LỜI MỞ ĐẦU
Ngày nay, Công nghệ thông tin đang phát triển với tốc độ “vũ bão”, bên cạnh
những mặt tích cực và lợi ích to lớn mà Xã hội thông tin mang lại cho nhân loại thì
lại tồn tại các mặt tiêu cực như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống
mạng, nguy cơ bị đánh cắp các thông tin “nhạy cảm” của cá nhân, các tổ chức,
doanh nghiệp, các cơ quan Nhà nước …. Để ngăn chặn lại những nguy cơ này, đòi
hỏi các cơ quan, tổ chức, doanh nghiệp, phải tổ chức xây dựng các hệ thống an ninh
mạng nhằm đảm bảo an toàn cho hệ thống mạng của Cơ quan mình.
Và trong vô số các biện pháp ngăn chặn đó, thì "Honeypot" (tạm gọi là mắt
ong) và "Honeynet" (tạm gọi là tổ ong) được coi là một trong những cạm bẫy hết
sức hiệu quả, được thiết kế với mục đích này. Đối với các tin tặc thì hệ thống này
quả là những “Cạm bẫy đáng sợ”. Vì vậy, giới Hacker thường xuyên thông báo –
cập nhật các hệ thống Honeynet mới được triển khai trên thế giới ở các diễn đàn
Hacker, nhằm tránh “sa bẫy” những hệ thống Honeynet này.
Khác với các hệ thống An ninh mạng khác như: Hệ thống phát hiện xâm
nhập và chống xâm nhập, hệ thống Firewall …, được thiết kế làm việc thụ động
trong việc phát hiện - ngăn chặn sự tấn công của tin tặc (Hacker) vào hệ thống
mạng, thì Honeynet lại được thiết kế nhằm chủ động lôi kéo Hacker tấn công vào hệ
thống giả được bố trí bên cạnh hệ thống thật nhằm mục đích:
 Thu thập các kỹ thuật – phương pháp tấn công, các công cụ mà Hacker sử
dụng, đặc biệt là các kỹ thuật tấn công mạng mới, các mẫu virus - mã độc mới.
 Giúp chúng ta sớm phát hiện ra các lỗ hổng bảo mật tồn tại trên các sản
phẩm công nghệ thông tin đã triển khai - cài đặt trên hệ thống thật. Từ đó, sớm có
biện pháp ứng phó - khắc phục kịp thời. Đồng thời, cũng kiểm tra độ an toàn của hệ
thống mạng, các dịch vụ mạng (như: Web, DNS, Mail …), và độ an toàn – tin cậy chất lượng của các sản phẩm thương mại công nghệ thông tin khác (đặc biệt là các
Hệ điều hành như: Unix, Linux, Window …).
 Thu thập các thông tin, dấu vết của Hacker (như: địa chỉ IP của máy Hacker
sử dụng tấn công, vị trí địa lý của Hacker, thời gian Hacker tấn công …). Từ đó,
giúp chuyên gia an ninh mạng truy tìm thủ phạm.
Trang 1

II. Mục tiêu
Sau khi hoàn thành báo cáo này sẽ nắm được các kỹ thuật bảo mật trong hệ
thống Honeynet. Nâng cao nhận thức của các mối đe dọa hiện tại trên Internet, cung
cấp các công cụ và các kỹ thuật được sử dụng.
III. Ý nghĩa khoa học và thực tiễn
Ý nghĩa khoa học:
− Cung cấp lý thuyết về hệ thống Honeynet.
− Chỉ cho ta tầm quan trọng của bảo mật trong hệ thống Honeynet.
Ý nghĩa thực tiễn:
− Đưa ra giải pháp bảo mật giá thành rẻ mà hiệu quả cao.
− Tăng độ tin cậy và khả năng dự phòng cho hệ thống.
IV. Phạm vi nghiên cứu
− Hệ thống mạng doanh nghiệp.
− Các giải pháp bảo mật hiện nay.
V. Nội dung nghiên cứu
 Chương 1: Tổng quan về an ninh mạng.
 Chương 2: Khái niệm, chức năng và mô hình kiến trúc của Honeynet.
 Chương 3: Triển khai hệ thống Honeynet.

Trang 2


DANH MỤC HÌNH VẼ
Hình 2.1: Mô hình kiến trúc honeynet....................Error: Reference source not found
Hình 2.2: Mô hình triển khai Honeynet ở Bắc Kinh, Trung Quốc. . .Error: Reference
source not found
Hình 2.3: Mô hình triển khai Honeynet ở Hy Lạp. Error: Reference source not found
Hình 2.4: Mô hình triển khai Honeynet ở Anh......Error: Reference source not found
Hình 2.5: Mô hình kiến trúc vật lý Honetnet thế hệ I......Error: Reference source not

found
Hình 2.6: Mô hình kiến trúc Honeyney thế hệ II, III.......Error: Reference source not
found
Hình 2.7: Mô hình kiến trúc logic của Honeynet...Error: Reference source not found
Hình 2.8: Mô hình kiểm soát dữ liệu......................Error: Reference source not found
Hình 2.9: Sơ đồ thu nhận dữ liệu............................Error: Reference source not found
Hình 2.10: Mô hình hoạt động của Sebek..............Error: Reference source not found
Hình 2.11: Sơ đồ kiến trúc Honeywall...................Error: Reference source not found
Hình 3.1: Mô hình triển khai Honeynet..................Error: Reference source not found

