(TIỂU LUẬN) báo cáo đồ án các GIẢI PHÁP để đảm bảo AN TOÀN bảo mật một WEBSITE

Phần lớn các vi phạm bảo mật trang web không phải là đểđánh cắp dữ liệu hoặc phá hoại bố cục trang web,, mà là sử dụng máy chủ của trang để chuyển tiếp email spam hoặc thiết lập máy chủ

BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING

KHOA CÔNG NGHỆ THÔNG TIN

0 0

LỜI CẢM ƠN

Sau một thời gian thực hiện, đồ án “Các giải pháp để đảm bảo an toàn bảo mậtmột website” của em đã hoàn thành Ngoài sự nỗ lực cố gắng hết mình của bảnthân, em đã nhận được sự hướng dẫn và khích lệ cũng như tạo điều kiện thuận lợicủa của nhà trường và các thầy cô khoa Công nghệ thông tin trường Đại Học TàiChính Marketing Em xin chân thành cảm ơn thầy Trương Thành Công và các thầy

cô trong khoa công nghệ thông tin đã cung cấp tài liệu, tận tình hướng dẫn và đã tạođiều kiện cho em tìn hiểu, nghiên cứu và học hỏi những kinh nghiệm trong quá trìnhhọc và làm đồ án này

Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏinhững sai sót Kính mong quý thầy cô đóng góp ý kiến để em củng cố, bỏ sung vàhoàn thiện thêm kiến thức cho bản thân

