Mục lục
Câu 2: nguy cơ lỗ hỏng giao thức TCP/ UDP............................2
Câu 3: các biện pháp ngăn ngừa, phòng chống tấn công........2
Câu 1: nguy cơ lỗ hỏng giao thức DNS...................................3
Câu 4: Trình bày các mô hình phòng thủ chủ yếu trong an
toàn mạng máy tính.............................................................5
Câu 5: Trình bày nguyên lý tấn công từ chối dịch vụ tầng liên
kết.......................................................................................6
Câu 6: Trình bày nguyên lý tấn công từ chối dịch vụ tầng giao
vận......................................................................................7
Câu 7: Trình bày nguyên lý tấn công từ chối dịch vụ tầng ứng
dụng....................................................................................7
Câu 8: Trình bày kỹ thuật vượt qua tường lửa và tránh bị phát
hiện.....................................................................................9
Câu 9: Trình bày kỹ thuật do thám DNS...............................11
Câu 10: Trình bày các giải pháp phòng ngừa, ngăn chặn tấn
công chủ yếu......................................................................13
Câu 11: Quy trình và kỹ thuật ra quét mạng........................15
Câu 12: Quy trình và kỹ thuật do thám mạng......................17
Câu 13: Các yêu cầu đảm bảo an toàn mạng........................18
Câu 14: Trình bày hoạt động của giao thức ARP...................19
Câu 15: Trình bày kỹ thuật tấn công làm gián đoạn dịch vụ
bằng cách khai thác lỗ hổng của giao thức ARP....................21
Câu 16: Xây dựng giải pháp phòng chống nguy cơ làm gián
đoạn dịch vụ do hacker khai thác lỗ hổng của giao thức ARP.
..........................................................................................21
Câu 17: Trình bày kỹ thuật tấn công đánh cắp thông tin bằng
cách khai thác lỗ hổng của giao thức ARP............................22


Câu 18: Xây dựng giải pháp phòng chống nguy cơ đánh cắp

thông tin do hacker khai thác lỗ hổng của giao thức ARP.....22


Câu 2: nguy cơ lỗ hỏng giao thức TCP/ UDP.
Tấn công DoS-SYN Flooding: Kẻ tấn công gửi hàng loạt gói tin SYN với địa chỉ
nguồn là các địa chỉ IP giả; Server gửi lại SYN/ACK chuẩn bị tài nguyên để
trao đổi dữ liệu, chờ ACK trong thời gian time-out.
 Làm cạn kiệt tài nguyên của ứng dụng, máy chủ vật lý.
 Tấn công can thiệp vào kết nối TCP: giao thức TCP cho phép 2 bên đóng liên
kết 1 cách độc lập.
 Kẻ tấn công có thể ngắt kết nối đột ngột của người dùng nếu biết được thông
tin về số hiệu cổng, Sequence Number.
 Tấn công dịch vụ DHCP (Dynamic Host Configuration Protocol): sử dụng UDP,
cổng 67(server), 68(client).
 Lỗ hổng: Bất kỳ máy trạm nào yêu cầu cũng được cấp phát địa chỉ IP
 Nguy cơ: Tấn công DoS làm cạn kho địa chỉ (DHCP Starvation);
 Lỗ hổng: Không xác thực cho các thông tin cấp phát từ DHCP Server ->
DHCP Spoofing
 Nguy cơ: Thay đổi địa chỉ DNS Server tin cậy bằng địa chỉ DNS của kẻ tấn
công;
 Nguy cơ: Thay địa chỉ default router, cho phép kẻ tấn công: chặn bắt, do
thám thông tin; tấn công phát lại; tấn công MITM;


Câu 3: các biện pháp ngăn ngừa, phòng chống tấn công.
1. Giám sát, đánh giá bảo mật & xây dựng một chiến lược an ninh tổng thể;
2. Đào tạo nhân viên về các nguyên tắc an ninh mạng;
3. Cài đặt, sử dụng và thường xuyên cập nhật phần mềm chống vi-rút và phần
mềm gián điệp trên mọi máy tính được sử dụng trong doanh nghiệp của
bạn;

4. Sử dụng Root guard, BPDU guard, BPDU filtering (STP);
5. Sử dụng Port Security ( chống cơ chế tự học MAC), sử dụng Dynamic ARP
Inspection, DHCP Snooping;
6. DNS Server sử dụng số hiệu cổng ngẫu nhiên khi gửi thông điệp truy vấn;
7. Sử dụng DNS tin cậy;
8. Mã hóa thông tin mật;
9. Cập nhật bản vá thường xuyên;
10. Xác thực với MD5 và pre-share-key;
11. Từ chối các thông điệp HTTP request có Host không tin cậy;
12. Sử dụng tường lửa cho kết nối Internet của bạn;
13. Tải xuống và cài đặt các bản cập nhật phần mềm cho các hệ điều hành và
ứng dụng của bạn khi chúng có sẵn;
14. Tạo bản sao dự phòng dữ liệu và thông tin quan trọng;
15. Kiểm soát truy cập vật lý vào máy tính và các thành phần mạng của bạn;
16. Hãy bảo mật mạng Wi-Fi của bạn. Nếu bạn có mạng Wi-Fi cho nơi làm việc,
hãy đảm bảo rằng nó an toàn và bí mật;
17. Không sử dụng các phần mền crack;
18. Yêu cầu tài khoản người dùng cá nhân cho mỗi nhân viên;


19. Hạn chế quyền truy cập của nhân viên vào dữ liệu và thông tin và giới hạn
quyền hạn để cài đặt phần mềm;
20. Thường xuyên thay đổi mật khẩu.


Câu 1: nguy cơ lỗ hỏng giao thức DNS.
Giao thức Domain Name System (DNS) thì có sức lan tỏa. Nhìn chung, chúng
ta sử dụng nó hàng tỷ lần một ngày, thường không hề biết rằng nó tồn tại;
 Đối với các doanh nghiệp, đó là bản sắc kỹ thuật số cũng như một thành
phần quan trọng trong kiến trúc bảo mật của họ;

 Tuy nhiên, giống như tất cả các công nghệ, nó dễ bị đe dọa. Quá thường
xuyên, bản chất luôn luôn xuất hiện, có mặt khắp mọi nơi của DNS làm cho
nó đang bị bị bỏ qua;
 Dưới đây là 5 nguy cơ lỗ hỏng (đe dọa) phổ biến cái mà thúc đẩy DNS:
1. Typosquatting
 Typosquatting: Việc đăng ký một tên miền cái mà dễ nhầm lẫn là tương tự
với một thương hiệu phổ biến hiện có;
 Thường được coi là một vấn đề đối với luật sư nhãn hiệu, nó có thể gây ra
rủi ro sâu sắc đối với tính bảo mật vểf bí quyết kinh doanh của công ty;
 Typosquatting không chỉ là về các cá nhân người mà đăng ký một cách ngẫu
nhiên các tên miền tương tự gây nhầm lẫn để hy vọng được hưởng lợi từ lưu
lượng truy cập Web bị sai mà cũng có thể được sử dụng để đánh cắp thông
tin;
 Biện pháp khắc phục:
 Theo dõi các tên miền mới được đăng ký cho các tên tương tự gây nhầm
lẫn với thương hiệu của bạn;
 Thông tin về đăng ký tên miền mới nên có sẵn từ các cơ quan đăng ký;
 Có nhiều công ty cung cấp dịch vụ quản lý thương hiệu kỹ thuật số chuyên
dụng để đơn giản hóa quá trình tìm kiếm này.
2. Cache poisoning (đầu độc bộ nhớ cache):
 Bất cứ khi nào bạn gửi email hoặc truy cập một trang web, thì máy tính của
bạn có thể đang sử dụng dữ liệu DNS đã được lưu trong bộ nhớ cache ở đâu
đó trên mạng, chẳng hạn như với ISP của bạn;
 Kẻ tấn công đôi khi khai thác lỗ hổng hoặc lựa chọn cấu hình kém trong máy
chủ DNS để đưa thông tin địa chỉ gian lận vào bộ nhớ cache;
 Biện pháp:
 Dùng giao thức DNSSEC, đang được triển khai trên các cơ quan đăng ký và
đăng ký trên toàn thế giới hiện nay;
 Thêm chữ ký số DNSSEC vào tên miền giúp các trình duyệt và ISP sẽ có
thể xác thực thông tin DNS mà họ nhận được là xác thực;

