LỜI CAM ĐOAN
Em xin cam đoan đây là công trình nghiên cứu của riêng em và được sự
hướng dẫn khoa học của TS. Trần Cảnh Dương. Các nội dung nghiên cứu, kết quả
trong đề tài này là trung thực và chưa được công bố dưới bất kì hình thức nào trước
đây.
Nếu có bất kì sự gian lận nào em xin hoàn toàn chịu trách nhiệm về nội dung
báo cáo của mình.Mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cám ơn
và các thông tin trong báo cáo đều được ghi rõ nguồn gốc.
Hà nội, ngày 06 tháng 06 năm 2016
Người cam đoan


LỜI CẢM ƠN
Trong suốt quá trình học tập tại Trường Đại học Tài nguyên và Môi trường
Hà Nội, em đã được các thầy cô giảng dạy, giúp đỡ và được truyền đạt nhiều kiến
thức vô cùng quý giá. Ngoài ra, em còn được rèn luyện bản thân trong một môi
trường học tập đầy sáng tạo và khoa học. Đây là một quá trình hết sức quan trọng
giúp em có thể thành công khi bắt tay vào nghề nghiệp tương lai sau này.
Em xin chân thành cảm ơn Ban giám hiệu nhà trường, Ban chủ nhiệm khoa
công nghệ thông tin,các thầy cô trông Trung tâm Công nghệ Thông tin, cùng toàn
thể các thầy cô đã tận tình giảng dạy và trang bị cho em nhiều kiến thức bổ ích
trong suốt quá trình học tập tại trường vừa qua. Đây là quãng thời gian vô cùng hữu
ích, đã giúp em trưởng thành lên rất nhiều khi chuẩn bị ra trường. Là những hành
trang rất quan trọng không thể thiếu trong công việc sau này.
Ngoài ra, em xin gửi lời cảm ơn chân thành và sâu sắc TS. Trần Cảnh Dương
đồng cảm ơn ThS. Nguyễn Văn Hách đã luôn tận tình quan tâm, giúp đỡ, theo sát và
hướng dẫn em trong suốt quá trình làm đồ án vừa qua.
Mặc dù đã cố gắng trong suốt quá trình thực tập và làm đồ án, nhưng do kinh
nghiệm thực tế và trình độ chuyên môn chưa được nhiều nên em không tránh khỏi
những thiếu sót, em rất mong được sự chỉ bảo, góp ý chân thành từ các thầy, cô giáo
cùng tất cả các bạn.


ICMP
DNS
HTTP
URL

Internet Protocol
Denial of Service
Distributed Denial of Service
Distributed Reflection Denial
of Service
Internet
Control
Message
Protocol
Domain Name System
HyperText Transfer Protocol
Uniform Resource Locator


DANH MỤC HÌNH ẢNH


MỤC LỤC


LỜI MỞ ĐẦU
Xã hội ngày càng phát triển đòi hỏi con người càng cần phải năng động, sáng
tạo. Đó cũng là lý do mà công nghệ ra đời và được mọi người quan tâm đến vậy.
Ngành công nghệ thông tin giúp con người phát triển theo hướng hiện đại, truy cập

Chương 3: Phát triển ứng dụng cho giải pháp an ninh quản trị mạng


8

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1.

Khái niệm mạng máy tính
Mạng máy tính hay hệ thống mạng là sự kết hợp các máy tính lại với nhau
thông qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng,
môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông
tin qua lại với nhau.

Hình 1.1: Mô hình mạng máy tính
Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng
để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu điện
tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off). Tất cả các
tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy theo
tần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các
tín hiệu. Ở đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn,
cáp quang, dây điện thoại, sóng vô tuyến. Các đường truyền dữ liệu tạo nên cấu trúc
của mạng. Hai khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của
mạng máy tính.