NHẬN XÉT CỦA GIẢNG VIÊN TRƯƠNG THÀNH CÔNG

DANH MỤC TỪ VIẾT TẮT

DANH MỤC THUẬT NGỮ ANH – VIỆT

DANH MỤC HÌNH ẢNH

Hình 1 Top 15 quốốc gia trên thêố gi i b tấốn cống web nhiêều nhấốt ớ ị 2

Hình 2 Mố hình CIA 5

Hình 3 Mố hình OSI 12

Hình 4 Tấốn cống t chốối d ch v Internet DDoS ừ ị ụ 22

Hình 5 Tấốn cống bằềng SQL Injection 25

Hình 6 Tấốn cống bằềng XSS 27

Hình 7 OWASP ZAP 34

Hình 8 Nh p URL đ quét web blogtuoitre c a OWASP ZAP ậ ể ủ 35

Hình 9 Kêốt qu khi quét blogtuoitre bằềng OWASP ZAP ả 35

Hình 10 Nh p URL đ quét web testasp c a OWASP ZAP ậ ể ủ 36

Hình 11 Kêốt qu khi quét testasp bằềng OWASP ZAP ả 36

Hình 12 CyStack 38

Hình 13 Đằng ký tài kho n CyStack ả 38

Hình 14 Ch c nằng Deep Sacn c a CyStack ứ ủ 39

Hình 15 Quét trang truyenfull.om bằềng CyStack 39

Hình 16 Kêốt qu quét truyenfull.com bằềng CyStack ả 40

MỤC LỤC

Table of Contents

CH ƯƠ NG I: GI I THI U T NG QUAN Ớ Ệ Ổ 1

1 T ng quan vêề đêề tài ổ 1

CH ƯƠ NG II: C S LÝ THUYẾẾT Ơ Ở 4

1.1 Khái ni m: ệ 4

1.2 Nh ng yêu cấều an toàn b o m t thống tin: ữ ả ậ 5

2 M t sốố thu t ng : ộ ậ ữ 9

2.1 Mốối đe d a (threat): ọ 9

2.2 M t lốỗ h ng (vulnerability): ộ ổ 9

2.3 M t cu c tấốn cống (atack): ộ ộ 10

2.4 Chính sách an toàn b o m t (security policy): ả ậ 10

2.5 C chêố an toàn b o m t (security mechanism): ơ ả ậ 10

2.6 ICMP: 11

2.7 HTTP: 11

2.8 Mố hình OSI: 12

2.9 Hacker: 15

3 M t sốố mốối de d a: ộ ọ 16

3.1 Gian l n và đánh cằốp (Fraud and Thef) ậ 16

3.2 N i gián (Insider Threat) ộ 16

3.3 Tin t c (Malicious Hacker) ặ 16

3.4 Mã đ c (Malicious code hay malicious sofware, malware) ộ 16

4 Website: 16

4.1 Khái ni m Website ệ 16

4.2 Thành phấền c b n c a m t website ơ ả ủ ộ 16

4.3 Ch c nằng c b n c a website ứ ơ ả ủ 18

4.4 Các d ch v và ng d ng trên nêền website ị ụ ứ ụ 18

4.5 Vấốn đêề b o m t c a website ả ậ ủ 19

CH ƯƠ NG III: KYỸ THU T TẤẾN CÔNG WEBSITE C B N VÀ Ậ Ơ Ả GI I PHÁP Ả KHẮẾC PH C Ụ 21

1 M t sốố kyỗ thu t tấốn cống website: ộ ậ 21

1.1 Tấốn cống t chốối d ch v trên internet DDoS: ừ ị ụ 21

1.2 Tấốn cống bằềng SQL Injection: 25

1.3 Tấốn cống bằềng XSS 26

1.4 Tấốn cống bằềng CSRF 29

2 Gi i pháp ngằn ch n ả ặ 29

2.1 Gi i pháp ngằn ch n tấốn cống d ch v ả ặ ị ụ 29

2.2 Gi i pháp ngằn ch n SQL Injection ả ặ 30

2.3 Gi i pháp ngằn ch n tấốn cống XSS ả ặ 31

2.4 Gi i pháp ngằn ch n tấốn cống CSRF ả ặ 32

CH ƯƠ NG IV: MÔ HÌNH HÓA Đ N GI N NGẮN CH N TẤẾN CÔNG WEBSITE Ơ Ả Ặ 33

1 Quét lốỗ h ng web bằềng cống c OWASP ZAP ổ ụ 33

1.1 OWASP ZAP là gì ? 33

1.2 Th c hi n quét lốỗ h ng web bằềng OWASP ZAP ự ệ ổ 33

2 Quét lốỗ h ng bằềng CyStack Scan ổ 36

2.1 CyStack Scan là gì ? 36

2.2 Th c hi n quét lốỗ h ng web bằềng CyStack ự ệ ổ 37

CH ƯƠ NG V: KẾẾT LU N Ậ 41

TÀI LI U THAM KH O: Ệ Ả 42

CHƯƠNG I: GIỚI THIỆU TỔNG QUAN

1 Tổng quan về đề tài

Cuộc Cách mạng công nghiệp 4.0 đang diễn ra nhanh chóng với sự phát triểnmạnh mẽ của không gian mạng Sự kết hợp giữa hệ thống ảo và thực tế đã làm thayđổi cách thức làm việc của con người, từ đó tạo nên “cuộc cách mạng” để thúc đẩyphát triển kinh tế - xã hội Bên cạnh những lợi ích to lớn không thể phủ nhận thìviệc kết nối toàn cầu với đặc tính không biên giới cũng đặt ra nhiều thách thức rấtlớn đối với an ninh, trật tự của các quốc gia trên thế giới, khiến cho an ninh mạng

đã trở thành vấn đề toàn cầu

Ngày nay, trong kỷ nguyên kỹ thuật số một vấn đề thách thức lớn đối với cácquốc gia và các doanh nghiệp trong bất kỳ lĩnh vực nào đó là đảm bảo an toàn thôngtin nhất là an toàn thông tin mạng Những cuộc tấn công mạng, trong đó có tấn côngWebsite xảy ra ngày càng phổ biến đã làm cho nhiều doanh nghiệp gặp những rủi rolớn Vậy đâu là giải pháp đảm bảo an toàn bảo mật một website hiệu quả?

Hiện nay, ngày càng có nhiều các cuộc tấn công website tinh vi có tổ chức vớiquy mô lớn hướng đến các doanh nghiệp và tập đoàn lớn Bất kỳ trang Web của cánhân, doanh nghiệp hay tập đoàn lớn nào cũng đều có nguy cơ bị xâm phạm KhiWebsite có lỗ hổng, hacker dễ dàng xâm nhập, tấn công và khai thác đữ liệu khiếnWebsite bị nhiễm độc gây nguy hiểm không chỉ cho chủ sở hữu trang web mà cho

cả những khách truy cập Phần lớn các vi phạm bảo mật trang web không phải là đểđánh cắp dữ liệu hoặc phá hoại bố cục trang web,, mà là sử dụng máy chủ của trang

