Tải bản đầy đủ (.doc) (168 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

Mật mã và An toàn thông tin trên mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.73 MB, 168 trang )

LỜI NÓI ĐẦU
Tầm quan trọng của An ninh truyền thông từ lâu đã được ghi nhận trong quân sự
và trong những lĩnh vực hoạt động xã hội – nơi có thể xuất hiện sự uy hiếp đến An
ninh Quốc gia. Việc làm chủ an ninh truyền thông và những con số bí mật của nó được
công nhận như một tác nhân quan trọng đem lại chiến thắng trong rất nhiều cuộc xung
đột quân sự từ nhiều thế kỷ qua, trong đó có cả Thế chiến thứ II ở thế kỷ trước. Với
khái niệm này An ninh truyền thông là phương tiện che dấu thông tin và bảo vệ nó
không bị bóp méo hay mất mát trong quá trình truyền tin. Việc giải mã các mật mã là
những phương tiện làm vô hiệu hoá khả năng an ninh của đối phương.
Ngày nay hệ thống mạng máy tính đã có những bước phát triển mạnh mẽ, xâm
nhập vào rất nhiều lĩnh vực của cuộc sống. Với hệ thống mạng Internet, những dịch vụ
như giáo dục từ xa, trao đổi thương mại, giao dịch điện tử, … đã trở thành hiện thực.
Tuy nhiên, vì là một hệ thống mạng mở, có phạm vi toàn cầu và không có bất kỳ tổ
chức nào quản lý nên mạng Internet cũng trở thành môi trường lý tưởng cho các phần
tử xấu thực hiện các hành động phá hoại, đánh cắp thông tin gây tổn hại về kinh tế, uy
tín của các cơ quan tổ chức và cá nhân tham gia vào hệ thống mạng. Vì vậy vấn đề
đảm bảo an ninh, an toàn thông tin trên mạng máy tính trở thành một yêu cầu tất yếu
và quan trọng cả ở góc độ quốc gia và quốc tế.
Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc những
kiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệ
thống thông tin, xây dựng một số giải pháp nhằm đảm bảo tính an toàn của hệ thống.
Nội dung của giáo trình bao gồm:
Chương I: Tổng quan về An toàn thông tin trên mạng máy tính
Đưa ra những vấn đề tổng quan về An ninh, an toàn mạng máy tính; các
hình thức tấn công phổ biến; các dịch vụ an toàn mạng và một số mô hình mạng
đảm bảo an toàn.
Chương II: Mật mã và An toàn thông tin trên mạng máy tính
Trình bày những kiến thức cơ bản về Mật mã, các giải thuật mã hoá, một số
giao thức mã hoá đảm bảo an toàn; giải pháp xây dựng mô hình ứng dụng sử
dụng lý thuyết mật mã để đảm bảo an toàn thông tin trong quá trình truyền thông
trên mạng máy tính.


Chương III: An toàn Hạ tầng mạng
Xem xét, phân tích, đánh giá một số mô hình mạng phổ biến trong thực tế;
từ đó đưa ra các giải pháp kỹ thuật phù hợp nhằm đảm bảo an ninh an toàn cho
hạ tầng hệ thống mạng.
Chương IV: An toàn ứng dụng mạng
Cung cấp các kiến thức cơ bản về An ninh, an toàn các dịch vụ cơ bản trên
mạng máy tính. Phân tích, đánh giá các nguy cơ đối với các dịch vụ mạng; từ đó
đề xuất và triển khai các giải pháp đảm bảo An ninh, an toàn.
Giáo trình được xây dựng dựa trên các tài liệu tham khảo từ nhiều nguồn khác
nhau, đã tổng hợp được khá đầy đủ các nguy cơ mất an toàn của một Hệ thống Thông
tin và các giải pháp để đảm bảo an ninh an toàn. Tuy nhiên, có một thực tế là không có
1
một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối. Một hệ thống
dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì
vậy người làm công tác đảm bảo an ninh an toàn phải luôn cập nhật và sử dụng kết
hợp nhiều biện pháp mới có thể giảm thiểu tối đa rủi ro đối với Hệ thống thông tin của
mình.
Giáo trình lần đầu tiên được biên soạn chắc chắn không tránh khỏi những sai sót,
rất mong nhận được sự góp ý của các đồng nghiệp và bạn đọc.
Hà Nội, tháng 11 năm 2010
Tác giả
2
MỤC LỤC
LỜI NÓI ĐẦU 1
MỤC LỤC 3
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH
5
I. Một số vấn đề về An toàn Thông tin trên mạng máy tính 5
1. Thực trạng An ninh mạng ở Việt Nam và trên Thế giới 5
2. Khái niệm An toàn thông tin (ATTT) và một số tiêu chuẩn đảm bảo ATTT trên

mạng máy tính 11
II. Một số hình thức tấn công mạng phổ biến (Attacks) 14
1. Tấn công thăm dò 15
2. Tấn công truy nhập 24
3. Tấn công từ chối dịch vụ (DoS/DDoS) 32
III. Một số mô hình tổng quan đảm bảo An toàn mạng 34
1. Mô hình áp dụng cho trung tâm mạng nhỏ 34
2. Mô hình áp dụng cho trung tâm mạng trung bình 34
3. Mô hình áp dụng cho trung tâm mạng lớn 35
CÂU HỎI ÔN TẬP CHƯƠNG 1 36
CHƯƠNG 2: MẬT MÃ VÀ AN TOÀN THÔNG TIN TRÊN MẠNG 37
I. Tổng quan về mật mã 37
1. An toàn thông tin và mật mã 37
2. Các thuật ngữ và khái niệm mật mã cơ bản 37
II. Mật mã khoá đối xứng (khóa bí mật) 38
1. Mô hình mật mã khoá đối xứng 39
2. Một số hệ mật khoá đối xứng 39
III. Mật mã khoá công khai (bất đối xứng) 42
1. Mô hình mật mã khoá công khai và những nguyên tắc của các hệ mã khoá công
khai 43
2. Một số kỹ thuật phân phối khoá công khai 43
3. Hệ mã khoá công khai RSA 47
4. Cơ sở hạ tầng khoá công khai PKI (Public Key Infrastructure) 48
5. Hàm băm và chữ ký số 54
IV. Một số giao thức mã hoá 57
1. Giao thức mã hoá tầng 2 mô hình OSI 57
2. Giao thức mã hoá tầng 3 mô hình OSI – IPSec (IP Security) 59
3. Giao thức mã hoá tầng 4 mô hình OSI (SSL và TLS ) 60
4. Giao thức mã hoá tầng 7 mô hình OSI 61
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 2 63

CHƯƠNG 3: AN TOÀN HẠ TẦNG MẠNG 65
I. Cơ chế dịch địa chỉ (NAT – Network Address Translation) 65
1. Tổng quan về NAT 65
2. Triển khai cài đặt và cấu hình NAT Server 68
II. Mạng LAN ảo (VLAN – Virtual LAN) 73
1. Tổng quan về VLAN 74
2. Phân loại VLAN 74
III. Mạng riêng ảo (VPN – Virtual Private Network) 75
1. Tổng quan về VPN 76
3
2. Giải pháp bảo mật trong VPN 78
3. Triển khai VPN 79
IV. Tường lửa (Firewall) 83
1. Tổng quan về Firewall 83
2. Các công nghệ Firewall 85
3. Triển khai Firewall 90
V. Phát hiện và ngăn chặn xâm nhập (IDS/IPS – Intrusion Detection System/Intrusion
Protection System) 95
1. Tổng quan về phát hiện và phòng chống xâm nhập IDP (Intrusion Detection
Prevention) 95
2. Phân loại IDS/IPS 97
3. Một số sản phẩm IDS/IPS 100
VI. An toàn mạng không dây 102
1. Tổng quan về mạng không dây 102
2. Một số hình thức tấn công mạng WLAN 104
3. Giải pháp phòng chống 107
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 3 113
113
113
CHƯƠNG 4: AN TOÀN ỨNG DỤNG MẠNG 115

