Thiết bị: Đối với thiết bị ta có thể dùng các loại có chức năng lọc MAC để phòng chống.
Riêng với switch có thể dùng thêm chức năng VLAN trunking, có thể kết hợp thêm chức
năng port security (tương đối hiệu quả do dùng VLAN và kết hợp thêm các chức năng
bảo mật).
Cách khác: Ngoài ra ta có thể cấu hình SSL, tuy hiệu quả, nhưng chưa cao vẫn có khả

năng bị lấy thông tin.
3.2 Đối với người dùng:
17
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Dùng các công cụ phát hiện Sniff (đã kể trên): Khi có thay đổi về thông tin arp thì các
công cụ này sẽ cảnh báo cho người sử dụng.
Cẩn trọng với các thông báo từ hệ thống hay trình duyệt web: Do một số công cụ sniff có
thể giả CA (Cain & Abel) nên khi bị sniff hệ thống hay trình duyệt có thể thông báo là
CA không hợp lệ.
Tắt chức năng Netbios (người dùng cấp cao) để quá trình quét host của các sniffer không
thực hiện được. Tuy nhiên cách này khó có thể áp dụng thực tế nguyên nhân là do switch
có thể đã lưu MAC trong bảng thông tin của nó thông qua quá trình hoạt động.
3.3 Passive sniff:
Dạng sniff này rất khó phát hiện cũng như phòng chống.
Thay thế các hub bằng các switch, lúc này các gói tin sẽ không còn broadcast đi nữa,
nhưng lúc này ta lại đứng trước nguy cơ bị sniff dạng active.
4. Đối với spoofing.
Trong thực tế, người ta có nhiều cách để kiểm soát việc giả mạo địa chỉ IP với mục đích
xấu. Dưới đây là năm cách có thể giúp nhà quản trị mạng ngăn chặn sự giả mạo này cũng
như những cuộc tấn công vào hệ thống mạng.
Sử dụng bộ giao thức IPsec (Internet Protocol Security) để mật mã hóa và xác nhận các
gói dữ liệu trao đổi ở lớp mạng (network layer – lớp thứ ba trong mô hình OSI).
Sử dụng danh sách kiểm soát việc truy cập (Access Control List - ACL) để ngăn chặn
những gói dữ liệu tải về có địa chỉ IP cá nhân.
Cài đặt bộ lọc dữ liệu đi vào và đi ra khỏi hệ thống mạng.
Cấu hình các bộ chuyển mạch và bộ định tuyến để loại trừ những gói dữ liệu từ bên ngoài
vào hệ thống mạng nhưng lại khai báo là có nguồn gốc từ một máy tính nằm trong hệ
thống.
Kích hoạt các quy trình mật mã hóa trong bộ định tuyến để những máy tính đã được xác

nhận nhưng nằm ngoài hệ thống mạng có thể liên lạc một cách an toàn với các máy tính
nằm trong hệ thống.
5. Khác.
18
Nhóm: Begin.
Tấn công qua mạng và cách phòng chống.
Có 4 phương pháp thường được sử dụng để bảo vệ dữ liệu quan trọng trên máy tính,
tránh khỏi sự dòm ngó của hacker :
* Mã hóa tài liệu của bạn.
* Mã hóa E-mail trên đường truyền. />mien-phi-tot-nhat-phan-1-011206668.html
* Chạy một mạng riêng ảo(VPN). />option=com_content&task=view&id=323&Itemid=168
* Sử dụng đường hầm an toàn qua SSH.
/>ham-web-an-toan.aspx
19
Nhóm: Begin.