9

Với sự trao đổi qua lại giữa máy tính này với máy tính khác đã phân biệt
mạng máy tính với các hệ thống thu phát một chiều như truyền hình, phát thông tin


Bên cạnh những ưu điểm thì cũng có những hạn chế sau đây:
Dễ bị tê liệt toàn bộ hệ thống mạng: nếu hệ thống mạng bị tấn công thì rất dễ
làm tê liệt toàn bộ hệ thống mạng, các hacker tấn công vào các máy chủ để làm tê
liệt nó. Khi các máy chủ bị tê liệt rồi thì lấy sức đâu nữa mà phục vụ cho các máy
trạm.
Trình độ người quản lý: khi kết nối hệ thống mạng cao đến đâu thì đòi hỏi
trình độ người quản lý cũng phải tương ứng đến đó, để có thể phục vụ cho việc thiết
kế, cài đặt và quản trị nó.
Dễ bị lây lan virus: khi các bạn kết nối hệ thống mạng thì cũng đang tạo đất
sống rộng lớn cho virus.
1.3. Đặc trưng kỹ thuật của an ninh mạng
Tính bảo mật (confidentiality): là đặc tính tin tức không bị tiết lộ cho các thực
thể hay quá trình không được ủy quyền biết hoặc không để cho các đối tượng xấu
lợi dụng. Thông tin chỉ cho phép thực thể được ủy quyền sử dụng. Kỹ thuật bảo mật
thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông
tin, bảo mật vật lý.
Tính xác thực (authentication): kiểm tra tính hợp pháp của người sử dụng.
Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một
thiết bị phần cứng. Các hoạt độngkiểm tra tính xác thực được đánh giá là quan trọng
nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường
phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực
hiện kết nối với hệ thống.
Tính không thể chối cãi (nonrepudiation):trong quá trình giao lưu tin tức trên
mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả
các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết
đã được thực hiện.
Tính toàn vẹn (integrity):là đặc tính khi thông tin trên mạng chưa được ủy
quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ
hoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm dối

với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều công
ty khác và tấn công người dùng bằng cách tập trung vào việc sửa đổi các phần mềm
độc hại của phần cứng hoặc phần mềm trong quá trình phân phối. Các cuộc tấn


12

công giới thiệu mã độc hại chẳng hạn như Back door trên một sản phẩm nhằm mục
đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ
thống.
1.4.3. Tấn công nội bộ (Insider attack)
Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc,
chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,các cuộc tấn
công hệ thống mạng nội bộ có thể gây hại hoặc vô hại.
Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng
các thông tin một cách gian lận hoặc truy cập trái phép các thông tin.
1.4.4. Tấn công mật khẩu (Password attack)
Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩu
được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các
tập tin.
Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ
điển (dictionary attack), brute-force attack và hybrid attack.
Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩu
tiềm năng.
1.4.5. Tấn công từ chối dịch vụ (denial of service attack)
Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những
người dùng hợp lệ được sử dụng một dịch vụ nào đó. Các cuộc tấn công có thể
được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các
thiết bị định tuyến, web, thư điện tử và hệ thống DNS.
Nguyên lý thực hiện: với mạng máy tính không dây và mạng có dây không

này sẽ được gọi là mã khóa gây hại.
Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin
liên lạc mà không cần phải gửi hoặc nhận các giao thức tấn công. Với các mã khóa
gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu.

Hình 1.2: Hình ảnh về hacker
1.4.7. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn
đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò


14

tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và
không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng
những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà để đoán mật khẩu.
Trong trường hợp có được danh sách người sử dụng và những thông tin về môi
trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã
mã hoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong
một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số
trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm
quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công
có được quyền của người quản trị hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví
dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn
dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản

truy nhập thông tin trên mạng.
Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu
hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không
còn các tài nguyên để thực hiện những công việc có ích khác.
1.4.11. Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một
người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối
với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các
phương pháp tấn công khác.
Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu
hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo
mật để đề cao cảnh giác với những hiện tượng đáng nghi.
Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo
vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có
thể nâng cao được độ an toàn của hệ thống bảo vệ.


16

1.5. Các biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch
vụ đều có những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những
nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp
kiểm tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể:
Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo bằng
những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin
liên quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu
không phải thì khả năng máy tính bị tấn công.
Kiểm tra các tài khoản người dùngmới lạ, nhất là với các tài khoản có ID
bằng không.