Trang 3


TỪ VIẾT TẮT
SỐ HIỆU

TỪ VIẾT TẮT

CỤM TỪ

1

IP

Internet Protocol

2

DNS


Domain Name System

3

TCP

Transmission Control Protocol

4

WWW

World Wide Web

5

FTP

File Transfer Protocol

6

DoS

Denial of Service

7

RAM


Random Access Memory

8

SQL

Structured Query Language

9

XSS

Cross-Site Scripting

10

HTML

Hyper Text Markup Language

11

IT

Information Technology

12

IDS


Intrusion Detection System

13

DDoS

Distributed Denial of Service

14

NIPS

Network Intrustion Prevention Systems

15

TMG

Threat Management Gateway

Trang 4


CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1 Tổng quan về an toàn, an ninh trên mạng Internet
Mạng máy tính toàn cầu Internet là mạng của các mạng máy tính được kết
nối với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Các
mạng được điều hành hoạt động bởi một hoặc nhiều loại hệ điều hành mạng. Như
vậy, hệ điều hành mạng có thể điều phối một phần của mạng và là phần mềm điều
hành đơn vị quản lý nhỏ nhất trên toàn bộ mạng.

Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng
máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn mở cửa. Các
biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôn cần được sử dụng.
Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở mức cao
nhất song không phải bao giờ cũng thuận lợi và không tốn kém. Thường thì các hệ
điều hành mạng, các thiết bị mạng sẽ lãnh trách nhiệm lá chắn cuối cùng cho thông
tin. Vượt qua lá chắn này thông tin hầu như không còn được bảo vệ nữa.
Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử (Email),
WWW, FTP, News... làm cho mạng có nhiều khả năng cung cấp thông tin. Các dịch
vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợp với cơ chế an toàn của hệ
điều hành mạng.
Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô
tình và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn là đối
tượng tấn công. Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập
từ xa. Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải
truyền đi trên mạng. Những kẻ xâm nhập tìm mọi cách giành được những thông tin
này và từ xa truy nhập vào hệ thống. Càng truy nhập với tư cách người dùng có
quyền điều hành cao càng thì khả năng phá hoại càng lớn.
Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước.
Nhưng tựu trung lại gồm ba hướng chính sau:
− Bảo đảm an toàn cho phía server.
− Bảo đảm an toàn cho phía client.

Trang 5


− Bảo mật thông tin trên đường truyền.

1.2 Các hình thức tấn công trên mạng Internet
1.2.1 Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn
đầu để chiếm được quyền truy nhập hệ thống mạng bên trong.
Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn
công cổ đIển là dò tìm cặp tên người sử dụng và mật khẩu thông qua việc sử dụng
một số thông tin đã biết về người sử dụng để dò tìm mật khẩu, đây là một phương
pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một chương
trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được
thông tin từ Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp
các từ trong một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa.
Trong một số trường hợp, khả năng thành công của phương pháp này cũng khá cao,
nó có thể lên tới 30%.
1.2.2 Nghe trộm trên mạng
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua
hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho thông tin của ta
có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế
thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc
nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy
nhập hệ thống hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có
một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng Intemet.
Bạn có thể mã hoá cho nguồn thông tin của mình trước khi gửi đi qua mạng
Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ
là những thông tin vô nghĩa.
1.2.3 Vô hiệu hóa các chức năng của hệ thống
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ
(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những hương tiện
dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy

Trang 6



cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên
mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi
nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho
đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy
khác đến trạm không được phục vụ.
1.2.4 Tấn công vào yếu tố con người
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn
thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay
đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác.
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet chính là
người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử
dụng máy tính, mạng internet không cao. Chính họ đã tạo điều kiện cho những kẻ
phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như
qua email: Kẻ tấn công gửi những chương trình, virus và những tài liệu có nội dung
không hữu ích hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an
toàn. Thông thường những thông tin này được che phủ bởi những cái tên hết sức ấn
tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và điều tồi tệ
nhất sẽ xảy ra khi người sử dụng mở hay chạy nó. Lúc đó có thể thông tin về người
sử dụng đã bị tiết lộ hoặc có cái gì đó đã hoạt động tiềm ẩn trên hệ thống của bạn và
chờ ngày kích hoạt mà chúng ta không hề ngờ tới. Với kiểu tấn công như vậy sẽ
không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu chỉ có phương
pháp duy là giáo dục người sử dụng mạng về những yêu cầu bảo mật để nâng cao
cảnh giác.