để chuyển tiếp email spam hoặc thiết lập máy chủ web tạm thời, thông thường đểphục vụ các file bất hợp pháp

Hiện trạng website bị tấn công, đánh cắp thông tin dữ liệu đang diễn ra rất phổbiến Các tổ chức an ninh cho biết mỗi ngày có khoảng 30.000 website bị cáchacker tấn công trên thế giới Theo số liệu thống kê tại Việt Nam năm 2019, cứ mỗi

45 phút trôi qua lại có một website tấn công Trong những năm vừa qua, số vụ tấncông vào các website trên toàn cầu có dấu hiệu tăng cao Theo Báo cáo an ninh

website năm 2019 từ CyStask, năm 2019 thế giới đã xảy ra hơn 560.000 vụ tấncông website Việt Nam đứng thứ 11 trên thế giới với hơn 9.000 trang web bị tấncông Điều đó cho thấy tình trạng bảo mật website ở Việt Nam chưa thực sự tốt

Vì vậy, website của bạn không hề an toàn nếu như không có các biện pháp bảomật tốt Với sự phổ biến của Internet, các dữ liệu cần lưu và bảo tồn trên mạng ngàycàng nhiều, nhu cầu bảo mật trang web cũng càng ngày càng được quan tâm Đểgiúp website hoạt động hiệu quả và tránh được những rủi ro như mất dữ liệu, bịhack, các nhà quản trị mạng cần quan tâm hơn đến các phương pháp bảo mậtwebsite cũng như các công cụ bảo mật trang web hiệu quả Báo cáo này của tôi sẽtìm hiểu kỹ hơn về nguyên nhân cũng như giải pháp an toàn để bảo mật một websitehiệu quả

2 Phạm vi của đề tài

Vì là đề tài nghiên cứu của sinh viên nên phạm vị nghiên cứu của đề tài chỉmang tầm vi mô, giới hạn trong một thời gian ngắn Cụ thể, đề tài “ Các giải pháp

để đảm bảo an toàn bảo mật một website” tập trung nghiên cứu tìm hiểu về website,

Hình 1 Top 15 quốốc gia trên thêố gi i b tấốn cống web nhiêều nhấốt ớ ị

tình hình an toàn bảo mật thông tin của website, các mối đe dọa về vấn đề an toànthông tin phổ biến hiện nay như SQL Injection, Local Attack,…nhằm đưa ra giảipháp an toàn và bảo mật thông tin cho website.

CHƯƠNG II: CƠ SỞ LÝ THUYẾT

1 An toàn bảo mật hệ thống thông tin:

1.1 Khái niệm:

An toàn và bảo mật thông tin (Informationsecurity) là quá trình bảo vệ tính nímật, tính toàn vẹn và tính sẵn có của dữ liệu khỏi việc vô tình hoặc cố ý sử dụng saimục đích

Dữ liệu (Data) là các giá trị của thông tin định lượng hoặc định tính của các sựvật, hiện tượng trong cuộc sống Trong tin học, dữ liệu được dùng như một cáchbiểu diễn hình thức hóa của thông tin về các sự kiện, hiện tượng thích ứng với cácyêu cầu truyền nhận, thể hiện và sử lý bằng máy tính

Thông tin (Information) là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mụcđích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định

Hệ thống thông tin (Information System): Một hệ thống thồn tin bao gồm phầncứng, hệ điều hành và phần mềm ứng dụng hoạt động cùng nhau để thu thập, xử lý

và lưu trữ dữ liệu cho cá nhân và tổ chức

An toàn hệ thống thông tin (Information System Security) là tập hợp các hoạtđộng bảo vệ hệ thống thông tin và dữ liệu chống lại việc truy cập, sử dụng, chỉnhsửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống

Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thốngthông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm giánđoạn thông tin và hoạt động của hệ thống một cách trái phép

Tại sao an toàn bảo mật thông tin là quan trọng?