I. Kiểm soát truy nhập mạng 115
1. Điều khiển truy nhập 115
2. Các phương pháp chứng thực (Authentication) 116
3. Các phương pháp cấp quyền (Authorization) 122
4. Giám sát thống kê (Accounting) 122
II. An toàn dịch vụ Web 123
1. Tổng quan về an toàn Web 123
2. Một số hình thức tấn công Web và giải pháp phòng chống 126
3. Triển khai giải pháp đảm bảo an toàn Web 139
III. An toàn dịch vụ Email 141
1. Tổng quan về an toàn Email 141
2. Một số hình thức tấn công Email 142
3. Triển khai dịch vụ Email đảm bảo an toàn 147
IV. Virus và phần mềm gây hại 151
1. Tổng quan về Virus máy tính 151
2. Một số giải pháp phòng chống Virus máy tính 162
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 4 166
TÀI LIỆU THAM KHẢO 168
4
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY
TÍNH
I. Một số vấn đề về An toàn Thông tin trên mạng máy tính
1. Thực trạng An ninh mạng ở Việt Nam và trên Thế giới
Lịch sử của các cuộc tấn công mạng máy tính khởi đầu vào những năm 1950 -
1960, bao trùm cả phần cứng lẫn phần mềm và xoay quanh phòng thí nghiệm trí thông
minh nhân tạo tại Viện công nghệ Massachusetts (MIT - Mỹ). Những sinh viên thông
minh với bản chất tò mò, từng xâm nhập hệ thống điện thoại và trung tâm điều hành
của câu lạc bộ đường sắt Tech Model, đã bị cuốn hút bởi những chiếc máy tính đồ sộ
trong viện. Giám đốc của MIT là Marvin Minsky cho phép họ tiếp cận trực tiếp với
những cỗ máy này và đây được coi như nền tảng đầu tiên của các hacker tương lai.

Các tên tuổi "sừng sỏ" sau này đều bắt nguồn từ đây như Peter Deutsch, Bill Gosper,
Richard Greenblatt, Tom Knight và Jerry Sussman.
Sau MIT, các trung tâm đào tạo khác ở Mỹ cũng trở thành "đất" nuôi dưỡng
nhiều mầm mống hacker như đại học Carnegie Mellon, Stanford. Ví dụ, khi phòng thí
nghiệm trí thông minh nhân tạo Standford, dưới sự "chỉ đạo" của John McCarthy,
chứng kiến chiếc máy SAIL tắt ngấm vào năm 1991 sau khi hacker gửi e-mail với
thông điệp "chào tạm biệt" lên Internet như thể chính SAIL gửi lời "trăng trối" tới bạn
bè. Thậm chí các trung tâm nghiên cứu có tính thương mại như ATT, Xerox cũng bị
biến thành ngôi nhà riêng của tin tặc với những cái tên như Ed Fredkin, Brian Reid,
Jim Gosling, Brian Kernighan, Dennis Ritchie hay Richard Stallman.
Khi máy tính trở nên phổ biến khắp toàn cầu, cùng với sự phát triển mạnh mẽ của
mạng Internet, các hoạt động phá hoại từ xa tiềm ẩn nhiều nguy cơ hơn. Chính quyền
Mỹ phải thiết lập hành lang pháp lý để uốn nắn hành vi của hacker nhằm bảo vệ lợi ích
của những tổ chức, cá nhân dùng thiết bị này. Cuối những năm 1980, họ ban hành đạo
luật chống lạm dụng và lừa đảo thông qua máy tính và thành lập trung tâm cứu hộ máy
tính nhằm phản ứng nhanh trước các hành vi phạm tội. Theo luật pháp Mỹ, mọi hành
vi thâm nhập máy tính của người khác mà không được phép sẽ bị khởi tố và phạt tù,
phạt tiền, tùy theo mức độ nghiêm trọng. Tuy nhiên thế giới mạng đã bùng nổ chóng
mặt, hoạt động của các nhóm Hacker càng trở nên phức tạp hơn và khó kiểm soát hơn
do biên giới quốc gia đã bị dỡ bỏ. Tin tặc ở nước này có thể tấn công website, lừa đảo
người dùng Internet ở nước khác. Hàng loạt quốc gia phải xây dựng luật chống tội
phạm tin học của riêng mình. Theo đó, nhiều nước yêu cầu hacker tấn công vào máy
tính hoặc website đặt máy chủ tại nước nào sẽ bị dẫn độ về nước đó để xử lý và chịu
án theo luật của họ.
Kể từ đó đến nay, hệ thống mạng máy tính trên thế giới đã phải hứng chịu vô số
cuộc tấn công để lại những hậu quả rất nặng lề mà khó có thể thống kê được một cách
đầy đủ. Theo số liệu thống kê của Uỷ ban chịu trách nhiệm về các vấn đề khẩn cấp các
máy tính mạng Internet (CERT – internet Computer Emergency Response Team), có
thể điểm một số cuộc tấn công sau:
John Draper

Nổi tiếng với tên hiệu “Cap'n Crunch”, John Draper là một trong những con người
đầu tiên trên thế giới này được “nhận mệnh danh là hacker”. Trong thập niên 70,
Draper đã sử dụng một chiếc còi đồ chơi tặng kèm trong hộp ngũ cốc Cap'n Crunch để
5
“hack” vào đường dây điện thoại và thoải mái thực hiện các
cuộc gọi “miễn phí”. Draper vô tình nhận ra rằng chiếc còi
tạo ra một âm thanh có tần số giống hệt tần số tín hiệu cuộc
gọi trên đường dây điện thoại. Nhờ đó mà anh ta đã có thể
điều khiển cuộc gọi tiếp tục được diễn ra mà người nghe
vẫn cứ tưởng là cuộc gọi đã kết thúc rồi. Năm 1972, Draper
bị phát hiện khi hãng điện thoại “nhìn thấy sự bất thường”
trong hóa đơn tiền điện thoại của anh. Sau đó Draper bị kết
án 2 tháng tù giam. Vụ tấn công của Draper đã khai sinh là
thuật ngữ “Phreaking”. Nghĩa của thuật ngữ này trong xã
hội của chúng ta ngày nay là “tấn công vào các hệ thống viễn thông”.
Kevin Mitnick
Đầu những năm 1990, Kevin Mitnick, hay còn gọi là
"chúa tể các hacker", đã đột nhập thành công vào hệ thống
máy tính của các công ty truyền thông và kỹ thuật lớn trên thế
giới như Nokia, Fujitsu, Motorola, Sun Microsystems. Mitnick
bị FBI bắt vào năm 1995, sau đó được thả vào năm 2000.
Mitnick không thừa nhận những hoạt động của mình là tấn
công mà gọi là "một mánh khóe của xã hội".
Kevin Poulsen
Năm 1983, khi còn là một sinh viên Poulsen đã tấn công
vào mạng Arpanet, tiền thân của mạng Internet. Anh ta đã
phát hiện ra một lỗ hổng trong cấu trúc của mạng này và tạm
chiếm quyền điều khiển mạng mở rộng của nước Mỹ.
Năm 1990: Khi một đài phát thanh ở khu vực Los
Angeles công bố một cuộc thi với giải thưởng dành cho người

