khảo sát các kỹ thuật phát hiện Botnet
TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO THỰC TẬP
TỐT NGHIỆP ĐẠI HỌC
Đề tài: “ KHẢO SÁT CÁC KỸ THUẬT PHÁT HIỆN
BOTNET”
Người hướng dẫn : TH.S LÊ PHÚC
Sinh viên thực hiện : NGUYỄN QUANG NHẬT
Mã số sinh viên : 408170089
Lớp : D08TH_MMT&TT
Khoá : 2008-2013
Hệ : ĐẠI HỌC CHÍNH QUY
TP.HCM, tháng 7/2012
NG
UY
ỄN
QU
AN
G
NH
ẬT

MS
SV:
408
170
089
Tên
Đề

tài
KH
ẢO
SÁ
T
CÁ
C
KỸ
TH
UẬ
T
PH
ÁT
HIỆ
N
BO
TN
ET

Tên
Lớp
khảo sát các kỹ thuật phát hiện Botnet
TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO THỰC TẬP
TỐT NGHIỆP ĐẠI HỌC
Đề tài: “ KHẢO SÁT CÁC KỸ THUẬT PHÁT HIỆN
BOTNET”
Người hướng dẫn : TH.S. LÊ PHÚC

Sinh viên thực hiện : NGUYỄN QUANG NHẬT
Mã số sinh viên : 408170089
Lớp : D08TH_MMT&TT
Khoá : 2008-1013
Hệ : ĐẠI HỌC CHÍNH QUY
TP.HCM, tháng 7/2012
khảo sát các kỹ thuật phát hiện Botnet
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập- Tự do- Hạnh phúc
TP. Hồ Chí Minh, ngày 29 tháng 7 năm 2012
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
THỰC TẬP TỐT NGHIỆP ĐẠI HỌC
1 Tên đề tài: Khảo sát các kỹ thuật phát hiện Botnet
2 Sinh viên: Nguyễn Quang Nhật Lớp: D08TH_MMT&TT
3 Giáo viên hướng dẫn: Th.S Lê Phúc
4 Nơi công tác: Công ty TNHH somotNet
NỘI DUNG NHẬN XÉT
1 Đánh giá chung:
…………………………………………………………………………………………
…………………………………………………………………………………………
2 Đánh giá chi tiết:
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
3 Nhận xét về tinh thần, thái độ làm việc:
…………………………………………………………………………………………
…………………………………………………………………………………………
4 Kết luận:
…………………………………………………………………………………………

…………………………………………………………………………………………
5 Điểm hướng dẫn ():
GIẢNG VIÊN HƯỚNG DẪN
(Ký, ghi rõ họ tên)
khảo sát các kỹ thuật phát hiện Botnet
khảo sát các kỹ thuật phát hiện Botnet
LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và
sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú. Các dịch
vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông
tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin
cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó.
Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn.
Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là
hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, chúng ta sẽ tìm hiểu về
các cách tấn công phổ biến nhất hiện nay và các phòng chống các loại tấn công này.
Chính vì vậy, thông qua việc nghiên cứu về botnet và các kỹ thuật phát hiên
botnet, mình mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về các
vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu.
1. Lý do chọn đề tài
Trong những năm gần đây, Việt Nam ngày càng phát triển và nhất là về mặt
công nghệ thông tin. Các cuộc tấn công sử dụng Botnet đang ngày một trở nên phổ
biến hiện nay với rất nhiều thủ đoạn và hình thức tấn công mới. Chính vì vậy, thiệt hại
do Botnet gây ra đang trở thành một mối lo mới với các nhà chức trách nói riêng và
cộng động người sử dụng Internet nói chung.
Ngay trong những năm đầu tiên của thế kỷ 21, cùng với sự ra đời của rất nhiều các
mạng Botnet mỗi năm, rất nhiều các nghiên cứu nhằm làm giảm các thiệt hai do
Botnet gây ra đã được đề xuất và triển khai.vì lý do an toàn và bảo mật luôn là vấn đề
nan giải cho mọi người, nhất là các doanh nghiệp, công ty. Vì vậy ta sẽ khi tìm hiểu
botnet và các kỹ thuật botnet hiện nay.

