Đại học Quốc Gia
Đại học Bách Khoa TPHCM
Khoa KH&KT Máy Tính

BÁO CÁO BÀI TẬP LỚN
Môn Mật Mã An Ninh Mạng
Giảng viên Hướng dẫn:
Nhóm :

1


MỤC LỤC

2


CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1 TẦM QUAN TRỌNG CỦA AN NINH MẠNG
1.1.1 Bản tin về bảo mật

Tim Rains, Giám đốc bộ phận Trustworthy Computing, của Microsoft chia sẻ với
báo chí trong chuyến thăm trụ sở chính ở Redmond, Washington (Mỹ) đầu tháng 6 rằng
hãng này đang giám sát hơn 600 triệu hệ thống máy tính chạy Windows trên toàn cầu.
Trong 3 tháng cuối năm 2013, đã có 21,6% trong số những hệ thống Windows này
nhiễm các phần mềm độc hại. Riêng Việt Nam có tỷ lệ lây nhiễm lên tới gần 50%, cao
thứ 5 thế giới sau Pakistan, Indonesia, Algeria và Ấn Độ. Loại mã độc phổ biến nhất trên
máy tính tại Việt Nam là Trojan, chiếm 23% với vai trò chính là tiếp tay cho tin tặc điều
khiển máy tính của người dùng từ xa và hình thành nên những mạng máy tính ma
(botnet).
Số liệu trong báo cáo bảo mật SIR 16 được Tim Rains chia sẻ trong

cuộc họp báo tại trụ sở Microsoft ở Redmond.
Nạn sử dụng phần mềm lậu phổ biến là một trong những nguyên nhân chính của
tình trạng lây nhiễm mã độc cao trên các hệ thống ở Việt Nam. Bên cạnh đó, số máy tính
chạy hệ điều hành cũ, không còn được hỗ trợ kỹ thuật và cập nhật bản vá như Windows
XP vẫn tương đối nhiều. Điều này đang khiến người sử dụng và các doanh nghiệp phải
đối mặt với những hậu quả lớn như máy tính bị khống chế, bị ăn cắp dữ liệu quan
trọng… .
Không ít người dùng trong nước cũng chưa được trang bị kỹ năng bảo mật tốt nên
dễ dàng bị tin tặc lừa tải và cài đặt các tệp tin chứa Trojan, sâu, virus… khiến máy tính
của họ bị kiểm soát để làm bàn đạp thực hiện tấn công từ chối dịch vụ, thu thập thông tin
tài chính và thậm chí là để tống tiền nạn nhân. Microsoft thống kê rằng nạn "bắt cóc" dữ
liệu trong máy tính của nạn nhân trên toàn cầu đã tăng 45% kể từ nửa đầu năm 2013. Tin
tặc sẽ phát tán mã độc có khả năng mã hoá dữ liệu trên ổ cứng thiết bị, sau đó yêu cầu
người dùng trả tiền chuộc nếu muốn được cung cấp khoá giải mã.
Bên trong trung tâm Cybercrime Center của Microsoft.
Tập đoàn phần mềm Mỹ cũng cho biết, trung bình mỗi giây lại có 12 người trở
thành nạn nhân của tội phạm mạng, tức hơn 1 triệu nạn nhân mỗi ngày và gần 400 triệu
nạn nhân mỗi năm. Các cuộc tấn công trên mạng ước tính gây thiệt hại tới 113 tỷ USD
cho người sử dụng toàn cầu mỗi năm.
Theo Bryan Hurd, Giám đốc trung tâm Digital Crime Unit của Microsoft, phòng
chống tội phạm số giống như một cuộc đuổi bắt không có hồi kết. Trước tình trạng này,
Microsoft đã thành lập trung tâm Cybercrime Center, nơi hoạt động của nhóm Digital
3


Crime Unit bao gồm các kỹ sư, các chuyên gia bảo mật, các nhà phân tích dữ liệu, luật
sư, đại diện của toà án, cảnh sát, chuyên viên tài chính… với mục tiêu hạn chế tội phạm
trực tuyến, nạn sao chép phần mềm bất hợp pháp, nạn lạm dụng tình dục trẻ em qua
mạng và từ đó giúp Internet trở nên an toàn hơn.
Cybercrime Center nằm ở phía bắc trụ sở Microsoft và mới bắt đầu được mở cửa

từ tháng 11/2013. Nơi đây được trang bị những giải pháp mới nhất được phát triển dựa
trên công nghệ của Microsoft để chiến đấu với tội phạm công nghệ cao.
1.1.2

Các website và hệ thống server liên tục bị tấn công

Nếu như năm 2011, theo thống kê chính thức của bộ phận bảo mật Microsoft thì ở
Việt Nam có khoảng 300 website bị tấn công, thì năm 2012, con số này đã là hơn 2.500.
Đây là những cuộc tấn công lớn, được theo dõi và ghi nhận, còn những cuộc tấn công
“phọt phẹt” thì gấp nhiều lần.
Điều này chứng tỏ, càng phát triển mạnh về công nghệ thông tin thì chúng ta “hở
sườn” càng lớn, công tác bảo mật càng là thách thức khó có thể vượt qua. Nguyên nhân
vì lượng người tham gia Internet ngày càng nhiều trong lúc đơn vị chuyên về bảo mật thì
ngày càng ít.
Theo số liệu trong bản công bố cuộc khảo sát mới nhất của WeAreSocial, một tổ
chức có trụ sở chính ở Anh nghiên cứu độc lập về truyền thông xã hội toàn cầu, thì số
người truy cập Internet ở Việt Nam đã trên 30 triệu người, chiếm 34%, cao hơn mức
trung bình của thế giới là 33%. Riêng năm 2012, có thêm 1,6 triệu người tham gia
Internet.
Vài năm trước, nhiều hãng phần mềm Việt chuyên về diệt virut và an ninh mạng
có chiều hướng phát triển, nhưng đến 2012, chỉ có Bkav là tồn tại và phát triển, những cái
tên khác dần rơi vào dĩ vãng. Tình trạng này khiến cho các tin tặc có điều kiện “làm mưa
làm gió” trên thế giới mạng.
Các cuộc tấn công vào hệ thống website của các tổ chức, doanh nghiệp xảy ra
thường xuyên như cơm bữa. Có đến 80% website của các doanh nghiệp đã bị tin tặc “tấn
công”, tập trung ở nhóm ngân hàng, thương mại điện tử và thanh toán qua mạng.
Ngay cả trang web của đầu tàu an ninh mạng Việt Nam là www.bkav.com.vn cũng
bị tấn công tơi tả. Điều đáng nói là lỗ hổng trên web của Bkav lại do một người dùng
phát hiện ra chứ không phải do đội ngũ chuyên viên hùng hậu. Ngay sau đó, chính Bkav
đã “cảm ơn” vị khách tốt bụng bằng phần thưởng 3,5 triệu đồng.

