HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Nguyễn Văn Thịnh

NGHIÊN CỨU PHÂN TÍCH MỘT SỐ PHƯƠNG THỨC TẤN CÔNG ĐIỂN HÌNH
TRÊN MẠNG MÁY TÍNH VÀ PHƯƠNG PHÁP
NGĂN CHẶN Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI - 2012 Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


dịch vụ ứng dụng trên Internet ngày càng cao. Các dịch vụ trên mạng đã thâm nhập
vào hầu hết các lĩnh vực xã hội. Các thông tin trên Internet cũng đa dạng về nội
dung và hình thức trong đó có nhiều thông tin cần được bảo mật cao hơn. Nhưng
bên cạnh đó số lượng các cuộc tấn công trái phép trên mạng cũng gia tăng nhanh
chóng. Điều đó thật dễ hiểu bởi khi ta gia tăng lượng thông tin, ích lợi trên Internet
thì cũng sẽ làm nảy sinh các xâm nhập để khai thác trái phép các thông tin đó nhằm
phục vụ lợi ích riêng. Chính vì vậy mà vấn đề phòng chống sự xâm nhập đó ngày
càng được coi trọng. Nhưng muốn làm tốt được công tác bảo vệ thì ta cần có sự
nhìn nhận cụ thể về cách thức và phương pháp của các cuộc tấn công. Vì vậy tôi đã
quyết định chọn đề tài “Nghiên cứu phân tích một số phương thức tấn công điển
hình trên mạng máy tính và phương pháp ngăn chặn” cho luận văn này.
2. Mục đích nghiên cứu
- Mục đích của luận văn là nghiên cứu, phân tích một số phương thức tấn công điển
hình trên mạng máy tính hay mạng Internet và phương pháp ngăn chặn.
3. Đối tượng và phạm vi nghiên cứu
- Đối tượng nghiên cứu của luận văn là các kỹ thuật tấn công phổ biến hiện nay
- Phạm vi nghiên cứu: Các tấn công trên mạng máy tính ( ví dụ tấn công mạng, tấn
công máy chủ web, các phần mềm ứng dụng,…)
4. Phương pháp nghiên cứu
- Phương pháp nghiên cứu: phương pháp phân tích, phương pháp mô hình hoá, giải
thuật, phương pháp mô phỏng, thực nghiệm, phân tích, đánh giá…
Luận văn được tổ chức thành 3 chương:
Chương 1: Tổng quan về mạng máy tính và các phương pháp tấn công mạng.

Khái quát một số đặc điểm chính của mạng máy tính, các điểm yếu và nguy
cơ tấn công mạng. Hệ thống hoá các loại hình tấn công và trình bày tổng quan về
các phương thức tấn công, các kỹ thuật tấn công.
Chương 2: Một số kỹ thuật tấn công mạng điển hình và phương pháp ngăn chặn.
Phân tích kỹ thuật tấn công SQL, từ chối dịch vụ phân tán và đề xuất phương
pháp phòng chống.

1.2. Các điểm yếu và nguy cơ tấn công mạng máy tính
1.2.1. Lỗ hổng bảo mật
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy
nhập không hợp pháp vào hệ thống.
1.2.2. Phân loại lỗ hổng
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biệt.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ
thống được chia như sau:

- Lỗ hổng loại A:
- Lổ hổng loại B:
- Lỗ hổng loại C:
1.2.3. Đối tượng tấn công
Là các cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công
cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ hổng bảo mật
trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng
trái phép.
Một số đối tượng tấn công mạng là: Hacker, Masquerader, Eavesdropping.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như:
ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định hoặc
cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các chương trình không
kiểm tra cẩn thận.
1.3. Tình hình an ninh mạng hiện nay
Theo thống kê của Bkav, trong năm 2012 vẫn có tới 2.203 website của các
cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủ yếu thông qua các lỗ hổng trên
hệ thống mạng. So với năm 2011 (có 2.245 website bị tấn công), con số này hầu
như không giảm.
Trên thế giới năm 2012 theo khảo sát của Kaspersky, 50% rủi ro kinh doanh
của các doanh nghiệp là từ các mối đe dọa qua mạng, 26% là các vấn đề liên quan

