LỜI MỞ ĐẦU
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề
được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát
triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống
thông tin càng trở nên cấp thiết hơn bao giờ hết.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc
truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall),
mã hóa, và mạng riêng ảo (VPN). Hệ thống phát hiện xâm nhập trái phép
(IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng
chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống
và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Qua đó, đồ
án tốt nghiệp này em mong muốn có thể tìm hiểu, nghiên cứu về hệ thống phát
hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được các giải pháp,
các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ra trường.
Qua đó, giúp em nắm được các kiểu tấn công mạng phổ biến hiện nay.
Nguyên lý hoạt động, cách thức phát hiện và phòng chống của hệ thống. Từ đó
có thể sử dụng công cụ để ngăn chặn các kiểu tấn công mạng thông thường.
LỜI CẢM ƠN
Để hoàn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến thầy Ngô
Văn Công đã tận tình hướng dẫn trong suốt quá trình viết đồ án tốt nghiệp.
Cung cấp kiến thức và giúp đỡ em rất nhiều.
Em cũng xin chân thành cảm ơn quý thầy cô trong khoa Công nghệ thông
tin - trường Đại học Nha Trang đã tận tình truyền đạt kiến thức trong 4 năm học
tập. Với vốn kiến thức được tiếp thu trong quá trình học không chỉ là nền tảng
cho quá trình nghiên cứu đề tài mà còn là hành trang quý báu để em bước vào
đời một cách vững chắc và tự tin.
Em cũng thầm biết ơn sự ủng hộ của gia đình, bạn bè – những người thân
yêu luôn là chỗ dựa vững chắc cho em trong suốt quá trình nghiên cứu.
Mong tiếp nhận những ý kiến, nhận xét từ quý thầy cô.
Cuối cùng, em xin kính chúc quý thầy cô và gia đình dồi dào sức khỏe và
thành công trong sự nghiệp giảng dạy.
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG 1
1.1 Tại sao phải cần bảo mật mạng? 1
1.2 Một số khái niệm về bảo mật 1
1.2.1 Các yếu tố bảo mật 1
1.2.2 Hành vi xâm nhập là gì? 2
1.2.3 Các đối tượng tấn công mạng 2
1.2.4 Các lỗ hổng bảo mật 3
1.3 Một số kiểu, hình thức tấn công mạng 4
1.3.1 Các kiểu tấn công 4
1.3.2 Một số hình thức tấn công mạng 5
1.3.3 Các bước hacker thường tấn công 8
1.3.4 Một số dấu hiệu xâm nhập thông thường 10
1.3.5 Các khai thác thông dụng 10
1.4 Các mức bảo vệ an toàn mạng 11
1.5 Các quy tắc bảo mật 12
1.6 Nhiệm vụ của người quản trị 13
CHƯƠNG 2: TỔNG QUAN VỀ IDS/IPS 15
2.1 Tổng quan về IDS/IPS 15
2.1.1 Định nghĩa IDS/IPS 15
2.1.2 Chức năng của IDS/IPS 16
2.1.3 Sự khác nhau giữa IDS/IPS 17
2.2 Các phương pháp nhận diện của hệ thống IDS/IPS 18
2.2.1 Phát hiện sự lạm dụng 19
2.2.2 Phát hiện sự bất thường 20

4.2 Kiến trúc Snort 50
4.2.1 Module giải mã gói tin 51
4.2.2 Module tiền xử lý 51
4.2.3 Module phát hiện 52
4.2.4 Module log và cảnh báo 53
4.2.5 Module kết xuất thông tin 53
4.3 Bộ luật của Snort 54
4.3.1 Giới thiệu 54
4.3.2 Cấu trúc luật của Snort 54
4.4 Chế độ ngăn chặn của Snort : Snort – Inline 62
CHƯƠNG 5: CÀI ĐẶT SNORT TRONG MÔ HÌNH MẠNG 64
5.1 Cài đặt Snort trên Ubuntu 10.04 64
5.1.1 Chuẩn bị môi trường 64
5.1.2 Cài đặt các gói bổ trợ 64
5.1.3 Cài đặt Snort 64
5.2 Các chế độ thực thi trong Snort 65
5.3 Cấu hình 1 số rules cơ bản cảnh báo, ngăn chặn Snort 65
5.3.1 Ngăn chặn 1 ping thông thường 65
5.3.1 Tấn công Ping of death 67
5.3.4 Tấn công Dos với HTTP Post 67
5.3.3 Tấn công Smurt Attack 69
5.3.4 Tấn công Land attack 69
5.3.5 Tấn công Winnuke 70
5.3.6 Tấn công ARP Cache 70
5.3.7 Tấn công UDP flood 71
5.4 Cấu hình 1 số rules cho Iptables: 71
5.4.1 Ngăn chặn ping 71
5.4.2 Chặn truy cập web 71
5.4.3 Chặn IMCP có kích thước lớn 72
5.4.4 Chặn SYN flood 72

bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực
tuyến,….
Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lổ hổng
bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất
cao và kỹ thuật hack điêu luyện thì cũng có thể trở thành tai họa.
1.2 Một số khái niệm về bảo mật
Trước hết khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và
các biện pháp bảo vệ cũng như thiết lập các chính sách bảo mât. Chúng ta sẽ tìm
hiểu 1 số khái niệm liên quan đến bảo mật trên Internet.
1.2.1 Các yếu tố bảo mật
Bảo mật là trạng thái tổ chức tốt của thông tin và kiến trúc mà trong đó
khả năng ăn cắp, giả mạo hay làm hư hỏng thông tin hay dịch vụ là rất thấp.
Bảo mật được gói gọn trong 4 tiêu chuẩn: độ tin cậy(confidentiality), tính
xác thực(authenticity), tính toàn vẹn(integrity), tính sẵn sàng(availability).
 Độ tin cậy: thể hiện tính che dấu của thông tin hay tài nguyên.
 Tính xác thực: là sự xác định và bảo đảm nguồn gốc của thông tin.
 Tính toàn vẹn: tham chiếu đến tính tin cậy của dữ liệu hay tài nguyên theo
nghĩa ngăn không cho người không có quyền chỉnh sửa trên nó.
-2-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
 Tính sẵn sàng: tham chiếu đến khả năng sử dụng thông tin, tài nguyên
mong muốn.
1.2.2 Hành vi xâm nhập là gì?
Hành vi xâm nhập được định nghĩa là sự vi phạm hoặc cố vượt qua các
chính sách an ninh của máy tính hoặc mạng. Các xâm nhập có thể được thực
hiện thông qua sâu mạng, phần mềm gián điệp, hacker đang kiếm quyền truy
cập hợp pháp vào máy tính từ Internet, người sử dụng hợp lệ có các hành vi
vượt qua các đặc quyền truy cập được định trước hoặc lạm dụng đặc quyền
của họ.
1.2.3 Các đối tượng tấn công mạng

lại (revers engineering) một phần mềm đã có để làm cho nó tốt hơn và
hiệu quả hơn.
 Cracker: chỉ người dùng kỹ năng hacking vào mục đích thực hiện các
cuộc tấn công.
 Ethical hacker: chỉ những chuyên gia bảo mật, những người dùng kiến
thức hacking của mình để bảo mật hệ thống.
 Threat: là một hành động hay sự kiện có thể làm tổn hại đến tính an toàn
của hệ thống, nó giống như là một mối đe dọa tiềm tàng.
 Vulnerability: các điểm yếu tiềm ẩn, các lỗi cài đặt có thể dẫn tới làm mất
tính an toàn của hệ thống.
 Attack: Là hành động cố găng làm mất đi tính an toàn của hệ thống.
 Exploit: Hành động khám phá hệ thống.
1.2.4 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những lỗ hổng yếu kém trên hệ thống hoặc ẩn
chứa trong một dịch vụ mà dựa vào đó một kẻ tấn công có thể xâm nhập trái
phép để thực hiện hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp
pháp.
Nguyên nhân gây ra các lỗ hổng bảo mật là khác nhau: có thể là do lỗi bản
thân của hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém
không hiểu được các dịch vụ cung cấp…Các lỗi bao gồm:
Các lỗi phần mềm : Các lỗi phần mềm có thể bị khai thác trên deamon,
trên các ứng dụng client, trên hệ điều hành và các ngăn xếp mạng. Các lỗi phần
mềm có thể được chia ra làm các loại sau: tràn bộ đệm, các kết quả bất ngờ khi
-4-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
đưa vào một dữ liệu được nhiều lớp mã lệnh trong cùng một chương tình xử lý,
các dữ liệu đầu vào không hợp lệ.
Các sai sót trong cấu hình hệ thống: các sai sót này có thể do người sử
dụng để nguyên cấu hình mặc định, do người quản trị lười biếng, do trong các
chương trình trong quá trình hoạt động tạo ra các lỗ hổng.