4


Hàng tháng, trung bình ở Việt Nam có khoảng 2.900 virut mới xuất hiện và gần 1
triệu máy tính bị tấn công. Rất nhiều trong số mã độc mà các công ty bảo mật phát hiện
ra có nguồn gốc từ Trung Quốc - điều này khiến đội ngũ bảo mật đau đầu bởi các cuộc
tấn công mang tính chính trị xuất hiện nhiều hơn.
Thậm chí, có những thời điểm, các cuộc tấn công mạng còn được tài trợ bởi các tổ
chức chính trị và chính phủ. Càng đáng lo hơn khi những tháng cuối năm, Mỹ và Úc phát
hiện trong hệ thống phần cứng của thiết bị điện tử đến từ Trung Quốc đều chứa mã độc.
Ở Việt Nam, thiết bị điện tử có xuất xứ từ Trung Quốc chiếm hơn 90%.

Người dân bị âm thầm moi tiền qua mạng . Ảnh minh họa
Và, theo công bố mới nhất của Tập đoàn bảo vệ bảo mật máy tính quốc tế Symantec, Việt Nam hiện đứng thứ 11 trên toàn cầu về nguy cơ bị tấn công mạng. Số
lượng các vụ tấn công có chủ đích gia tăng từ 77 cuộc lên đến trên 82 cuộc mỗi ngày.
1.1.3

Nhu cầu về an ninh mạng

Các giao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng.
Việc bảo mật thông tin thật sự vô cùng quan trọng.

5


Trong năm 2008, có nhiều sự kiện lớn đối với ngành an ninh mạng tại VN. Sự cố
bảo mật của nhà cung cấp tên miền PA Việt Nam hay vụ website ngân hàng
Techcombank bị đột nhập là những ví dụ nổi bật.
Nó cho thấy an ninh mạng đang là vấn đề nóng sốt với nhiều doanh nghiệp ứng
dụng CNTT tại VN hiện nay. Nguyên nhân chính là do nguồn nhân lực chuyên gia an

ninh mạng hiện vừa thiếu về số lượng lại vừa yếu chuyên môn.
Chỉ tính riêng thống kê của Hiệp hội Ngân hàng và chứng khoán VN, số lượng chi
nhánh ngân hàng và các công ty chứng khoán ở VN đã trên mức hàng ngàn. Hoạt động
của các công ty chứng khoán và ngân hàng đều dựa trên hệ thống CNTT. Giao dịch giữa
các ngân hàng với nhau, giữa ngân hàng với khách hàng… đều thông qua mạng Internet.
Ông Võ Đỗ Thắng, giám đốc một trung tâm đào tạo quản trị và an ninh mạng, cho
biết: “Lực lượng nhân sự an ninh mạng chuyên trách chống các hacker xâm nhập hệ
thống ở các ngân hàng, công ty chứng khoán rất mỏng. Nhiều chi nhánh ngân hàng chỉ có
bộ phận giao dịch mà không có nhân viên an ninh mạng. Việc này sẽ rất nguy hiểm vì
hacker có thể xâm nhập hệ thống của các chi nhánh này, rồi từ chi nhánh này sẽ xâm
nhập toàn bộ hệ thống CNTT của chính ngân hàng đó”.
Không chỉ thiếu về số lượng, trình độ chuyên môn chung của đội ngũ chuyên gia
an ninh mạng hiện cũng rất thấp. Theo ông Nguyễn Thanh Tú, giám đốc điều hành một
công ty chuyên cung cấp các giải pháp an ninh mạng, có nhiều nguyên nhân: chất lượng
đào tạo chuyên sâu về công nghệ bảo mật chưa đạt yêu cầu; môi trường ứng dụng giải
pháp bảo mật tại các doanh nghiệp còn hạn chế. Cũng theo ông, vấn đề an ninh mạng của
doanh nghiệp hiện nay là thiếu nhân lực chuyên môn chứ không chỉ là giải pháp. Giám
đốc một doanh nghiệp thương mại điện tử chia sẻ: “Nhân lực cho vấn đề này rất khó, bởi
mặt bằng năng lực của đội ngũ này hiện còn rất thấp”.
Nếu tính một phép tính đơn giản, VN có hàng ngàn chi nhánh ngân hàng, hàng
ngàn cơ quan chính phủ trải đều khắp 64 tỉnh thành trong cả nước, và trên 200.000 doanh
nghiệp tư nhân có ứng dụng CNTT trong hoạt động kinh doanh, quản lý và sản xuất; mỗi
đơn vị cần bình quân một nhân viên phục vụ việc quản trị và an ninh mạng thì số lượng
nhân sự an ninh mạng cần đáp ứng ngay cho thị trường lao động VN phải tính trên chục
ngàn. Số lượng này là một thách thức rất lớn cho ngành đào tạo CNTT VN thời gian tới.
Hiện nay, tại khu vực TP.HCM chỉ có vài trung tâm đào tạo chuyên gia an ninh mạng
như: Trung tâm đào tạo quản trị và an ninh mạng Athena, Trung tâm tin học ĐH Khoa
học tự nhiên, Trung tâm tin học ĐH Bách khoa, Trung tâm đào tạo công nghệ Sài Gòn
CTT... Riêng hệ thống các trường đại học hầu như chưa có chuyên ngành đào tạo an ninh
mạng. Sinh viên tốt nghiệp chính quy chương trình đào tạo CNTT hầu như không thể đáp