3. DDoS (Distributed Denial of Service attacks): cuộc tấn công từ chối dịch vụ
phân tán:
 DDoS không phải là mối đe dọa cụ thể đối với DNS. Tuy nhiên, DNS đặc biệt
dễ bị tổn thương trước các cuộc tấn công như vậy bởi vì nó đại diện cho một
điểm nghẹt logic trên mạng;
 Loại lỗi này thường bị bỏ qua khi các tổ chức lên kế hoạch cho cơ sở hạ tầng
của họ;



Cho dù trang web có mạnh như thế nào, nếu cơ sở hạ tầng DNS không thể
xử lý số lượng yêu cầu đến cái mà nó nhận được, thì hiệu suất của trang
web cũng sẽ bị suy giảm hoặc bị vô hiệu hóa;
 Biện pháp:
 Hãy xem xét việc tham gia một nhà cung cấp DNS được quản lý sử dụng
mạng máy chủ Anycast được phân phối rộng rãi, có tính dự phòng cao để
xử lý lưu lượng DNS;
 Sử dụng Anycast để phản chiếu các máy chủ DNS của bạn có thể cải thiện
hiệu suất cũng như cân bằng tải trong suốt 1 cuộc tấn công DdoS;
 Nếu bạn muốn xây dựng dịch vụ DNS được quản lý của riêng mình, thì hãy
chắc chắn là tận dụng sức mạnh của Anycast.
4. DNS Amplification Attacks (tấn công khuếch đại DNS).
- Là một chiến thuật được sử dụng trong các cuộc tấn công DDoS nhằm thúc
đẩy các máy chủ DNS được triển khai trong các cấu hình đệ quy không an
toàn;
- Đệ quy là một tính năng của DNS cho phép phân giải tên miền được chuyển
đến các máy chủ tên mạnh hơn; đây là một tính năng cần thiết, hữu ích
thường được triển khai trong môi trường doanh nghiệp;
- Kẻ tấn công đã tận dụng các máy chủ DNS đệ quy "mở" (một máy chủ tên
đệ quy mà quyền truy cập không bị kiểm soát cũng không bị hạn chế, có

thể bị khai thác) để tăng sức mạnh cho các cuộc tấn công DDoS của chúng;
- Bằng cách giả mạo địa chỉ nguồn trên các truy vấn DNS để khớp với nạn
nhân dự định, chúng gửi gói tin giả từ một trong các bot của chúng đến máy
chủ tên đệ quy để khuếch đại tin giả; Phản hồi gửi cho nạn nhân sẽ lớn hơn
hàng chục lần so với truy vấn ban đầu. Điều này có thể dẫn đến một botnet
sử dụng hỏa lực nhiều lần, gây ra hiệu suất xuống cấp nghiêm trọng hơn
nhiều tại trang web của nạn nhân;
- Biện pháp:
 Hạn chế dùng một máy chủ DNS đệ quy mở cho toàn bộ Internet;
 Thay đổi cấu hình thường xuyên để máy chủ DNS có thể chống lại loại tấn
công này.
5. Registrar Hijacking (cướp công ty đăng ký):
 Phần lớn các tên miền được đăng ký thông qua một công ty đăng ký và các
công ty này tự đại diện cho các điểm thất bại;
 Nếu kẻ tấn công có thể thỏa hiệp tài khoản của bạn với nhà đăng ký đã
chọn, chúng sẽ giành quyền kiểm soát tên miền của bạn, cái mà cho phép
chúng trỏ nó đến các máy chủ mà chúng chọn, bao gồm máy chủ tên, máy
chủ Web, máy chủ email,,,,;
 Tệ hơn nữa, tên miền sẽ được chuyển giao cho chủ sở hữu mới hoặc đến
công ty đăng ký “khó tìm”, cái mà khiến việc khôi phục tên miền trở thành
một vấn đề phức tạp;
 Các cuộc tấn công như vậy có thể được hướng vào nhà đăng ký theo kiểu
phổ biến, có thể nhắm đến tài khoản của bạn một cách cụ thể, thông qua
một cuộc tấn công vào mật khẩu của bạn hoặc một cuộc tấn công kỹ thuật
mạng xã hội chống lại các hoạt động hỗ trợ kỹ thuật của nhà đăng ký.






Biện pháp:
 Hãy chọn một công ty đăng ký cung cấp các biện pháp phòng ngừa bảo
mật bổ sung, chẳng hạn như xác thực đa yếu tố hoặc người quản lý tài
khoản mà bạn có thể xây dựng mối quan hệ cá nhân;
 Sử dụng dịch vụ cao cấp cho từ nhà cung cấp để có thể giảm thiểu rủi ro
mất quyền kiểm soát tài khoản của bạn cho một tên không tặc. Những thứ
này có chi phí, nhưng đó là một cái giá nhỏ phải trả để đảm bảo rằng tên
miền của bạn vẫn nằm trong tầm kiểm soát của bạn.


Câu 4: Trình bày các mô hình phòng thủ chủ yếu trong an toàn mạng máy tính.
a. Mô hình phòng thủ Lollipop.
 Hình thức phòng thủ phổ biến nhất, được gọi là an ninh vành đai, liên quan
đến việc xây dựng một bức tường xung quanh đối tượng có giá trị.
 Tường lửa là lựa chọn phổ biến nhất để kiểm soát truy cập bên ngoài vào
mạng nội bộ.
 Nhược điểm:
 Một khi kẻ tấn công xâm nhập
vào bên trong sẽ không có biện
pháp phòng thủ nào khác.
 Không cung cấp các mức độ bảo
mật khác nhau phù hợp với từng
tài sản, tức là bảo vệ mọi thứ
như nhau.
 Không bảo vệ chống lại cuộc tấn
công bên trong.
 Tường lửa là một phần quan
trọng của chiến lược an ninh
mạng gắn kết, nhưng chỉ mình
chúng là không đủ.

b. Mô hình phòng thủ Onion.
 Mô hình phòng thủ này được triển  Mô hình bảo mật này có thể được
khai trong nhiều trường hợp và
thiết kế theo nhiều cách:
không dựa vào một lớp bảo vệ.
 Phân đoạn mạng dựa trên quyền
 Khó dự đoán và khó thâm nhập hơn
truy cập và nhu cầu của mỗi
nhiều so với mô hình lollipop.
người.
 Mô hình Onion giải quyết những sự  Xác định những vùng đáng tin cậy
để phân vùng tải sản.
cố khi kẻ tấn công vượt qua tường
lừa hoặc những người đáng tin cậy  Bảo vệ ở nhiều cấp độ khác nhau:
 Mạng
trong tổ chức bỏ qua đặc quyền của
 Phần mềm tường lửa cá nhân
họ. Kiến trúc bảo mật phân lớp này
 Điều khiển xác thực truy cập hệ
cung cấp nhiều mức độ bảo vệ
thống
chống lại các mối đe dọa bên
 Ứng dụng các xác thực đa yếu
trong( điều mà tường lửa không làm
tố, quản lý phân quyền.
được) và bên ngoài.