thứ 102 gọi tới đài, Kevin Poulsen đã tấn công vào mạng lưới
tổng đài của thành phố nhằm làm cho mình trở thành người
gọi thứ 102 để đoạt giải thưởng. Anh ta bị bắt không lâu sau
đó và phải bị phạt 3 năm tù. Hiện tại Poulsen là một biên tập
viên có tiếng của trang tin điện tử Wires News.
Robert Morris
Năm 1988, sinh viên 23 tuổi mới tốt nghiệp trường ĐH
Cornell Robert Morris phát tán 99 dòng mã nguồn độc hại
được biết đến bằng cái tên Sâu Morris (Morris Worm) lây
nhiễm và khiến hàng loạt PC ở hàng loạt quốc gia khác nhau
ngừng hoạt động. Mục tiêu của hacker này là đếm số lượng
PC được kết nối vào mạng Internet và qua đó biết được mạng
Internet lớn đến như thế nào. Hành động này đã khiến Morris
bị bắt vào năm 1989 và trở thành người đầu tiên bị kết án theo
Luật lạm dụng máy tính và có hành vi sử dụng máy tính vào
mục đích lừa đảo được Quốc hội Mỹ thông qua năm 1986. Ngoài ra Morris còn phải
nộp một khoản tiền phạt lên tới 10.000 USD.
6
Vladimir Levin
Năm 1994, Vladimir Levin lần đầu tiên trên thế giới thực
hiện thành công việc chuyển bất hợp pháp một khoản tiền lớn ra
khỏi một ngân hàng có tiếng. Levin đã đánh cắp được một loạt
tài khoản ngân hàng doanh nghiệp lớn ở Mỹ thông qua mạng
truyền dẫn analog (analog wire transfer network) của ngân hàng
CitiBank. Hacker này đã chuyển tổng cộng 10,7 triệu USD sang
một loạt các tài khoản ở Mỹ, Phần Lan, Hà Lan, Israel và Đức.
Ba đồng phạm của Levin đã bị bắt khi đến rút tiền ở các ngân
hàng nhưng riêng Levin thì phải đến năm 1995 mới bị các cơ
quan bảo vệ pháp bắt giữ tại Sân bay Stansted (London, Anh). Năm 1997, Levin bị
dẫn độ sang Mỹ, bị kết án 3 năm tù và phải đền bù cho CitiBank một khoản tiền lên tới

240.015 USD. Về số tiền bị đánh cắp, CitiBank chỉ có thể lấy lại khoảng 400.000
USD.
David Smith
Năm 1999, David Smith phát tán sâu Melissa từ một máy
tính ở bang New Jersey (Mỹ) thông qua một tài khoản thư điện
tử AOL đánh cắp được. Con sâu máy tính có khả năng tự động
phát tán đến 50 người đầu tiên có tên trong sổ địa chỉ Outlook
khi đã lây nhiễm lên PC. Melissa đã lây nhiễm và tấn công PC
của hơn 300 doanh nghiệp trên toàn thế giới - trong đó có cả
những tên tuổi lớn như Microsoft, Intel hay Lucent
Technologies. Những doanh nghiệp này đã buộc phải đóng máy
chủ email (email gateway) do lượng email được gửi đi quá
nhiều. Tổng thiệt hại mà Melissa gây ra ước tính lên tới con số
80 triệu USD. Sau khi bị kết tội, Smith lĩnh án tù 20 tháng và phải làm việc dưới sự
giám sát của FBI nhằm trợ giúp cơ quan này phát hiện ra các loại mã độc mới cũng
như lần tìm tác giả của chúng.
Jonathan James
Cuối tháng 6-1999, Jonathan James hoa mắt khi biết tài
liệu mã nguồn của NASA có thể được bán với giá 1,7 triệu
USD. James - khi ấy mới chỉ có 15 tuổi - đã đột nhập thành
công vào máy tính của NASA nhờ đánh cắp được một mật
khẩu tài khoản đăng nhập ở Trung tâm vũ trụ Marshall
(Alabama, Mỹ) với hi vọng sẽ kiếm được ít tài liệu để bán lấy
tiền. Hậu quả của vụ tấn công là trong tháng 7-1999 NASA đã
buộc phải ngắt kết nối mạng máy tính trong suốt vài tuần lễ.
Tài liệu bị đánh cắp là tài liệu liên quan đến kiểm soát môi
trường trên trạm vũ trụ như nhiệt độ, độ ẩm… Tròn 16 tuổi,
James bị kết án 6 tháng tù giam và phải chấp nhận thời gian
giám sát thử thách cho đến khi nào tròn 18 tuổi.
MafiaBoy

Tại thời điểm diễn ra vụ tấn công nổi tiếng, Mike Calce chỉ được biết đến bằng
cái tên MafiaBoy bởi các cơ quan bảo vệ pháp luật của Canada đã ra lệnh cấm báo giới
được tiết lộ tên thật của anh ta. Tháng 2-2000, sử dụng 75 PC trên 52 hệ thống mạng
7
khác nhau, Calce đã tổ chức một cuộc tấn công từ chối dịch vụ
(Denial-of-Service) cực lớn hạ gục liên tiếp website của 10
công ty có tên tuổi như Amazon, eBay, E*TRADE, DELL…
Không có bất kỳ con số thiệt hại chính thức nào được công bố.
Giới phân tích ước tính thiệt hại có thể lên tới 1,7 tỉ đô la
Canada (tính theo giá trị hiện nay là vào khoảng 1,6 tỉ USD).
Năm 2001, Calce bị đưa ra xét xử và nhận án phạt 8 tháng tù
giam, một năm thử thách, bị hạn chế sử dụng Internet và phải
nộp phải một khoản tiền nhỏ.
Gary McKinnon
Trong hai năm liên tiếp 2001 và 2002, hacker người Anh
này đã đột nhập vào hệ thống mạng máy tính của Bộ quốc
phòng Mỹ, Lầu năm góc, NASA, lực lượng hải quân và không
quân Mỹ nhằm mục đích tìm kiếm bằng chứng của đĩa bay.
Các quan chức tuyên bố thiệt hại của của những vụ tấn công
này lên tới 700.000 USD. Hiện McKinnon đang phải đối mặt
với việc bị dẫn độ sang Mỹ xét xử. Nếu bị kết án hacker này
có thể phải nhận án phạt lên tới 70 năm tù.
Những năm gần đây, các cuộc lừa đảo và tấn công mạng
diễn ra trên khắp thế giới ngày càng phức tạp và tinh vi hơn
với sự gia tăng của các công cụ tấn công ngày càng mạnh và
yêu cầu sử dụng chúng thì ngày càng giảm. Với sự phát triển của những công cụ này,
thậm chí những người không hiểu biết nhiều về máy tính và hệ thống mạng cũng có
thể tiến hành được các cuộc tấn công gây ra những hậu quả đáng tiếc.
Sự phát triển của các công cụ tấn công mạng
Theo báo cáo của tập đoàn Symantec, trong số 12.885 lỗ hổng về mã lệnh (năm

