BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG
TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

BÁO CÁO NGHIÊN CỨU KHOA HỌC
Đề tài: Nghiên cứu giải pháp phát hiện xâm nhập trái phép cho máy tính
tham gia mạng

Chủ nhiệm đề tài: Trịnh Thị Lý

Hà Nội, Năm 2013


BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG
TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

BÁO CÁO NGHIÊN CỨU KHOA HỌC
Đề tài: Nghiên cứu giải pháp phát hiện xâm nhập trái phép cho máy tính
tham gia mạng

CƠ QUAN CHỦ TRÌ

CHỦ NHIỆM ĐỀ TÀI

(Ký tên đóng dấu)

ThS. Trịnh Thị Lý

Hà nội, năm 2013


Chương 1

Cuối cùng tôi xin dành một tình cảm biết ơn tới gia đình và bạn bè, những
người đã luôn ở bên cạnh tôi, động viên, chia sẻ cùng tôi trong suốt thời gian
thực hiện đề tài nghiên cứu khoa học “Nghiên cứu giải pháp phát hiện xâm
nhập trái phép cho máy tính tham gia mạng”...................................................3
MỞ ĐẦU......................................................................................................................1
TỔNG QUAN VỀ AN NINH MẠNG........................................................................2
2.1. Vấn đề an ninh bảo mật thông tin tại Việt Nam......................2
2.1.1. Thực trạng và nguyên nhân........................................2
2.1.2. Giải pháp về mặt kỹ thuật...........................................3


2.2. Những mối đe dọa..............................................................4
2.2.1. Mối đe dọa không có cấu trúc ( Untructured threat).......4
2.2.2. Mối đe dọa có cấu trúc ( Structured threat)...................4
2.2.3. Mối đe dọa từ bên ngoài (External threat).....................4
2.2.4. Mối đe dọa từ bên trong ( Internal threat )...................5
2.3. Các phương thức tấn công ( Attack methods)........................5
2.3.1. Tấn công từ chối dịch vụ.............................................5
2.3.2. Thăm dò (Reconnaisance)...........................................9
2.3.3. Truy nhập (Access)....................................................9
SƠ LƯỢC VỀ HỆ THỐNG IDS..............................................................................10
3.1. Giới thiệu cơ bản về IDS....................................................10
3.1.1. Định nghĩa..............................................................10
3.1.2. Chức năng...............................................................10
3.1.3. Phân loại.................................................................11
3.1.4. Hoạt động của IDS...................................................15
3.1.5. Cấu trúc hệ thống IDS..............................................15
3.1.6. Các phương pháp nhận diện......................................17
XÂY DỰNG MÔ HÌNH SẢN PHẨM.....................................................................19
4.1. Giới thiệu về Snort............................................................19

49
Hình 3.20. Kết quả cảnh báo trên console..............................................................49
Chương 5 KẾT LUẬN VÀ KIẾN NGHỊ.................................................................50
TÀI LIỆU THAM KHẢO........................................................................................51


MỞ ĐẦU
Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin và truyền thông, mạng
máy tính đang trở thành một phương tiện điều hành thiết yếu trong mọi lĩnh vực hoạt động
của toàn xã hội. Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi
người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã
hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân,
những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh
cho các công ty và gây phiền toái cho người sử dụng mạng máy tính…làm cho vấn đề bảo
mật trên mạng luôn là một vấn đề nóng hổi và thời sự ngay từ khi mạng máy tính mới được
ra đời.
Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày
nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành công trong việc xâm nhập vào
mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được
phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall,
encryption (mã hóa), VPN (mạng riêng ảo)… trong đó có hệ thống phát hiện xâm nhập.
Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện
hành động khả nghi trên cả host và mạng. Sử dụng phương thức phát hiện xâm nhập, bạn có
thể thu thập, sử dụng thông tin từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn
công vào mạng hay máy cá nhân. Thông tin thu thập theo cách này có thể sử dụng làm cho
mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp. Sản phẩm thương mại và mã nguồn mở
đều sẵn có cho mục đích này.
Do yêu cầu thực tế trên tôi lựa chọn đề tài nghiên cứu khoa học là: “Nghiên cứu giải
pháp phát hiện xâm nhập trái phép cho máy tính tham gia mạng”. Mục đích của đề tài là xây
dựng một giải pháp phát hiện các xâm nhập trái phép và cảnh báo cho người quản trị hoặc

luyện thực tế. Những người có chứng chỉ bảo mật của nước ngoài còn quá ít và chưa hẳn đã
đáp ứng được nhu cầu công việc cụ thể trên mạng Việt.