Câu 5: Trình bày nguyên lý tấn công từ chối dịch vụ tầng liên kết.










Tầng liên kết dữ liệu đảm bảo truyền tin tin cậy giữa hai thiết bị vật lý kết nối
trực tiếp với nhau, dữ liệu tại tầng này gọi là khung (Frame).
Tấn công từ chối dịch vụ thực chất là hacker sẽ chiếm dụng một lượng lớn tài
nguyên trên server (tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa
cứng, ... ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của
nguời khác (máy của những người dùng bình thường ) và server có thể nhanh
chóng bị ngừng hoạt động, crash hoặc reboot .
Các cuộc tấn công quan trọng nhất ở lớp liên kết dữ liệu bao gồm cạn kiệt địa
chỉ bảng (CAM), giả mạo ARP, tấn công DHCP starvation, giả mạo địa chỉ
MAC, tấn công VLAN và nhiều hơn nữa. Các cuộc tấn công này thường phá vỡ
lưu lượng giao thông bình thường từ người gửi đến người nhận.
Mac Table Overflow attack: MAC Table Overflow là kỹ thuật tấn công sử
dụng để khai thác điểm yếu bộ nhớ và phần cứng hạn chế trong bảng CAM
của Switch. Các loại switch khác nhau có khả năng lưu trữ bảng CAM khác
nhau. Tuy nhiên một khi các bảng CAM đã bị làm đầy bởi các địa chỉ MAC giả
mạo, Switch sẽ không còn khả năng xác định cổng đích để truyền gói tin, nó
sẽ gửi broadcast ra toàn bộ các cổng.
Một kẻ tấn công có thể khai thác hạn chế về giới hạn bảng CAM bằng các bắn
các gói tin ARP request giả mạo MAC lên switch, cho đến khi bảng CAM đầy.
Một tool trong Kali Linux là Macof (MAC Overflow) có thể tạo ra khoảng 155
nghìn địa chỉ MAC giả mạo/phút. Khi nhận được gói tin ARP Request switch sẽ

đẩy các gói tin này đến tất cả các cổng trên nó. Các switch khác trong mạng
nội bộ cũng có thể nhận được các gói tin ARP request rồi lại tiếp tục đẩy ra tất
cả các cổng trên nó dẫn đến là toàn bộ hệ thống mạng bị quá tải. Lưu lượng
các gói tin ngập trong mạng nội bộ khi hiện tượng tràn bảng CAM xảy ra.
Những kẻ tấn công có thể chớp cơ hội này để chặn bắt các gói tin của người
dùng.


Câu 6: Trình bày nguyên lý tấn công từ chối dịch vụ tầng giao
vận.












Tầng vận tải chịu trách nhiệm chuyển toàn bộ bản tin từ nơi gửi đến nơi nhận
một cách toàn vẹn. Nói cách khác, tầng vận tải đảm bảo liên kết giữa các
tiến trình trên các máy tính khác nhau trên môi trường mạng;
Các dạng tấn công phổ biến nhất bao gồm SYN Flood, UDP Flood (25%), NTP
(7,4%) và ICMP (6,6%). Các cuộc tấn công này phụ thuộc vào việc tạo và
truyền khối lượng lớn lưu lượng mạng để làm gián đoạn hoặc chặn hoàn toàn
tính khả dụng của các dịch vụ / tài nguyên mạng cho người dùng hợp pháp.
Các cuộc tấn công như vậy thường liên quan đến việc khai thác các giao thức

TCP và UDP để bảo vệ tài nguyên mạng;
SYN Flood: Tấn công SYN Flood là kỹ thuật tấn công DoS khai thác điểm yếu
trong thủ tục bắt tay 3 bước (3-way handshake) khi hai bên tham gia truyền
thông thiết lập kết nối TCP để bắt đầu phiên trao đổi dữ liệu;
Thủ tục bắt tay khi một người dùng hợp pháp thiết lập một kết nối TCP đến
máy chủ, gồm 3 bước như sau:
 Người dùng thông qua máy khách gửi yêu cầu mở kết nối (SYN hay SYNREQ) đến máy chủ;[2]
 Máy chủ nhận được lưu yêu cầu kết nối vào Bảng kết nối (Backlog) và gửi
lại xác nhận kết nối SYN-ACK cho máy khách;[2]
 Khi nhận được SYN-ACK từ máy chủ, máy khách gửi lại xác nhận kết nối
ACK đến máy chủ. Khi máy chủ nhận được xác nhận kết nối ACK từ máy
khách, nó xác nhận kết nối mở thành công, máy chủ và máy khách bắt
đầu phiên truyền thông TCP. Bản ghi mở kết nối được xóa khỏi Bảng kết
nối.[2]
Kịch bản tấn công SYN Flood, gồm các bước sau:
 Kẻ tấn công gửi một lượng lớn yêu cầu mở kết nối (SYN-REQ) đến máy nạn
nhân;
 Nhận được yêu cầu mở kết nối, máy nạn nhân lưu yêu cầu kết nối vào
Bảng kết nối trong bộ nhớ;
 Máy nạn nhân sau đó gửi xác nhận kết nối (SYN-ACK) đến kẻ tấn công;
 Do kẻ tấn công không gửi lại xác nhận kết nối ACK, nên máy nạn nhân vẫn
phải lưu tất cả các yêu cầu kết nối chưa được xác nhận trong Bảng kết nối.
Khi Bảng kết nối bị điền đầy thì các yêu cầu mở kết nối của người dùng
hợp pháp sẽ bị từ chối.
Máy nạn nhân chỉ có thể xóa một yêu cầu kết nối đang mở khi nó hết hạn
(timed-out).

Câu 7: Trình bày nguyên lý tấn công từ chối dịch vụ tầng ứng
dụng.