2008) thì chỉ có 394 lỗ hổng đã được khắc phục (chiếm 3%), trong đó có 63% các ứng
dụng web bị lây nhiễm (năm 2007 là 59%). Trong năm 2008, Symatec đã phát hiện ra
55.398 máy chủ đặt website lừa đảo (tăng 66% so với năm 2007) trong đó những lừa
đảo liên quan đến dịch vụ tài chính chiếm 76% (tăng 52% so với năm 2007)
Cũng theo báo cáo của Symatec, Việt Nam là nước đứng thứ 8 trong khu vực
Châu Á Thái Bình Dương về các hoạt động tấn công đe doạ và đứng thứ 2 trong khu
8
vực Đông Nam Á (sau Thái Lan). Có thể điểm qua một số vụ tấn công vào các hệ
thống mạng và website tại Việt Nam như sau:
- 14h ngày 27/11/2006 website của Bộ Giáo dục đào tạo bị tấn công bởi một học
sinh trung học
- Chủ nhật ngày 12/3/2006, website thương mại điện tử VietCo.com bị tấn công
từ chối dịch vụ DDos, làm cho hệ thống không thể hoạt động được, nhân viên toàn
công ty phải nghỉ việc
- Ngày 27/9/2010, máy ATM của ngân hàng Đông Á bị Virus Conficker tấn
công
- Ngày 22/11/2010, website VietNamNet đã bị Hacker tấn công chiếm quyền
điều khiển và xóa sạch dữ liệu trên hệ thống máy chủ. Phải mất gần 1 ngày, các
chuyên gia mới đưa VietNamNet hoạt động được trở lại
9
Theo thống kê từ hệ thống giám sát virus của Trung tâm An ninh mạng BKAV,
trong tháng 9 năm 2010 Việt Nam xuất hiện 2.876 virus mới, lây nhiễm trên 5.610.000
lượt máy tính. Đã có 36 website của các cơ quan, doanh nghiệp của Việt Nam bị
Hacker xâm nhập, trong đó có 20 trường hợp gây ra bởi Hacker trong nước và 16
trường hợp gây ra bởi Hacker nước ngoài.
Thông tin về tình hình virus và an ninh mạng tháng 9/2010
10
Danh sách 10 virus lây lan nhiều nhất tháng 9/2010
Những cuộc tấn công mà chúng ta biết được thực chất chỉ là phần nổi. Trên thực
tế còn rất nhiều cuộc tấn công khác cũng gây nên những hậu quả hết sức nghiêm trọng

mà không có bất kỳ một tài liệu nào thu thập được đầy đủ, một phần là do chính các
nạn nhân từ chối họ bị (hoặc đã bị) thiệt hại.
2. Khái niệm An toàn thông tin (ATTT) và một số tiêu chuẩn đảm bảo ATTT trên
mạng máy tính
Khái niệm về An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây, tuy
nhiên về bản chất có thể hiểu An toàn thông tin là sự bảo vệ thông tin một cách tự
động khỏi các hành vi trái phép (truy cập, sửa đổi, phá hoại v.v…) hoặc tránh việc tấn
công vào các tài nguyên và dữ liệu đang có.
Theo ISO 17799, An toàn thông tin là khả năng bảo vệ đối với môi trường thông
tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của
mọi công dân, mọi tổ chức và của quốc gia. An toàn thông tin được xây dựng trên nền
tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm
mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài
nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàn
cầu.
Nói chung, đảm bảo an toàn thông tin trong mọi lĩnh vực là phải đảm bảo được
các yêu cầu sau:
- Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những người không có thẩm quyền.
- Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm
giả bởi những người không có thẩm quyền.
- Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng nhu
cầu sử dụng cho người có thẩm quyền.
- Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam
kết về mặt pháp luật của người cung cấp.
Trên thực tế hầu hết các cơ quan, tổ chức, doanh nghiệp đều nhận thức rõ sự cần
thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông tin, tuy nhiên việc
11
triển khai lại rất hạn chế và gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuật
quốc gia về an toàn thông tin hiện không đầy đủ; lúng túng trong lựa chọn các tiêu

chuẩn áp dụng.
Trước tình hình trên, năm 2007, Bộ Bưu chính, Viễn thông (nay là Bộ Thông tin
và Truyền thông) đã có Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 về việc tăng
cường đảm bảo an ninh thông tin trên mạng Internet đã yêu cầu các cơ quan, tổ chức,
doanh nghiệp viễn thông, internet tham gia hoạt động trên mạng Internet phải xây
dựng quy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thông tin, tham
khảo các chuẩn quản lý an toàn TCVN 7562, ISO 27001, đảm bảo khả năng truy vết
và khôi phục thông tin trong trường hợp có sự cố.
TCVN 7562 là tiêu chuẩn tương đương với tiêu chuẩn quốc tế ISO 17799 phiên
bản 2000 (nay đã được cập nhật phiên bản 2005 và đổi tên thành ISO 27002), còn tiêu
chuẩn ISO 27001 ở Việt Nam vẫn chưa có tiêu chuẩn tương đương, dẫn đến việc áp
dụng gặp nhiều khó khăn (chủ yếu chỉ áp dụng trong một số ít các tổ chức có trình độ
nhân lực cao, nằm ở các thành phố lớn). Do đó năm 2007, Bộ Thông tin và Truyền
thông đã giao Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thực hiện
đề tài “Nghiên cứu, xây dựng tiêu chuẩn kỹ thuật cho hệ thống quản lý an toàn thông
tin”, mã số 63-07-KHKT-TC, với mục đích xây dựng tiêu chuẩn về hệ thống an toàn
thông tin trên cơ sở chấp thuận áp dụng tiêu chuẩn quốc tế ISO 27001, áp dụng được
cho các cơ quan, tổ chức ở Việt Nam.
Tiêu chuẩn này khuyến khích việc áp dụng cách tiếp cận theo quy trình khi thiết
lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống ISMS của tổ
chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách
hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các
đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông thường đầu ra
của một quy trình này là đầu vào của một quy trình tiếp theo.
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết
tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp
cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong
tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng:

- Hiểu các yêu cầu an toàn thông tin của tổ chức và sự cần thiết phải thiết lập
chính sách và mục tiêu cho an toàn thông tin,
- Triển khai và điều hành các biện pháp quản lý rủi ro an toàn thông tin của tổ
chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức,
- Giám sát và soát xét hiệu suất và hiệu quả của hệ thống ISMS (Information
Security Management System)
- Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
Công tác đảm bảo an toàn thông tin là quá trình áp dụng một cách đồng bộ các
giải pháp ở tất cả các khâu: Lập kế hoạch – Thực hiện – Kiểm tra - Hành động
(PDCA) để áp dụng cho tất cả các quy trình trong hệ thống ISMS. Hình 1 dưới đây mô
tả cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của
12
các bộ phận liên quan, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an
toàn thông tin theo như các yêu cầu và kỳ vọng đã đặt ra.
Hình 1: Áp dụng mô hình PDCA cho các quy trình hệ thống ISMS
P (Lập kế hoạch) – Thiết lập
ISMS
Thiết lập các chính sách, mục tiêu, quy trình và thủ
tục liên quan đến việc quản lý các rủi ro và nâng
cao an toàn thông tin nhằm đem lại các kết quả phù
hợp với các chính sách và mục tiêu chung của tổ
chức.
D (Thực hiện) - Triển khai và
điều hành ISMS
Cài đặt và vận hành các chính sách, biện pháp quản
lý, quy trình và thủ tục của hệ thống ISMS.
C (Kiểm tra) - giám sát và soát
xét ISMS
Xác định hiệu quả việc thực hiện quy trình dựa trên
chính sách, mục tiêu mà hệ thống ISMS đã đặt ra và

kinh nghiệm thực tiễn và báo cáo kết quả cho ban
quản lý để soát xét.
A (Hành động) - Duy trì và
nâng cấp ISMS
Tiến hành các hành động khắc phục và hành động
phòng ngừa dựa trên các kết quả của việc kiểm toán
nội bộ hệ thống ISMS, soát xét của ban quản lý
hoặc các thông tin liên quan khác nhằm liên tục
hoàn thiện hệ thống ISMS.
13
Triển khai và
điều hành hệ
thống ISMS
Triển khai và
điều hành hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
P
D
C
A
Thiết lập hệ
thống ISMS
Thiết lập hệ
thống ISMS