1.3 Phân loại kẻ tấn công
1.3.1 Người qua đường
Là những kẻ buồn chán với các công việc hàng ngày, họ muốn tìm những trò
giả trí mới. Họ đột nhập vào máy tính của bạn vì họ nghĩ bạn có thể có những dữ
liệu hay, hoặc bởi họ cảm thấy thích thú khi được sử dụng máy tính của người khác,

hoặc chỉ đơn giản là họ không tìm được một việc gì hay hơn để làm. Họ có thể là

Trang 7


người tò mò nhưng không chủ đinh làm hại bạn. Tuy nhiên, họ thường gây hư hỏng
hệ thống khi đột nhập hay khi xóa bỏ dấu vết của họ.
1.3.2. Kẻ phá hoại.
Là những kẻ chủ định phá hoại hệ thống của bạn, họ có thể không thích bạn,
họ cũng có thể không biết bạn nhưng họ tìm thấy niềm vui khi đi phá hoại. Thông
thường, trên Internet kẻ phá hoại khá hiếm. Mọi người không thích họ. Nhiều người
còn thích tìm và chặn đứng những kẻ phá hoại. Tuy ít nhưng kẻ phá hoại thường
gây hỏng trầm trọng cho hệ thống của bạn như xóatoàn bọ dữ liệu, phá hỏng
các thiết bị trên máy tính của bạn.
1.3.3. Kẻ ghi điểm
Rất nhiều kẻ qua đường bị cuốn hút vào việc đột nhập, phá hoại. Họ muốn
được khẳng định mình thông qua số lượng và các kiểu hệ thống mà họ đã đột nhập
qua. Đột nhập được vào những nơi nổi tiếng, những nơi phòng bị chặt chẽ, những
nơi thiết kế tinh xảo có giá trị nhiều điểm đối với họ. Tuy nhiên họ cũng sẽ tấn công
tất cả những nơi họ có thể, với mục đích số lượng cũng như mục đích chất lượng.
Những người này không quan tâm đến những thông tin bạn có hay những đặc tính
khác về tài nguyên của bạn. Tuy nhiên, để đạt được mục đích là đột nhập, vô tình
hay hữu ý họ sẽ làm hư hỏng hệ thống của bạn.
1.3.4. Gián điệp
Hiện nay có rất nhiều thông tin quan trọng được lưu giữ trên máy tính như
các thông tin về quân sự, kinh tế …. Gián điệp máy tính là một vấn đề phức tạp và
khó phát hiện. Thực tế, phần lớn các tổ chức không thể phòng thủ kiểu tấn công này
một cách hiệu quả và bạn có thể chắc rằng đường lên kết với Internet không phải là
con đường dễ nhất để gián điệp thu lượm thông tin.


1.4 Các kỹ thuật tấn công và phương thức xâm nhập hệ thống
1.4.1 Các kỹ thuật tấn công
1.4.1.1 Tấn công từ chối dịch vụ (DoS)
DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người
dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó. Nó bao gồm
cả việc làm tràn ngập mạng, làm mất kết nối với dịch vụ… mà mục đích cuối cùng

Trang 8


là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các
client. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm
chí cả một hệ thống mạng rất lớn.
Các nguy cơ tấn công bằng DoS:
−

Tấn công trên Swap Space: Hầu hết các hệ thống đều có vài

trăm MB không gian chuyển đổi để phục vụ cho những yêu cầu từ máy khách.
Swap space thường dùng cho các tiến trình con có thời gian ngắn nên DoS có thể
được dựa trên phương thức làm tràn đầy swap space.
−

Tấn công vào Ram: Tấn công Dos chiếm 1 khoảng lớn của RAM cũng có

thể gây ra các vấn đề phá hủy hệ thống.
−

Tấn công vào Disks: Đây là kiểu tấn công làm đầy đĩa cứng. Đĩa cứng có


thể bị tràn và không thể được sử dụng nữa.
1.4.1.2 Tấn công SQL Injection
Khi triển khai các ứng dụng web trên internet, nhiều người vẫn nghĩ rằng
việc đảm bảo an toàn, bảo mật nhằm giảm thiểu tối đa khả năng bị tấn công bởi các
tin tặc chỉ đơn thuần tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ
sở dữ liệu, webserver để chạy ứng dụng …mà quên mất rằng ngay cả bản thân ứng
dụng chạy trên đó cũng tiềm ẩn lỗ hổng bảo mật rất lớn. Một trong các lỗ hổng này
là SQL Injection.
SQL injection là một kĩ thuật cho phép những kẻ tấn công (Hacker) lợi dụng
lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo
lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" và thi hành các câu lệnh SQL bất hợp
pháp (không được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai
hại cho phép những kẻ tấn công chiếm quyền kiểm soát web. Lỗi này thường xảy ra
trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu
như SQL Server, MySQL, Oracle, DB2, Sysbase.
Các dạng tấn công thường gặp là:
− Tấn công sử dụng câu lệnh Select, Insert.
− Tấn công dựa vào câu lệnh Having, Group By, Union.
− Tấn công vượt qua kiểm tra đăng nhập.

Trang 9


1.4.1.3 Tấn công Cross-site Scripting (XSS)
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến
nhất hiên nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối
với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào
cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn
mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.
Phương pháp Cross Site Scripting (được viết tắt là XSS) là phương pháp tấn

công bằng cách chèn thêm những đoạn mã có khả năng đánh cắp hay thiết lập được
những thông tin quan trọng như cookies, mật khẩu,… vào mã nguồn ứng dụng web
để từ đó chúng được chạy như là một phần của ứng dụng Web và có chức năng
cung cấp hoặc thực hiện những những điều hacker muốn. Hacker sẽ chèn vào các
website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã script
nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những
đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script
như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML.
Các bước thực hiện tấn công bằng XSS
− Bước 1: Hacker biết được người dùng đang sử dụng một ứng dụng Web có
lỗ hỏng XSS.
− Bước 2: Người dùng nhận được 1 liên kết thông qua email hay trên chính
trang Web (như trên guestbook, banner dễ dàng thêm 1 liên kết do chính hacker tạo
ra…).
− Bước 3: Chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ
của hacker.
− Bước 4: Hacker tạo một chương trình cgi hoặc một trang Web để ghi nhận
những thông tin đã đánh cắp vào 1 tập tin.
− Bước 5: Sau khi nhận được thông tin cần thiết, hacker có thể sử dụng để
thâm nhập vào tài khoản của người dùng.
1.4.1.4 Kỹ thuật giả mạo địa chỉ
Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng
tường lửa (Firewall). Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào
nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Tường lửa hạn chế rất nhiều
Trang 10