Tầng ứng dụng cung cấp các tiện ích để người dùng truy cập vào mạng như:
các dịch vụ như gửi thư điện tử, truy cập và chuyển file từ xa…. Tầng ứng
dụng cũng cung cấp các phương thức cho các ứng dụng khác (ví dụ truy nhập
cơ sở dữ liệu mô hình khách/chủ…). Tầng ứng dụng là tầng cao nhất trong










mô hình OSI, do đó nó tạo ra dữ liệu thực sự chứ không có các thông tin điều
khiển.
Hiệu quả của hầu hết các cuộc tấn công DDoS đến từ sự khác biệt giữa số
lượng tài nguyên cần thiết để khởi động một cuộc tấn công và số lượng tài
nguyên cần thiết để hấp thụ hoặc giảm thiểu nó. Trong khi điều này vẫn đúng
với tấn công tầng ứng dụng, sự ảnh hưởng đến cả máy chủ mục tiêu và mạng
đòi hỏi ít tổng băng thông hơn để đạt được cùng một kết quả; một cuộc tấn
công tầng ứng dụng tạo ra nhiều thiệt hại hơn với tổng băng thông ít hơn.
Mặc dù HTTP là giao thức bị tấn công nhiều nhất nhưng các giao thức khác
cũng bị tấn công, chẳng hạn như: DNS dictionary attacks, tấn công đầu độc
cache, VoIP (SIP INVITE Flood Attack), tấn công tràn bộ đệm SMTP,…
Ví dụ: HTTP flooding attack
Tấn công HTTP GET: nhiều máy tính hoặc các thiết bị khác được phối hợp
để gửi nhiều yêu cầu cho hình ảnh, tệp hoặc một số nội dung khác từ máy
chủ được nhắm mục tiêu. Khi mục tiêu bị tràn ngập với các yêu cầu và phản

hồi đến, việc từ chối dịch vụ sẽ xảy ra với các yêu cầu bổ sung từ các nguồn
lưu lượng hợp pháp.
Tấn công HTTP POST: thường khi một biểu mẫu được gửi trên một trang
web, máy chủ phải xử lý yêu cầu đến và đẩy dữ liệu vào một lớp kiên trì,
thường là một cơ sở dữ liệu. Quá trình xử lý dữ liệu biểu mẫu và chạy các
lệnh cơ sở dữ liệu cần thiết là tương đối chuyên sâu so với số lượng sức mạnh
xử lý và băng thông cần thiết để gửi yêu cầu POST. Cuộc tấn công này sử
dụng sự chênh lệch về mức tiêu thụ tài nguyên tương đối, bằng cách gửi
nhiều yêu cầu đăng trực tiếp đến một máy chủ được nhắm mục tiêu cho đến
khi công suất bão hòa và từ chối dịch vụ xảy ra.

a. Tấn công DDoS trực tiếp

 Kẻ tấn công (Attacker) chiếm quyền điều khiển hàng ngàn, thậm chí hàng
chục ngàn máy tính trên mạng Internet, sau đó bí mật cài các chương trình
tấn công tự động (Automated agents) lên các máy này. Các automated
agents còn được gọi là các Bots hoặc Zombies (Máy tính ma);
 Các máy bị chiếm quyền điều khiển hình thành mạng máy tính ma, gọi là
botnet hay zombie network. Các botnet, hay zombie network không bị giới
hạn bởi chủng loại thiết bị và tô pô mạng vật lý;
 Kẻ tấn công có thể giao tiếp với các máy botnet, zombie thông qua một
mạng lưới các máy trung gian (handler) gồm nhiều tầng. Phương thức giao
tiếp có thể là IRC (Internet Relay Chat), P2P (Peer to Peer), HTTP,…
 Tiếp theo, kẻ tấn công ra lệnh cho các automated agents đồng loạt tạo các
yêu cầu giả mạo gửi đến các máy nạn nhân tạo thành cuộc tấn công DDoS;
 Lượng yêu cầu giả mạo có thể rất lớn và đến từ rất nhiều nguồn, vị trí địa lý
khác nhau nên rất khó đối phó và lần vết để tìm ra kẻ tấn công thực sự.

b. Tấn công DDoS gián tiếp


 Kẻ tấn công chiếm quyền điều khiển của 1 lượng lớn máy tính trên mạng
Internet, cài đặt phần mềm tấn công tự động bot/zombie (còn gọi là slave),
hình thành nên mạng botnet;


 Theo lệnh của kẻ tấn công điều khiển các Slaves/Zombies gửi một lượng lớn
yêu cầu giả mạo với địa chỉ nguồn là địa chỉ máy nạn nhân đến một số lớn
các máy khác (Reflectors) trên mạng Internet;
 Các Reflectors gửi các phản hồi (Reply) đến máy nạn nhân do địa chỉ của
máy nạn nhân được đặt vào địa chỉ nguồn của yêu cầu giả mạo;
 Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt
đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn
đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng. Các Reflectors
bị lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có công
suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc.


Câu 8: Trình bày kỹ thuật vượt qua tường lửa và tránh bị phát hiện.

a. Vượt tường lửa sử dụng phương pháp máy chủ proxy











Tìm máy chủ proxy phù hợp;
Trên menu Tools của bất kỳ trình duyệt Internet nào, chọn LAN trên tab
Network Connections, và sau đó nhấp vào LAN/Network Settings;
Tại Proxy server settings, chọn use a proxy server for LAN;
Trong hộp địa chỉ, gõ địa chỉ IP của máy proxy;
Trong hộp port, gõ số port được sử dụng bởi máy chủ proxy cho các kết nối
của client;
Tích vào tùy chọn Bypass proxy server for local access nếu bạn không muốn
máy tính của máy chủ proxy để được sử dụng khi kết nối với mọt máy tính
tren mạng nội bộ;
Bấm OK để đóng hộp thoại Settings LAN;
Click OK lần nữa để đóng hộp thoại tùy chọn internet.

b. Vượt qua tường lửa thông qua phương pháp ICMP
Tunneling







Nó cho phép tạo backdoor shell trong phần dữ liệu của các gói tin ICMP Echo;
RFC 792, mô tả về ICMP Operations, không xác định nhưng gì nên thuộc về
phần dữ liệu;
Phần payload là bất kỳ và không bị kiểm tra bởi hầu hết tường lửa, do đó bất
kỳ dữ liệu có thể chèn vào trog phần payload của gói tin ICMP, bao gồm cả
ứng dụng backdoor;
Một số quản trị viên giữ ICMP mở trên tường lủa của họ vì nó giúp ích cho các
công cụ như ping hay traceroute;

Giả sử ICMP được cho phép thông qua một Firewall, sử dụng Loki ICMP
tunneling để thực hiện các lệnh tùy ý bằng cách chèn chúng ngầm bên trong
các payload của các gói tin ICMP echo.

c. Vượt tường lửa thông qua phương pháp Tunneling ACK






Cho phép ứng dụng chạy ngầm backdoor với các gói tin TCP với các thiết lập
bit ACK;
ACK bit được sử dụng để xác nhận đã nhận một gói tin;
Môt số tường lửa không kiểm tra các gói dữ liệu với các bit ACK vì bít ACK
thường được sử dụng để phản hồi với các traffic hợp pháp đã được cho phép
thông qua;
Công cụ như ACKCMD có thể được sử dung đẻ thực hiện ACK Tunneling.

d. Vượt tường lửa thông qua phương pháp HTTP Tunneling






Phương pháp này có thể được thực hiện nếu mục tiêu chung có một máy chủ
web public với cổng 80 được sủ dụng cho giao tiếp HTTP, không được lọc trên
tường lửa của nó;
Tường lửa không xem xét payload của một gói tin HTTP để xác nhận rằng nó

hợp pháp do đó nó có thể trao đổi lưu lượng tennel bên trong TCP cổng 80 vì
nó đã được cho phép;
Đóng gói dữ liệu trong lưu lượng HTTP cổng 80.


