Mục Lục
1. DOS…………………………………………………………………………………………....2
a. Định nghĩa về tấn công DoS……………………………………………………………....2
b. Các mục đích của tấn công DoS…………………………………………………………..2
c. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS………………………………….2
d. Các dạng tấn công…………………………………………………………………………3
2. Tấn công DOS dạng SYN Flood……………………………………………………….……..3
a.Tấn công kiểu SYN Flood………………………………………………………………….3
b. Khắc phục……………………………………………………………………………….....5
3. Tấn công DOS dạng smurf……………………………………………………………………..5
a. Tấn công Smurf……………………………………………………………………………6
b. Cách phòng chống…………………………………………………………………………6
4. SSH…………………………………………………………………………………….……….7
a. Khái niệm SSH……………………………………………………………………………..7
b. Cách thức làm việc của SSH…………………………………………………….…………7
b. 1 .Định danh host…………………………………………………………………….…7
b. 2.Mã hoá……………………………………………………………………….……….8
b. 3.Chứng thực…………………………………………………………………………...8
5. Nguyên lý làm việc của cơ chế chuyển đổi Tunneling…………………………………….….10
a. Đặc điểm chung…………………………………………………………………………..10
b. Lựa chọn giá trị MTU và phân đoạn……………………………………………………..12
c. Giới hạn các Node trên đường đi (Hop Limit)……………………………………………15
d. Nắm bắt lỗi có nguồn gốc từ IPv4 ICMP……………………………………..…….........15
e. Cơ chế mở gói khi thực hiện Tunneling IPv6-over-IPv4…………………………….…..15
f. IPv6 Manual Configured Tunnel…………………………………………………………16
g. IPv6 Automatic Configured Tunnel……..………………….……………………….16
Đào Thị Lan Tú 1
1.DOS
a. Định nghĩa về tấn công DoS
Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải lắm rõ định nghĩa
của tấn công DoS và các dạng tấn công DoS.

- Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc
làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải
tài nguyên của hệ thống.
- Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách
làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công
Denial of Service (DoS).
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể
làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào
một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn
công DoS:
b. Các mục đích của tấn công DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ
không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào.
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức không hoạt động
+ Financial Loss – Tài chính bị mất
c. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
Đào Thị Lan Tú 2
Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ
thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng
thường sử dụng để tấn công là gì:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc
dữ liệu đều là mục tiêu của tấn công DoS.
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện,
hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện

vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
d. Các dạng tấn công
Tấn công Denial of Service chia ra làm hai loại tấn công
- Tấn công DoS: Tấn công từ một cá thể, hay tập hợp các cá thể.
- Tấn công DDoS: Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một
đích cụ thể nào đó.
Các dạng tấn công DoS
- Smurf
- Buffer Overflow Attack
- Ping of Death
- Teardrop
- SYN Attack
2. Tấn công DOS dạng SYN Flood
a.Tấn công kiểu SYN Flood:
SYN flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện tại, dù tác hại của
nó không giảm. Điểm căn bản để phòng ngừa việc tấn công này là khả năng kiểm soát được số
lượng yêu cầu SYN-ACK tới hệ thống mạng. Kiểu tấn công SYN:
Đào Thị Lan Tú 3
- Attacker gởi packet SYN để tạo kết nối
- Máy bên trong mạng (Victim) gởi SYN-ACK và tạo buffer để chờ Attacker gởi dữ liệu
- Attacker không trả lời nữa, mà mở 1 kết nối SYN
Cứ như vậy Attacker sẽ mở rất nhiều kết nối với chỉ 1 packet SYN, làm cho Victim hết bộ nhớ và
treo. Chi tiết hơn để hiểu về cách tấn công này, bạn phải hiểu tiến trình tạo một kết nối TCP/IP
giữa hai hệ thống và cách mà các tin tặc lợi dụng để tạo nên một cuộc tấn công SYN flooding. Khi
một hệ thống - gọi là hệ thống A - muốn tạo một kết nối tới hệ thống thứ hai - gọi là hệ thống B, hệ
thống A sẽ gửi một gói tin SYN (cờ SYN trong phần header của gói tin TCP được bật) tới hệ thống
B, hệ thống B nếu chấp nhận kết nối này thì nó sẽ gửi trả một gói SYN-ACK báo cho hệ thống A
là nó chấp nhận kết nối, đến lúc này quá trình bắt tay đã hoàn tất một nửa (half open). Hệ thống A