ứng được nhu cầu bảo mật hệ thống của một doanh nghiệp.
1.2 CÁC YẾU TỐ VỀ AN NINH MẠNG

6


Hình dưới: Báo cáo về số lượng website bị tấn công từ tháng 19/2014
Hình dưới: thống kê về tỉ lệ tên miền bị tấn công

7


Hình dưới: Báo cáo điều tra vi phạm dữ liệu
1.3. HACKER VÀ ẢNH HƯỞNG CỦA VIỆC HACK

1.3.1. Hacker- họ là ai
Nhiều thập niên trước, từ thời của các máy tính lớn dùng chung, thời của những
thí nghiệm sơ khai để dựng nên mạng ARPANET, đã hình thành một cộng đồng các
chuyên gia máy tính tài năng cùng một nền văn hóa đặc thù. Từ ngữ "hacker" phát sinh từ
nền văn hóa ấy. Các hacker đã dựng nên Internet, tạo ra hệ điều hành Unix, vận hành
Usenet và World Wide Web. Nếu bạn thuộc về nền văn hóa ấy, nếu bạn có đóng góp cho
nó và được cộng đồng hacker thừa nhận là hacker thì bạn là hacker.
Có những người luôn lớn tiếng tự nhận mình là hacker nhưng thực ra họ không
phải là hacker. Loại người này (thường là những cậu thanh niên) thường bị tóm cổ do tội
xâm nhập mạng máy tính và gây rối trên hệ thống điện thoại. Những hacker thực thụ gọi
đó là cracker và không muốn dính dáng gì đến chúng. Hầu như mọi hacker đều nghĩ rằng
cracker là hạng lười biếng, vô trách nhiệm, chẳng có tài cán gì lắm. Khả năng xâm nhập
hệ thống bảo mật không thể làm cho người ta trở thành hacker, cũng giống như khả năng
đánh cắp ô-tô không thể làm cho người ta trở thành kỹ sư ô-tô. Tiếc thay, nhiều nhà báo,


8


nhà văn đã ngớ ngẩn gọi cracker là hacker. Cách gọi này vô cùng xúc phạm những
hacker chân chính.
Khác biệt cơ bản là ở chỗ: hacker là người xây dựng, còn cracker là kẻ phá hoại.
1.3.2. Các loại hacker

Nhắc đến hacker là chúng ta nghĩ ngay tới những tội phạm máy tính, hay những kẻ
xấu luôn lợi dụng sơ hở của người khác để theo dõi và phá hoại. Tuy nhiên, hacker không
hoàn toàn như vậy, trong thế giới hacker chia làm nhiều chủng loại và cấp bậc, nhưng
nhiều nhất và phổ biến nhất , có thể bạn đã nghe qua đó là hacker “mũ trắng”, “mũ đen”
và “mũ xám”.
Hacker Mũ Đen
Là loại hacker mà cả thế giới chống lại họ, công việc hằng ngày của họ là truy cập
trái phép vào các hệ thống , website, hay thông tin cá nhân một cách trái phép …để có thể
tùy ý làm những gì họ muốn khi đột nhập thành công. Có thể là ăn cắp thông tin bí mật,
trộm tài khoản thẻ ngân hàng, thêm bớt thông tin vào một dữ án… Ngoài những việc trên
hacker mũ đen cũng có thể crack game và phần mềm để hỗ trợ miễn phí cho người sử
dụng. Hiện nay hacker không còn là những người có đầu óc siêu việt, có tư duy siêu
phàm trong máy tính, hay có khả năng viết những đoạn mã, thuật toán của riêng mình để
đột nhập vào hệ thống nào đó,mà có thể chỉ đơn giản là những người sử dụng những phần
mềm ,công cụ được hỗ trợ sẵn trên các trang web hack, họ có thể chỉ là những đứa trẻ 11
12 tuổi, tò mò về cuộc sống của người khác, hay cách thức hoạt động của một website ra
sao… Chỉ cần download công cụ đó về và bắt tay vào hack.
Hacker mũ đen có lẽ là loại hacker có số lượng nhiều nhất và nguy hiểm nhất
trong cộng đồng internet trên toàn thế giới.
Hacker Mũ Trắng
Hacker mũ trắng thì trái ngược hoàn toàn với hacker mũ đen, họ là những hacker
có luơng tâm,họ là những hacker sử dụng các kỹ năng và các cách xâm nhập phục vụ cho