2. Mục tiêu
Giúp chúng ta có thể hiểu hơn về botnet và cách thức hoạt động của nó, các mối
đe dọa về vấn đề an toàn thông tin khi chúng ta làm việc hàng ngày, hiểu rõ hơn về
các kỹ thuật tấn công của botnet.
khảo sát các kỹ thuật phát hiện Botnet
LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn đến quý Thầy, Cô trường Học viện Công
nghệ Bưu chính Viễn thông Cơ sở tại Thành phố Hồ Chí Minh, những người trực tiếp
giảng dạy, truyền đạt những kiến thức bổ ích cho em, đó chính là những nền tảng cơ
bản, là những hành trang vô cùng quý giá, là bước đầu tiên cho em bước vào sự
nghiệp sau này trong tương lai. Đặc biệt là thầy Lê Phúc, thầy đã cho em rất nhiều
kiến thức. cảm ơn thầy đã tận tình, qua tâm, giúp đỡ em trong 2 tháng vừa qua, giải
đáp thắc mắc trong quá trình thực tập. nhờ đó, em mới có thể hoàn thành được báo
cáo thực tập này.
Bên cạnh đó, em cũng xin được cảm ơn chân thành tới trưởng phòng, các anh chị
trong Công ty TNHH somotNET đã tạo cơ hội giúp em có thể tìm hiểu rõ hơn về
môi trường làm việc thực tế của một công ty mà ngồi trên ghế nhà trường em chưa
được biết.
Trong quá trình thực tập và làm báo cáo, vì chưa có kinh nghiệp thực tế, chỉ dựa
vào lý thuyết đã học cùng với thời gian thực tập hạn hẹp nên bài báo cáo chắc chắn sẽ
không tránh khỏi những sai sót. Kính mong nhận được sự góp ý, nhận xét từ phía quý
Thầy, Cô để kiến thực của em ngày càng hoàn thiện hơn và rút ra được những kinh
nghiệm bổ ích có thể áp dụng vào trong thực tiễn một cách hiệu quả trong tương lai.
Kính chúc mọi người luôn vui vẻ, hạnh phúc, dồi dào sức khỏe và thành công
trong công việc.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Nguyễn Quang Nhật
khảo sát các kỹ thuật phát hiện Botnet
NỘI DUNG BÁO CÁO

CHƯƠNG 1.GIỚI THIỆU:
o Tổng quan về tình hình an ninh mạng trong những năm gần đây. Các
kiểu tấn công phổ biến trên mạng, đồng thời nêu lên mục đích, nội dung
và ý nghĩa của báo cáo.
o Các kiểu tấn công trên mạng: Trình bày các kiểu tấn công thông dụng
trên mạng hiện nay như: Sniff, lừa đảo trực tuyến (Phishing), SQL
Injection, tấn công từ chối dịch vụ. Các phương pháp phòng chống các
kiểu tấn công trên.
CHƯƠNG 2.TỔNG QUAN VỀ BOTNET :
Định nghĩa về botnet, các mô hình botnet thường gặp, các loại botnet
phổ biến hiện nay.
CHƯƠNG 3. CÁC HỆ THỐNG PHÒNG CHỐNG BOTNET:
lý thuyết về các hệ thống phòng chống và phát hiện Botnet hiện nay.
CHƯƠNG 4. THIẾT LẬP BOTNET DÙNG CÔNG CỤ AUTOIT:
Giới thiệu về công cụ viết botnet, code botnet, kết quả và kết luận…
khảo sát các kỹ thuật phát hiện Botnet
DANH MỤC HÌNH VẼ
STT TÊN HÌNH VẼ
1 Hình 1.1: các loại virus điển hình 2011
2
Hình 1.2: th ng kê các v t n công vào website n m 2011ố ụ ấ ă
3 Hình 2.1: Mô hình botnet thường gặp
4 Hình 2.2: Mô Hình Tập Trung
5 Hình 2.3: Mô Hình Phân Tán
6 Hình 2.4: Sử Dụng Botnet Tấn Công Ddos
7 Hình 2.5: Phát Tán Thư Rác
8 Hình 3.1: Hệ thống HIDS
9 Hình 3.2: Hệ thống NIDS
10 Hình 3.3 : Ví dụ của honeypot
11 Hình 3.4 : Các thành phần của hệ thống Honeypot được sử dụng