sau khi nhận được SYN-ACK thì trả lời bằng một gói ACK và kết nối đã được thiết lập. Tin tặc
tấn công hệ thống B bằng cách gửi rất nhiều các gói SYN từ một địa chỉ IP thật hoặc địa chỉ IP giả
yêu cầu thiết lập kết nối với hệ thống B nhưng không gửi gói ACK để hoàn tất kết nối, hệ thống B
nếu không nhận được ACK của gói SYN-ACK thì sau một khoảng thời gian nhất định nó sẽ gửi
lại gói SYN-ACK, tổng cộng có 5 lần gửi, khoảng thời gian chờ gói ACK từ hệ thống A trước khi
gửi lại SYN-ACK được hệ thống B tăng lên, hành động này giúp cho các hệ thống có thể truyền
tin qua một mạng chậm. Sau 5 lần gửi SYN-ACK, hệ thống B sẽ huỷ bỏ kết nối dang dở đó.
Khoảng thời gian cần thiết để huỷ bỏ một kết nối như thế mất khoảng 3-4 phút, sau khi kết nối
được huỷ bỏ, TCP chờ giải phóng cổng sẵn sàng cho kết nối mới mất thêm 3-5 phút nữa, tổng
cộng hệ thống B mất 8 hoặc 9 phút cho một kết nối dang dở như thế. Do vậy nếu tin tặc gửi hàng
loạt gói tin SYN mà không có gói tin ACK để hoàn thành kết nối, hệ thống B sẽ dễ dàng bị quá tải
và không thể tiếp nhận được các kết nối TCP khác.
Windows 2000 kiểm soát nguy cơ bị tấn công SYN flooding bằng cách kiểm tra ba bộ đếm số
cổng của TCP/IP, bao gồm số cổng đang kết nối dở dang (half open ports), số cổng đã hết thời gian
chờ, số cổng đang thử gửi SYN-ACK. Khi ba giá trị này đến một ngưỡng nhất định, Win2k cho
rằng nó bị tấn công DoS theo kiểu SYN flooding, và nó giảm thời gian chờ và số lần cố gắng gửi
gói SYN-ACK nhằm mục đích giảm tải cho hệ thống. Cách xử sự của Win2k đối với tấn công
SYN flooding tuỳ thuộc vào một giá trị có tên là SynAttackProtect: REG_DWORD, nằm trong
khoá Tcpip\Parameters. Các giá trị mà SynAttackProtect nhận được là 0, 1, 2. Giá trị 0 (mặc định)
chỉ định rằng TCP sẽ hoạt động bình thường. Giá trị 1 tăng mức độ bảo vệ cao hơn (giảm số lần cố
Đào Thị Lan Tú 4
gắng gửi lại gói SYN-ACK). Giá trị 2 là mức độ bảo vệ cao nhất, kết nối TCP sẽ kết thúc rất
nhanh vì thời gian chờ cũng sẽ bị giảm đi. Lưu ý rằng với giá trị là 2 thì tuỳ chọn scalable
windows và các tham số của TCP trên mỗi adapter (Initial RTT, window size) sẽ bị bỏ qua.
Chống lại sự chuyển hướng tới các gateway chết (Dead Gateway Redirect). Khi thiết lập cấu hình
cho card giao tiếp mạng (network adapter) bằng tay, bạn phải nhập địa chỉ TCP/IP, mặt nạ subnet,
và gateway mặc định. TCP/IP sẽ gửi tất cả các gói có đích đến không cùng mạng con tới gateway
này. Gateway có trách nhiệm dẫn đường các gói tin tới địa chỉ đích. Khi TCP/IP gửi gói tin đến
gateway, gateway sẽ trả lời rằng nó đã tiếp nhận gói tin này. Nếu như gateway không hoạt động,
nó sẽ không trả lời. Nếu TCP/IP không nhận được thông báo đã nhận từ 25% gói tin nó đã gửi, nó