những hoạt động luơng thiện và có lợi cho tổ chức và xã hội.
9


Hacker mũ trắng trước khi xâm nhập một hệ thống nào đó, họ sẽ xin phép trước
với hệ thống đó, khi đã được phép thì họ sẽ bắt đầu quá trình xâm nhập này. Nếu họ tìm
được lỗi, hay những điểm yếu kém và sai sót của hệ thống đó thì họ sẽ gửi những lỗi này
tới phía quản trị hệ thống để họ sửa chữa kịp thời.
Hay trong những cuộc thi hacker hàng năm, ví dụ như Google Chrome mỗi khi có
phiên bản mới đều treo giải cho hacker có thể xâm nhập và phá vỡ hệ thống bảo mật của
Chrome nhằm mục đích tìm lỗi để cũng cấp những bản vá cần thiết.
Hacker Mũ Xám
Có thể liên tưởng ngay ra được các hacker mũ xám là những hacker trung lập giữa
đen và trắng, trong thực tế số lượng loại hacker này cũng không phải hiếm gặp. Một
hacker mũ xám không đánh cắp thông tin cá nhân hay gây ra những phiền phức lớn cho
những người quản trị, nhưng họ có thể trở thành tội phạm mạng từ những việc làm trái
đạo đức.
Như đã đề cập, một hacker mũ đen không cần xin phép một hệ thống cho việc đột
nhập, còn hacker mũ trắng thì có giấy phép để truy cập. Hacker mũ xám thì cũng không
cần xin phép để cấp quyền đột nhập, họ thực hiện trái phép như hacker mũ đen, nhưng
mục đích của họ thì không có mục đích phạm tội, họ đột nhập vào hệ thống đó chỉ để
thỏa mãn bản thân, trí tò mò, và học hỏi những kỹ năng mới để giúp họ trau dồi nhiều
kiến thức hơn, và quan trọng là đạt được nhiều đỉnh cao trong sự nghiệp làm hacker của
họ.
Tuy nhiên họ cũng dễ dàng trở thành những tội phạm mạng qua những lần đột
nhập như vậy, ranh giới giữa hacker mũ xám và mũ đen khá là mỏng thế nên họ cần cân
nhắc thật kỹ hành động mình đang làm, hay chuẩn bị làm.
Tóm lại mũ đen mũ trắng hay mũ xám đều ám chỉ đến hành vi của họ, nếu bạn
muốn trở thành hacker điều cốt yếu nhất là phải biết rõ việc mình đang làm, và sẵn sàng
đối diện với khả năng bị tìm ra dấu vết, ngoài ra cũng nên tìm hiểu luật pháp của từng

quốc gia địa phuơng trước khi mọi việc đáng tiếc xảy ra.
10


1.3.2

Ảnh hưởng của việc hack

Một cuộc tấn công nhắm vào doanh nghiệp lớn thành công có thể gây thiệt hại lên
đến 2,4 triệu USD (khoảng 50,4 tỉ đồng).
Đó là kết quả khảo sát "Những rủi ro bảo mật công nghệ thông tin (CNTT) của các
doanh nghiệp toàn cầu 2013" do Công ty B2B International phối hợp cùng Hãng bảo mật
Kaspersky Lab thực hiện vào đầu năm 2013.

Một cuộc tấn công mạng có chủ đích có thể làm một doanh nghiệp thiệt hại đến hơn 50 tỉ đồng
Các cuộc tấn công có chủ đích là một trong những mối đe dọa mạng nguy hiểm
nhất, bởi vì bọn tội phạm mạng chuyên nghiệp luôn có sự chuẩn bị kỹ càng và sẵn sàng
thực hiện tấn công. Những tội phạm này có nguồn lực tài chính đáng kể và hiểu biết sâu
rộng trong lĩnh vực CNTT.
Hơn nữa, mục tiêu cuối cùng của những cuộc tấn công này là các bí mật hoặc
thông tin mật, cho nên dữ liệu bị rò rỉ có thể dẫn đến thiệt hại đáng kể cho doanh nghiệp.
Theo số liệu được thu thập bởi các nhà phân tích của B2B International, trung bình
các sự cố này khiến một doanh nghiệp tổn thất đến 2,4 triệu USD, trong đó khoảng 2,17
triệu USD bắt nguồn trực tiếp từ các sự cố rò rỉ dữ liệu quan trọng, gián đoạn kinh doanh
và chi phí cho việc khắc phục hậu quả (thuê mướn luật sư, chuyên gia bảo mật...). Các
công ty còn phải đối mặt với mức chi phí gần 224.000 USD nhằm ngăn chặn trường hợp
sự cố tương tự sẽ lặp lại trong tương lai - cập nhật phần mềm và phần cứng, tuyển dụng
và đào tạo nhân viên.
11



Tổn thất từ các cuộc tấn công nhắm vào các doanh nghiệp vừa và nhỏ thấp hơn
đáng kể, ở mức khoảng 92.000 USD cho mỗi sự cố, nhưng xem xét trên quy mô của các
công ty này (với trung bình khoảng 100-200 nhân viên), khoản tiền này là rất lớn. Trong
mức tổn thất này, có khoảng 72.000 USD được dùng cho việc khắc phục hậu quả, 20.000
USD còn lại để phòng ngừa sự cố tương tự trong tương lai.
Mặc dù các cuộc tấn công có chủ đích là nguyên nhân tổn thất chi phí tài chính
cao nhất, nhưng không phải là hình thức tấn công duy nhất mà các công ty phải đối mặt.
Theo kết quả khảo sát, chỉ khoảng 9% công ty đã phải chịu một cuộc tấn công có chủ
đích trong khi hơn 24% doanh nghiệp chịu sự tấn công vào cơ sở hạ tầng mạng.
Đối với các công ty lớn, loại tấn công này có thể gây thiệt hại 1,67 triệu USD
(73.000 USD với doanh nghiệp nhỏ), và đây được coi là loại tấn công tốn kém hạng nhì.
19% các công ty đã bị rò rỉ dữ liệu doanh nghiệp và tổn thất tài chính trung bình là
984.000 USD (51.000 USD với doanh nghiệp nhỏ). Những cuộc tấn công lợi dụng lỗ
hổng phần mềm phổ biến ảnh hưởng đến 39% các công ty. Nhiều tập đoàn lớn phải gánh
trung bình 661.000 USD chi phí thiệt hại do các loại tấn công, trong khi các doanh
nghiệp nhỏ tổn thất khoảng 61.000 USD.
1.4