Tấn công an toàn bảo mật thông tin tác động tiêu cực tới:

- An toàn thân thể mỗi cá nhân

- Sự bí mật thông tin cá nhân và tổ chức

- Tài sản của cá nhân và tổ chức

- Sự phát triển của một tổ chức

- Nền kinh tế của một quốc gia

- Tính an toàn của một quốc gia

Vấn đề đảm bảo an toàn cho các hệ thống thông tin là một vấn đề quan trọngcần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng thôngtin Có thể hiểu một cách đơn giản, bảo mật thông tin là từ chỉ những cách làm giúpduy trì sự an toàn, bí mật, tính toàn vẹn và sẵn sàng cho tất cả các thông tin đượclưu trữ

1.2 Những yêu cầu an toàn bảo mật thông tin:

Đảm bảo được tính bí mật, tính toàn vẹn và tính khả dụng của hệ thống thôngtin khỏi việc truy cập hoặc sửa đổi trái phép thông tin trong quá trình lưu trữ, xử lý

và chuyển tiếp Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm

cơ bản, cốt lõi của an toàn thông tin

Hình 2 Mố hình CIA

Ba đặc trưng này được liên kết lại xem như là một mô hình tiêu chuẩn của các

hệ thống thông tin bảo mật, là thành phần cốt yếu của một hệ thống thông tin bảomật và được gọi tắt là mô hình CIA

1.2.1 Tính bí mật của thông tin (Confidentiality):

Tính bí mật của thông tin là tính giới hạn về đối tương được quyền truy xuấtđến thông tin Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm,

kể cả phần mềm phá hoại như virus, worm, spware,…Thông tin là duy nhất, khôngtùy tiện biết, những người phải được cho phép, có quyền truy cập thì mới có thểxem được thông tin đó

Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố không thể táchrời: sự tồn tại của thông tin và nội dung của thông tin đó Đôi khi, tiết lộ sự tồn tạicủa thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó Ví dụ: chiến lược kinhdoanh bí mật mang tính sống còn của một công ty đã bị tiết lộ cho một công ty đốithủ khác Việc nhận thức được rằng có điều đó tồn tại sẽ quan trong hơn nhiều sovới việc biết cụ thể về nội dung thông tin, chẳng hạn nhưu ai đã tiết lộ, tiết lộ chođối thủ nào và tiết lộ những thông tin gì, Chính vì thế, trong một số hệ thống xácthực người dùng như đăng nhập vào hộp thư điện tử hoặc các dịch vụ khác trênmạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thya vìthông báo tên người dùng sai thì một số hệ thống sẽ thông báo mật khẩu (password)sai hoặc “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).Dụng ý đằng sau thông báo này là để từu chối việc xác nhận sự tồn tại của tên ngườidùng, gây khó khăn cho người muốn đăng nhập hệ thông một cách bất hợp pháp Các công cụ chính phục vụ cho tiêu chí "bảo mật":

- Mã hóa (Encryption): Mã hóa là một phương pháp chuyển đổi thông tinkhiến dữ liệu trở nên không thể đọc được đối với người dùng trái phép bằng cách sửdụng thuật toán Sử dụng khóa bí mật (khóa mã hóa) để dữ liệu được chuyển đổi,chỉ có thể được đọc bằng cách sử dụng một khóa bí mật khác (khóa giải mã)

- Kiểm soát quyền truy cập (Access Control): Đây là công cụ xác định các quytắc và chính sách để giới hạn quyền truy cập vào hệ thống hoặc các tài nguyên, dữliệu ảo/vật lý Kiểm soát quyền truy cập bao gồm quá trình người dùng được cấpquyền truy cập và một số đặc quyền nhất định đối với hệ thống, tài nguyên hoặcthông tin

- Xác thực (Authentication): Xác thực là một quá trình đảm bảo và xác nhậndanh tính hoặc vai trò của người dùng Công cụ này có thể được thực hiện theo một

số cách khác nhau, nhưng đa số thường dựa trên sự kết hợp với: một thứ gì đó mà

cá nhân sở hữu (như thẻ thông minh hoặc khóa radio để lưu trữ các khóa bí mật),một thứ gì đó mà cá nhân biết (như mật khẩu) hoặc một thứ gì đó dùng để nhậndạng cá nhân (như dấu vân tay)

- Cấp quyền (Authorization): Đây là một cơ chế bảo mật được sử dụng để xácđịnh quyền hạn (privilege) một người nào đó đối với các tài nguyên như các chươngtrình máy tính, tệp tin, dịch vụ, dữ liệu và tính năng ứng dụng

-Bảo mật vậy lý (Physical Security): Đây là các biện pháp được thiết kế đểngăn chặn sự truy cập trái phép vào các tài sản công nghệ thông tin như cơ sở vậtchất, thiết bị, nhân sự, tài nguyên và các loại tài sản khác nhằm tránh bị hư hại