Thiết lập hệ
thống ISMS
Thiết lập hệ
thống ISMS
Duy trì và
nâng cấp hệ
thống ISMS
Duy trì và
nâng cấp hệ
thống ISMS
Các bộ
phận liên
quan
Các yêu
cầu và kỳ
vọng về
an toàn
thông tin
Các bộ
phận liên
quan
Các yêu
cầu và kỳ
vọng về
an toàn
thông tin
Các bộ
phận liên
quan
Kết quả

quản lý an
toàn thông
tin
Các bộ
phận liên
quan
Kết quả
quản lý an
toàn thông
tin
Chi tiết dự thảo quốc gia về hệ thống quản lý an toàn thông tin (TCVN 2008)
tham khảo tại trang tin điện tử: />II. Một số hình thức tấn công mạng phổ biến (Attacks)
Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy
tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả
năng không an toàn, khả năng xâm phạm, nguồn gốc của cuộc tấn công, các sự cố rủi
ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin
cũng như trên mạng. Xác định càng chính xác các nguy cơ nói trên thì càng có các
quyết định, giải pháp tốt để giảm thiểu các thiệt hại.
Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi
phạm thụ động.
- Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin
(đánh cắp thông tin). Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể
dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần
đầu các gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi.
Vì vậy vi pham thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu
được trao đổi. Vi phạm thụ động thường khó phát hiện nhưng có thể có những biện
pháp ngăn chặn hiệu quả.
- Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm
trễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời
gian. Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội

dung thông tin trao đổi. Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả
thì khó khăn hơn nhiều.
Về nguồn gốc phát sinh tấn công thì có tấn công từ bên ngoài và tấn công từ bên
trong hệ thống mạng.
- Tấn công từ bên ngoài hệ thống: có thể xuất phát từ môi trường Internet, kẻ
tấn công là người không được phép truy nhập vào hệ thống.
- Tấn công từ bên trong hệ thống: xuất phát từ bên trong hệ thống mạng, kẻ tấn
công là những người được phép truy nhập vào hệ thống. Theo thống kê thì có tới 70%
nguy cơ các cuộc tấn công xuất phát từ bên trong hệ thống.
14
Ngày nay với sự bùng nổ của các hệ thống mạng, đặc biệt là mạng Internet và sự
phát triển rất nhanh chóng các công cụ, phương tiện tấn công nên các hình thức tấn
công vào hệ thống mạng cũng rất đa dạng và phong phú. Tuy nhiên có thể phân loại
vào một số nhóm hình thức tấn công phổ biến sau:
1. Tấn công thăm dò
Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch
vụ của hệ thống. Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao nhiêu
bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát hiểm,…
Các hình thức tấn công truy nhập, DDoS, thường được tiến hành sau khi Hacker đã tấn
công thăm dò hệ thống mạng. Điều này là hiển nhiên vì các Hacker phải biết tấn công
cái gì trước khi xâm nhập vào hệ thống. Thăm dò là một kiểu tấn công và cũng là một
giai đoạn tấn công.
Có rất nhiều cách để thu thập được thông tin về một hệ thống mạng, có thể liệt kê
một số cách phổ biến sau:
a. Nghe lén (Sniffing)
Nghe lén trên mạng là một phần của kỹ thuật tấn công truyền thông dữ liệu của
ngành bảo mật máy tính. Theo đúng như tên gọi, kỹ thuật này không tấn công trực
diện vào các máy người dùng (clients) hay máy chủ (Servers), mà nó nhằm vào không
gian truyền dữ liệu giữa các máy tính.
Ban đầu, Sniffing là kỹ thuật được các quản trị viên dùng để theo dõi, chuẩn

đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng. Tuy nhiên, kỹ
thuật này về sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích thu thập
trái phép các thông tin nhạy cảm, tên tài khoản, mật khẩu, credit card,… của người
dùng khi luân chuyển trên mạng.
Sniffing chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận và có thể
điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó.
Ví dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ Internet, các quán café
WiFi, trong hệ thống mạng nội bộ doanh nghiệp,… Trường hợp hệ thống máy tính
nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách điều khiển một máy
tính nào đó trong hệ thống rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe
trộm từ xa.
15
Hiện nay, nghe trộm mạng thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúp
thực hiện như Cain&Abe, Ettercap, Ethereal, Dsniff, TCPdump, Sniffit, Các công cụ
này ngày càng được “tối ưu hóa” để dễ sử dụng và tránh bị phát hiện khi thực thi. So
với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có thể
ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết là
đang bị nghe trộm lúc nào do máy tính của họ vẫn hoạt động bình thường, không có
dấu hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất
khó, và hầu như chỉ có thể phòng chống trong thế bị động (passive), nghĩa là chỉ phát
hiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm.
Để hiểu được bản chất của quá trình Sniffing thì cần hiểu nguyên tắc chuyển tải
các khung (frames) của lớp Datalink từ các gói tin (packets) ở lớp Network trong mô
hình OSI. Cụ thể là qua hai loại thiết bị tập trung các node mạng sử dụng phổ biến
hiện nay là Hub và Switch.
- Nghe lén trong mạng dùng Hub (Thụ động - Passive): Một khung gói tin khi
chuyển từ máy A sang máy B thì đồng thời nó được gửi đến tất cả các máy khác đang
kết nối cùng Hub theo cơ chế loan tin (broadcast). Các máy tính nhận được gói tin này
và tiến hành so sánh yêu cầu về địa chỉ MAC (địa chỉ vật lý của card mạng) trên gói
tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, còn không thì cho qua. Do gói tin từ A