sẽ cho rằng gateway đã chết.
Để tránh trường hợp này, thường người ta thiết lập nhiều gateway, khi TCP/IP xác định rằng một
gateway đã chết, nó sẽ chuyển sang sử dụng gateway tiếp theo trong danh sách. Cách cư xử của
Win2k với gateway chết được quy định bởi một tham số là EnableDeadGWDetect:REG_DWORD
nằm trong khoá Tcpip\Parameters với các giá trị là 0 (cấm) và 1 (cho phép). Microsoft khuyến cáo
nên cấm Win2k nhận biết gateway chết, vì nó sẽ ngăn không cho TCP/IP gửi một gói tin đến một
gateway không mong muốn khác mà tin tặc có thể lợi dụng để chặn các gói tin gửi ra ngoài mạng
từ máy của bạn.
b. khắc phục:
Ta có thể sử dụng chức năng TCP Intercept để tránh tình trạng này. TCP Intercept có 2 mode:
- Intercept mode: nếu Attacker gởi packet SYN thì router rìa sẽ giữ packet này lại trả lời hộ. Nếu
Attacker trả lời thì đây không phải là attacker, lúc này router gởi packet SYN cho máy bên trong
vẫn chưa muộn, và dĩ nhiên cần giữ lại packet đầu tiên mà bên trong trả lời. Còn ngược lại,
Attacker không nói không rằng thì rõ ràng không nên tiếp tục kết nối với nó nữa, ghi nhớ IP này để
deny nó.
- Monitor mode: nếu Attacker gởi packet SYN thì router rìa vẫn chuyển cho Victim, nhưng theo
dõi kết nối này. Nếu nhận thấy Attacker không trả lời mà lại có nhiều kết nối khác được mở giống
như vậy nữa thì router biết rằng máy bên trong đang bị tấn công DoS SYN Attack, nó sẽ ngừng
ngay các packet tiếp theo.
3.Tấn công DOS dạng smurf
a. Tấn công Smurf
Đào Thị Lan Tú 5
- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với
địa chỉ nguồn là mục tiêu cần tấn công.
* Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy
B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn
bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ
nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính
trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf.
Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công),mạng khuếch đại (sẽ

lệnh của hacker) và hệ thống của nạn nhân.
Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại.Điều đặc biệt là các
gói tin ICMP packets này có địa chỉ ip nguồn chính làđịa chỉ ip của nạn nhân. Khi các packets đó
đến được địa chỉ broadcast củamạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng
rằng máytính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởitrả lại hệ thống
nạn nhân các gói tin phản hồi ICMP packets.
Kết quả là hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổnglồ các gói tin này và
nhanh chóng bị ngừng hoạt động, crash hoặc reboot,không có khả năng đáp ứng các dịch vụ khác.
Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng đượckết nối với nhau (mạng
BOT).
Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệthống mạng khuếch đại sẽ
khuếch đại lượng gói tin ICMP packets này lêngấp bội. Tỉ lệ khuếch đại phụ thuộc vào số mạng
tính có trong mạng khuếchđại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống
mạnghoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcastkhông qua chỗ lọc
địa chỉ nguồn ở các đầu ra của gói tin. Có được các hệthống này, hacker sẽ dễ dàng tiến hành
Smurf Attack trên các hệ thống cầntấn công.
b.cách phòng chống
Từng cá nhân, công ty, tổ chức phải biết config máy tính hệ thống của mình đểkhông bị biến thành
mạng khuếch đại. Khi bị tấn công các công ty,cá nhân cần phải phối hợp với ISP nhằm giới hạn
lưu lựong ICMP, tăng cường biện phápđối phó Theo rõi cuộc tấn công như kiểu này là rất khó
nhưng không phải làkhông được Để không bị biến thành mang khuếch đại bạn nên vô hiệu
Đào Thị Lan Tú 6