e. Vượt tường lửa bằng các hệ thống ngoài







Người dùng ngoài thường làm việc với các hệ thống bên ngoài để truy cập
đến mạng của công ty;
Kẻ tấn công nghe lén traffic của người dùng, đánh cắp session ID và cookie;
Kẻ tấn công truy cập đến mạng bằng cách vượt tường lửa và lấy Windows ID
của tiến trình netscape hoặc mozilla của người dùng trong mạng công ty;
Kẻ tấn công thực thi lệnh openurl trên cửa sổ người dùng;
Trình duyệt web của người dùng bị chuyển hướng đến trang của hacker;
Mã độc trên trang của hacker được download và thực thi trên máy người
dùng.

f. SSH tunneling




Trong vai trò quản trị hệ thống hay chuyên viên hỗ trợ kỹ thuật, đôi khi chúng
ta cần kết nối từ máy tính trong văn phòng đến các máy tính ở nhà hoặc ở

các chi nhánh để tiến hành các thao tác xử lý sự cố họăc hổ trợ kỹ thuật nào
đó thông qua các chương trình như VNC,Terminal Service hay RAdmin. Tuy
nhiên khi công ty sử dụng Firewall như ISA, CheckPoint để bảo vệ hệ thống và
kiểm sóat các luồng dữ liệu vào và ra một cách chặt chẽ thì ta sẽ gặp trở
ngại lớn. Chúng ta không thể (hoặc không có quyền) mở các TCP 10 Port
4899 (Radmin), hay 5900 (VNC) để thực hiện các kết nối của mình. Vậy làm
cách nào để chúng ta vẫn có thể hòan thành được công việc mà vẫn đảm bảo
chính sách bảo mật của công ty không bị thay đổi?
Cho dù hệ thống của bạn có các Firewall bảo vệ thì các TCP Port quan trọng
như
110
(pop3), 80 (http), 21 (ftp), 22 (ssh) vẫn thường mở để tiến hành các công việc
cần
thiết
như duyệt web, e-mail.. đặc biệt TCP Port 22 của dịch vụ SSH có chức năng
mã
hóa
phiên truyền thường được các firewall ưu ái cho qua, và chúng ta sẽ dựa vào
dịch vụ này để tạo ra một SSH Tuneling đáp ứng cho công việc của mình.


Câu 9: Trình bày kỹ thuật do thám DNS.























DNS là viết tắt của Domain Name System, là một hệ thống cho phép thiết lập
tương ứng giữa địa chỉ IP và tên miền trên internet.
Do thám DNS là quá trình xác định các máy chủ DNS có thẩm quyền, đó là
các nguồn hoặc bản ghi DNS để tra cứu tên miền hoặc IP. Đầu tiên, các máy
chủ DNS chính sẽ được liệt kê, tiếp theo sẽ là các máy chủ DNS phụ.
Giao diện của DNS có thể tiết lộ thông tin về bản ghi MX (Bản ghi MX - Mail
Exchange Record, bản ghi MX dùng để khai báo máy chủ chuyển thư điện
tử tới của một tên miền) và dịch vụ ứng dụng email nào đang sử dụng..
Thông tin này có để được sử dụng sau này để khai thác dịch vụ thư và tài
khoản email.
Do thám DNS là một quá trình tuần hoàn. Kẻ tấn công thực hiện việc đánh
dấu DNS để liệt kê chi tiết bản ghi DNS và loại máy chủ. Có nhiều bản ghi
DNS cung cấp thông tin quan trọng liên quan đến vị trí mục tiêu như: A /
AAAA, SVR, NS, TXT, MX…
Mục đích của kiểu do thám DNS cache snooping là tìm hiểu thói quen của
người sử dụng DNS server. Đặc biệt là khi DNS server này là DNS server của

một cơ quan hay tổ chức mục tiêu.
Khi ta có thể thực hiên non-recursive query (truy vấn mà DNS server không
chuyển tiếp tới DNS server khác) với một địa chỉ mà thông tin không có trên
DNS server thành công. Ta biết có thể thực hiện do thám trên server này. Sử
dụng nslookup –nonrecursive
Nếu không thể sử dụng non recursive query, ta có thể đo thời gian giữa các
gói tin để biết thông tin có nằm trong cache hay không. Bằng cách đầu tiên
sử dụng ping tới server để lấy mẫu thời gian, sau đó sử dụng dig để truy vấn.
nếu thời gian dig truy vấn cao hơn đáng kể so với độ trễ của ping. Ta biết
server phải gửi yêu cầu tới server khác.
Những công cụ do thám DNS:
Whois: Là giao thức hỏi và trả lời, sử dụng để truy cập thông tin trên cơ sở
dữ liệu của người dung tài nguyên internet.
Nslookup: Sử dụng để truy vấn cơ sở dữ liệu DNS, có thể sử dụng để
forward lookup và reverse lookup địa chỉ, domain name
Domain Dossier: Là một công cụ trực tuyến sử dụng để do thám DNS cũng
như whois.
You get signal: Đây cũng là một công cụ do thám DNS. Nó kiểm tra tên
miền hoặc địa chỉ IP để trỏ đến máy chủ web và tìm kiếm các trang web
khác được xác định là cùng lưu trữ trên một máy chủ đó.
DNS Dumpster: Nó là một công cụ nghiên cứu tên miền miễn phí trực
tuyến và có thể khám phá các máy chủ liên quan đến một miền.
DNS zone transfer: là một trong nhiều cách để chia sẻ cơ sở dữ liệu giữa
các DNS servers. DNS zone transfer có thể rò rỉ thông tin nếu thay vì
chuyển thông tin cho server phụ, bản ghi DNS chuyển cho kẻ tấn công giả
mạo làm server phụ. Nếu lấy được thông tin từ DNS zone trong một không


gian tên miền, vd không gian tên của một công ty, kẻ tấn công có thể biết
được địa chỉ của các host trong không gian tên miền đó.

 DNS cache snooping: Khi nhận được một yêu cầu phân giải địa chỉ, DNS
server phải tìm và trả IP cho bên yêu cầu. Đầu tiên nó sẽ tìm trong bộ nhớ
tạm (cache), nếu không tìm thấy server sẽ hỏi DNS server khác, sau đó kết
quả trả về được lưu vào cache trong một khoảng thời gian nhất định.
 DNS brute force: Cũng là một cách để lấy thông tin về các host trong
không gian tên. Kẻ tấn công thực hiện bằng cách xây dựng một danh sách
tên có thể có của không gian tên.VD: Với .edu.vn ta có ptit.edu.vn. Với ví dụ
abc.com, đầu tiên kẻ tấn công thử một tên miền có khả năng cao là vô
nghĩa như qwe1234.abc.com, nếu server trả về abc.com, nghĩa là trong
zone có bản ghi DNS wildcard. Sau đó lần lượt thử với các tên trong danh
sách, nếu địa chỉ trả về khác thì kẻ tấn công biết chắc tên miền tồn tại.
 Reverse DNS lookup: Trong một tổ chức, một địa chỉ ip có thể gán nhiều
tên miền khác nhau. Do đó sử dụng tool như dig –x hay dnsrecon –r ta có
thể tìm thấy nhiều tên miền hợp lệ.
 Mục đích của kiểu do thám DNS cache snooping là tìm hiểu thói quen của
người sử dụng DNS server. Đặc biệt là khi DNS server này là DNS server của
một cơ quan hay tổ chức mục tiêu.
 Khi ta có thể thực hiên non-recursive query (truy vấn mà DNS server không
chuyển tiếp tới DNS server khác) với một địa chỉ mà thông tin không có trên
DNS server thành công. Ta biết có thể thực hiện do thám trên server này. Sử
dụng nslookup –nonrecursive
 Nếu không thể sử dụng non recursive query, ta có thể đo thời gian giữa các
gói tin để biết thông tin có nằm trong cache hay không. Bằng cách đầu tiên
sử dụng ping tới server để lấy mẫu thời gian, sau đó sử dụng dig để truy vấn.
nếu thời gian dig truy vấn cao hơn đáng kể so với độ trễ của ping. Ta biết
server phải gửi yêu cầu tới server khác.