2


2.1.2. Giải pháp về mặt kỹ thuật
a) Xây dựng hệ thống chống lại sự truy nhập trái phép – Firewall
Khi máy tính kết nối với Internet hay trong một môi trường mạng cục bộ, khi đó tất cả
các giao tiếp của mạng nội bộ với thế giới bên ngoài coi như bỏ ngỏ, mọi thông tin dữ liệu
trên máy tính của mạng nội bộ không có sự bảo vệ, không có những chính sách bảo mật, cơ
hội bị mất hay thất thoát là điều không thể tránh khỏi. Để hạn chế tình trạng này và cũng là
để góp phần làm tăng khả năng bảo mật thì việc xây dựng hệ thống tường lửa Firewall là
điều kiện không thể thiếu.
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái
phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống
của một số hacker hay gián điệp. Firewall được miêu tả như là hệ thống phòng thủ bao
quanh với các “chốt” kết nối để kiểm soát tất cả các luồng thông tin nhập xuất. Firewall có
thể theo dõi và khóa truy cập tại các chốt này.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm hoặc kết hợp cả hai.
Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ,
một cho mạng bên ngoài. Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng,
thường là một mạng riêng và một mạng công cộng như Internet.
Nhược điểm của Firewall là:
− Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin
và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
− Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi
qua nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dialup, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
− Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có một số

2.2.3. Mối đe dọa từ bên ngoài (External threat)
External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ
thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn
công như vậy.
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng
cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này xuống
4


tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền
và thời gian để ngăn ngừa.
2.2.4. Mối đe dọa từ bên trong ( Internal threat )
Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong
mạng. Mối đe dọa này khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ
liệu bí mật của công ty. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất
bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai
của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai
của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt
hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn
lại thường là rất đơn giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ
của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured internal
threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan
trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ
thống.
2.3. Các phương thức tấn công ( Attack methods)
2.3.1. Tấn công từ chối dịch vụ
Mục tiêu của cuộc tấn công từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng
những dịch vụ mà họ thường nhận được từ các máy chủ. Các cuộc tấn công như vậy thường
buộc máy tính mục tiêu phải xử lý một số lượng lớn những thứ vô dụng, hy vọng máy tính

kiểm tra xem một host có sống hay không. Một lệnh ping thông thường có hai thông điệp
echo request và echo reply.
Tiến trình ping bình thường diễn ra như sau:
C:\>ping 192.168.10.10
Pinging 192.168.10.10 with 32 bytes of data:
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Reply from 192.168.10.10: bytes=32 time=1ms TTL=150
Ping statistics for 192.168.10.10:
7


Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
Khi tấn bằng Ping of Death, một gói tin echo được gửi có kích thước lớn hơn kích
thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng
khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với buffer bên nhận. Kết
quả là hệ thống không thể quản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo.

c) Tấn công SYN (SYN attack)
Sử dụng thủ tục bắt tay của giao thức TCP để thực hiện việc tấn công. Kẻ tấn công
(máy A) gửi đi thật nhiều yêu cầu kết nối (SYN packet) đến máy nạn nhân (máy B). Theo
đúng thủ tục bắt tay, máy nạn nhân sẽ gửi lại ngần ấy yêu cầu kết nối tới máy A bằng gói
SYN-ACK. Lúc này máy nạn nhân sẽ làm lãng phí băng thông của nó. Do A có ý định tấn
công B nên sẽ không gửi trả lại B gói ACK để xác nhận kết nối. Máy B rơi vào trạng thái
phải chờ các kết nối ko có thực của A. Và khi B lãng phí băng thông cho kết nối với A đến
một mức tới hạn nào đó, các yêu cầu kết nối hợp lệ khác đến sau sẽ không được B chấp nhận
nữa. Số lượng băng thông của kiểu tấn công này là không lớn, mặc dù nếu vận dụng cách tấn

Phương thức xâm nhập rất đa dạng. Phương thức đầu tiên là lấy mật mã của tài
khoản.Tài khoản và mật mã cũng có thể lấy được bằng các phương pháp nghe trộm từ bước
thăm dò như Man-In-The-Middle attack, cho phép kẻ xâm nhập dễ dàng thu được nhiều
thông tin. Khi đã lấy được tài khoản, kẻ tấn công có thể vào hệ thống như người dùng hợp
pháp bình thường, và nếu tài khoản đó có đặc quyền lớn thì kẻ xâm nhập có thể tạo ra
backdoor cho các lần xâm nhập sau
9