trường hợp, hacker đoạt được quyền của người quản trị hệ thống.
Kỹ thuật đánh lừa : Social Engineering
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và
thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của
nó. Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá
hủy hệ thống.
Ví dụ : kỹ thuật đánh lừa Fake Email Login.
Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin
tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail
Server xử lý. Lợi dụng việc này, những người tấn công đã thiết kế một trng web
-6-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
giống hệt như trang đăng nhập mà bạn hay sử dụng. Tuy nhiên, đó là một trang
web giả và tất cả thông tin mà bạn điền vào đều được gởi đến cho họ.
Kỹ thuật tấn công vào vùng ẩn
Những phần bị dấu đi trong các website thường chứa những thông tin về
phiên làm việc của các client. Các phiên làm việc này thường được ghi lại ở
máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn
công có thể sử dụng chiêu chức View Source của trình duyệt để đọc phần đầu đi
này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn công. Từ
đó, có thể tấn công vào hệ thống máy chủ.
Tấn công vào các lỗ hổng bảo mật
Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ
điều hành, các web server hay các phần mềm khác, Và các hãng sản xuất
luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trước. Do đó, người sử dụng phải luôn cập nhật thông
tin và nâng cấp phiên bản cũ mà mình đang sử dụng nếu không các hacker sẽ
lợi dụng điều này để tấn công vào hệ thống.
Khai thác tình trạng tràn bộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với

tin hay phá hoại hệ thống.
Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn
công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người
tấn công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào
phiên làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ
cho phép người tấn công thực hiện nhiều nhiều chuyện như giám sát phiên làm
việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân.
Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự
linh hoạt của người tấn công.
Tấn công vào hệ thống có cấu hình không an toàn
Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ
hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc
người quản trị hệ thống định cấu hình không an toàn. Chẳng hạn như cấu hình
-8-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc thiết
lập như trên có thể làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay
các thông tin của khách hàng.
Tấn công dùng Cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website
và trình duyệt của người dùng.
Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới
4KB). Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về
người dùng đã ghé thăm site và những vùng mà họ đi qua trong site. Những
thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích,
thói quen,
Can thiệp vào tham số trên URL
Đây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn công có thể

thống mạng sử dụng các thông tin thu thập được tại bước 1.
 Scanning có thể dùng các kỹ thuật: port scanners, network mapping,
sweeping, vulnerability scanners.
 Rủi ro: cao, hacker có thể tìm ra một điểm truy cập vào hệ thống để triển
khai tấn công.
Bước 3: Gaining access
 Tham chiếu đến bước tấn công thực sự vào hệ thống mạng, attacker thăm
dò hệ thống.
 Quá trình thăm dò có thể trong mạng LAN, Internet Offline Ví dụ: stack-
based buffer overflows, denial of service, session hijacking, password
filtering, etc.
-10-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
 Rủi ro: hacker có thể chiếm quyền truy cập hệ điều hành, ứng dụng và
dịch vụ.
Bước 4: Maintaining access
 Maintaining Access tham chiếu đến bước hacker cố gắng duy trì quyền
truy cập của mình trên hệ thống.
 Hacker khám phá ra một điểm yếu và có thể thay đổi và làm tổn thương hệ
thống.
 Hacker có thể upload, download hay là thao tác với dữ liệu/ ứng dụng /cấu
hình trên hệ thống.
Bước 5: Xóa dấu vết
 Xóa dấuvết là bước hacker làm cho không thể phát hiện ra hành động của
anh ta trên hệ thống.
 Lý do là để có thể kéo dài sự hiệndiện của anh ta trong hệ thống, tiếp tục
sử dụng tài nguyên
 Hacker có thể duy trì tình trạng không bị phát hiện trong 1 khoảng thời
gian hay dùng bước này để tìm hiểu thêm về hệ thống đích.
1.3.4 Một số dấu hiệu xâm nhập thông thường