Câu 10: Trình bày các giải pháp phòng ngừa, ngăn chặn tấn công chủ yếu.


a. Bảo vệ môi trường vật lý
 Bảo vệ môi trường vật là một phần rất cơ bản trong kế hoạch bảo mật. Bảo
vệ vật lý phụ thuộc vào môi trường, máy tính và mức độ nghiêm trọng.
 Máy tính nào cũng cần được bảo vệ vật lý và tất nhiên những máy quan trọng
nên được bảo vệ cẩn thận hơn. Có rất nhiều cách để bảo vệ vật lý như dù
khóa, vỏ bọc bảo vệ, đặt password hoặc đặt camera theo dõi trong phòng đặt
các thiết bị quan trọng
 Môi trường vật lý còn nhiều thiết bị khác như dây cáp, switch, router, mạng,
nguồn điện,… tất cả chúng nên được bảo vệ cẩn thận.
b. Cập nhật bản vá thường xuyên
 Bản vá phần mềm dùng để sửa các lỗ hổng trong chương trình phần mềm.
Các bản vá được cập nhật để sửa một vấn đề nào đó hoặc một lỗ hổng nào
đó bên trong một chương trình. Đôi khi thay vì phát hành một bản và, các
hãng phần mềm sẽ cung cấp một phiên bản được nâng cấp, mặc dù chúng
cũng chỉ có tác dụng như một bản vá.
 Một hệ thống chưa được vá là hệ thống dễ bị các hacker xâm nhập
nhất. Trong hầu hết các trường hợp, các lỗ hổng được sử dụng được biết đến
rộng rãi và các nhà cung cấp bị ảnh hưởng đã phát hành bản vá cho các quản
trị viên hệ thống để áp dụng.
 Một tỷ lệ lớn của thế giới không thường xuyên áp dụng các bản vá lỗi, và các
cuộc tấn công chống lại các hệ thống chưa được vá là thành công rộng rãi.
 Quản trị viên mạng tốt nên lập một kế hoạch quản lý bản vá và sử dụng các
công cụ để tự động hóa quy trình khi có thể.
 Dưới đây là các bước cho kế hoạch quản lý bản vá:
 Làm một phần mềm kiểm kê để bạn biết những gì bạn phải bảo vệ;
 Triển khai các quy trình và dịch vụ thông báo sẽ cho bạn biết khi nào các
bản cập nhật mới phát hành. Khách hàng Windows nên đăng ký dịch vụ
thông báo bản tin bảo mật của Microsoft hoặc NTBugtraq;
 Người dùng Linux và Unix đăng ký vào hoặc
comp.os.linux.announce nhóm tin cho thông báo của họ cập nhật;

 Kiểm tra các bản vá trước khi áp dụng chúng trong môi trường sản xuất;
 Sử dụng công cụ quản lý bản vá tập trung để tự động cập nhật, bất cứ khi
nào có thể;
 Nếu công cụ quản lý bản vá tập trung không khả thi, hãy định cấu hình từng
ứng dụng phần mềm thành kiểm tra và tải xuống các bản cập nhật của
riêng nó;
 Trường hợp không thể tự động hóa, hãy sử dụng nhân viên CNTT và người
dùng cuối để cập nhật các bản vá;
 Tạo chính sách quản lý bản vá xác định tần suất các bản vá phải được kiểm
tra và áp dụng và các cơ chế để làm như vậy cho từng phần mềm dễ bị tổn
thương;
 Định kỳ kiểm tra máy tính để đảm bảo cơ chế vá lỗi đang hoạt động.















c.





Ngay cả khi các hệ thống của bạn được vá hoàn toàn, nếu một trình bẻ khóa
có thể đánh lừa người dùng cuối thực thi mã độc hại thì trò chơi kết thúc.
Trình quét chống vi-rút giúp phát hiện mã độc hại.
Đảm bảo an toàn cho tài khoản người dùng: Tin tặc thường tìm kiếm tài
khoản người dùng không được sử dụng, không hoạt động và không được bảo
vệ bằng mật khẩu như một cách để truy cập vào hệ thống.
Một số biện pháp phòng ngừa đơn giản có thể làm giảm đáng kể nguy cơ này:
Đổi tên tài khoản Superuser: Đổi tên các tài khoản có đặc quyền cao
như admin hoặc root và đặt cho chúng những cái tên khó đoán. Sau đó thay
thế các tên gốc bằng tài khoản đặc quyền thấp. Làm cho các mật khẩu khó
đoán và vô hiệu hóa chúng. Mặc dù kẻ tấn công có thể biết được tài khoản
người dùng cụ thể có được đặc quyền cao hay không bằng các cách khác,
nó sẽ đánh lừa nhiều công cụ khai thác tự động và tin tặc. Kiểm tra mọi nỗ
lực đăng nhập bằng cách sử dụng các tài khoản không có thật. Bất kỳ nỗ lực
đăng nhập bằng cách sử dụng các tài khoản giả mạo gần như chắc chắn là
có ý định xấu.
Hạn chế sử dụng tài khoản đặc quyền cao: Mỗi superuser nên có tài
khoản người dùng thông thường của họ (mà họ sử dụng cho các chức năng
người dùng thông thường của họ) và một tài khoản superuser (cho quản trị
mạng). Quản trị viên mạng không nên chia sẻ chung tài khoản superuser vì
điều đó giúp loại bỏ trách nhiệm kiểm toán. Hầu hết quản trị viên có thể sử
dụng tài khoản bình thường hầu hết thời gian và sử dụng lệnh Windows Run
As hoặc Unix su để chạy dưới quyền quản trị bằng cách sử dụng thông tin
tài khoản superuser. Tài khoản có đặc quyền cao nên có mật khẩu mạnh với
bắt buộc thay đổi mật khẩu thường xuyên
Vô hiệu hóa hoặc xóa tài khoản không sử dụng: Mạng công ty luôn có
tài khoản người dùng không hoạt động. Kẻ tấn công sẽ cố ý tìm kiếm chúng
và sử dụng tài khoản đó làm cửa hậu hoặc tạo tài khoản quản trị viên mới