khả năng tấn công từ bên ngoài, bên trong và gia tăng sự tin tưởng lẫn nhau trong
việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là người bên ngoài hoặc bên trong sẽ giả mạo địa

chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công. Họ
tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong
mạng bị tấn công. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy
thông tin hay phá hoại hệ thống. Hay nói cách khác việc giả mạo địa chỉ IP có thể
được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (sourcerouting). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong
với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói
tin IP phải gửi đi.
1.4.1.5 Tấn công dùng Cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website
và trình duyệt của người dùng.
Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB).
Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người
dùng đã ghé thăm site và những vùng mà họ đi qua trong site. Những thông tin này
có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, Cookies
được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính, không
phải Browser nào cũng hổ trợ cookies.
1.4.2 Các phương thức xâm nhập hệ thống bằng phần mềm phá hoại
Kỹ thuật và hình thức tấn công mới thường xuyên được phát hiện và nâng
cấp. Ở trên chỉ giới thiệu các hình thức tấn công phổ biến đã được phát hiện và
phân tích. Ngoài các hình thức tấn công như trên, các hệ thống thông tin còn phải
đối mặt với một nguy cơ xâm nhập rất lớn đó là các phần mềm virus, worm,
spyware …, gọi chung là các phần mềm phá hoại hay phần mềm độc.
1.4.2.1 Virus
Là phần mềm ẩn, kích thước nhỏ và được gắn vào một tập tin chủ nào đó,
thông thường là các tập tin thực thi được, nhờ đó virus mới có khả năng phá hoại và

Trang 11


lan truyền sang các máy khác. Một số loại virus lại gắn với các tập tin tài liệu (ví dụ

như word, excel …) và được gọi là các virus macro.
Virus lan truyền giữa các máy tính thông qua việc sao chép các tập tin có
nhiễm virus từ đĩa mềm, đĩa CD, đĩa flash, hoặc thông qua các tập tin gởi kèm theo
e-mail. Phạm vi phá hoại của virus là rấtlớn. Thông thường nhất, các virus thường
gây ra mất mát dữ liệu, hư hỏng phần mềm và hư hỏng cả hệ điều hành.
1.4.2.2 Worm
Là loại phần mềm độc có cơ chế hoạt động và tầm phá hoại gần giống như
virus. Điểm khác nhau cơ bản giữa worm và virus là worm có khả năng tự sao
thông qua mạng (trong khi virus phải nhờ vào thao tác sao chép của người sử dụng)
và tự tồn tại như một chương trình độc lập (trong khi virus phải gắn vào một tập tin
khác).
Đặc trưng cơ bản nhất của worm là tính phát tán nhanh trên phạm vi rộng
bằng nhiều phương tiện khác nhau, như sử dụng trực tiếp giao thức TCP/IP, sử
dụng các dịch vụ mạng ở lớp ứng dụng, phát tán qua e-mail và nhiều phương tiện
khác.
1.4.2.3 Trojan horse
Một dạng phần mềm độc hoạt động núp dưới danh nghĩa một phần mềm hữu
ích khác, và sẽ thực hiện các hành vi phá hoại hệ thống khi chương trình giả danh
được kích hoạt bởi người sử dụng.
Trojan không có khả năng tự sao chép như worm (mà phải giả dạng thành
một phần mềm có ích hoặc được gắn vào một phần mềm thực thi khác để được cài
đặt vào máy), không có khả năng tự thực thi như virus (mà chỉ thực hiện khi người
sử dụng khởi động chương trình).

1.5 Tìm hiểu về bảo mật
1.5.1 Khái niệm bảo mật
Bảo mật tức là lĩnh vực nghiên cứu để bào vệ sự an toàn thông tin, bảo vệ sự
hoạt động trơn tru của một hoặc nhiều hệ thống, đảm bảo sự riêng tự cá nhân trên
môi trường mạng máy tính.
Bảo mật thông tin nhằm mục đích:


Trang 12


− Đảm bảo thông tin chỉ được truy xuất bởi những người có chức năng.
− Đảm bảo các phương thức xử lý thông tin chính sách, an toàn và trọn vẹn.
− Đảm bảo những người có chức năng có thể truy cập thông tin mọi lúc, mọi
nơi khi có yêu cầu.
1.5.2 Các đặc trưng của một hệ thống thông tin bảo mật
Hệ thống thông tin bảo mật (Secure Information System) là một hệ thống mà
thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng:
− Tính bí mật.
− Tính toàn vẹn.
− Tính khả dụng.
1.5.2.1 Tính bí mật
Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất
đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm,
kể cả phần mềm phá hoại như virus, worm, spyware …
Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau.
Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy
cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin
khác như thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông
tin cá nhân, đặc biệt của những người nổi tiếng, thông tin cấu hình hệ thống của các
mạng cung cấp dịch vụ, v.v… đều có nhu cầu được giữ bí mật ở từng mức độ.
1.5.2.2 Tính toàn vẹn
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự
thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị
hoặc phần mềm.Tính toàn vẹn được xét trên 2 khía cạnh:
− Tính nguyên vẹn của nội dung thông tin.
− Tính xác thực của nguồn gốc của thông tin.

Cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các cơ chế
ngăn chặn và các cơ chế phát hiện.
− Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi
nội dung và nguồn gốc của thông tin. Các hành vi này bao gồm 2 nhóm: hành vi cố

Trang 13


gắng thay đổi thông tin khi không được phép truy xuất đến thông tinvà hành vi thay
đổi thông tin theo cách khác với cách đã được cho phép.
−

Cơ chế phát hiện chỉ thực hiện chức nănggiám sát và thông báo khi có các

thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ thống
mà không thực hiện chức năng ngăn chặn các hành vi truy xuất trái phép đến thông
tin.
Các yếu tố như nguồn gốc thông tin, cách thức bảo vệ thông tin trong quá
khứ cũng như trong hiện tại đều là những yếu tố quyết định độ tin cậy của thông tin
và do đó ảnh hưởng đến tính toàn vẹn của thông tin. Nói chung, việc đánh giá tính
toàn vẹn của một hệ thống thông tin là một công việc phức tạp.
1.5.2.3 Tính khả dụng
Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu
truy xuất hợp lệ.
Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy
tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không
bị tiết lộ hay thay đổi. Tuy nhiên, khi người quản lý cần những thông tin này thì lại
không truy xuất được vì lỗi hệ thống. Khi đó, thông tin hoàn toàn không sử dụng
được và ta nói tính khả dụng của thông tin không được đảm bảo.
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ

thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại
một hệ thống thông tin nào. Một hệ thống khả dụng là một hệ thống làm việc trôi
chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra.
Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo
mật, bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật
và toàn vẹn) sẽ trở nên vô nghĩa.

1.5.3 Các phương pháp bảo mật
1.5.3.1 Xây dựng tường lửa
Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám
sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống
khác. Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông

Trang 14


hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người
sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ
liệu không hợp lệ.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những
người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng
kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những
kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các
cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet.
1.5.3.2 Sử dụng phần mềm quản trị người dùng
Một máy tính bị tấn công có thể làm phá hủy cả hệ thống máy tính hay
mạng, do đó để đảm bảo an toàn hơn nên kiểm soát các website nhân viên truy nhập
thông qua các chính sách quản lý trên máy chủ.
1.5.3.3 Sử dụng phần mềm chống virus, mã độc
Các phần mềm này có thể bảo vệ máy tính khỏi virus, trojans, rootkit và

những cuộc tấn công. Ngày nay, các chương trình này thường được đóng gói lại.
Bởi vì có hàng nghìn biến thể mã độc xuất hiện hàng ngày nên rất khó để các công
ty phần mềm có thể theo kịp. Vì vậy, nhiều người dùng cảm thấy an toàn hơn khi
cài nhiều chương trình bảo mật, nếu chương trình này bỏ qua một mã độc nào đó,
có thể chương trình khác sẽ phát hiện được.
1.5.4 Sử dụng phần mềm mã hóa dữ liệu
Nên lưu dữ liệu an toàn bằng cách mã hóa. Xây dựng hệ thống dự phòng trực
tuyến. Điều này giúp chúng ta có thể lấy lại dữ liệu trong trường hợp máy tính bị ăn
cắp hay hỏng.

Trang 15


CHƯƠNG 2: KHÁI NIỆM, CHỨC NĂNG VÀ MÔ HÌNH KIẾN
TRÚC CỦA HONEYNET
2.1 Giới thiệu Honeynet
Ý tưởng xây dựng hệ thống Honeynet xuất phát từ bài báo “To Buil a
Honeypot” của tác giả Lance Spitzner – một trong những người đứng ra thành lập
dự án Honeynet (Honeynet Project), bài báo này giới thiệu các nội dung ban đầu
của kỹ thuật Honeynet. Mục đích nghiên cứu các kỹ thuật tấn công của Hacker, từ
đó có biện pháp ngăn chặn tấn công kịp thời. Và tháng 6 năm 2000, dự án Honeynet
được thành lập bởi 30 chuyên gia an ninh mạng của các công ty bảo mật như:
Foundstone, Security Focus, Source Fre, … tình nguyện tham gia nghiên cứu phi
lợi nhuận.
Dự án Honeynet được thiết kế để nhằm mục đích nghiên cứu, dò tìm và thu
hút mọi cuộc tấn công bất kỳ của Internet vào hệ thống máy chủ Linux, Windows.
Dự án này không đưa ra các nghiên cứu so sánh với Windows, nhưng Spitzner đã
chỉ ra rằng các cơ quan chuyên về bảo mật như Symantec hoặc Internet Storm
Center (ISC) đã công nhận rằng có rất nhiều cuộc tấn công vào các hệ thống
Windows. Một dự án khác của ISC đã đo lường thời gian tồn tại của các hệ thống