12 Hình 3.5: Lược đồ các bước thực thi của hệ thống Tracking Botnet trong tài
liệu
13
Hình 4.1: Máy tính windows xp thứ 1
14 Hình 4.2: Máy tính windows xp thứ 2
15 Hình 4.3: Bảng phân giải địa chỉ IP của www.chuyentq.com
16 Hình 4.4: Các gói tin máy tính Windows XP 1 gửi đi và nhận về
17 Hình 4.5: Các gói tin máy tính Windows XP 2 gửi đi và nhận về
18 Hình 4.7: Thông tin của máy tính Windows XP 1
19 Hình 4.8: Thông tin của máy tính Windows XP 2
khảo sát các kỹ thuật phát hiện Botnet
KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT
DDOS: Distributed Denial of Service tấn công từ chối dịch vụ phân tán
C&C Server : Command & Control Server
HTTP : HyperText Transfer Protocol giao thực truyền tải siêu văn bản
IRC : Internet Relay Chat phần mềm liên lạc cấp tốc
KOS : Kill Operating System phá hủy hệ điều hành
BSOD: Blue Screen of Death lỗi màn hình xanh của Windows
RAT : The Remote Access Trojan điều khiển truy cập của trojan
P2P : peer two peer mạng ngang hàng
FTTP : Fiber To The Premises cáp quang
FTP : File Transfer Protocol giao thực truyền tập tin
TFTP : Trivial File Transfer Protocol giao thực truyền tập tin không đáng
kể.
USB : Universal Serial Bus
IDS: Intrusion Detection System hệ thống phát hiện xâm nhập
HIDS Host Based IDS
NIDS Network Base IDS
IPS : Internet Protocol Security
SMTP: Simple Mail Transfer Protocol giao thức truyền tải thư tín đơn giản

TCP : Transmission Control Protocol Giao thức điều khiển truyền vận
UDP : User Datagram Protocol
Malware: Malicious – Software Phần mềm nguy hiểm
khảo sát các kỹ thuật phát hiện Botnet
Contents
khảo sát các kỹ thuật phát hiện Botnet
CHƯƠNG 1: GIỚI THIỆU
1.1. Tổng quan về tình hình an ninh mạng trong những năm gần đây
Có thể nói rằng thế kỷ 21 đã và đang chứng kiến sự phát triển vượt bậc trong
ngành công nghệ thông tin (CNTT). CNTT tạo nên một cuộc cách mạng thực sự trong
mọi lĩnh vực của khoa học và đời sống. Mạng máy tính là một ví dụ điển hình cho sức
mạnh của CNTT. Ưu điểm của mạng máy tính đã được thể hiện khá rõ trong mọi lĩnh
vực của cuộc sống. Đó chính là sự trao đổi, chia sẻ, lưu trữ và bảo vệ thông tin. Do đó
mạng máy tính đã trở thành miếng mồi ngon cho những hacker xâm nhập như chiếm
đoạt thông tin gây gián đoạn thông tin liên lạc….
Tình hình an ninh mạng trong những năm gần đây chuyển biến rất phức tạp, với sự
xuất hiện của các loại hình cũ lẫn mới.
Số liệu chung về tình hình virus và an ninh mạng năm 2011:
64,2 triệu lượt máy tính tại Việt Nam bị nhiễm virus là tổng kết năm 2011 từ Hệ
thống giám sát virus của Bkav. Trung bình một ngày đã có hơn 175 nghìn máy tính bị
nhiễm virus.
Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virus
W32.Sality.PE. Virus này đã lây nhiễm trên 4,2 triệu lượt máy tính.
Trang 11
khảo sát các kỹ thuật phát hiện Botnet
Hình 1.1: các loại virus điển hình 2011
Hình 1.2: thống kê các vụ tấn công vào website năm 2011
Cũng trong năm 2011, đã có 2.245 website của các cơ quan, doanh nghiệp tại Việt
Nam bị tấn công. Trung bình mỗi tháng có 187 website bị tấn công.
Trang 12