và sử dụng tên tài khoản không hoạt động để loại bỏ sự nghi ngờ. Quản trị
mạng nên định kỳ kiểm tra ít nhất một lần mỗi tháng để tìm kiếm các tài
khoản không hoạt động.
Đặt mật khẩu mạnh: Tất cả các cơ chế bảo mật mạnh mẽ trên thế giới
không thể ngăn chặn một cracker hack mật khẩu yếu. Sử dụng mật khẩu
dài hơn sáu ký tự có ít nhất một số hoặc ký tự không phải chữ cái. Mật khẩu
phức tạp có nhiều khả năng chống lại các cuộc tấn công vét cạn. Trong môi
trường đa máy chủ, hãy xem xét sử dụng mật khẩu khác nhau cho tài khoản
superuser cho các máy chủ khác nhau.
Bảo vệ hệ thống file
Một máy tính an toàn phải có quyền thích hợp được gán cho hệ thống tập tin
của nó: Bằng cách hạn chế truy cập của mỗi tài khoản, nó sẽ làm giảm đáng
kể nguy cơ bị xâm hại hệ thống tập tin của bạn.
Gán quyền thấp nhất cho người dùng: Cung cấp quá nhiều quyền cho
người dùng có thể là cơ hội cho các phần mềm độc hại xâm nhập và tán phá
hệ thống. Vì thế cần thắt chặt các quyền bảo mật. Sử dụng khái niệm đặc
quyền thấp nhất trong khi cân bằng quyền bảo mật. Thiết lập quyền theo
nhóm giúp quản trị dễ dàng;


Sử dụng NTFS với Windows: Hệ thống tệp NTFS phải được cài đặt làm hệ
thống tệp để cho phép tệp và thư mục cục bộ được cài đặt trong Windows.
Các lựa chọn hệ thống tệp FAT16 và FAT32 hỗ trợ bảo mật cấp tệp;
 Bảo vệ khu vực khởi động: Hầu hết các dịch vụ của hệ điều hành được tự
động khởi động khi hệ điều hành khởi động. Nếu mã độc được cài vào máy
tính thì chúng sẽ được cài vào vùng này nên những nơi này cần được bảo mật
chặt chẽ. Với Windows có rất nhiều dịch vụ cùng khởi chạy;
 Xóa hoặc vô hiệu các tệp, ứng dụng không cần thiết: Mỗi tệp và ứng
dụng đã cài đặt là cơ hội cho tin tặc can thiệp vào hệ thống của bạn. Nếu các
tệp hoặc phầm mềm không cần thiết nên vô hiệu háo hoặc loại bỏ;

 Sử dụng mã hóa;
 Quyền chia sẻ mạng bảo mật: Một cách phá vỡ vào một hệ thống là
thông qua một mạng chia sẻ không có mật khẩu hoặc mật khẩu yếu. Các thư
mục tập tin cần có DACLs theo nguyên tắc đặc quyền thấp nhất và có mật
khẩu;
 An toàn ứng dụng: Quản lý các ứng dụng, các ứng dụng có thể được quản
lý bắng cách cấu hình bảo mật ứng dụng, cái đặt ứng dụng vào các thư mục
và cổng không chuẩn, kiểm soát các ứng dụng có thể chạy, đảm bảo ứng
dụng an toàn và sao lưu hệ thống tốt.
d. Xây dựng kế hoạch phòng ngừa: Bây giờ bạn cần phải thực hiện những gì
bạn đã nêu trên và áp dụng nó trong một kế hoạch bảo vệ máy tính toàn
diện. Đây là các bước để tạo kế hoạch:
1. Kiểm kê tài sản bạn phải bảo vệ;
2. Quyết định giá trị của từng tài sản và nguy cơ nó được khai thác để tìm ra
một nguy cơ có thể định lượng được;
3. Áp dụng các biện pháp được nêu trên, xây dựng kế hoạch thắt chặt bảo mật
trên tài sản được bảo vệ của bạn. Tài sản có rủi ro phơi nhiễm cao nhất nên
được cung cấp bảo vệ nhiều nhất, nhưng chắc chắn rằng tất cả các tài sản
đều có được mức bảo mật cơ bản;
4. Phát triển và ghi lại các công cụ và phương thức cơ sở bảo mật;
5. Sử dụng các công cụ kiểm tra lỗ hổng để xác nhận tài sản đã được cấu hình
thích hợp;
6. Thực hiện kiểm tra định kỳ để đảm bảo cài đặt bảo mật được thực thi;
7. Thay đổi và cập nhật kế hoạch theo các sự kiện và rủi ro bảo mật mới.


Câu 11: Quy trình và kỹ thuật ra quét mạng.


Kỹ thuật rà quét hay còn gọi là scaning là bước không thể thiếu được trong

quá trình tấn công vào hệ thống mạng của hacker. Nếu làm bước này tốt
Hacker sẽ mau chóng phát hiện được lỗi của hệ thống ví dụ như lỗi RPC của
Window hay lỗi trên phầm mềm dịch vụ web như Apache v.v. Và từ những lỗi
này, hacker có thể sử dụng những đoạn mã độc hại(từ các trang web) để tấn
công vào hệ thống, tồi tệ nhất lấy shell.












Phần mềm scanning có rất nhiều loại, gồm các phầm mềm thương mại như
Retina, GFI, và các phần mềm miễn phí như Nmap,Nessus. Thông thường các
ấn bản thương mại có thể update các bug lỗi mới từ internet và có thể dò tìm
được những lỗi mới hơn. Các phần mềm scanning có thể giúp người quản trị
tìm được lỗi của hệ thống, đồng thời đưa ra các giải pháp để sửa lỗi như
update Service patch hay sử dụng các policy hợp lý hơn.
Các quy trình quét mạng, như quét cổng và quét ping, trả về chi tiết về địa
chỉ IP nào ánh xạ tới các máy chủ đang hoạt động và loại dịch vụ mà chúng
cung cấp. Một phương pháp quét mạng khác được gọi là ánh xạ ngược tập
hợp chi tiết về các địa chỉ IP không ánh xạ tới các máy chủ trực tiếp, giúp kẻ
tấn công tập trung vào các địa chỉ khả thi.
Quét mạng gồm các bước chính sau:
 Xác định hệ thống lọc giữa hai máy chủ hoạt động trên mạng.

 Chạy các dịch vụ mạng UDP và TCP.
 Phát hiện số thứ tự TCP của cả hai máy chủ.
Quét cổng là 1 trong những kỹ thuật phổ biến nhất mà kẻ tấn công sử dụng
để khám phá các dịch vụ, có thể khai thác các hệ thống. Tất cả các hệ thống
được kết nối với mạng LAN hoặc truy cập mạng thông qua modem chạy các
dịch vụ nghe các cổng nổi tiếng.
Có nhiều kỹ thuật quét cổng khác nhau có sẵn. Các công cụ nổi tiếng như
Nmap và Nessus đã khiến quá trình quét cổng tự động. Kỹ thuật quét bao
gồm:
 Quét kết nối TCP Vanilla: Đây là kỹ thuật quét cơ bản sử dụng lệnh gọi
hệ thống kết nối của hệ điều hành để mở kết nối tới mọi cổng có sẵn;

Quét giao thức phân giải địa chỉ (ARP): Trong kỹ thuật này, một loạt
phát sóng ARP được gửi và giá trị cho trường địa chỉ IP mục tiêu được tăng
lên trong mỗi gói phát sóng để khám phá các thiết bị hoạt động trên phân
đoạn mạng cục bộ. Quét này giúp chúng tôi vạch ra toàn bộ mạng;