CÁC LOẠI TẤN CÔNG MẠNG

1.4.1. Tấn công hệ điều hành

Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng để được truy
cập vào một hệ thống mạng. Một số lỗi hệ điều hành như
-

Tràn bộ đệm

-


Lỗi trong hệ điều hành

-

Hệ thống chưa được vá hệ điều hành

1.4.2. Tấn công cấu hình sai

Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị
hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập
vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…
1.4.3. Tấn công các cấp độ ứng dụng

Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa
kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác, bao gồm các cuộc tấn công như:
-

Tràn bộ đệm
12


-

XSS

-

Tấn công từ chối dịch vụ


-

Lừa đảo

-

Chiếm quyền điều khiển

-

Man-in-Middle attack

CHƯƠNG 2: TỔNG QUAN VỀ SNIFFER VÀ CÁC PHƯƠNG
THỨC TẤN CÔNG
2.1.

GIỚI THIỆU VỀ SNIFFING

2.1.1. Sniffing là gì

Sniffing (nghe lén): là hành động bắt gói khi các gói tin đi qua đường dây hay qua
sóng wifi , mục đích là để nghe lén thông tin. Thông tin có thể là password hay một mã bí
mật nào đó mà người dùng cần truyền đi 1 cách bí mật. Bạn có tin không, một vài giao
thức truyền password đi bằng ngôn ngữ tự nhiên, không qua mã hóa nào hết.
2.1.2. Sniffing thường xảy ra ở đâu

Nghe lén chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận và có thể
điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó. Ví
dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ internet, các quán cafe Wifi,
trong hệ thống mạng nội bộ doanh nghiệp.

Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn
công tìm cách điều khiển một máy tính nào đó trong hệ thống mạng rồi cài đặt trình nghe
lén vào máy đó để thực hiện nghe trộm từ xa.
2.1.3. Các mối đe dọa về nghe lén

Bằng cách đặt gói tin trên mạng ở chế độ đa mode, kẻ tấn công có thể bắt và phân
tích tất cả lưu lượng, thông tin mạng. Các gói tin nghe lén có thể chỉ bắt những thông tin
trên cùng 1 miền mạng. Nhưng thông thường thì laptop có thể tham gia vào mạng và thực
thi. Hơn thế nữa, trên switch có nhiều port được mở nên nguy cơ về nghe lén là rất cao.
Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ
giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit,…Các
13


công cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khi được
thực thi. So với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó
có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết
là đang bị nghe lén lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu
hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và
hầu như chỉ có thể phòng chống trong thế bị động (Passive) – nghĩa là chỉ phát hiện được
bị nghe trộm khi đang ở tình trạng bị nghe trộm.
2.1.4. Cơ chế hoạt động chung của Sniffing

Mọi máy tính muốn giao tiếp với nhau đều phải tuân theo mô hình TCP/IP. Bình
thường, tầng “Application” đóng gói dữ liệu và các thông tin về địa chỉ được thêm vào
đầu gói tin. Thông tin về địa chỉ gồm có địa chỉ IP nguồn và địa chỉ IP đích cũng như địa
chỉ MAC nguồn và địa chỉ MAC đích. Địa chỉ IP được dùng để đưa đến 1 mạng các máy
tính, còn địa chỉ MAC được dùng để đưa đến 1 máy tính đích. Các dạng địa chỉ trên sẽ
đảm bảo đưa gói tin đến đích chính xác, và 1 máy tính không thể nhận được gói tin
không phải của mình. Tuy nhiên, “sniffer” chính là kẻ muốn nhận lấy các gói tin không

dành cho mình.
Trước tiên, muốn hiễu về cơ chế sniffing, các bạn phải hiễu rõ làm sao mà các
thiết bị trên mạng có thể giao tiếp với nhau được? Làm sao mà 1 máy tính có thể nghe
thấy 1 máy tính khác đang “nói chuyện” với mình? Đó là nhờ NIC (card mạng), một thiết
bị luôn lắng nghe kênh truyền. Khi nó phát hiện ra tín hiệu điện trên kênh truyền thay
đổi, tức là nó đã biết là có 1 máy nào đó đang gửi các gói tin cho mình.
NIC sẽ xem xét địa chỉ đích của gói tin, nếu địa chỉ đích là:
•
•
•

MAC address của chính NIC đó.
Broadcast address.
Multicast address.

Thì NIC sẽ lấy các gói tin chuyển lên cho hệ điều hành và để nó xử lý.
Nhận xét: NIC bình thường sẽ không lấy các gói tin mà địa chỉ không phải là nó.
Sniffer: (thiết bị bắt gói tin) sử dụng NIC để bắt lấy mọi gói tin bất kể địa chỉ gì
khi có gói tin truyền trên kênh truyền. Nhưng mà như ta nói ở trên, NIC bình thường sẽ
không bắt các gói mà địa chỉ không đi đến nó-cho nên ta phải sử dụng cái gì đó để bắt
buộc nó trở thành “sniffer”. Nhờ có “WinPcap”, một trình điều khiển rất thông dụng trên
14


hệ điều hành Windows, nó cho phép biến NIC bình thường của bạn thành “sniffer”.
Thường thì sniffer sau khi bắt gói xong sẽ hiển thị dưới dạng command-line hay GUI cho
hacker xem, nó giúp hacker có thể xem nhiều thông tin quan trọng khác như: username,
password, thông tin khác.
Nhìn hình bên dưới ta sẽ thấy dòng chữ “NIC card in promiscuous mode”, tức là
card NIC đã được cài driver để sẵn sàng biến thành 1 “sniffer”.