1.2.2 Tính toàn vẹn của thông tin (Integrity):

Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sựthay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bịhoặc phần mềm Tính toàn vẹn đảm bảo cho thông tin hoàn chỉnh, toàn diện, khôngthể lấy cắp, đánh mất một phần nào đó, thông tin không bị đánh tráo, những thôngtin đưa ra đầy đủ, không đươc phép sai lệch hay vi phạm bản quyền Tính toàn vẹnđược xét trên 2 khía cạnh là tính nguyên vẹn của nội dung thông tin và tính xác thựccủa nguồn gốc thông tin Sự toàn vẹn về nguồn gốc thông tin trong một số ngữ cảnh

có ý nghĩa tương đương với sự đảm bảo tính không thể chối cãi của hệ thống thôngtin

Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng làchủ tài khoản vưới đầy đủ những thông tin cần thiết Nội dung thông tin được bảotoàn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúngnhư người xưng là chủ tài khoản gửi đi) Tuy nhiên, nếu lệnh thanh toán không phải

do chính chủ tài khoản đưa ra mà do một người m-nào khác nhờ biết được thông tin

bí mật về tài khoản đã mạo danh chủ tài khoản để đưa ra, ta nói nguồn gốc củathông tin đã không được bảo toàn

Các công cụ chính phục vụ cho tiêu chí "toàn vẹn":

-Sao lưu (Backups): Sao lưu là lưu trữ dữ liệu định kỳ Đây là một quá trìnhtạo lập các bản sao của dữ liệu hoặc tệp dữ liệu để sử dụng trong trường hợp khi dữliệu gốc hoặc tệp dữ liệu bị mất hoặc bị hủy

-Tổng kiểm tra (Checksums): Tổng kiểm tra là một giá trị số được sử dụng đểxác minh tính toàn vẹn của tệp hoặc dữ liệu được truyền đi Nói cách khác, đó là sựtính toán của một hàm phản ánh nội dung của tệp thành một giá trị số

-Mã chỉnh dữ liệu (Data Correcting Codes): Đây là một phương pháp để lưutrữ dữ liệu theo cách mà những thay đổi nhỏ nhất cũng có thể dễ dàng được pháthiện và tự động điều chỉnh

1.2.3 Tính khả dụng của thông tin (Availability):

Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầutruy xuất hợp lệ Đây là mộ yêu cầu rất quan trọng của hệ thống, bởi vì một hệthống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại.Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năngphục hồi nhanh chóng nếu có sự cố xảy ra

Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máytính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin bị tiết lộhay thay đổi Tuy nhiên, khi người quản lý cần những thông tin này thì lại khôngtruy xuất được vì lỗi hệ thống Khi đó, thông tin hoàn toàn không sử dụng được và

ta nói tính khả dụng của thông tin không được đảm bảo

Các công cụ chính phục vụ cho tiêu chí "sẵn có":

-Bảo vệ vật lý (Physical Protections): Có nghĩa là giữ thông tin có sẵn ngay cảtrong trường hợp phải đối mặt với thách thức về vật chất Đảm bảo các thông tinnhạy cảm và công nghệ thông tin quan trọng được lưu trữ trong các khu vực antoàn

-Tính toán dự phòng (Computational Redundancies): Được áp dụng nhằm bảo

vệ máy tính và các thiết bị được lưu trữ, đóng vai trò dự phòng trong trường hợpxảy ra hỏng hóc

Một số hướng nghiên cứu đang đưa ra các mô hình mới cho việc mô tả các hệthống an toàn Theo đó, mô hình CIA không mô tả được đầy đủ các yêu cầu an toàncủa hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính củathông tin cần được đảmm bảo như:

+ Tính khả dụng (Availability) là đảm bảo tính sẵn sàng của thông tin

+ Tính quy trách nhiệm (Accountability) là khả năng truy vết lại các hoạt độngtrên hệ thống để quy trách nhiệm cho cá nhân

+ Tính toàn vẹn (Integrity) là ngăn chặn việc sửa đổi trái phép thông tin

+ Tính xác thực (Authenticity) là khả năng xác thực, liên quan đến bầng chứngnhận dạng

+ Tính bảo mật (Confidentiality) là ngăn chặn việc tiết lộ thông tin trái phép+ Tính chống thoái thác (Non – repudiation) là khả năng ngăn chặn việc từchối một hành vi đã làm