khảo sát các kỹ thuật phát hiện Botnet
Mạng lưới “nằm vùng” nguy hiểm W32.Sality.PE
Hơn 4,2 triệu lượt máy tính tại Việt Nam đã bị nhiễm virus siêu đa hình
W32.Sality.PE trong năm 2011, như vậy trung bình mỗi ngày có thêm 11.000 máy
tính bị nhiễm loại virus này. Virus Sality đã len lỏi vào mọi ngóc ngách trong các hệ
thống mạng máy tính tại Việt Nam. Trong thực tế, khi kiểm tra bất kỳ hệ thống nào,
các chuyên gia của Bkav hầu như đều phát hiện sự tồn tại của Sality. Không chỉ là
virus lây lan nhiều nhất năm 2011, đây thực sự là quả “bom nổ chậm”, sẵn sàng phát
nổ gây ảnh hưởng đến hàng triệu máy tính trong thời gian tới.
Mặc dù lây nhiễm hàng triệu máy tính, tuy nhiên trong suốt một thời gian dài theo
dõi dòng virus này từ năm 2009 đến nay, các chuyên gia Bkav cho biết virus Sality
vẫn đang chỉ “nằm vùng” mà chưa kích hoạt các tính năng phá hoại như ăn cắp thông
tin hay phá hủy dữ liệu. Đây thực sự là một điều khó lý giải. Theo chuyên gia Bkav,
rất có thể có một tổ chức, thậm chí là một quốc gia đứng đằng sau mạng lưới virus này
và chưa rõ ý đồ thực sự của họ là gì.
Lý do khiến W32.Sality.PE có thể lây lan tới hàng triệu máy tính là vì virus này có
khả năng sử dụng các giải thuật di truyền để tự động lai tạo, sinh ra các thế hệ virus
“con cháu” F1, F2… Càng lây nhiễm lâu trên máy tính, virus càng sinh ra nhiều biến
thể với độ phức tạp càng cao, khiến cho khả năng nhận dạng và bóc lớp của các phần
mềm diệt virus càng khó khăn. Chính vì thế W32.Sality.PE có thể qua mặt được hầu
như tất cả các phần mềm diệt virus trên thế giới.
Vì tính chất nghiêm trọng của sự việc, Bkav khuyến cáo người sử dụng máy tính
trên toàn quốc cần kiểm tra máy tính bằng phần mềm diệt virus có trang bị công nghệ
diệt virus siêu đa hình. Đối với người sử dụng phần mềm diệt virus Bkav, có thể dùng
Bkav Pro để loại bỏ virus này.
Lừa đảo trực tuyến gia tăng trên mạng xã hội
Trong báo cáo an ninh mạng cuối năm 2010 của Bkav, các chuyên gia đã nhận
định 2011 sẽ là năm xuất hiện nhiều cuộc tấn công lừa đảo trên mạng. Điều này thực
tế đã xảy ra, trung bình mỗi tháng Bkav nhận được hơn 30 báo cáo về lừa đảo qua
Yahoo Messenger. Trong mỗi vụ, số nạn nhân có thể lên tới hàng chục người. Mặc dù

đã được cảnh báo nhiều lần nhưng do sự nhẹ dạ của người sử dụng mà các vụ cướp
nick hoặc lừa tiền vẫn diễn ra liên tiếp.
Trang 13
khảo sát các kỹ thuật phát hiện Botnet
Không chỉ Yahoo mà giờ đây Facebook, mạng xã hội lớn nhất thế giới đã trở thành
phương tiện để tin tặc lợi dụng. Trong những ngày cuối năm 2011, Bkav đã ghi nhận
sự xuất hiện của các dòng virus lần đầu tiên phát tán qua Facebook chat. Mặc dù về
bản chất, thủ đoạn của những virus này không mới so với virus phát tán qua Yahoo
Messenger, nhưng với lượng người sử dụng đông đảo của Facebook, virus có tốc độ
lây lan chóng mặt. Không những thế, trên môi trường mạng xã hội như Facebook hay
Twitter, năm 2011 còn xuất hiện hàng loạt vụ giả mạo người nổi tiếng để lừa đảo.
Mạng xã hội và chat trực tuyến đang trở thành công cụ đắc lực của tin tặc. Bkav
một lần nữa khuyến cáo tới người sử dụng, cần cẩn trọng khi tiếp nhận các thông tin
qua các kênh giao tiếp trên mạng. Đặc biệt, cần cảnh giác trước các đường link hoặc
các file nhận được. Bạn thậm chí nên gọi điện hỏi lại người thân nếu thấy tài khoản
chat của họ đang yêu cầu mình cung cấp tiền hoặc các thông tin nhạy cảm khác.
Botnet và những cuộc tấn công mạng liên tiếp
Năm 2011 là năm của các cuộc tấn công mạng. Liên tiếp xảy ra các cuộc tấn công
với các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại Việt Nam.
Có những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc deface các
website. Cũng có những cuộc tấn công DDoS làm tê liệt hệ thống trong thời gian dài.
Tấn công cướp tên miền của các doanh nghiệp cũng đã diễn ra liên tiếp. Nguy hiểm
hơn, đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt các virus gián điệp đánh cắp
tài liệu của các cơ quan quan trọng.
Các vụ tấn công xảy ra phần lớn có nguyên nhân từ nhận thức của lãnh đạo các cơ
quan, doanh nghiệp về tầm quan trọng của an ninh mạng, dẫn đến sự đầu tư dàn trải,
thiếu một giải pháp tổng thể cho an toàn an ninh hệ thống.
Đáng chú ý trong năm 2011 là sự việc hơn 85.000 máy tính tại Việt Nam bị cài
virus Ramnit để lấy cắp dữ liệu quan trọng. Điều này cho thấy các cuộc tấn công còn
có thể gây ảnh hưởng đến an ninh quốc gia. Không chỉ tại Việt Nam, hệ thống botnet