Windows trước các cuộc tấn công và cho ra nhiều kết quả sau:
Thời gian tồn tại trung bình trước các cuộc tấn công của một số hệ thống
chạy Windows trong các thử nghiệm của ISC đã giảm nhanh từ 55 phút trong giai
đoạn 2003 xuống chỉ còn 20 phút vào cuối năm 2004. Thảm hại nhất là vào giai
đoạn đầu 2004, một hệ thống Windows chỉ tồn tại có 15 phút trước khi bị hạ gục.
Dự án Honeynet đã cân nhắc kỹ trước khi phân bố các hệ thống khắp mọi
nơi trên thế giới để thu hút các cuộc tấn công. Các máy tính chuyên câu nhử của
Honeynet được phân bố đều trong các mạng gia đình đến các doanh nghiệp vừa và
nhỏ.
Dự án Honeynet được triển khai 12 trạm Honeynet ở 8 quốc gia (Mỹ, Ấn Độ,
Hy Lạp, Anh, Pakistan, Bồ Đào Nha, Brazil và Đức). Bao gồm 24 hệ thống Unix và
và giả lập Unix, 19 hệ thống Linux hầu hết là Ret Hat bao gồm: 1 hệ thống Ret Hat

Trang 16


7.2, 5 hệ thống Red Hat 7.3, 1 Ret Hat 8.0, 8 Ret Hat 9.0 và 1 hệ thống Fedora
Core. Các hệ thống khác nữa bao gồm: 1 chạy Suse 7.2, 1 Suse 6.3, 2 Solaris Sparc
8, 2 Solaris Sparc 9 và 1 hệ thống chạy Free-BSD 4.4.
Mục tiêu của dự án Honeynet là:
− Nâng cao nhận thức của các mối đe dọa hiện tại trên Internet.
− Tiến hành nghiên cứu bao gồm các phương pháp phân tích dữ liệu, phát triển
công cụ bảo mật độc đáo và thu thập dữ liệu về những kẻ tấn công và phần mềm
độc hại mà hacker sử dụng.
− Cung cấp các công cụ và các kỹ thuật được sử dụng bởi các dự án Honeynet
để các tổ chức khác có thể có lợi.

2.2 Khái niệm Honeynet
Honeynet là một mạng các Honeypot tương tác mức cao giống như một
mạng thật sự trong thực tế và được cấu hình sao cho tất cả các hoạt động được giám

sát và ghi nhận. Trong một hệ thống Honeynet có các Honeypot với mục đích giả
dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của
chúng, ngăn không cho chúng tiếp xúc với hệ thống thật. Honeynet cung cấp các hệ
thống, ứng dụng, các dịch vụ thật như: Web, Mail, File server …. Honeynet được
áp dụng theo hai hướng: mục đích nghiên cứu và bảo vệ hệ thống thật.
Hệ thống Honeynet có thể triển khai xây dựng ở nhiều cơ quan, tổ chức với
nhiều mục đích khác nhau như: Các cơ quan nhà nước, doanh nghiệp có thể sử
dụng Honeynet nhằm kiểm tra độ an toàn của hệ thống mạng của mình và ngăn
chặn kẻ tấn công tấn công vào hệ thống thật; các cơ quan, tổ chức, doanh nghiệp
hoạt động trong lĩnh vực an ninh mạng có thể sử dụng Honeynet nhằm thu thập các
loại mã độc hại mới như: virus, worm, spyware, trojan,… , để kịp thời viết chương
trình cập nhật diệt mã độc cho sản phẩm Anti-virus của công ty mình ….

Trang 17


Hình 2.1: Mô hình kiến trúc honeynet
Với mô hình này Honeywall gồm có 3 card mạng là: eth0, eth1, eth2. Card
mạng eth0 thì kết nối với Router, card eth1 thì kết nối với các Honeypot, còn card
thứ 3 kết nối với Management. Khi Hacker từ bên ngoài Internet tấn công vào hệ
thống thì các Honeypot sẽ đóng vai trò là hệ thống thật tương tác với hacker, và
thực hiện thu thập các thông tin của Hacker như: địa chỉ IP của máy hacker sử
dụng, kỹ thuật hacker tấn công, các công cụ mà hacker sử dụng …. Các thông tin
này đều sẽ bị ghi lại trên Honeywall, và được các quản trị mạng sử dụng để phân
tích kỹ thuật tấn công của Hacker; qua đó, đánh giá được mức độ an toàn của hệ
thống, và có biện pháp kịp thời khắc phục các điểm yếu tồn tại trong hệ thống.