2 Một số thuật ngữ:

2.1 Mối đe dọa (threat):

Mối đe dọa đối với hệ thống là các nguy cơ tiềm tàng có thể gây ảnh hưởng xấuđến các tài sản và tài nguyên lên quan đến hệ thống

2.2 Một lỗ hổng (vulnerability):

Một lỗ hổng của hệ thống là một lỗi hoặc điểm yếu trong hệ thống hoặc mạng

có thể bị lợi dụng để gây ra thiệt hại hoặc cho phép kẻ tấn công thao túng hệ thốngtheo một cách nào đó

2.3 Một cuộc tấn công (attack):

Một cuộc tấn công vào hệ thống là một số hành động liên quan đến việc khaithác một số lỗ hổng để biến mối đe dọa thành hiện thực

2.4 Chính sách an toàn bảo mật (security policy):

Chính sách an toàn bảo mật là tài liệu xác định các quy tắc và thủ tục cho tất

cả các cá nhân truy cập và sử dụng tài sản và tài nguyên công nghệ thông tin của tổchức

-Chủ thể Hành vi phải thực hiện/ được phép/ không được phép

-Tài nguyên

-Là cơ sở để xây dựng hạ tầng ATBM TT

-Phục vụ cho quản trị ATBM TT

2.5 Cơ chế an toàn bảo mật (security mechanism):

Cơ chế an toàn bảo mật là các công cụ và kỹ thuật được sử dụng để triển khaicác chính sách an toàn bảo mật Bao gồm:

 Bảo vệ vật lý (Physical protection)

 Sao lưu và khôi phục (Backup and Recovery)

 Dự phòng (Redunancy)

 Giả lập, ngụy trang (Deception)

 Gây nhiễu, ngẫu nhiên (Randomness)

2.6 ICMP:

Internet Control Message Protocol (viết tắt là ICMP), là một giao thức góiInternet Protocol Giao thức này được các thiết bị mạng như rouer dùng để gửi đicác thông báo lỗi chỉ ra một dịch vụ có tồn tại hay không, hoặc một địa chỉ host hayrouter có tồn tại hay không, thông báo các lỗi có thể xảy ra trong quá trình truyềntin của các gói dữ liệu qua mạng Chúng còn được sử dụng để thăm dò cũng nhưquản lý quá trình hoạt động của mạng Internet

Tuy nhiên bạn cũng không nên nhầm lẫn ICMP là giao thức truyền tải gửi dữliệu giữa các hệ thống với nhau ICMP cũng có thể được sử dụng để chuyển tiếp cácthông điệp truy vấn Chúng chỉ được xem như bộ định tuyến Ngay sau khi ngườidùng phát hiện ra lỗi thì ICMP sẽ ngay lập tức tạo và gửi thông báo tới địa chỉ IPnguồn Đối với trường hợp gặp các sự cố mạng ngăn chặn việc phân phối các địachỉ IP packages hay một gateway không thể nào truy cập Internet được

Giao thức ICMP không được dùng thường xuyên trong các ứng dụng dành chongười dùng cuối Nó chỉ được sử dụng bởi các nhà quản trị mạng với mục đích khắcphục các kết nối Internet trong các tiện ích chuẩn đoán (diagnostic utilities) gồmping và traceroute

2.7 HTTP:

HTTP (Hyper Text Tranfer Protocol – giao thức truyền tải siêu văn bản) là mộtgiao thức ứng dụng được sử dụng thường xuyên nhất trong bộ các giao thức TCP/IP(gồm một nhóm các giao thức nền tảng Internet)

HTTP hoạt động dựa trên mô hình Client (máy khách) - Server (máy chủ) Cácmáy tính của người dùng sẽ đóng vai trò làm máy khách (Client) Sau một thao tác

nào đó của người dùng, các máy khách sẽ gửi yêu cầu đến máy chủ (Server) và chờđợi câu trả lời từ những máy chủ này.