Các phần mềm “sniffer” hoạt động bằng cách bắt các gói tin được đánh địa chỉ
MAC của máy nạn nhân. Bình thường thì 1 hệ thống máy tính chỉ đọc và trả lời các gói
tin có địa chỉ MAC là chính máy đó. Tuy nhiên các phần mềm hack có thể biến trạng thái
bình thường trên thành bất thường bằng cách nó cho phép card NIC đọc tất cả các gói tin
mà nó bắt được và gửi lên cho các phần mềm “sniffer” xử lý. Để khiển cho NIC hoạt
động bất thường thì các công cụ hack sẽ cài 1 trình điều khiển.
Vẫn đề thứ 2 cần phải quan tâm là kênh truyền: Hầu hết hệ thống máy tính sử
dụng giao thức Ethernet để truyền các gói tin qua kênh truyền. Ethernet sử dụng
CSMA/CD cho phép bất kỳ máy nào cũng có thể gửi/nhận các gói tin miễn là kênh
truyền đang rãnh. Nếu 2 thiết bị cùng gửi/nhận đồng thời trong 1 vùng quảng bá thì đụng
độ sẽ xảy ra, khi đó cả 2 thiết bị đều phải ngưng việc gửi/nhận, chọn 1 khoảng thời gian
ngẩu nhiên nào đó để khi hết khoảng thời gian này, thì thiết bị sẽ bắt đầu lại việc
gửi/nhận.
Thú vị ở chỗ là vùng quảng bá, khi máy của bạn trong cùng 1 vùng quảng bá với
các máy khác nữa, thì máy của bạn sẽ nhận được mọi gói tin từ các máy khác. Nhưng
thường thì bạn không thấy gì cả, mặc dù NIC có bắt hết gói của các máy khác nhưng nó
chỉ đưa cho bạn xem các gói gửi cho bạn thôi (do địa chỉ không khớp với 3 địa chỉ vừa
nêu ở trên).
15


Như vậy, điều gì cần để làm 1 vùng quảng bá? Mời bạn xem hình dưới đây:

Nhìn bên trái, switch đã chia miền đụng độ thành 9 phần: Kẻ tấn công sử dụng
PC1 thì chỉ “sniff” được các gói tin gửi cho PC1 thôi- switch gây bất lợi cho kẻ
tấn công, do họ chỉ “sniff” được các gói do chính mình gửi thôi.
• Nhìn bên phải, Hub tạo 1 miền đụng độ lớn: Kẻ tấn công sử dụng PC8 thì sẽ
“sniff” được các gói tin do PC9->14 gửi.
•


BIÊN PHÁP ĐỐI PHÓ
Cách tốt nhất để chống lại “sniffer” là mã hóa. Mặc dù mã hóa không ngăn được
“sniffer” nhưng nó khiến cho dữ liệu mà hacker bắt được vô nghĩa. Nhưng phương pháp
mã hóa như AES và RC4 hay RC5 được sử dụng trong công nghệ VPN thường được sử
dụng để năng ngừa “sniffer.
2.1.5 Sniff và các giao thức trong mô hình TCP/IP
Xét các giao thức ở tầng “Application”: SMTP là giao thức vận chuyển email,
nhiệm vụ của nó đơn giản chi là đóng gói các kí tự ASCII lại và gửi đi. Nếu không có các
giao thức mã hóa ở tầng thấp hơn thì giao thức SMTP gửi thông tin dạng ngôn ngữ tự
nhiên. Tương tự với các giao thức ở tầng ứng dụng khác như: FTP,TFPT, SNMP, POP3,
HTTP đều gửi thông tin dưới dạng ngôn ngữ tự nhiên nếu như bạn không sử dụng thêm
bất kỳ biện pháp an toàn nào cả  Nếu bạn “sniff” kênh truyền khi các giao thức này gửi
16


thông tin, bạn sẽ được mọi thông tin mà mình cần. Hầu hết các phần mềm “sniffer” đều
bắt được các gói tin do các giao thức trên gửi, hacker có thể khám phá ra username và
password cũng như các thông tin giá trị khác.
Xét các giao thức ở tầng “Transport” và tầng “Network”: TCP và UDP là 2 giao
thức ở tầng “Transport” cung cấp 2 thông tin cho kẻ tấn công là “port number” và
“sequence number”. IP là giao thức ở “Network” chứa các thông tin có thể “sniff” như:
“source address” và “destination address”, thông tin trong trường “TOS”, và các thông tin
về chia nhỏ gói tin trong trường “Identification” và “Fragment Offset”.
Xét các giao thức ở tầng “Data link”: chứa thông tin về “MAC address” và giao
thức “ARP” để biết được địa chỉ MAC. Nếu mà kẻ tấn công đột nhập được vào ARP
cache trên máy A, và thay đổi MAC address của máy B thành máy của kẻ tấn công, thì
mọi gói tin mà máy A gửi cho máy B sẽ ko đến máy B mà là đến máy của kẻ tấn công.
VD2, nếu kẻ tấn công có thể thay đổi ARP cache trên “default router” thành MAC của
máy kẻ gian, thì mọi thông tin mà các máy trong cùng 1 mạng con thay vì gửi đến

Internet thì lại lọt vào máy kẻ gian thú vị đúng ko nào!!