Chương 3
SƠ LƯỢC VỀ HỆ THỐNG IDS
3.1. Giới thiệu cơ bản về IDS
3.1.1. Định nghĩa
IDS (Intrusion Detection System) là hệ thống giám sát lưu thông mạng (có thể là một
phần cứng hoặc phần mềm), có khả năng nhận biết những hoạt động khả nghi hay những
hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn công (FootPrinting,
Scanning, Sniffer…), cung cấp thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà
quản trị.
IDS còn có thể phân biệt giữa những tấn công từ bên trong (từ những người trong công
ty) hay tấn công từ bên ngoài (từ các Hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt
về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc
biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số chuẩn được thiết lập sẵn trong hệ thống) để tìm ra các dấu hiệu khác thường.
IDS được coi là công cụ bảo mật vô cùng quan trọng, nó được lựa chọn là giải pháp
bảo mật được bổ sung cho Firewall
3.1.2. Chức năng
− Giám sát: Giám sát các lưu lượng mạng, các hành động bất thường và các hoạt động
khả nghi.
− Phát hiện:Dựa vào các thông tin giám sát để phát hiện các hành động bất thường và
các hoạt động khả nghi

- Quản lý được cả một network segment (gồm nhiều host)
- "Trong suốt" với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh DoS ảnh hưởng tới một host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với OS
*) Nhược điểm:
- Có thể xảy ra trường hợp báo động giả (false positive), tức không có xâm nhập mà
NIDS báo là có.
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…).
- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn.
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được
phát ra, hệ thống có thể đã bị tổn hại.
- Không cho biết việc attack có thành công hay không. Một trong những hạn chế là
giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại
những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của
đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép
sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm
vào để bảo đảm truyền thông và bảo mật tốt nhất.
- Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ
thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một
kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu
đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu
nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng
chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái
hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu
phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ
cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
12


- Mức độ sử dụng CPU.
- Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
- Một vài thông số khác. Các thông số này khi vượt qua một ngưỡng định trước hoặc
những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.
*) Ưu điểm
- Có khả năng xác đinh user liên quan tới một event.
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không
có khả năng này.
- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
*) Hạn chế
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành
công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
- HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DOS.

14


3.1.4. Hoạt động của IDS
Nhiệm vụ chính của hệ thống IDS là phòng thủ máy tính bằng cách phát hiện một cuộc
tấn công và có thể đẩy lùi nó. Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại
hành động thích hợp.
Công tác phòng chống xâm nhập đòi hỏi một sự kết hợp tốt được lựa chọn của "mồi và
bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hướng sự chú ý của kẻ xâm nhập từ
các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt
( Honeypot IDS), cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được


16


3.1.6. Các phương pháp nhận diện
Các hệ thống IDS thường dùng nhiều phương pháp nhận diện khác nhau, riêng rẽ hoặc
tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện. Có thể chia làm ba phương
pháp nhận diện chính là: Signature-base Detection, Anormaly-base Detection và Stateful
Protocol Analysis.
a) Nhận diện dựa vào dấu hiệu (Signature-base Detection)
Signature-base Detection sử dụng phương pháp so sánh các dấu hiệu của đối tượng
quan sát với các dấu hiệu của các mối nguy hại đã biết. Phương pháp này có hiệu quả với
các mối nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các
mối nguy hại chưa biết,các mối nguy hại sử dụng kỹ thuật lẩn tránh (evasion techniques),
hoặc các biến thể. Signature-based Detection không thể theo vết và nhận diện trạng thái của
các truyền thông phức tạp.
b) Nhận diện sự bất thường (Abnormaly-base Detection)
Abnormaly-base Detection so sánh định nghĩa của những hoạt động bình thường và đối
tượng quan sát nhằm xác định các độ lệch. Một hệ IDS sử dụng phương pháp Anormalybase detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được phát
triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian.
Sau khi đã xây dựng được tập các profile này, hệ IDS sử dụng phương pháp thống kê để so
sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile tương ứng để
phát hiện ra những bất thường.
Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic:
- Static profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần nó sẽ trở
nên không chính xác, và cần phải được tái tạo định kỳ.
- Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sung được quan
sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởi các phép thử dùng
kỹ thuật giấu (evasion techniques). Ưu điểm chính của phương pháp này là rất có hiệu quả
trong việc phát hiện ra các mối nguy hại chưa được biết đến.