Quét TCP TCP (Nửa mở): Quét SYN là một kỹ thuật mà tin tặc độc hại sử
dụng để xác định trạng thái của cổng giao tiếp mà không thiết lập kết nối
đầy đủ. Những lần quét này được gọi là mở một nửa vì hệ thống tấn công
không đóng các kết nối mở;

Quét TCP FIN: Quá trình quét này có thể vẫn không bị phát hiện thông
qua hầu hết các tường lửa, bộ lọc gói và các chương trình phát hiện quét
khác. Nó gửi các gói FIN đến hệ thống được nhắm mục tiêu và chuẩn bị báo
cáo cho phản hồi mà nó nhận được;

Quét nhận dạng ngược TCP: Quá trình quét này phát hiện tên người
dùng của chủ sở hữu của bất kỳ quy trình được kết nối TCP nào trên hệ
thống được nhắm mục tiêu. Nó giúp kẻ tấn công sử dụng giao thức nhận

dạng để khám phá người sở hữu quy trình bằng cách cho phép kết nối với
các cổng mở;

Quét TCP XMAS: Nó được sử dụng để xác định các cổng nghe trên hệ
thống được nhắm mục tiêu. Quá trình quét thao tác các cờ URG, PSH và FIN
của tiêu đề TCP;


Quét ACK TCP: Nó được sử dụng để xác định các trang web đang hoạt
động có thể không đáp ứng với các lệnh ICMP tiêu chuẩn. Kẻ tấn công sử
dụng phương pháp này để xác định trạng thái cổng bằng cách xác nhận đã
nhận;

Quét cổng UDP ICMP: Quét này được sử dụng để tìm các cổng số lượng
cao, đặc biệt là trong các hệ thống Solaris. Quá trình quét chậm và không
đáng tin cậy.



Câu 12: Quy trình và kỹ thuật do thám mạng.





















Do thám là kỹ thuật giúp hacker tìm kiếm thông tin về 1 doanh nghiệp, cá
nhân hay tổ chức. Hacker có thể điều tra được rất nhiều thông tin của mục
tiêu nhờ vào kỹ thuật này. Trong kỹ thuật này, hacker cố gắng tìm càng nhiều
thông tin về doanh nghiệp(thông qua các kênh internet và phone) và cá
nhân(thông qua email và hoạt động của cá nhân đó trên Internet), nếu thực
hiện tốt bước này Hacker có thể xác định được nên tấn công vào điểm yếu
nào của chúng ta. Hacker thường sử dụng kỹ thuật này để khám phá thông
tin liên quan đến các môi trường sau: Internet, intranet, remoteaccess và
extranet. Với những thông tin thu thập được hacker có thể đoán được chủ sở
hữu của tên miền trang web bị tấn công, địa chỉ IP của mục tiêu, máy chủ
phân giải tên miền DNS ...
Các công cụ hỗ trợ do thám: Để tấn công do thám, hacker thường dùng
các công cụ:
Truy vấn thông tin Internet (những ứng dụng trực tuyến như Whois,
Domain Check hay những công cụ cài đặt trên máy tính như DNS Walk, DNS
Enum);
Ping sweep (là kỹ thuật quét 1 dải địa chỉ IP để phát hiện xem có thiết bị
nào đang sở hữu địa chỉ IP trong dải đó. Công cụ ping sweep sẽ gửi gói tin
ICMP echo request tới tất cả các địa chỉ IP trong dải và chờ đợi gói tin ICMP
echo reply phản hồi từ các thiết bị);

Port Scan (là công cụ quét cổng. Mỗi dịch vụ chạy trên máy đều gắn với
một cổng (well-known port). Công cụ quét cổng sẽ quét một dải các cổng để
phát hiện xem cổng nào đang lắng nghe yêu cầu. Nguyên lý là gửi bản tin
đến cổng và chờ đợi phản hồi. Nếu có phản hồi từ cổng nào đó tức là cổng
đó đang được sử dụng);
Packet sniffer (Là một công cụ cho phép cấu hình card mạng ở chế độ hỗn
độn, chế độ có thể chặn bắt các gói tin bất kỳ chạy trên mạng LAN. Với công
cụ này, kẻ tấn công có thể bắt các gói tin đang được gửi qua lại trên mạng
LAN và phân tích. Nếu gói tin không được mã hóa thì kẻ tấn công sẽ dễ
dàng đọc được nội dung);
Neo Trace;
VisualRouter Trace;
Visual Lookout;
eMailTrackerPro;
Các bước tiến hành do thám:
Cách thức mà kẻ tấn công tiến hành như sau: đầu tiên dùng kỹ thuật ping
sweep để kiểm tra xem hệ thống nạn nhân đang có những địa chỉ IP nào
đang hoạt động. Sau đó kẻ tấn công sẽ kiểm tra những dịch vụ đang chạy,
những cổng đang mở trên những địa chỉ IP tìm thấy ở trên. Công cụ mà kẻ
tấn công thường sử dụng ở bước này là Nmap;
Sau khi xác định được những cổng đang mở, kẻ tấn công sẽ gửi các truy vấn
tới các cổng này để biết được thông tin về các phần mềm, hệ điều hành
đang chạy. Sau khi có trong tay các thông tin này, kẻ tấn công sẽ tìm cách


khai thác các lỗ hổng đang tồn tại trên hệ thống đó. Kẻ tấn công có kinh
nghiệm sẽ lựa chọn thời điểm phù hợp để thực hiện việc khai thác lỗ hổng
để tránh bị phát hiện.



Câu 13: Các yêu cầu đảm bảo an toàn mạng.












An toàn thông tin nói chung hay an toàn mạng nói riêng đều phải tuân theo
một số yêu cầu cơ bản quan trọng như sau: Tính bí mật, tính toàn vẹn và tính
sẵn sàng.
1. Tính bí mật:
Blà thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không
được xác thực hoặc để lọt vào các hệ thống khác.
Đối với an ninh mạng thì tính bí mật là điều đầu tiên được nói đến và nó
thường xuyên bị tấn công nhất. Vì thế, tính bí mật rất cần thiết (nhưng chưa
đủ) để duy trì sự riêng tư của người có thông tin, dữ liệu được hệ thống lưu
giữ.
2. Tính toàn vẹn:
là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và
hệ thống, do đó đảm bảo được sự chính xác của thông tin, dữ liệu và hệ
thống.
Mục đích chính của việc đảm bảo tính toàn vẹn là:
 Ngăn cản sự làm biến dạng nội dung thông tin, dữ liệu của những người sử
dụng không được phép;

 Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc
không chủ tâm của những người sử dụng được phép;
 Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.
3. Tính sẵn sàng:
là dữ liệu có thể truy nhập bởi người dùng hợp pháp bất cứ khi nào họ có yêu
cầu.
Tính sẵn sàng của thông tin một số đặc tính sau:
 Bảo đảm các người sử dụng hợp pháp của hệ thống có khả năng truy cập
đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới
mạng.
 Bảm bảo độ ổn định đáng tin cậy của thông tin, cũng như đảm nhiệm chức
năng là thước đo, xác định phạm vi tới hạn an toàn của một hệ thống thông
tin.
 Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm,
tránh được những rủi ro cả về phần cứng, phần mềm như: Sự cố mất điện,
hỏng phần cứng, cập nhật, nâng cấp hệ thống… Đảm bảo tính sẵn sàng
cũng có nghĩa là tránh được tấn công từ chối dịch vụ.