Trang 18



2.3 Các thành phần trong hệ thống Honeynet
2.3.1 Honeypot
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích
giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú
ý, ngăn không cho chúng tiếp xúc với hệ thống thật. Honeypot chứa các hệ thống tài
nguyên thông tin có giá trị, nhạy cảm, có tính bí mật như: thông tin về chứng khoán,
thông tin tài khoản ở các ngân hàng, thông tin bí mật an ninh quốc gia…., để làm
“mồi” dụ Hacker chú ý đến tấn công.
Dựa vào mức tương tác Honeypot được chia phân thành 2 loại khác nhau:
 Honeypot tương tác mức thấp: mô phỏng giả các dịch vụ, ứng dụng và hệ
điều hành. Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch
vụ.
 Honeypot tương tác mức cao: là các dịch vụ, ứng dụng và hệ điều hành thật.
Mức độ thông tin thu thập được cao, nhưng rủi ro cao, tốn thời gian để vận hành và
bảo dưỡng.
Honeypot như một mức bảo vệ firewall hơn là bảo vệ hệ thống mạng. Ví dụ,
nếu một firewall bảo vệ một mạng, thì Honeypots thường được đặt bên ngoài
firewall. Điều này cho phép các thủ phạm trên Internet nhận được quyền truy cập
đầy đủ tới bất kỳ dịch vụ nào của Honeypots.
Honeypot có sự khác nhau giữa Honeypot nghiên cứu và Honeypot sản
phẩm. Những Honeypot nghiên cứu dựa trên những thông tin tình báo đạt được về
kẻ tấn công cũng như phương pháp, kỹ thuật của Hacker. Trong khi đó, những
Honeypot sản phầm có mục đích là làm giảm những nguy hiểm cho nguồn lực IT
của công ty và cung cấp những cảnh báo phát hiện cho các cuộc tấn công trên cơ sở
hạ tầng mạng, đồng thời đoán được và làm chệch hướng các cuộc tấn công khỏi hệ
thống sản phẩm trong môi trường giám sát của Honeypot.
Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ
loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web
Server…, được cài đặt chạy trên bất cứ Hệ điều hành nào như: Linux (Red hat,
Fedora…), Unix (Solaris), Window (Window NT, Window 2000, WindowXP,

Window 2003, Vista, …), …. Honeypot sẽ trực tiếp tương tác với tin tặc và tìm
Trang 19


cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay
cách thức tiến hành tấn thay vì bị tấn công.


Ưu điểm của Honeypot:

Công cụ và chiến thuật mới: Honeypots được thiết kế để nắm bắt tất cả những gì
được tương tác với nó, bao gồm các công cụ, chiến thuật không bao giờ thấy trước.
− Dung lượng tối thiểu: một máy tính có dung lượng RAM 128MB vẫn có thể
sử dụng làm một Honeypot.
− Thông tin thu nhập chi tiết, chính xác.
− Công nghệ đơn giản, dễ cấu hình.


Nhược điểm của Honeypot:

− Hạn chế View: Honeypots chỉ có thể theo dõi là nắm bắt hoạt động trực tiếp
tương tác với họ. Honeypots sẽ không nắm bắt các cuộc tấn công chống lại các hệ
thống khác, trừ khi kẻ tấn công hoặc đe dọa tương tác với các honeypots.
− Có tính rủi ro cao.
2.3.2 Honeywall
Honeywall là gateway ở giữa honeypot và mạng bên ngoài. Nó hoạt động ở
tầng 2 như là Bridged. Các luồng dữ liệu khi vào và ra từ honeypot đều phải đi qua
Honeywall. Để kiểm soát các luồng dữ liệu này, cũng như thu thập các dấu hiệu tấn
công, và ngăn chặn tấn công của các Hacker thì Honeywall sử dụng hai công cụ
chính là:

− Một là IDS Snort gồm có các luật (Rule) định nghĩa các dấu hiệu tấn công,
và thực hiện hiện bắt các gói tin (Packet).
− Hai là Firewall Iptables gồm có các luật (Rule) định nghĩa sự cho phép
(Allow) hoặc không cho phép (Deny) các truy cập từ bên ngoài vào hoặc bên trong
hệ thống ra, và kiểm soát các luồng dữ liệu qua Honeywall.

Trang 20


2.4 Một số mô hình triển khai Honeynet trên thế giới
2.4.1 Mô hình triển khai Honeynet của Đại học Bắc Kinh – Trung Quốc

Hình 2.2: Mô hình triển khai Honeynet ở Bắc Kinh, Trung Quốc
Mô hình triển khai gồm ba honeypot với các hệ điều hành khác nhau: Red
Hat Linux9.0, Windows XP, Windows 2000 và các honeypot ảo được giả lập
chương trình honeyd. Và mô hình này, Honeywall gồm có 3 card mạng:
 Card thứ 1 được kết nối với 1 Router bên ngoài.
 Card thứ 2 được kết nối với các Honeypot bên trong.
 Card thứ 3 được kết nối an toàn với máy Console.
Khi Hacker tấn công vào thì ba Honeypot và Honeypot ảo sẽ tương tác với
Hacker, và tiến hành thu thập các thông tin của Hacker như: địa chỉ IP của máy
Hacker sử dụng, các tool mà Hacker dùng, cách thức Hacker thâm nhập vào hệ

Trang 21


thống, …. Toàn bộ quá trình tấn công của Hacker sẽ được Honeywall ghi lại và đưa
ra các cảnh báo cho người dùng biết.
2.4.2 Mô hình triển khai Honeynet ở Hy Lạp


Hình 2.3: Mô hình triển khai Honeynet ở Hy Lạp
Theo mô hình này, hệ thống Honeynet sử dụng một Honeywall, một
honeypot với hệ điều hành Red Hat 9.0 (DNS Server) và bốn honeypot ảo giả lập
bằng honeyd các hệ điều hành: MS Windows XP Pro SP1, Linux 2.4.20, Solaris 9
và Cisco 1601R IOS 12.1.
Trong mô hình này, Honeywall cũng có ba card mạng, và sơ đồ triển khai
cũng gần giống với mô hình triển khai của Đại học Bắc Kinh nhưng chỉ khác ở chỗ
giữa máy Console (Remote Management and Analysis Network) và bốn máy
Honeypot ảo có thêm một Firewall. Firewall này sẽ đảm bảo bảo vệ an toàn cho
máy Consle ngay cả khi Hacker kiểm soát được các Honeypot ảo này.
Trang 22