2.1.6 Phân loại sniffing: Passive sniffing và Active sniffing
EC-Council phân loại sniffing thành 2 nhóm: passive và active.
•

Passive sniffing: đơn giản của việc nghe và bắt gói, bạn chỉ cần cắm 1 card có
chức năng “sniff” là bạn đã có thể bắt gói mà ko cần làm các việc khác nữa.
Nhưng “passive sniffing” chỉ hoạt động khi máy của kẻ tấn công nằm cùng miền

17


đụng độ với máy của nạn nhân. Do hub ko có chia miền đụng độ nên “passive
sniffing” sẽ hoạt động hiệu quả khi trong mạng có “hub”.
• Active sniffing: Khi trong mạng có switch, switch sẽ cố gắng đưa gói tin đến
đúng đích dựa vào địa chỉ MAC . Switch duy trì 1 bảng MAC chứa các địa chỉ
MAC và cổng ra tương ứng, vì thể switch đã chia nhỏ miền đụng độ. Hacker chỉ
nằm trong 1 phần của miền đụng độ đã bị chia nhỏ, như vậy khi hacker “sniff” thì
họ chỉ có thể bắt được các gói gửi vào cổng của mình. Ta có thể cấu hình “switch”
để khi 1 gói tin đi vào cổng này, switch sẽ tự động tạo 1 bản copy đưa sang cổng
của kẻ tấn công cách này thường do người quản trị cấu hình để quan sát lưu
thông trên mạng của mình một cách họp pháp. Hacker thường thể tấn công switch
để nó hoạt động như 1 hub, kỹ thuật này có tên gọi khác là “MAC flooding”.
2.2.

CÁC PHƯƠNG THỨC TẤN CÔNG

2.2.1. Tấn công MAC


Trước tiên, chúng ta cần hiểu cách thứa switch gửi gói tin đến đúng cổng. Nếu 1
gói tin đến switch, nó phải xác định xem nên chuyển sang cổng khác hay tạo copy của
gói tin và gửi tràn ra mọi cổng. Nếu gói tin có địa chỉ đích là FF:FF:FF:FF:FF:FF- địa chỉ
broadcast hay địa chỉ multicast, switch sẽ tạo copy của gói tin và gửi tràn ra mọi cổng
khác.
Khi địa chỉ đích thuộc dạng unicast, switch sẽ xét địa chỉ nguồn và địa chỉ đích.
Đia chỉ nguồn là địa chỉ MAC của máy nằm trên đầu dây bên kia của cổng trên switch,
cho nên nó biết rằng sau này có thể gói tin sẽ đi đến máy trên, vì thế nó sẽ lưu thông tin
này vào bảng CAM. Switch sẽ dò bảng CAM với địa chỉ đích, nếu có thì switch sẽ gửi
gói tin sang cổng ứng với địa chỉ đích; nếu không có, switch sẽ gửi trản ra các cổng còn
lại của nó. Sau 1 thời gian ngắn thì bảng CAM sẽ lưu hết địa chỉ MAC của mọi máy đang
cắm ở các cổng của nó, và nó sẽ không còn gửi trản nữa. Nhưng khi chưa đến thời điểm
switch lưu hết được địa chỉ MAC kết nối với nó, thì nó có thể còn gửi tràn.
Hình trên mô tả hoạt động của bảng CAM.

18


Mac flooding: kẻ tấn công gửi thật nhiều địa chỉ MAC đến switch để nó lắp đầy
bảng CAM. Khi mà có địa chỉ mới thì địa chỉ cũ bị bỏ khỏi bảng CAM, cho nên nếu thời
giản thông tin bị bỏ khỏi bảng CAM nhanh hơn khả năng dò thông tin của switch trong
bảng CAMswitch không thấy thông tin thì nó sẽ gửi tràn ra mọi cổngswitch khi đó
sẽ biến thành hub. Khi đó kẻ tấn công sẽ bắt được mọi gói tin đến switch, các tools hỗ trợ
có “Etherflood” và “Macof”.
Mac spoofing: ngày nay các switch mới được thiết lập để chống lại “Mac
flooding” nhưng vẫn bị 1 kỹ thuật khác đánh lừa, đó là “Mac spoofing”. Khi kẻ tấn công
cắm máy tính có MAC address là “B” vào 1 cổng trên switch và họ muốn giả giả mạo
Mac address của máy “A” ở cổng khác, họ sẽ gửi hàng loạt frame có địa chỉ nguồn là
“A” đến cho switch, switch sẽ update lại bảng CAM với thông tin mới hơn ưu tiên trên
đầu bảng  cho đến khi bảng CAM được update liên tục với thông tin giả mạo lên đầu,

thì kẻ tấn công sẽ nhận được các gói tin mà lẽ ra phải gửi đến máy “A”. Cách phòng
chống trường hợp trên là sử dụng “port security”.
Port security: là 1 tính năng trên switch cho phép người quản trị gán các địa chỉ
MAC nào được phép sử dụng trên 1 cổng của switch, nếu máy tính có địa chỉ MAC
không khớp với MAC được switch quy định thì switch sẽ không cho máy đó kết nối vào
mạng.
Tools để giả mạo MAC address: Cain&Abel (Windows), Scapy(Unix), Packet
Crafter, SMAC.
2.2.2. Tấn công DHCP

19


Để hiểu được cách tấn công dịch vụ DHCP đầu tiên ta cần nắm được cách thức
cấp phát và nhận ip từ máy trạm đến máy chủ.Đầu tiên, một DHCP client muốn nhận mới
một địa chỉ IP (chứ không phải muốn phục hồi lại thời gian “thuê” của một địa chỉ IP mà
nó đang sử dụng) sẽ gửi lên toàn mạng (broadcast) một thông điệp DHCP Discover có
chứa địa chỉ MAC của nó để tìm kiếm sự hiện diện của DHCP server.Nếu tồn tại sự hoạt
động của (các) DHCP server thuộc cùng subnet với DHCP client trên thì (các) server này
sẽ phản hồi lại cho client bằng một thông điệp DHCP Offer có chứa một địa chỉ IP (và
các thiết lập TCP/IP khác) như là một lời đề nghị cho “thuê” (lease) địa chỉ.Ngay khi
nhận được gói DHCP Offer đến đầu tiên, client sẽ trả lời lại cho server (dĩ nhiên là gửi
cho server nào mà nó nhận được gói DHCP Offer đến đầu tiên trong trường hợp có nhiều
DHCP server nằm cùng subnet với nó) một thông điệp DHCP Request như là sự chấp
thuận lời đề nghị cho “thuê” trên.Cuối cùng, server gửi lại cho client thông điệp DHCP
Acknowledgment để xác nhận lần cuối “hợp đồng cho thuê địa chỉ” với client. Và từ đây
client có thể sử dụng địa chỉ IP vừa “thuê” được để truyền thông với các máy khác trên
mạng.
Như vậy, nhìn chung DHCP làm việc khá đơn giản nhưng điểm mấu chốt ở đây là
xuyên suốt quá trình trao đổi thông điệp giữa server và client không hề có sự xác thực