này còn được hacker điều khiển thông qua nhiều máy chủ đặt ở Mỹ, Nga, Đức và
Trung Quốc để lấy cắp thông tin trên toàn cầu. Đây là tình trạng phổ biến trên thế giới
trong năm 2011.
1.1. Tổng quan về những hình thức tấn công an ninh mạng
Trang 14
khảo sát các kỹ thuật phát hiện Botnet
1.1.1. Tấn công trực tiếp
Đây là một phương pháp cổ điển dùng để dò tìm tên người sử dụng (user) và mật
khẩu truy cập của họ (password). Phương pháp này khá đơn giản, dễ thực hiện và
không đòi hỏi bất kì một điều kiện nào để bắt đầu. Chúng ta có thể sử dụng những
thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà để đoán mật khẩu. Trong
trường hợp có được có được danh sách người sử dụng (user list ) và môi trường làm
việc, một chương trình đoán mật khẩu sẽ được sử dụng. Nó hoạt động một cách tự
động bằng cách sử dụng các tổ hợp các từ trong một từ điển lớn và theo những qui tắc
mà người dùng định nghĩa. Khả năng thành công của phương pháp này có thể lên đến
30% (nếu bạn may mắn).
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền
truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được
quyền của người quản trị hệ thống (root hay administrator).
1.1.2. Nghe trộm trên mạng
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng
loạt các máy tính khác mới đến được đích. Điều đó, khiến cho thông tin của ta có thể
bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế thông tin
của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc nghe trộm
thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống
hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo
vệ được nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thông
tin trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón được thông
tin của mình thì đó cũng chỉ là những thông tin vô nghĩa.

1.1.3. Giả mạo địa chỉ
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực
tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ
giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có
thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới
bạn.
1.1.4. Vô hiệu hoá các chức năng của hệ thống
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ
,không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công
Trang 15
khảo sát các kỹ thuật phát hiện Botnet
này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại
chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí
dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra
những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải
xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng
những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ.

Điều đáng sợ là các kiểu tấn công này là chỉ cần sử dụng những tài nguyên giới
hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại
hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack).
1.1.5. Tấn công vào các yếu tố con người
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết
sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số
thông tin nhằm tạo điều kiện cho các phương thức tấn công khác.

Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sử
dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy
tính, bảo mật dữ liệu không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại
xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua email

hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn.

Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn
một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụng mạng về
những yêu cầu bảo mật để nâng cao cảnh giác. Nói chung yếu tố con người là một
đIểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn của người
quản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao
độ an toàn của hệ thống bảo vệ.
1.1.6. Một số kiểu tấn công khác
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn công
khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình
trao đổi thông tin qua mạng mà người sử dụng đã tự cài đặt nó lên trên máy của mình.
Trang 16
khảo sát các kỹ thuật phát hiện Botnet
Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và
chúng được đưa ra bởi những hacker.
1.2. Các kỹ thuật tấn công an ninh mạng
1.2.1. Kỹ thuật đánh lừa : Social Engineering
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập
vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó. Thường được
sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống.
Ví dụ : kỹ thuật đánh lừa Fake Email Login.
Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin tài
khoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử
lý. Lợi dụng việc này, những người tấn công đã thiết kế một trng web giống hệt như
trang đăng nhập mà bạn hay sử dụng. Tuy nhiên, đó là một trang web giả và tất cả
thông tin mà bạn điền vào đều được gởi đến cho họ. Kết quả, bạn bị đánh cắp mật
khẩu !
Nếu là người quản trị mạng, bạn nên chú ý và dè chừng trước những email, những
messengers, các cú điện thoại yêu cầu khai báo thông tin. Những mối quan hệ cá nhân

hay những cuộc tiếp xúc đều là một mối nguy hiểm tiềm tàng.
1.2.2. Kỹ thuật tấn công vào vùng ẩn
Những phần bị dấu đi trong các website thường chứa những thông tin về phiên làm
việc của các client. Các phiên làm việc này thường được ghi lại ở máy khách chứ
không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn công có thể sử dụng
chiêu chức View Source của trình duyệt để đọc phần đầu đi này và từ đó có thể tìm ra
các sơ hở của trang Web mà họ muốn tấn công. Từ đó, có thể tấn công vào hệ thống
máy chủ.
1.2.3. Kỹ thuật Tấn công vào các lỗ hổng bảo mật
Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành,
các web server hay các phần mềm khác, Và các hãng sản xuất luôn cập nhật các lỗ
hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản
trước. Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà
Trang 17
khảo sát các kỹ thuật phát hiện Botnet
mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào hệ
thống.
Thông thường, các forum của các hãng nổi tiếng luôn cập nhật các lỗ hổng bảo
mật và việc khai thác các lỗ hổng đó như thế nào thì tùy từng người.
1.2.4. Khai thác tình trạng tràn bộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với khả
năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ đệm này thì
họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả năng kiểm soát.
Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ, stack, các
lệnh gọi hàm. Shellcode.
Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt quyền root
trên hệ thống đó. Đối với nhà quản trị, tránh việc tràn bộ đệm không mấy khó khăn,
họ chỉ cần tạo các chương trình an toàn ngay từ khi thiết kế.
1.2.5. Kỹ thuật nghe trộm
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi

dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộm
luồng dữ liệu truyền qua.
Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc
snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống như một packet chứa
password và username của một ai đó. Các chương trình nghe trộm còn được gọi là các
sniffing. Các sniffing này có nhiệm vụ lắng nghe các cổng của một hệ thống mà
hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu trên các cổng này và chuyển về cho
hacker.
1.2.6. Kỹ thuật giả mạo địa chỉ
Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng bức
tường lửa(fire wall). Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà
hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Bức tường lửa hạn chế rất nhiều khả
năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tào
nguyên chia sẻ trong mạng nội bộ.
Trang 18
khảo sát các kỹ thuật phát hiện Botnet
Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình
là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy
tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu như làm
được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống.
1.2.7. Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn công khác
là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người tấn công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiên
làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho phép
người tấn công thực hiện nhiều nhiều chuyện như giám sát phiên làm việc trên trang
web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân. Kỹ thuật tấn công này
thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của người tấn công.
1.2.8. Tấn công vào hệ thống có cấu hình không an toàn
Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng

này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ
thống định cấu hình không an toàn. Chẳng hạn như cấu hình máy chủ web cho phép ai
cũng có quyền duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các
thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng.
Nếu quản trị hệ thống cấu hình hệ thống không an toàn sẽ rất nguy hiểm vì nếu
người tấn công duyệt qua được các file pass thì họ có thể download và giải mã ra, khi
đó họ có thể làm được nhiều thứ trên hệ thống.
1.2.9. Tấn công dùng Cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website và trình
duyệt của người dùng.
Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB).
Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng
đã ghé thăm site và những vùng mà họ đi qua trong site. Những thông tin này có thể
bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen.
Trang 19
khảo sát các kỹ thuật phát hiện Botnet
Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính,
không phải Browser nào cũng hổ trợ cookies.
1.2.10. Can thiệp vào tham số trên URL
Đây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn công có thể dùng
các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi. Điển hình cho kỹ
thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”.
Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công
cụ tấn công duy nhất là trình duyệt web và backdoor.
1.2.11. Vô hiệu hóa dịch vụ
Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS
(Denial of Service - Tấn công từ chối dịch vụ).
Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật
trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâu
vào đâu đến các máy tính, thường là các server trên mạng. Các yêu cầu này được gởi

đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được
cho khách hàng.
Đôi khi, những yêu cầu có trong tấn công từ chối dịch vụ là hợp lệ. Ví dụ một
thông điệp có hành vi tấn công, nó hoàn toàn hợp lệ về mặt kỹ thuật. Những thông
điệp hợp lệ này sẽ gởi cùng một lúc. Vì trong một thời điểm mà server nhận quá nhiều
yêu cầu nên dẫn đến tình trạng là không tiếp nhận thêm các yêu cầu. Đó là biểu hiện
của từ chối dịch vụ.
1.2.12. Một số kiểu tấn công khác
• Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt
chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng bảo
mật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên trong
mà không cần phải qua bước đăng nhập.

• Thay đổi dữ liệu: Sau khi những người tấn công đọc được dữ liệu của một hệ
thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gởi và
người nhận nó. Những hacker có thể sửa đổi những thông tin trong packet dữ liệu một
cách dễ dàng.
Trang 20
khảo sát các kỹ thuật phát hiện Botnet

• Password-base Attact: Thông thường, hệ thống khi mới cấu hình có username
và password mặc định. Sau khi cấu hình hệ thống, một số admin vẫn không đổi lại các
thiết lập mặc định này. Đây là lỗ hổng giúp những người tấn công có thể thâm nhập
vào hệ thống bằng con đường hợp pháp. Khi đã đăng nhập vào, hacker có thể tạo thêm
user, cài backboor cho lần viến thăm sau.
• Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết sự tồn
tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những người tấn công. Khi
họ hack vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thông
thường, những người tấn công giả mạo IP address để xâm nhập vào hệ thống và cấu
hình lại hệ thống, sửa đổi thông tin, …

Việc tạo ra một kiểu tấn công mới là mục đích của các hacker. Trên mạng Internet
hiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai sinh từ những hacker
thích mày mò và sáng tạo. Bạn có thể tham gia các diễn đàn hacking và bảo mật để
mở rộng kiến thức.
1.3. C ác biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch
vụ đều có những lỗ hổng bảo mật tiềm tàng. Đứng trên góc độ người quản trị hệ
thống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn phải thực hiện
các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không. Các biện pháp
đó là:
• Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị
crash bằng những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu
thông tin liên quan. Trước tiên, xác định các nguyên nhân về phần cứng hay không,
nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công.
• Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản lạ, nhất
là uid của tài khoản đó có uid= 0.
• Kiểm tra xuất hiện các tập tin lạ. Thường phát hiện thông qua cách đặt tên các
tệp tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin theo một mẫu nhất
Trang 21
khảo sát các kỹ thuật phát hiện Botnet
định để dễ dàng phát hiện tập tin lạ. Dùng các lệnh ls -l để kiểm tra thuộc tính setuid
và setgid đối với những tập tinh đáng chú ý (đặc biệt là các tập tin scripts).
• Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login, sh
hoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …
• Kiểm tra hiệu năng của hệ thống. Sử dụng các tiện ích theo dõi tài nguyên và
các tiến trình đang hoạt động trên hệ thống như ps hoặc top …
• Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp. Chúng ta đã biết
rằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình thức tấn công
DoS). Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện nguyên nhân
trên hệ thống.