2.4.3 Mô hình triển khai Honeynet ở Anh

Hình 2.4: Mô hình triển khai Honeynet ở Anh
Trong mô hình này, họ đã triển khai bốn Honeypot với các hệ điều hành:
Red hat 7.3, Fedora Core 1, Sun Solaris 7, Sun Solaris 9. Mô hình này cũng gần
giống với hai mô hình trên, chỉ khác nhau ở chỗ máy Console ngoài kết nối tới
Honeywall thì còn kết nối với Router và được bảo vệ bằng một Firewall đứng giữa.

Trang 23


2.5 Chức năng của Honeynet
− Điều khiển dữ liệu:
Khi Hacker sử dụng các mã độc (virus, trojan, spyware, worm,…) để thâm
nhập vào hệ thống Honeynet, thì hai công cụ IDS Snort và Firewall Iptable ở trên
Honeywall sẽ thực hiện kiểm soát các hoạt động của các loại mã độc này, cũng như
các hành vi mà Hacker thực hiện trên hệ thống; đồng thời đưa ra các cảnh báo cho

người quản lý hệ thống biết để kịp thời sử lý.
Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ
bị hạn chế. Chính vì vậy, mà Hacker sẽ rất khó khăn, thậm trí nếu hệ thống
Honeynet được cấu hình tốt thì Hacker sẽ không thể thu thập được đầy đủ thông tin
về hệ thống của ta, điều này cũng có nghĩa là Hacker sẽ không thể thâm nhập thành
công vào hệ thống mạng.
− Thu nhận dữ liệu:
Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt động có
tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc. Và chính
công cụ IDS Snort trên Honeywall thực hiện chức năng này. Dựa trên các luật (rule)
định nghĩa dấu hiệu tấn công mà Snort sẽ cho rằng một hoạt động có được coi là
hoạt động có tính phá hoại hay không, nếu phải nó sẽ thực hiện ghi lại log và đưa ra
các cảnh báo. Nhờ vậy, mà toàn bộ qúa trình tấn công của Hacker đều sẽ được ghi
lại một cách chi tiết.
− Phân tích dữ liệu:
Mục đích chính của honeynet chính là thu thập thông tin. Khi đã có thông tin
thì người dùng cần phải có khả năng để phân tích các thông tin này. Để thực hiện
tốt công việc này, đòi hỏi người phân tích phải có một kiến thức rất tốt về an ninh
mạng, phải am hiểu về các kỹ thuật tấn công mạng. Vì vậy, thông thường người
thực hiện phân tích thường là các chuyên gia an ninh mạng.
− Thu thập dữ liệu:
Trong tường hợp hệ thống triển khai nhiều Honeynet thì phải thu thập dữ
liệu từ các honeynet về một nguồn tập trung. Thường thì chỉ có các các tổ chức,
trung tâm an ninh mạng lớn có quy mô toàn cầu thì họ mới triển khai nhiều

Trang 24


honeynet, đặc biệt là các Công ty cung cấp các sản phẩm diệt virus như:
Trend Micro, Symantec, …

2.6 Vai trò và ý nghĩa của Honeynet
Honeynet giúp khám phá, thu thập các phương pháp - kỹ thuật tấn công của
Hacker, các công cụ Hacker sử dụng, đặc biệt là các kỹ thuật tấn công mới, các mẫu
virus- mã độc mới, …. Nhờ đó có những phân tích, định hướng mục tiêu tấn công,
thời điểm tấn công, kỹ thuật tấn công …, của Hacker. Từ đó, kịp thời đưa ra các dự
báo, cảnh báo sớm để mọi người phòng tránh.
Honeynet là môi trường thử nghiệm có kiểm soát an toàn giúp sớm phát hiện
ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin đã triển khai cài đặt trên hệ thống thật. Từ đó, sớm có biện pháp ứng phó -khắc phục kịp thời.
Đồng thời, Honeynet cũng giúp kiểm tra độ an toàn của hệ thống mạng, các dịch vụ
mạng (Web, DNS, Mail,…), và kiểm tra độ an toàn - tin cậy - chất lượng của các
sản phẩm thương mại công nghệ thông tin khác (đặc biệt là các hệ điều hành như:
Unix, Linux, Window,…).
Thu thập các thông tin, dấu vết của Hacker (địa chỉ IP của máy Hacker sử
dụng tấn công, vị trí địa lý của Hacker, thời gian Hacker tấn công …). Từ đó, giúp
chuyên gia an ninh mạng truy tìm thủ phạm.

2.7 Mô hình kiến trúc vật lý
2.7.1 Mô hình kiến trúc Honeynet thế hệ I
Mô hình Honeynet thế hệ I gồm một mạng riêng biệt được tạo ra đặt đằng
sau một thiết bị điều khiển truy nhập mạng, thường là tường lửa (Firewall), và bất
kỳ luồng dữ liệu vào ra Honeynet đều phải đi qua tường lửa. Honeynet được bố trí
trên một mạng riêng biệt với vùng mạng sản xuất để giảm nguy cơ mất an toàn cho
hệ thống.

Trang 25