identification, Account scans.
Một số tấn công từ chối dịch vụ thông dụng: Ping-of-Death, SYN Flood,
Land/Latierra, WinNuke, Smurf…
1.4 Các mức bảo vệ an toàn mạng
Vì không có 1 giải pháp nào là an toàn tuyệt đối nên người ta thường sử
dụng nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “ rào chắn” đối với các
hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông
tin cất giữ trong các máy tính, đặc biệt là các server của mạng.
Hình 3: Các mức độ bảo vệ của mạng
-12-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
Như hình trên ta thấy, các lớp bảo vệ mạng trên bao gồm:
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiếm soát các tài nguyên
của mạng và quyền hạn đối với tài nguyên đó. Hiện nay việc kiểm soát ở mức
sâu nhất là tệp.
Lớp bảo vệ thứ 2 là hạn chế theo tài khoản truy nhập gồm đăng kí tên và
mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản,
hiệu quả và ít tốn kém. Người quản trị có trách nhiệm quản lý, kiếm soát mọi
hoạt động của mạng và xác định quyền truy nhập của những người sử dụng
khác tùy theo không gian, thời gian.
Lớp thứ 3 là sử dụng phương pháp mã hóa. Dữ liệu được mã hóa và sẽ
thành dạng dữ liệu “ không đọc được” theo 1 thuật toán nào đó.
Lớp thứ 4 là mức bảo vệ vật lý nhằm truy cản các truy nhập vật lý bất
hợp pháp truy nhập vào hệ thống. Thường dùng các biện pháp truyền thống như
ngăn cấm người lạ vào phòng đặt máy, dùng các máy tính khóa, cài đặt hệ
thống báo động khi truy nhập vào hệ thống…
Lớp thứ 5 là cài đặt các bức tường lửa nhằm ngăn chặn truy cập trái phép
và cho phép lọc các gói tin mà ta không muốn gửi hoặc nhận.
1.5 Các quy tắc bảo mật
Tại trung tâm hỏi đáp về an toàn bảo mật thông tin của hãng Microsoft,

1.6 Nhiệm vụ của người quản trị
Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi,
nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình
huống sự cố.
Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao
cho hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh
nghiệp khác nhau.
Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập
vào tài nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự
cố hay bị tấn công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những
rủi ro ngoài ý muốn.
-14-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng
chúng một cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị
mạng phải có để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ
cao nhất có thể.
Việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn,
không xảy ra sự cố là một công việc cấp thiết hàng đầu. Công tác quản trị mạng
máy tính phải được thực hiện một cách khoa học đảm bảo toàn bộ hệ thống hoạt
động bình thường trong giờ làm việc.
Song song đó phải có một hệ thống dự phòng khi có sự cố về phần cứng
hay phần mềm xảy ra. Lập kế hoạch backup dữ liệu quan trọng và bảo dưỡng
mạng theo định kỳ. Thiết lập các chính sách bảo mật dữ liệu, phân quyền truy
cập và tổ chức nhó làm việc trên mạng. Thiết lập hệ thống và quy trình để xác
định và ngăn chặn thông tin độc hại hoặc không mong muốn. Xây dựng một
quá trình phản hồi để theo dõi và thống kê các chi tiết sự cố, đánh giá rủi ro.
Luôn cập nhật thường xuyên các công nghệ mới và các ứng dụng cho tổ chức.
Liên tục cải tiến do môi trường kinh doanh thay đổi, cho phép các tổ chức
duy trì tình trạng bảo mật thông tin ở mức độ rủi ro có thể chấp nhận. Đảm bảo

IDS chỉ kiểm tra và thông báo khi hệ thống có sự bất thường hoặc trái với
một định nghĩa mà người dùng đặt ra cho hệ thống, IDS không thể thực hiện
việc ngăn chặn ngay khi phát hiện xâm nhập xảy ra để thực hiện an ninh cho hệ
thống mạng thì IPS ra đời.
-16-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
Intrusion Prevention system ( IPS ) là một hệ thống bao gồm cả chức năng
phát hiện xâm nhập ( Intrusion Detection ) và khả năng ngăn chặn (Intrusion
Prevention) các xâm nhập trái phép dựa trên sự kết hợp với các thành phần khác
như Antivirus, Firewall hoặc sử dụng các tính năng ngăn chặn tích hợp.
Hình 4: Các vị trí đặt IDS trong mạng
2.1.2 Chức năng của IDS/IPS
Các ứng dụng cơ bản của hệ IDS/IPS :
 Nhận diện các nguy cơ có thể xảy ra.
 Ghi nhận thông tin, log để phục vụ cho việc kiểm soát nguy cơ.
 Nhận diện các hoạt động thăm dò hệ thống.
 Nhận diện các yếu khuyết của chính sách bảo mật.
 Ngăn chặn vi phạm chính sách bảo mật.
Các tính năng chính của hệ IDS/IPS:
 Lưu giữ thông tin liên quan đến các đối tượng quan sát.
 Cảnh báo, giám sát những sự kiện quan trọng liên quan đến các đối tượng
quan sát.
 Ngăn chặn các tấn công ( IPS )
 Xuất báo cáo.
-17-
GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang
2.1.3 Sự khác nhau giữa IDS/IPS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát
hiện” và “ngăn chặn”. Các hệ thống IDS được thiết kế với mục đích chủ yếu là
phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính nó đang