trợ giúp của Trojan, một kẻ tấn công có thể dễ dàng truy cập vào máy tính của nạn
nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, và nhiều khả
năng khác.
1.5.2. Backdoor
Là tên một công cụ thuộc họ Trojan. Đúng như tên gọi "Backdoor" nguyên
lý hoạt động của công cụ này khá đơn giản, khi được chạy trên máy nạn nhân nó sẽ
thường trực trên bộ nhớ và mở một cổng cho phép ta dễ dàng đột nhập và máy tính
nạn nhân qua cổng đã mở đó. Ta có thể toàn quyền điều khiển máy nạn nhân.
Lây nhiễm Backdoor vào máy nạn nhân:

Có rất nhiều cách để lây nhiểm Backdoor vào máy nạn nhân. Có thể dùng
Godwill, Godmessage, HKC để những server của Backdoor vào file .html (server
phải <=50Kb). Tuy nhiên nếu server quá lớn thì ta có thể dùng những chương trình
downloader, nó sẽ downloader server về máy nạn nhân và chạy nó từ địa chỉ mà ta
đã config
1.5.3. Tấn công XSS
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến
nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối
với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào
cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn
mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.
1.5.4. Tấn công từ chối dịch vụ
Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn công
làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải
ngưng hoạt động. Tấn công kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ
rất ít có khả năng thâm nhập hay chiếm được thông tin dữ liệu của nó.
1.5.5. Tấn công SQL Injection
SQL Injection (còn gọi là SQL Insertion) là một hình thức tấn công trong đó
truy vấn SQL của ứng dụng đã bị chèn thêm các tham số đầu vào “không an toàn”
do người dùng nhập vào, từ đó mã lệnh được gửi tới máy chủ database để phân tích

Công việc nhận diện điểm yếu này là công việc đầu tiên trong chuỗi các thao
tác cần để khắc phục điểm yếu SQL Injection trong ứng dụng. Công việc này được
thực hiện tương tự các thao tác hacker tiến hành thăm dò lỗi SQL Injection của ứng
dụng. Chúng ta xét một số công việc cần thực hiện trong quá trình thăm dò lỗi SQL
Injection.
2.1.1.1. Thăm dò dựa trên phản hồi
Thăm dò dựa trên phản hồi là phương pháp tự nhiên nhất. Chúng ta cần tối thiểu
là một trình duyệt web, có thể trang bị thêm một ứng dụng Proxy (ví dụ Burp proxy,

Web Scarab proxy, …) và tiến hành các phép thử SQL Injection ngẫu nhiên và tiến
hành phân tích, thống kê kết quả.
2.1.1.2. Cơ chế sinh truy vấn SQL bên trong các ứng dụng và các phương
pháp chèn truy vấn SQL
a. Cơ chế sinh truy vấn SQL bên trong ứng dụng.
Tham số được nhập vào sẽ được sử dụng để xây dựng các truy vấn SQL nên
nó sẽ cần thỏa mãn các ràng buộc cú pháp với thành phần trước và sau trong truy
vấn gốc.
b. Các phương pháp chèn tham số
Tùy thuộc vào câu truy vấn gốc mà các tham số được chèn vào sẽ có vị trí
khác nhau trong truy vấn đó. Ứng với từng trường hợp đó, chúng ta có các mô hình
chèn tham số sau:
- Chèn vào giữa truy vấn: chèn vào giữa truy vấn là mô hình chỉ đơn thuần thao
tác với tham số, không hề tác động đến cấu trúc và các thành phần của truy vấn
gốc.
- Chèn và ngắt truy vấn: đây là mô hình chèn truy vấn phổ biến nhất, truy vấn
được chèn vào sẽ bao gồm thêm ở cuối các ký tự comment nhằm ngắt truy vấn
tại đó, vô hiệu hóa các phần tử trong truy vấn gốc nằm phía sau vị trí tham số.
2.1.2. Phân tích các kỹ thuật tấn công SQL Injection
Các cuộc tấn công nhắm tới lớp database của ứng dụng Web được chia
làm bốn loại như sau:

2.1.3.1. Phòng chống từ mức xây dựng mã nguồn ứng dụng
Điểm yếu SQL Injection bắt nguồn từ việc xử lý dữ liệu từ người dùng
không tốt, do đó vấn đề xây dựng mã nguồn đảm bảo an ninh là cốt lõi của việc
phòng chống SQL Injection.
 Làm sạch dữ liệu đầu vào