hay kiểm soát truy cập nào.
Server không có cách nào biết được rằng nó có đang liên lạc với một legitimate
client (tạm dịch là máy hợp pháp, tức là một máy không bị điều khiển để thực hiện các
mục đích xấu) hay không và ngược lại client cũng không thể biết được là nó có đang liên
lạc với một legitimate server hay không.
Khả năng trong mạng xuất hiện các rogue DHCP client và rogue DHCP server
(rogue tạm dịch là máy “DHCP giả”, tức là một máy giả tạo, bị điều khiển để thực hiện
các hành vi xấu) tạo ra nhiều vấn đề đáng quan tâm.

20


Một rogue server có thể cung cấp cho các legitimate client các thông số cấu hình
TCP/IP giả và trái phép như: địa chỉ IP không hợp lệ, sai subnet mask, hoặc sai địa chỉ
của default gateway, DNS server nhằm ngăn chặn client truy cập tài nguyên, dịch vụ
trong mạng nội bộ hoặc Internet (đây là hình thức của tấn công DoS).

Việc thiết lập một rogue server như vậy có thể thực hiện được bằng cách sử dụng
các kỹ thuật “social engineering” để có được khả năng tiếp cận vật lý rồi kết nối rouge
server vào mạng.
Attacker có thể thoả hiệp thành công với một legitimate client nào đó trong mạng
và thực hiện cài đặt rồi thực thi trên client này một chương trình có chức năng liên tục
gửi tới DHCP server các gói tin yêu cầu xin cấp IP với các địa chỉ MAC nguồn không có
thực cho tới khi toàn bộ dải IP trong scope của DHCP server này bị nó “thuê” hết. Điều
này dẫn tới server không còn IP nào để có thể cấp phát cho các legitimate client khác.
Hậu quả là các client này không thể truy cập vào mạng.

21



Hình 2.6. Minh họa việc chuyển hướng người dùng
Một rủi ro nữa có thể xảy ra nếu như attacker phá vỡ được các hàng rào bảo vệ
mạng và đoạt được quyền kiểm soát DHCP server. Lúc này, attacker có thể sẽ tạo ra
những sự thay đổi trong cấu hình của DHCP server theo ý muốn như:
22


-

thiết lập lại dải IP, subnet mask của scope để tạo ra tình trạng DoS trong
mạng.

-

đổi thiết lập DNS để chuyển hướng yêu cầu phân giải tên miền của client tới
rogue DNS (do attacker dựng lên), kết quả là client có thể sẽ bị dẫn dụ tới các
website giả mạo được xây dựng nhằm mục đích đánh cắp thông tin tài khoản
của client hoặc website có chứa mã độc mà sẽ được tải về máy client.

-

thay đổi default gateway trỏ về máy của attacker để toàn bộ thông tin mà
client gửi ra ngoài mạng sẽ được chuyển tới máy của attacker (thay vì đi tới
default gateway thực sự), sau đó attacker sẽ chụp lại các thông tin này trước
khi chuyển tiếp chúng tới gateway thực sự của mạng và client vẫn truyền
thông bình thường với các máy ngoài mạng nhưng người dùng lại không hề
nhận biết được rằng họ đã để lộ thông tin cho attacker (đây là một dạng của
tấn công Man-in-the-Middle).

23



-

chưa hết, nếu bạn đang chạy dịch vụ DHCP server đã bị tấn công trên cùng
một máy với Domain Controller thì hậu quả sẽ còn nghiêm trọng hơn nữa khi
attacker sẽ có khả năng nắm được cơ sở dữ liệu Active Directory và gây thêm
nhiều rắc rối khác cho hệ thống của bạn.

24


Hình 2.7. Minh họa việc cấp phát ip giả
Như vậy, có khá nhiều nguy cơ đe dọa tới tính bí mật, toàn vẹn và độ sẵn sàng của
hạ tầng DHCP và từ đó tạo ra những rủi ro khác nhau cho toàn bộ hệ thống mạng của tổ
chức. Trong phần 2 của bài viết, chúng ta này sẽ cùng thảo luận về những giải pháp cụ
thể và những công cụ hữu ích để đảm bảo an toàn cho DHCP server trên cả hai nền tảng
là Linux và Windows.
2.2.3. Tấn công đầu độc ARP

ARP cho phép chuyển từ địa chỉ IP sang địa chỉ MAC. Khi máy tính A muốn giao tiếp
với máy tính B, nó cần phải biết địa chỉ MAC của máy B. Trước tiên, máy A sẽ nhìn vào
ARP cache để dò xem nó đã có địa chỉ MAC của máy B chưa, nếu chưa, máy A sẽ gửi
broadcast 1 gói tin ARP với nội dung như: “ Có máy nào có địa chỉ MAC trùng với địa
chỉ IP mà tôi đang tìm kiếm không?” Nếu máy B thấy được gói tin này, là sẽ gửi trả lại 1
gói tin ARP kèm theo địa chỉ MAC của máy B.
Một kỹ thuật active sniffing có tên gọi là ARP poisoning (ARP spoofing), đây là quá
trình thay đổi ARP cache của 1 thiết bị để chèn những thông tin sai vào đó. ARP là 1 giao
thức broadcast, khi máy A nhận được 1 gói tin broadcast có địa chỉ MAC từ máy B nào
25