được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B
mới thực hiện tiếp nhận. Dựa vào nguyên tắc đó, máy tính được cài đặt chương trình
nghe trộm sẽ tự “nhận” bất cứ gói tin nào được lưu chuyển trong mạng dùng Hub, kể
cả khi đích đến của gói tin không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp
(promiscuous mode). Promiscuous mode là chế độ đặc biệt, khi card mạng được đặt
dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa
chỉ đích đến.
- Nghe lén trong mạng dùng Switch (Chủ động - Active): Khác với Hub,
Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển
mạch nên nghe trộm kiểu “tự nhận” như ở Hub là không thực hiện được. Tuy nhiên, kẻ
tấn công có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARP
spoofing, MAC flooding, MAC duplicating, DNS spoofing, v.v…
 ARP Spoofing: Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông
dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai
(datalink) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau
một cách trực tiếp. Lớp thứ ba (network), sử dụng địa chỉ IP để tạo các mạng có khả
năng mở rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối
với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp.
Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên
16
một mạng truyền thông. Với lý do đó, ARP được tạo ra với chuẩn RFC 826, là “một
giao thức phân giải địa chỉ Ethernet - Ethernet Address Resolution Protocol”.
Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng, tuy nhiên nó
lại không đề cập đến vấn đề xác thực nào cả. Khi một host nhận được gói tin ARP
response, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau
này (lưu vào ARP table) mà không cần biết thông tin đó có phải được trả lời từ host
mà mình mong muốn hay không. ARP không có cơ chế nào để kiểm tra việc đó và
trên thực tế một host có thể chấp nhận gói ARP response mà trước đó không cần phải
gửi gói tin ARP request. Lợi dụng điều này hacker có thể triển khai tấn công bằng
cách gửi những gói tin ARP response giả mạo với số lượng khổng lồ nhằm làm Switch

xử lý không kịp và trở nên quá tải. Khi đó Switch sẽ không đủ sức thể hiện bản chất
Layer2 mà broadcast gói tin ra toàn bộ các port của mình. Hacker sẽ dễ dàng bắt được
toàn bộ thông tin trong mạng.
Để phòng chống hình thức tấn công này, đối với một mạng có quy mô nhỏ, người
quản trị có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó bạn sẽ liệt kê bằng tay
IP nào đi với MAC nào. Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem
IP và MAC và dùng câu lệnh arp –s để thêm vào Arp table. Khi ép tĩnh như vậy sẽ
ngăn chặn hacker gửi các gói Arp response giả tạo đến máy của mình vì khi sử dụng
Arp table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cách thức này chỉ áp dụng
được trong môi trường mạng với quy mô nhỏ, vì với mạng có quy mô lớn chúng ta sẽ
phải thêm vào Arp table bằng tay với số lượng quá nhiều.
Đối với một mạng lớn, ta có thể sử dụng chức năng Port security (chỉ áp dụng
được trên các dòng Switch có hỗ trợ chức năng config port). Khi mở chức năng Port
security lên các port của Switch ta có thể quy định port đó chỉ chấp nhận một địa chỉ
MAC. Như vậy sẽ ngăn chặn được việc thay đổi địa chỉ MAC trên máy hacker. Ngoài
ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch. Nó sẽ phát hiện và báo cáo
17
các thông tin liên quan đến ARP đang diễn ra trong mạng. Nhờ đó nếu có hiện tượng
tấn công bằng Arp spoofing thì người quản trị có thể giải quyết kịp thời.
 MAC Flooding:
Địa chỉ MAC (Media Access Control) : là kiểu địa chỉ vật lí, đặc trưng cho một
thiết bị hoặc một nhóm các thiết bị trong mạng LAN. Địa chỉ này được dùng để nhận
diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích. Địa chỉ MAC được
phân ra làm 3 loại: Unicast (đại diện cho một thiết bị duy nhất), Multicast (đại diện
cho một nhóm thiết bị) và Broadcast (FFFF.FFFF.FFFF – đại diện cho tất cả các thiết
bị có trong mạng LAN).
Chức năng chuyển mạch của Switch: Việc đưa thiết bị chuyển mạch vào một
mạng LAN có nhiều mục đích nhưng mục đích quan trong nhất là để chia một mạng
LAN ra thành nhiều vùng khác nhau nhằm giảm thiểu việc xung đột gói tin khi có quá
nhiều thiết bị được nối vào cùng một môi trường truyền dẫn. Các vùng được phân chia

này được gọi là các collision domain. Chức năng chính của Switch là vận chuyển các
frame lớp 2 qua lại giữa các collision domain này. Các collision domain này còn được
gọi là các đoạn mạng LAN (LAN Segment). Để có thể vận chuyển chính xác được gói
tin đến đích, switch cần phải có một sơ đồ ánh xạ giữa địa chỉ MAC của các thiết bị
vật lí gắn tương ứng với cổng nào của nó. Sơ đồ này được lưu lại trong switch và được
gọi là bảng CAM (Content Address Memory). Quá trình vận chuyển gói tin qua switch
có thể được mô tả như sau:
• Nếu địa chỉ MAC nguồn của gói tin chưa có trong bảng CAM; Switch sẽ cập
nhật với cổng tương ứng. Nếu địa chỉ MAC nguồn đã tồn tại trong bảng nhưng với
một cổng khác, Switch sẽ báo lỗi “MAC flapping” và huỷ gói tin.
• Nếu ánh xạ địa chỉ đích của gói tin không tồn tại trong bảng CAM trước đó
thì gói tin sẽ được gửi ra tất cả các cổng của switch trừ cổng mà nó nhận được gói tin
(cổng kết nối với máy gửi gói tin đó).
• Nếu địa chỉ đích của gói tin là địa chỉ Unicast và ánh xạ của địa chỉ tồn tại
trong bảng CAM đồng thời cổng nguồn khác với cổng mà gói tin cần được chuyển đến
(đích) thì nó sẽ gửi gói tin đến chính xác cổng có trong bảng CAM.
• Các trường hợp còn lại, gói tin sẽ bị huỷ.
Ví dụ:
18
Trong ví dụ trên, khi host A gửi bản tin đến host B. Do switch chưa có địa chỉ
MAC của B trong bảng CAM của mình nên switch sẽ gửi broadcast ra mọi cổng còn
lại đồng thời sẽ lưu lại địa chỉ MAC của A vào bảng CAM. Sau khi host B nhận được
bản tin từ A; B gửi lại tin cho A. Khi đó, switch đã có địa chỉ của A nên sẽ gửi unicast
tới port 1 đồng thời cập nhật địa chỉ MAC của B vào bảng CAM.
Bảng CAM của thiết bị chuyển mạch chỉ chứa được một số hữu hạn các ánh xạ
(ví dụ như switch Catalyst 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạ
này không phải tồn tại mãi mãi trong bảng CAM. Sau một khoảng thời gian nào đó,
thường là 300s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì nó
sẽ bị gỡ bỏ khỏi bảng. Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi
đến tất cả các cổng của nó trừ cổng nó nhận được. Lúc này chức năng của Switch