 Xây dựng truy vấn theo mô hình tham số hóa
 Chuẩn hóa dữ liệu
 Mô hình thiết kế mã nguồn tổng quát
2.1.3.2. Các biện pháp bảo vệ từ mức nền tảng hệ thống
Các biện pháp phòng chống từ mức nền tảng hệ thống (platform-level) là
những biện pháp cải tiến trong thời gian hoạt động (runtime) hoặc các thay đổi
trong cấu hình sao cho có thể nâng cao mức độ an ninh tổng thể của ứng dụng.
2.1.3.3. Các biện pháp bảo vệ tức thời
Những biện pháp bảo vệ tức thời là những biện pháp có thể áp dụng mà
không cần phải thực hiện biên dịch lại mã nguồn của ứng dụng. Các biện pháp bảo
vệ trong thời gian hoạt động là các công cụ hữu ích nhằm phòng tránh việc lợi dụng
các điểm yếu SQL Injection đã được xác định.
a. Các ứng dụng tường lửa Web
Ứng dụng tường lửa Web (Web Application Firewall - WAF) là một ứng
dụng được bố trí đóng vai trò trung gian giữa client và web server, làm nhiệm vụ
điều phối các thông tin luân chuyển, cân bằng tải.
b. Các bộ lọc ngăn chặn
Hầu hết các ứng dụng tường lửa web (WAF) đều cài đặt các mẫu lọc ngăn
chặn trong cấu trúc của mình. Các bộ lọc này là một chuỗi các module độc lập có
thể được gắn kết với nhau để thực hiện thao tác xử lý trước và sau các xử lý chính
bên trong ứng dụng (Web page, URL, script
2.1.3.4. Các biện pháp bảo vệ database
Các biện pháp bảo vệ chính database nhằm đề phòng những trường hợp xấu,
khi kẻ tấn công đã khai thác được điểm yếu, và từ đó có thể điều khiển các hoạt

netword chuyển hướng tấn công về phía mục tiêu. Yếu tố thời điểm sẽ quyết định
mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công.
2.2.1.3. Giai đoạn tấn công và xoá dấu vết
Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh
tấn công này có thể đi qua nhiều cấp mói đến host thực sự tấn công. Toàn bộ attack-

network (có thể lên đến hàng ngàn máy), sẽ vắt cạn năng lực của server mục tiêu
liên tục, ngăn chặn không cho nó hoạt động như thiết kế.
2.2.2. Kiến trúc tổng quan của DDoS attack-network
Nhìn chung DDoS attack-network có hai mô hình chính:
 Mô hình Agent – Handler
 Mô hình IRC – Based
2.2.3. Phân loại tấn công DDoS
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu
nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa
trên mục đích tấn công: làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ
thống.
2.2.3.1. Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource Deleption
Attack)
Theo định nghĩa: Resource Deleption Attack là kiểu tấn công trong đó
Attacker gởi những packet dùng các protocol sai chức năng thiết kế, hay gửi những
packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không
phục vụ user thông thường khác được.
2.2.4. Một số phương pháp phòng chống DDoS
Ngay sau khi các cuộc tấn công quy mô lớn đầu tiên, nhiều nghiên cứu đã
được dành riêng cho các vấn đề mới về ngăn chặn, loại bỏ, và bằng cách nào đó lọc
ra các cuộc tấn công DoS nhằm vào các hệ thống đầu cuối host. Trong khi DDoS là
một vấn đề tương đối mới, các nghiên cứu liên quan đã tồn tại trong lĩnh vực kiểm
soát tắc nghẽn, giảm nhẹ các cuộc tấn công DoS đơn giản, dung thứ lỗi, và duy trì
hoạt động của node trong mạng.
CHƯƠNG 3: MÔ PHỎNG KỸ THUẬT TẤN CÔNG TỪ CHỐI
DỊCH VỤ
Chương này sẽ thực hiện mô phỏng một cuộc tấn công từ chối dịch vụ Dos. Như đã
giới thiệu trong chương 2
3.1. Tấn công từ chối dịch vụ
3.1.1. Giới thiệu về tấn công mô phỏng
Cuộc tấn công DoS trong thực nghiệm dưới đây chỉ mang tính minh họa cho
lý thuyết ở trên không mang tính phá hoại nên chỉ sử dụng công cụ có tính năng nhẹ
nhằm giảm tính phá hoại hệ thống. Công cụ sử dụng ở đây là DoS HTTP 2.5.1, là
công cụ có tính phá hoại nhẹ và cũng là công cụ giúp đỡ cho các quản trị viên kiểm
tra và đánh giá hiệu năng của máy chủ web nhằm đảm bảo tính ổn định và đưa ra
các giải pháp tốt nhất cho hệ thống.
3.1.2. Công cụ và các bước chuẩn bị
- Phần mềm DoS HTTP 2.5.1
- Phần mềm phân tích gói tin WireShark
- Xác định mục tiêu cần tấn công (ở đây ta sử dụng diễn đàn www.ithutech.net )
3.1.3. Tiến hành tấn công.
Cuộc tấn công với công cụ DoS HTTP 2.5.1 sẽ liên tiếp tạo các resquest từ
client với một IP nguồn đến server web làm cho ngập băng thông của server. Khi đó
các client hợp lệ truy cập vào server web sẽ bị từ chối
Được thực hiện qua 9 bước như sau:
- Bước 1: Cài đặt DoSHTTP 2.5.1
- Bước 2: Bật Wireshark
- Bước 3: Vào Website mục tiêu để kiểm tra =>
- Bước 4: Kiểm tra WireShark thấy các kết nối tới www.ithutech.net bình