• Kiểm tra truy nhập hệ thống bằng các account thông thường, đề phòng trường
hợp các account này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng
hợp pháp không kiểm sóat được.
• Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như /etc/inetd.conf;
bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần thiết chạy dưới
quyền root thì không chạy bằng các quyền yếu hơn.
• Kiểm tra các phiên bản của sendmail, /bin/mail, ftp; tham gia các nhóm tin về
bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng
Trang 22
khảo sát các kỹ thuật phát hiện Botnet
CHƯƠNG 2 TỔNG QUAN VỀ BOTNET
2.1. Định nghĩa botnet
Nói đến về cơ bản có rất nhiều định nghĩa. Nhưng các định nghĩa này đều chung
một ý tưỡng. do đó bài báo cáo này sữ dụng định nghĩa được đề cập dưới đây để có
thể cảm thấy dễ hiểu và phù hợp với báo cáo:
“Botnet là khái niệm đề cập tới một tập hợp các máy tính bị lợi dụng chịu sự điều
khiển của các hackers, nhằm phục vụ cho các ý đồ xấu xa của các cá nhân hay tổ
chức nào đó.”
Bot là viết tắt của robot, tức là chương trình tự động hóa, thường xuyên được sử
dung trong internet hiện nay.
Botnet là tập hợp của nhiều bot mà thực hiện cùng một công việc khi được yêu
cầu.
Các “hackers” điều khiển còn được gọi là các Bot Masters hay các Bot Helders,
thành phần được cài đặt ngầm trong các máy tính người sử dụng để các Bot Masters
có thể thao túng được các máy tính này là các Bot, đây là các malware có kịch bản tấn
công tùy biến phụ thuộc vào những câu lệnh từ phía điều khiển. Một thành phần khác
của Botnet cũng không kém phần quan trọng, đó là các C&C Server (Command &
Control Server) là server hỗ trợ các Bot Masters điều khiển cả mạng Botnet. Thông
qua các server này, các Bot Master đưa ra các câu lệnh điều khiển tới các bot nhằm lợi
dụng máy tính người dùng đi thực thi những khai thác nguy hiểm.

Nói chung vòng đời của botnet client bắt đầu khi nó được đem vào khai thác. Các
botnet có tiềm năng có thể được khai thác thông qua mã độc hại mà người dùng bị lừa
chạy, và bị cài đặt Trojan hoặc backdoors lên máy tính.
Trang 23
khảo sát các kỹ thuật phát hiện Botnet
Hình 2.1: Mô hình botnet thường gặp
2.2. Phân loại botnet
Trước đây, botnet được chia làm 2 loại:
 Theo giao thức (Protocol): là những gửi nhận giữa Bot và phía C&C Server để thực
hiện giao tiếp giữa các thành phần. Thường thấy hiện nay, Botnet sử dụng hai giao
thức truyền tải siêu văn bản HTTP (HyperText Transfer Protocol) và một giao thức
thường được sử dụng để trò chuyện qua Internet đó là IRC (Internet Relay Chat).
 Theo kiến trúc của mạng Botnet: có hai mô hình là mô hình tập trung và mô hình
phân tán. Trong đó, với kiến trúc tập trung, quyền điều khiển sẽ do phía C&C Server
đảm nhiệm, các Bot sẽ kết nối lên C&C Server và nhận lệnh và thực thi. Ngược lại với
kiến trúc này là kiến trúc phân tán, khi đó các Bot sẽ giao tiếp với nhau để nhận các
câu lệnh điều khiển chứ không qua C&C Server, kiến trúc này giúp các Bot Master
duy trì được quản lý của mình tuy nhiên, cũng rất dễ bị “cướp Bot” (một Anti-Bot gửi
các câu lệnh giả mạo tới các Bot khác nhằm thay đổi điều khiển).
Trang 24
khảo sát các kỹ thuật phát hiện Botnet
Hình 2.2: Mô Hình Tập Trung Hình 2.3: Mô Hình Phân Tán
Tuy nhiên, Botnet hiện nay phức tạp hơn nhiều: Không chỉ đơn thuần là các loại
trên mà thường là kết hợp của nhiều kiểu hoặc là một cải tiến của một trong số các
loại trên nên Botnet ngày càng nguy hiểm và khó phát hiện.
2.3. Các Ứng Dụng Của Botnet
Khả năng sử dụng điều khiển bot và các ứng dụng cho các máy tính bị nhiễm của
nó phụ thuộc vào sự sáng tạo và kỹ năng của kẻ tấn công. Chúng ta xem xét một số
ứng dụng phổ biến nhất:
• Tấn công từ chối dịch vụ (DDoS Attack): bằng cách huy động một số lượng

lớn các máy tính ma trong mạng Botnet đi vét cạn tài nguyên của một máy tính.
Các máy tính này thường là các máy chủ đặt các website, máy chủ điều khiển
của các công ty, các doanh nghiệp …
Trang 25