không khác gì chức năng của một Hub. Lợi dụng điểm yếu của thiết bị chuyển mạch,
Hacker tấn công MAC Flooding bằng cách làm tràn bảng CAM của Switch.
Ví dụ: mô hình tấn công làm ngập bảng CAM
Trong ví dụ trên, host C của kẻ tấn công gửi đi liên tục hàng loạt các bản tin có
địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y). Switch sẽ cập nhật địa chỉ
của các host giả mạo này vào bảng CAM. Kết quả là khi host A gửi tin đến cho host B;
địa chỉ của B không tồn tại trong bảng nên gói tin được Switch gửi ra các cổng của nó
và C sẽ nhận được bản tin mà A muốn gửi riêng cho B.
Nguyên lý chung của các phương pháp phòng chống là không để các gói tin có
địa chỉ MAC lạ đi qua Switch. Phương pháp phòng chống hiệu quả nhất là cấu hình
Port Security trên Switch. Khi Switch nhận được một gói tin chuyển đến, nó sẽ kiểm
tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước
đó. Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà
Switch sẽ xử lí gói tin đến với các mức độ khác nhau. Như vậy cấu hình Port Security
là một phương pháp hiệu quả nhất để phòng chống MAC Flooding. Tuy nhiên, với
những Switch không hỗ trợ cấu hình Port Security thì có một biện pháp có thể dùng
19
được là sử dụng phần mềm phát hiện gói tin giả mạo. Như ta đã thấy, sau khi bảng
CAM của Switch bị tràn, mọi gói tin đến Switch đều bị gửi ra các cổng và việc tấn
công này cần phải tiến hành liên tục để đảm bảo rằng bảng CAM luôn bị tràn. Do đó
trong khoảng thời gian aging (khoảng thời gian để Switch xóa một ánh xạ ra khỏi bảng
nếu không nhận được thông tin trao đổi trên cổng); kẻ tấn công phải tiến hành gửi đi ít
nhất 2 lần số bản tin giả mạo. Ta có thể dùng một máy tính gắn vào một cổng trên
Switch để bắt các gói tin giả mạo này (do chúng bị flood ra tất cả các cổng). Từ các
gói tin bị bắt được, phần mềm sẽ đọc ra địa chỉ MAC nguồn của gói tin. Nếu trong một
khoảng thời gian nhất định (bằng khoảng thời gian aging của Switch) số địa chỉ MAC
nguồn là quá lớn, phần mềm sẽ ghi lại kết quả và báo cho người quản trị biết rằng đã
có tấn công trong mạng. Tuy nhiên, phương pháp này lại có rất nhiều nhược điểm:
• Nhược điểm thứ nhất: do phải xử lý quá nhiều gói tin trong một khoảng thời
gian ngắn, hiệu năng của máy sẽ giảm. Số lượng gói tin ở đây không chỉ là các bản tin

giả mạo mà tất cả các bản tin khác được gửi đến Switch sau khi Switch đã bị tấn công.
• Nhược điểm thứ hai: các bản tin giả mạo sẽ chỉ được Switch gửi ra tất cả các
cổng thuộc về cùng một VLAN mà thôi. Như vậy, nếu kẻ tấn công ở khác VLAN với
máy dùng để phát hiện giả mạo thì việc tấn công vẫn không bị phát hiện.
• Nhược điểm thứ ba: khi một Switch bị tràn bảng CAM thì những Switch bên
cạnh nếu có cấu hình VLAN cùng với VLAN của kẻ tấn công cũng sẽ bị tràn (hậu quả
dây chuyền).
Như vậy tấn công nghe lén là một hình thức tấn công rất nguy hiểm và tồn tại rất
nhiều kỹ thuật giúp Hacker có thể dễ dàng nghe lén một hệ thống. Để phòng chống
hiệu quả thì không thể chỉ sử dụng một vài kỹ thuật riêng lẻ mà phải kết hợp nhiều
biện pháp như:
- Giới hạn mức độ và phạm vi broadcast bằng cách phân chia VLAN (Virtual
Local Area Network);
- Giới hạn khả năng bị cài đặt chương trình nghe lén bằng cách áp dụng chính
sách quản lý cài đặt phần mềm cho hệ thống. Áp tính năng port security để hạn chế các
thiết bị mạng kết nối trái phép;
- Đối với mạng nhỏ, nên sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh để hạn chế
khả năng bị tấn công kiểu ARP spoofing thông qua giám sát chặt chẽ sự thay đổi địa
chỉ MAC (Media Access Control) trên Switch;
- Áp dụng cơ chế one-time password – thay đổi password liên tục;
- Thay thế hoặc hạn chế sử dụng các giao thức truyền thông không mã hóa dữ
liệu bằng các giao thức mã hóa;
20
- Đối với hệ thống mạng công ty, cách bảo vệ tốt nhất là ngăn chặn, phòng
ngừa ngay từ đầu bằng cách xây dựng Chính sách bảo mật mạng (Network Security
Policy). Trong đó có những chính sách quản lý truy xuất, quản lý bảo vệ vật lý hệ
thống mạng với những quy định như: ai được phép tiếp xúc với các máy; được phép sử
dụng máy; được phép gắn thêm thiết bị vào máy; được phép cài đặt những loại chương
trình nào (không cho phép người dùng tự ý cài đặt chương trình), v.v…
b. Quét địa chỉ IP (Ping Sweep)

Ping là một khái niệm rất đơn giản tuy nhiên lại rất hữu ích cho việc chẩn đoán
mạng. Tiểu sử của từ "ping" như sau: Ping là tiếng động vang ra khi một tàu ngầm
muốn biết có một vật thể khác ở gần mình hay không, nếu có một vật thể nào đó gần
tàu ngầm tiếng sóng âm này sẽ va vào vật thể đó và sẽ có âm thanh phản xạ lại như
vậy tàu ngầm đó sẽ biết là có gì đó ở gần.
Lệnh “Ping” trên hệ thống mạng gửi một gói tin ICMP (Internet Control Message
Protocol) “echo request” đến Host. Nếu nhận được thông tin phản hồi (echo reply) thì
chứng tỏ Host đó đang hoạt động (đang sống); còn ngược lại thì có thể khẳng định là
Host đó đã ngừng hoạt động (hoặc không tồn tại).
Hacker sử dụng các công cụ quét IP phổ biến như: SupperScan, Pinger, Frendly
pinger, wsping pro, … để thăm dò xem có những Host nào hoạt động trên hệ thống
mạng, đây là một bước ban đầu và cần thiết để Hacker thực hiện các kỹ thuật tấn công
tiếp theo.
Giao diện công cụ SupperScan
Cách thức phòng chống Ping Sweep tốt nhất là cấu hình chặn gói tin ICMP ngay
tại Firewall. Ngoài ra còn có thể sử dụng một số kỹ thuật che dấu địa chỉ IP thật của
máy như: NAT, PAT sẽ được trình bày ở phần sau của giáo trình này.
c. Quét cổng (Port Sweep)
Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổng UDP (nếu
giao thức UDP được sử dụng cùng với giao thức IP). Cổng TCP hoặc UDP là một con
đường để truy nhập hệ thống đích, thông thường nó liên quan đến một dịch vụ, một
tiến trình hay một chức năng nhất định. Một cổng tương tự như một mạch ảo kết nối
21
giữa 2 dịch vụ hoặc 2 tiến trình truyền thông với nhau giữa 2 máy tính hoặc 2 thiết bị
mạng khác nhau.
Một số cổng TCP thông dụng:
Port
No
Purpose
Port

No
Purpose
1 Multiplexing 53 DNS server application
5 RJE applications 79 Find active user application
9 Transmission discard 80 HTTP web browsing
15 Status of network 93 Device controls
20 FTP data 102 Service access point (SAP)
21 FTP commands 103 Standadized e-mail service
23 Telnet applications 104 Standadized e-mail exchange
25 SNMTP e-mail applications 119 Usenet news transfers
37 Time transactions 139 NetBIOS applications
Quét cổng là một kỹ thuật Hacker dùng để xác định các cổng dịch vụ đang được
mở trên một máy tính (mục tiêu tấn công); bằng cách khai thác các thông tin từ gói tin
TCP
Cấu trúc một gói tin TCP
Để quét cổng, Hacker sẽ quan tâm đến các thiết lập trong phần Flag:
- Thông số SYN để yêu cầu kết nối giữa hai máy tính
- Thông số ACK trả lời kết nối hai máy tính có thể bắt đầu thực hiện
- Thông số FIN để kết thúc quá trình kết nối giữa hai máy tính
- Thông số RST từ Server nói cho Client biết rằng giao tiếp này bị cấm
- Thông số PSH sử dụng kết hợp với thông số URG
- Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin này.
Trên gói tin TCP/UDP có 16 bit dành cho Port Number, điều đó có nghĩa có thể
định nghĩa được 65535 port. Tuy nhiên, không một hacker nào lại scan toàn bộ các
port trên hệ thống, chúng chỉ scan những port hay sử dụng nhất (thường từ 1 tới 1024)
bằng các phương thức sau:
22
- SYN Scan: Khi Client bắn gói SYN với một thông số Port nhất định tới
Server nếu server gửi về gói SYN/ACK thì Client biết Port đó trên Server đang được
mở; còn nếu Server gửi về cho Client gói RST/SYN chứng tỏ port đó trên Server đang

