Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 1

MỤC LỤC

MỞ ĐẦU 4
Lí do chọn đề tài 4
Đối tượng và phương pháp nghiên cứu 4
Mục tiêu nghiên cứu 4
Ý nghĩa thực tiễn của đề tài 5
CHƯƠNG I. NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT 6
1.1. Giới thiệu về bảo mật 6
1.2. Khái niệm 6
1.3. Tính an toàn của hệ thống mật 7
1.4. Những nguy cơ đe dọa đối với bảo mật. 8
1.5. Các lỗ hổng loại C 8
1.6. Các lỗ hổng loại B 9
1.7. Các lỗ hổng loại A 9
1.8. Các phương pháp xâm nhập hệ thống – Biện pháp phát hiện và ngăn ngừa. 10
1.8.1. Phương thức tấn công hệ thống DNS 10
1.8.2. Phương thức tấn công Virus và Trojan House 10
1.8.3. Phương thức tấn công để thăm dò mạng 10
1.8.4. Phương thức ăn cắp thông tin bằng Packet Sniffer 11
1.8.5. Phương thức tấn công bằng Mail Relay 11
1.8.6. Phương thức tấn công lớp ứng dụng 12
1.9. Các giải pháp bảo mật an toàn cho hệ thống 12
1.9.1. Bảo mật VPN (Virtual Private Network) 12
1.9.2. Firewall 14
1.10. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) 15
CHƯƠNG II: NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 17

3.10. Cài đặt và cấu hình PHP 41
3.11. Kiểm tra cài đặt Apache và PHP 41
3.12. Cài đặt ADODB 42
3.13. Cài đặt và cấu hình kiến trúc bảo mật của WinIDS 42
3.14. Thiết lập bảng cơ sở dữ liệu cho WinIDS 43
3.15. Cấu hình đồ họa cho WinIDS 44
3.16. An toàn cho WinIDS 45
3.17. Triển khai thử nghiệm hệ thống 46
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 3
CHƯƠNG IV: TRIỂN KHAI ỨNG DỤNG DÒ TÌM XÂM NHẬP TRÊN HỆ
THỐNG WINDOWS SERVER 48
4.1. Giới thiệu về Snort 48
4.2. Kiến trúc Snort 48
4.3. Thành phần và chức năng của Snort 49
4.3.1. Module giải mã gói tin (Packet Decoder) 50
4.3.2. Module tiền xử lý (Preprocessors) 50
4.3.3. Module phát hiện (Detection Engine) 51
4.3.4. Module log và cảnh báo (Logging and Alerting System) 52
4.3.5. Module kết xuất thông tin (Output Module) 52
4.4. Bộ luật Snort 53
4.4.1. Giới thiệu về bộ luật 53
4.4.2. Cấu trúc luật của Snort 53
4.4.3. Phần Header 54
4.4.4. Phần Option 56
4.5. Các cơ chế hoạt động của Snort 57
4.6. Demo triển khai 58
4.6.1. Mô hình triển khai: 58
4.6.2. Thiết lập bộ luật Snort cảnh báo 58

- Tìm hiểu thông tin về bảo mật
- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.
- Tìm hiểu và nghiên cứu các vấn đề liên quan đến chương trình snort
- Tìm hiểu và sử dụng tốt hệ điều hành Windows Server
- Tìm hiểu phương pháp và triển khai cài đặt IDS Center+Snort, Apache, MySQL,
WebBase.
- Tìm hiểu, cài đặt cách xây dựng và bổ sung các luật.
- Đưa ra một số nhận định và hướng phát triển đề tài.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 5
Ý nghĩa thực tiễn của đề tài
- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập.
- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống
mạng.
- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 6
CHƯƠNG I. NGHIÊN CỨU TỔNG QUAN VỀ BẢO MẬT
1.1. Giới thiệu về bảo mật
Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả
mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi
mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính
riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn
đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên
mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm.
Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn
chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa

ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi
thông tin.
1.3. Tính an toàn của hệ thống mật
Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính:
- Thông tin – bí mật: Thông tin chỉ cung cấp tới những người một cách
chính đáng khi có dự truy nhập hợp pháp tới nó.
- Thông tin – toàn vẹn: Thông tin chỉ được điều khiển (sửa đổi, thay thế
v,v…) bởi những người được ủy thác.
- Thông tin – sẵn sàng: Thông tin có thể tiếp cận đối với những người mà
cần nó khi có yêu cầu.
Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm
đến các khía cạnh sau:
- Xác thực (Authentication): là các tiến trình xử lý nhằm xác định nhận
dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến
trình của phần mềm.
- Ủy quyền (Anthorization): là các luật xác định ai có quyền truy nhập vào
các tài nguyên của hệ thống
- Tính bảo mật (Confidentiality): nhằm đảo bảm dữ liệu được bảo vệ khỏi
những nhóm không được phép truy nhập.
- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu,
ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa
và xem lại những thông điệp đã được truyền.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 8
Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đổi với
nhóm được ghép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại
tính sẵn sàng của tài nguyên hệ thống.
1.4. Những nguy cơ đe dọa đối với bảo mật.
Các nguy cơ an ninh xuất hiện từ những khả năng:

1.6. Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tích hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy
hiểm ở mức độ trung bình. Những lổ hổng này thường có trong các ứng dụng trên
hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người
dùng sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp
pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống.
Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với
một số quyền hạn nhất định.
Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế
được các lỗ hổng loại B.
1.7. Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ
thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ
thống. Các lỗ hổng loại A này đe dọa tính toàn vẹn và bảo mật của hệ thống.
Thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được
cấu hình mạng.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần
mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng
sẽ có thể bỏ qua những điểm yếu này.
Tuy nhiên, không phải bất kì lỗ hổng bảo mật nào cũng nguy hiểm đến hệ
thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet,
hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ
thống.
Dựa vào kẻ hở của các lỗ hổng này, kẻ xấu sẽ xây dựng các hình thức tấn
công khác nhau nhằm khống chế và nắm quyền kiểm soát trên mạng. Cho đến nay,
các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác
nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào
Báo cáo An toàn thông tin mạng

Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được
thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực
hiện bởi các công cụ như ping sweep, hay port scan.
Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 11
Biện pháp phát hiện và ngăn ngừa: Ta không thể ngăn chặn được hoàn toàn các
hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply,
khi đó có thể chặn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần
phải chẩn đoán lỗi do đâu. NIDS và HIDS giúp nhắc nhở khi có các hoạt động
thăm dò xảy ra trong mạng.
1.8.4. Phương thức ăn cắp thông tin bằng Packet Sniffer
Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên
mạng. Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào,
một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các
thông tin khác trao đổi trong mạng.
Biện pháp phát hiện và ngăn ngừa:
- Authentication : Kỹ thuật này được thực hiện bao gồm 2 yếu tố: Personal
Identificaiton number (PIN) để xác thực một thiết bị hoặc một phần mềm
ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra
thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60
giây. Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống.
Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì
thông tin đó cũng không còn giá trị vì hết hạn.
- Mã hóa: Tất cả thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó,
nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã
hóa. Cisco dùng giao thức IPSec để mã hóa dữ liệu.
1.8.5. Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không
chuẩn hoặc Username/password bị lộ. Hacker có thể lợi dụng email server để gửi

- Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập
vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ.
- Giảm chi phí quản lý và hỗ trợ: với quy mô kinh tết, các nhà cung cấp dịch
vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị
so với việc tự quản lý mạng.
Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa
(Remote - Access) và VPN điểm nối điểm (site-to-site)
- VPN truy cập từ xa (Remote - Access)
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
13Hình 1. Mô hình VPN client to site
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết
nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên
cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa.
- VPN điểm nối điểm (site-to-site)

Hình 2. Mô hình VPN site-to-site
VPN site-to-site là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại
này có thể dựa trên Intranet hoặc Extranet.
 Loại dựa trên Intranet: nếu một công ty có vài chi nhánh từ xa muốn
tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet

 Cổng ứng dụng
 Cổng mạch
 Bộ lọc gói tin
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
15

- Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một
trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp
vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.
- Hạn chế
 Việc định nghĩa chế độ lọc packet là một việc khá phức tạp, nó đòi
hỏi người quản trị cần phải hiểu biết chi tiết về các dịch vụ internet,
các dạng packet header, vá các giá trị cụ thể mà họ có thể nhận trên
môi trường.
 Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet
không kiểm soát được nội dung thông tin của packet. Các packet
chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp
thông tin hay phá hoại của kẻ xấu.
1.10. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp
thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát
các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ
thống. Có 2 dạng chính đó là : Network bases-IDS và Host based-IDS.
IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát
các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an nình của

xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system
call, và những khu vực khác khi phát ra những dấu hiệu xâm nhập.
IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ
bên ngoài. IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa
trên so sánh lưu thông mạng hiện tại với baseline để tìm ra các dấu hiệu khác
thường.
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu
sau:
- Tính chính xác (Accuracy): IDS không được coi những hành động thông
thường trong môi trường hệ thống là những hành động bất thường hay lạm
dụng.
- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm
nhập trái phép trong thời gian thực.
- Tính toàn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái
phép nào. Đây là một điều kiện khó có thể thỏa mãn được vì gần như
không thể có tất cả thông tin về các tấn công từ quá khứ, hiện tại và tương
lai.
- Chịu lỗi (Fault Tolerance): bản thân IDS phải có khả năng chống lại tấn
công.
- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng
thái xấu nhất là không bỏ sót thông tin. Yêu cầu này có liên quan đến hệ
thống mà các sự kiện tương quan đến từ nhiều nguồn tài nguyên với số
lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ
thống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện.
Hình minh họa các vị trí thường cài đặt IDS trong mạng:
Báo cáo An toàn thông tin mạng