HTTPS là phiên bản an toàn của HTTP (Hyper Text Tranfer Protocol Secure –giao thức truyền tải siêu văn bản bảo mật), giao thức mà qua đó dữu liệu được gửigiữa trình duyệt và trang web bạn đang kết nối

2.8 Mô hình OSI:

Mô hình OSI (Open system interconnection – Mô hình kết nối các hệ thốngmở) là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹthuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức mạng giữachúng Mô hình này được phát triển thành một phần trong kế hoạch OSI (OpenSystems Interconnection), nó còn được gọi là Mô hình bảy tầng của OSI

Mô hình OSI được tạo ra với mục đích là cho phép sự tương giao(interoperability) giữa các hệ máy (platform) đa dạng được cung cấp bởi các nhàsản xuất khác nhau Mô hình cho phép tất cả các thành phần của mạng hoạt độnghòa đồng, bất kể thành phần ấy do ai tạo dựng

Mô hình OSI gồm có 7 tầng như Hình 3 Mô hình OSI

Hình 3 Mố hình OSI

-Tầng 1: Tầng vật lý (Physical Layer) định nghĩa tất cả các đặc tả về điện vàvật lý cho các thiết bị Trong đó bao gồm bố trí của các chân cắm (pin), các hiệuđiện thế, và các đặc tả về cáp nối (cable) Các thiết bị tầng vật lý bao gồm Hub bộ,

lặp (repeater), thiết bị chuyển đổi tín hiệu (converter), thiết bị tiếp hợpmạng (network adapter) và thiết bị tiếp hợp kênh máy chủ (Host Bus Adapter) -(HBA dùng trong mạng lưu trữ Storage Area Network) Chức năng và dịch vụ cănbản được thực hiện bởi tầng vật lý bao gồm:

Thiết lập hoặc ngắt mạch kết nối điện (electrical connection) với một môitrường truyền dẫn phương tiện truyền thông (transmission medium)

Tham gia vào quy trình mà trong đó các tài nguyên truyền thông được chia sẻhiệu quả giữa nhiều người dùng Chẳng hạn giải quyết tranh chấp tàinguyên (contention) và điều khiển lưu lượng

Điều chế (modulation), hoặc biến đổi giữa biểu diễn dữ liệu số (digital data)của các thiết bị người dùng và các tín hiệu tương ứng được truyền qua kênh truyềnthông (communication channel)

Cáp (bus) SCSI song song hoạt động ở tầng cấp này Nhiều tiêu chuẩn khácnhau của Ethernet dành cho tầng vật lý cũng nằm trong tầng này; Ethernet nhậptầng vật lý với tầng liên kết dữ liệu vào làm một Điều tương tự cũng xảy ra đối vớicác mạng cục bộ như Token ring, FDDI và IEEE 802.11

- Tầng 2: Tầng liên kết dữ liệu (Data-Link Layer) cung cấp các phương tiện

có tính chức năng và quy trình để truyền dữ liệu giữa các thực thể mạng (truy cậpđường truyền, đưa dữ liệu vào mạng), phát hiện và có thể sửa chữa các lỗi trongtầng vật lý nếu có Cách đánh địa chỉ mang tính vật lý, nghĩa là địa chỉ (địa chỉMAC) được mã hóa cứng vào trong các thẻ mạng (network card) khi chúng đượcsản xuất Hệ thống xác định địa chỉ này không có đẳng cấp (flat scheme) Chú ý: Ví

dụ điển hình nhất là Ethernet Những ví dụ khác về các giao thức liên kết dữ liệu(data link protocol) là các giao thức HDLC ADCCP; dành cho các mạng điểm-tới-điểm hoặc mạng chuyển mạch gói (packet-switched networks) và giao

thức Aloha cho các mạng cục bộ Trong các mạng cục bộ theo tiêu chuẩn IEEE 802,

và một số mạng theo tiêu chuẩn khác, chẳng hạn FDDI, tầng liên kết dữ liệu có thểđược chia ra thành 2 tầng con: tầng MAC (Media Access Control - Điều khiển Truynhập Đường truyền) và tầng LLC (Logical Link Control - Điều khiển Liên kếtLogic) theo tiêu chuẩn IEEE 802.2

Tầng liên kết dữ liệu chính là nơi các thiết bị chuyển mạch (switches) hoạtđộng Kết nối chỉ được cung cấp giữa các nút mạng được nối với nhau trong nội bộmạng