đóng.
- FIN Scan: Client chưa có kết nối tới Server nhưng vẫn tạo ra gói FIN với số
port nhất định gửi tới Server cần Scan. Nếu Server gửi về gói ACK thì Client biết
Server đang mở port đó, nếu Server gửi về gói RST thì Client biết Server đang đóng
port đó.
- NULL Scan Sure: Client sẽ gửi tới Server những gói TCP với số port cần
Scan mà không chứa thông số Flag nào, nếu Server gửi lại gói RST thì chứng tỏ port
đó trên Server đang bị đóng.
- XMAS Scan Sorry: Client sẽ gửi những gói TCP với số Port nhất định cần
Scan chứa nhiều thông số Flag như: FIN, URG, PSH. Nếu Server trả về gói RST thì
Client biết port đó trên Server đang bị đóng.
- TCP Connect: Phương thức này rất thực tế, nó gửi đến Server những gói tin
yêu cầu kết nối tới các port cụ thể trên server. Nếu server trả về gói SYN/ACK thì
Client biết port đó mở, nếu Server gửi về gói RST/ACK thì Client biết port đó trên
Server bị đóng.
- ACK Scan: dạng Scan này nhằm mục đích tìm những Access Controll List
trên Server. Client cố gắng kết nối tới Server bằng gói ICMP nếu nhận được gói tin là
Host Unreachable thì client sẽ hiểu port đó trên server đã bị lọc.
Sau khi một Hacker biết được một hoặc nhiều địa chỉ IP của các hệ thống đang
sống (tồn tại) trên mạng, kẻ tấn công sẽ chạy phần mềm quét cổng (Nmap, Strobe) để
tìm ra những cổng quan trọng nào đang mở, những cổng nào chưa được sử dụng. Ví
dụ, kẻ tấn công có thể truy nhập và tấn công các dịch vụ DNS trên cổng 53 của một
máy chủ DNS. Cổng 23 của Telnet cũng là một mục tiêu hấp dẫn mà những kẻ tấn
công nhắm đến để giành quyền truy nhập vào một máy tính.
Một cách để ngăn chặn truy nhập thông qua một cổng mở là dừng các dịch vụ
hoặc các tiến trình hệ điều hành không sử dụng hoặc chỉ cấu hình khởi động các dịch
vụ một cách thủ công bằng chính hiểu biết của mình.
Dừng tiến trình crond (cổng 1249) bằng lệnh kill trong linux
23
Ngoài ra, có thể dùng các thiết bị chuyên dụng để phát hiện và ngăn chặn tấn

công Port Sweep như: IDS/IPS (Instrusion Detection System/Instrusion Prevention
System).
d. Xác định Hệ điều hành
Một công việc rất quan trọng mà Hacker cần phải làm trước khi tấn công vào một
hệ thống máy tính là phải thăm dò được máy chủ đó đang chạy hệ điều hành gì? Và
phiên bản nào? Những thông tin về Hệ điều hành sẽ giúp cho Hacker tìm được các
điểm yếu của hệ thống và từ đó có thể dễ dàng tấn công truy nhập vào hệ thống.
Phương thức chung để xác định Hệ điều hành của một máy chủ đang hoạt động là
telnet vào hệ thống, các Hệ điều hành khác nhau sẽ có những đáp trả khác nhau. Có 2
kỹ thuật xác định Hệ điều hành:
- Active Stack FingerPrinting: xác định dựa vào việc khởi tạo TCP của các Hệ
điều hành khác nhau là khác nhau. Với hình thức này, Hacker sử dụng các công cụ
như: Nmap, queso, … tạo ra những gói tin và gửi đến máy định tấn công; sau đó dựa
vào sự đáp trả để xác định Hệ điều hành.
- Passive Stack FingerPrinting: là kỹ thuật không trực tiếp telnet vào hệ thống
để xác định Hệ điều hành và phân tích thụ động các thông tin có được từ hệ thống như:
TTL (Time To Live), Kích thước cửa sổ, DF (tính năng phân tách bit), …
Trên thực tế, có thể có nhiều giải pháp được đưa ra nhằm phát hiện và ngăn chặn
tấn công thăm dò Hệ điều hành. Nhưng giải pháp sử dụng FireWall vẫn được coi là có
hiệu quả nhất.
2. Tấn công truy nhập
Tấn công truy nhập là hình thức tấn công mà kẻ tấn công (Attacker) thực hiện
nhằm đánh cắp dữ liệu, chiếm lấy quyền truy nhập (access) và tạo ra con đường bí mật
để có thể truy nhập trở lại về sau. Hình thức tấn công truy nhập thường được thực hiện
sau khi Attacker có đủ các thông tin về hệ thống định tấn công (địa chỉ IP, các cổng
dịch vụ đang mở, hệ điều hành, …) được xác định sau giai đoạn thăm dò.
Có một số hình thức tấn công truy nhập phổ biến sau:
a. Man - In - The – Middle (MITM)
Là hình thức tấn công mà Hacker tìm cách xen vào giữa luồng dữ liệu trao đổi
giữa hai máy tính thu thập các thông tin nhạy cảm (số PIN, mật khẩu, …) hoặc thay

đổi các thông tin xác thực rồi truyền lại, cố gắng đóng giả người dùng (tấn công
Relay). Hình thức tấn công này được coi là rất nguy hiểm vì khi bị tấn công, việc trao
24
đổi dữ liệu giữa các máy tính vẫn diễn ra bình thường nên người dùng không hề hay
biết mình bị tấn công.
Tấn công MITM
Tấn công chuyển tiếp gói tin (Relay)
Ngày nay, cùng với sự phát triển của hệ thống mạng Internet, nhu cầu trao đổi,
giao dịch thương mại điện tử tăng lên. Nếu không có giải pháp tốt để bảo vệ thông tin
của các phiên giao dịch thì rất có thể sẽ bị các đối tượng xấu tấn công bằng hình thức
MITM và gây ra những thiệt hại hết sức to lớn. Ví dụ, Hacker có thể tấn công kiểu
Relay, bắt được các gói tin URL khi người dùng thực hiện các câu lệnh chuyển tiền
qua môi trường Web, sau đó thay đổi thông tin và đóng giả người dùng để rút trộm
tiền. Một số kiểu tấn công Man In The Middle tiêu biểu như: ARP Cache, DNS
Spoofing, Hijacking, …
 ARP Cache
Như đã trình bày ở phần trước của giáo trình này, giao thức ARP tồn tại một
điểm yếu là không hề có một cơ chế nào để xác thực các thông tin trong gói tin ARP
Response. Do đó, Hacker có thể giả mạo để ăn cắp những thông tin nhạy cảm bằng
cách đứng giữa đánh lừa cả 2 máy tính đang tham gia giao dịch.
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×