Với đề tài “Nghiên cứu phân tích một số phương thức tấn công điển hình
trên mạng máy tính và phương pháp ngăn chặn” và mục đích nghiên cứu ban đầu
là phân tích một số phương thức tấn công điển hình trên mạng máy tính và phương
pháp ngăn chặn, đến thời điểm hiện tại về cơ bản luận văn đã đạt được các vấn đề
chính như: có cái nhìn tổng quan về một số kỹ thuật tấn công mạng hiện nay như:
XSS, Troijan, Buffer Over, SQL Injection, DoS. Và đã đi sâu vào phân tích một
cách cụ thể về phương pháp, cách thức hoạt động, kỹ thuật của một số kỹ thuật tấn
công mạng điển hình như: SQL Injection, DoS.
Luận văn hoàn thành có một ý nghĩa thực tiễn là trở thành một tài liệu tham
khảo cho người đọc khi muốn tìm hiểu về các vấn đề liên quan đến tấn công mạng
máy tính: hiểu được một số cách thức tấn công mạng điển hình và phương pháp
ngăn chặn, đặc biệt còn có chương trình mô phỏng để giúp người đọc- những người
yêu thích công nghệ thông tin có cái nhìn sâu sắc hơn để có các biện pháp bảo vệ an
toàn khi sử dụng Internet.
Luận văn hoàn thành cũng đem lại một ý nghĩa khoa học là trở thành một
công trình nghiên cứu nhỏ góp phần vào hệ thống các công trình nghiên cứu lớn của
nền khoa học nói chung.
Luận văn đã đạt được các kết quả sau:
- Nghiên cứu về một số kỹ thuật tấn công mạng như: XSS, Troijan, Buffer
Over, SQL Injection, DoS.
Nghiên cứu về hai loại hình tấn công điển hình là SQL Injection, DoS.
- Qua nghiên cứu đã đề xuất được một số biện pháp ngăn chặn và bảo vệ.
- Thử nghiệm được tấn công DDoS bằng các công cụ…
Tuy nhiên trong phạm vi thời gian thực hiện, luận văn vẫn còn nhiều hạn
chế, thiếu sót. Vì vậy bản thân tôi mong muốn đề tài này sẽ được phát triển thêm
nếu điều kiện cho phép, và tôi xin được đưa ra một số kiến nghị sau cho hướng phát
triển tiếp theo của đề tài:
- Tìm hiểu thêm về các kỹ thuật tấn công một cách sâu sắc hơn nữa.
- Mở rộng khung tìm hiểu, nghiên cứu về các kỹ thuật tấn công khác như: Tấn
công Trojan và Backdoor,