-Tầng 3: Tầng mạng (Network Layer) cung cấp các chức năng và quy trìnhcho việc truyền các chuỗi dữ liệu có độ dài đa dạng, từ một nguồn tới một đích,thông qua một hoặc nhiều mạng, trong khi vẫn duy trì chất lượng dịch vụ (quality ofservice) mà tầng giao vận yêu cầu Tầng mạng thực hiện chức năng định tuyến.Các thiết bị định tuyến (router) hoạt động tại tầng này - gửi dữ liệu ra khắp mạng

mở rộng, làm cho liên mạng trở nên khả thi (còn có thiết bị chuyển mạch (switch)tầng 3, còn gọi là chuyển mạch IP) Đây là một hệ thống định vị địa chỉ lôgic(logical addressing scheme) – các giá trị được chọn bởi kỹ sư mạng Hệ thống này

có cấu trúc phả hệ Ví dụ điển hình của giao thức tầng 3 là giao thức IP

-Tầng 4: Tầng giao vận (Transport Layer) cung cấp dịch vụ chuyên dụngchuyển dữ liệu giữa các người dùng tại đầu cuối, nhờ đó các tầng trên không phảiquan tâm đến việc cung cấp dịch vụ truyền dữ liệu đáng tin cậy và hiệu quả Tầnggiao vận kiểm soát độ tin cậy của một kết nối được cho trước Một số giao thức cóđịnh hướng trạng thái và kết nối (state and connection orientated) Có nghĩa là tầnggiao vận có thể theo dõi các gói tin và truyền lại các gói bị thất bại Một ví dụ điểnhình của giao thức tầng 4 là TCP Tầng này là nơi các thông điệp được chuyển sangthành các gói tin TCP hoặc UDP Ở tầng 4 địa chỉ được đánh là address ports, thôngqua address ports để phân biệt được ứng dụng trao đổi

-Tầng 5: Tầng phiên (Session layer) kiểm soát các (phiên) hội thoại giữa cácmáy tính Tầng này thiết lập, quản lý và kết thúc các kết nối giữa trình ứng dụng địaphương và trình ứng dụng ở xa Tầng này còn hỗ trợ hoạt động song công (duplex)

hoặc bán song công (half-duplex) hoặc đơn công (Simplex) và thiết lập các quytrình đánh dấu điểm hoàn thành (checkpointing) - giúp việc phục hồi truyền thôngnhanh hơn khi có lỗi xảy ra, vì điểm đã hoàn thành đã được đánh dấu - trì hoãn(adjournment), kết thúc (termination) và khởi động lại (restart) Mô hình OSI uỷnhiệm cho tầng này trách nhiệm "ngắt mạch nhẹ nhàng" (graceful close) các phiêngiao dịch (một tính chất của giao thức kiểm soát giao vận TCP) và trách nhiệmkiểm tra và phục hồi phiên, đây là phần thường không được dùng đến trong bộ giaothức TCP/IP.

-Tầng 6: Tầng trình diễn (Presentation layer) hoạt động như tầng dữ liệu trênmạng Tầng này trên máy tính truyền dữ liệu làm nhiệm vụ dịch dữ liệu được gửi từtầng ứng dụng sang địng dạng chung Và tại máy tính nhận, lại chuyển từ định dạngchung sang định dạng của tầng ứng dụng Tầng thể hiện thực hiện các chức năngsau:

 Dịch các mã ký tự từ ASCII sang EBCDIC

 Chuyển đổi dữ liệu, ví dụ từ số interger sang số dấu phảy động

 Nén dữ liệu để giảm lượng dữ liệu truyền trên mạng

 Mã hoá và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng

-Tầng 7: Tầng ứng dụng (Application layer) là tầng gần với người sử dụngnhất Nó cung cấp phương tiện cho người dùng truy nhập các thông tin và dữ liệutrên mạng thông qua chương trình ứng dụng Tầng này là giao diện chính để ngườidùng tương tác với chương trình ứng dụng, và qua đó với mạng Một số ví dụ về cácứng dụng trong tầng này bao gồm HTTP Telnet FTP, , (giao thức truyền tập tin) vàcác giao thức truyền thư điện tử như SMTP IMAP X.400 Mail, ,

2.9 Hacker:

Hacker (còn gọi là tin tặc) là người hiểu rõ hoạt động của hệ thống máy tính,mạng máy tính, có thể viết hay chỉnh sưả phần mềm, phần cứng máy tính để làmthay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau Công việc của hackerbao gồm lập trình, quản trị mạng và bảo mật