2.1.1. Khái niệm tấn công DoS
Tấn công từ chối dịch vụ DoS là dạng tấn công nhằm ngăn chặn người dùng
hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã xuất hiện từ khá sớm,
vào đầu những năm 80 của thế kỷ trước.
Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần
phải nắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.
Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống
không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người
dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng
cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người
dùng bình thường đó là tấn công DoS.
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ
thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như
định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất
của hệ thống để tấn công.
2.1.2. Mục đích của tấn công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người
dùng bình thường.
Cố gắng làm ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập vào dịch
vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó


19


thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và
đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã
nguy hiểm.
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể
sẽ xảy ra quá trình tràn bộ nhớ đệm.
Tấn công kiểu Ping of Death
Kẻ tấn công gửi những gói tin IP lớn hơn số lượng bytes cho phép của tin IP
là 65.536 bytes.
Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở tầng 2
(dữ liệu). Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes.


21

Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi
động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp. Để nhận biết kẻ tấn công gửi gói
tin lớn hơn gói tin cho phép thì tương đối dễ dàng.
Tấn công kiểu Teardrop
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ. Kẻ tấn
công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ
(fragment).
Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu
được, hệ thống cố gắng xác lập lại gói tin và điều đó chiếm một phần tài nguyên hệ
thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng
dụng khác, phục vụ các user khác.
Tấn công kiểu SYN
Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo
Three-way. Trong đó TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng
phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu. Bước đầu

trường hợp người dùng có ác ý muốn lợi dụng các tài nguyên trên server để tấn
công chính server hay mạng, server khác.
- Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và
có biện pháp khắc phục kịp thời.
- Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để
phát hiện ngay những hành động bất bình thường.
- Xây dựng hệ thống dự phòng.


23

2.2. Tấn công DDoS
2.2.1. Khái niệm tấn công DDoS
Tấn công từ chối dịch vụ phân tán DDoS là một dạng phát triển ở mức độ cao
của tấn công DoS được phát hiện lần đầu tiên vào năm 1999.
Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công. Trong khi
lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu
lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng
Internet.
Tấn công từ chối dịch vụ phân tán (DDoS) là sự cố gắng làm cho tài nguyên
của máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù
phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác
nhau. Nhưng nói chung, nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay
nhiều người để chống lại hoạt động của dịch vụ Web một cách cục bộ hoặc kéo dài.
Như vậy, tấn công từ chối dịch vụ phân tán (DDoS) là kiểu tấn công làm cho
hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải
dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị ngập bởi
hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ. Khi số lệnh truy cập quá lớn,
máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là người
dùng không thể truy cập vào các dịch vụ trên các trang website bị tấn công DDoS.

hệ thống của chính những kẻ tấn công.
Thứ hai, các máy tính tham gia vào một Botnet khi đã bị xâm nhập. Máy tính
có thể bị xâm nhập bằng nhiều cách khác nhau, ví dụ, thông qua lỗ hổng của ứng
dụng hay hệ điều hành, khai thác các đoạn mã tự động, phần mềm độc hại dựa trên
nền website (lừa đảo, tải về miễn phí).
Thứ ba, Bot có thể được điều khiển từ xa. Bot báo cáo kết quả và nhận mệnh
lệnh từ hệ thống chỉ huy và điều khiển (C&C). Do đó, kẻ tấn công có thể tận dụng
khả năng của hầu hết các máy tính bị nhiễm trong Botnet. Hệ thống điều khiển
Botnet có thể tập trung hoặc phân cấp.
-

Mục đích của mạng Botnet
Botnet không hơn gì một công cụ, có nhiều động cơ khác nhau để sử dụng

chúng. Chúng được sử dụng phổ biến nhất với mục đích phá hoại và tài chính.
Botnet có thể làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm được với một
tập hợp các máy tính đã kết nối mạng. Khả năng sử dụng các máy tính bị chiếm
quyền điều khiển chỉ phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công.


25

Dựa trên các dữ liệu đã biết, những khả năng sử dụng Botnet phổ biến có thể
được phân loại như liệt kê dưới đây: lây nhiễm sang máy tính khác, tấn công từ chối
dịch vụ phân tán, tấn công tràn ngập (Flooding attacks), tải về cài đặt, gửi thư rác và
Email lừa đảo, lưu trữ và phân phối dữ liệu bất hợp pháp, khai thác dữ liệu, thao tác
với thăm dò bầu cử/ các cuộc thi trực tuyến.
-

Phân loại mạng Botnet