Nh
óm 20



Hình 7. Hoạt động của IDS
Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau:
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
- Sư phân tích (analysis): Phân tích tất cả các gói tin đã thu thập để cho
biết hành động nào là tấn công.
- Xuất thông tin cảnh báo (response): Hành động cảnh báo cho sự tấn
công được phân tích ở trên nhờ bộ phận (thông báo).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo được thực hiện bởi các
quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ
sung.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản. Nó cũng hữu dụng trong việc nghiên cứu mang tính
pháp lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện
các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ
thống. Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai.
2.1.3. Chức năng của IDS
- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ.
 Giám sát: lưu lượng mạng và các hoạt động khả nghi.
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản
trị
Báo cáo An toàn thông tin mạng

Nh
óm 20

Trang
20

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 21
Ưu điểm:
- Quản lý được cả một network segment
- “Trong suốt” với người sử dụng lẫn kẻ tấn công.
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
- Tránh DOS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với OS (Operating System)
Nhược điểm:
- Có thể xảy ra trường hợp báo động giả.
- Không thể phân tích các traffic đã được encrypt.
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự
an toàn.
- Không cho biết việc attack có thành công hay không.
- Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng
phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó
cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của
đầu dò cũng vậy.
2.2.3. Host based IDS – HIDS
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa
trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và
những lưu lượng mạng thu thập được.
HIDS thương được cài đặt trên một máy tính nhất định. Nhiệm vụ chính
của HIDS là giám sát các thay đổi trên hệ thống, bao gồm:
- Các tiến trình.
- Các entry của Registry.
- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.

Có 2 cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:
- Phát hiện sự lạm dụng: Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm
kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được biết đến
hoặc các điểm dễ bị tấn công của hệ thống.
- Phát hiện sự bất thường: Hệ thống sẽ phát hiện các xâm nhập bằng cách
tìm kiếm các hành động khác với hành vi thông thường của người dùng
hay hệ thống.

Báo cáo An toàn thông tin mạng

Nhóm 20 Trang 23
a. Mô hình phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng
đột nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến
việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã được biết đến,
mỗi cách thức này được mô tả như một mẫu.
Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành
động của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò
ra kịch bản đang được tiến hành.
Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật để
mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống. Một
lượng lớn tập luật được tích lũy dẫn đến khó có thể hiểu và sửa đổi bởi vì
chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản
xâm nhập.
Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu
diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu
diễn về phép biển đổi trạng thái. Hệ thống phải thường xuyên duy trì và cập
nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện.
b. Mô hình phát sự bất thường
Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể

Dễ cấu hình hơn do đòi hỏi ít hơn về
thu thập dữ liệu, phân tích và cập nhật.
Khó cấu hình hơn vì đưa ra nhiều dữ
liệu hơn, phải có được một khái niệm
toàn diện về hành vi đã biết hay hành vi
được mong đợi của hệ thống.
Đưa ra kết luận dựa vào phép so khớp
mẫu.
Đưa ra kết quả dựa vào độ lệch giữa
thông tin thực tế và ngưỡng cho phép
Có thể kích hoạt một thông điệp cảnh
báo nhờ một dấu hiệu chắc chắn, hoặc
cung cấp dữ liệu hỗ trợ cho các dấu
hiệu khác.
Có thể hỗ trợ việc tự sinh thông tin hệ
thống một cách tự động nhưng cần có
thời gian và dữ liệu thu thập được phải
rõ ràng.
Để có được một hệ thống phát hiện xâm nhập tốt nhất ta tiến hành kết hợp cả
hai phương pháp trên trong cùng một hệ thống. Hệ thống kết hợp này sẽ cung cấp
khả năng phát hiện nhiều loại tấn công hơn và hiệu quả hơn.
2.3. Cách phát hiện kiểu tấn công thông dụng của IDS.
2.3.1. Tấn công vào mật mã
- Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn
công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng.
- Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force
bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. Với bẻ khóa,
kẻ tấn công cần truy nhập tới mật mã đã được mã hóa, hay file chứa mật
mã để mã hóa, kẻ tấn công sử dụng chương trình đoán nhiều mã với thuật
toán mã hóa có thể sử dụn được để xác định mã đúng.

2.3.4. Quét và thăm dò
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định điểm
yếu. Tuy các công cụ này được thiết kế cho mục đích phân tích để phòng ngừa,
nhưng hacker có thể được sử dụng để gây hại cho hệ thống. Các công cụ quét và
thăm dò như: SATAN, ISS Internet Scanner…Việc thăm dò có thể được thực hiện
bằng cách ping đến hệ thống cũng như kiểm tra các cổng TCP, UDP để phát hiện
ra ứng dụng có những lỗi đã được biết đến. Vì vậy các công cụ này có thể là công
cụ đắc lực cho mục đích xâm nhập.
2.3.5. Tấn công từ chối dịch vụ
Mục đích chung là đóng băng hay chặn đứng tài nguyên của hệ thống đích.
Cuối cùng mục tiêu trở nên không thể tiếp cận và không thể trả lời. DoS tấn công
vào các mục tiêu bao gồm 3 dạng là mạng, hệ thống và ứng dụng.

Trích đoạn Cài đặt và cấu hình Snort Module tiền xử lý (Preprocessors) Cấu trúc luật của Snort

---