báo cáo tốt nghiệp những vấn đề về mạng LAN

Dựa trên những yêu cầu đặt ra banđầu, thông qua những hiểu biết về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy được những điểm mạnh sẵn có và khắc phục được các điể

MỤC LỤC

NHỮNG THUẬT NGỮ VIẾT TẮT 4

LỜI NÓI ĐẦU 6

CHƯƠNG 1: CƠ BẢN VỀ MẠNG LAN 7

I: Các khái niệm cơ bản 7

1 Cơ bản về hệ thống LAN 7

2 Mạng và kết nối mạng 8

3 Các loại hình mạng 11

II: Một số thiết bị mạng thông thường 14

1 Cáp 14

2 Card mạng 15

3 Hub 15

4 Bridge 16

5 Switch 16

6 Router 16

7 Card mạng không dây và điểm truy cập 16

III Mô hình OSI và TCP/IP 16

1 Mô hình OSI 16

1.1 Kiến trúc phân tầng 17

1.2 Chức năng của các tầng trong mô hình OSI 18

1.3 Quan hệ giữa các tầng trong mô hình OSI 20

2 Mô hình TCP/IP 22

2.1 Kiến trúc phân tầng 22

2.2 Các tầng trong mô hình TCP/IP 23

CHƯƠNG II: BẢO MẬT MẠNG LAN 25

I Một số phương thức tấn công chủ yếu 25

1 Một số khái niệm 25

1.1 Đối tượng tấn công mạng 25

1.2 Các lỗ hổng bảo mật 25

1.3 Chính sách bảo mật 28

2 Các vấn đề chung 28

3 Tấn công chủ động 29

3.1 Phương pháp tấn công DoS 29

3.2 Phương pháp tấn công DDoS 31

3.3 Tấn công SYN 32

4 Tấn công bị động 34

4.1 Sniffer 34

4.2 Scanner 35

5 Tấn công password 35

5.1 Brute force attacks 36

5.2 Dictionary-based attacks 36

6.Trojans 36

II Một số biện pháp bảo vệ mạng 37

1 Switch 37

1.1 Password truy cập và port sercurity 38

1.2 VLAN 39

2 Router 44

2.1 Password truy cập 44

2.2 Access Control Lists 45

3 Tường lửa 47

3.1 Packet filtering firewall (lọc dữ liệu) 49

3.2 Application layer Gateways (cổng ứng dụng) 50

3.3 Stateful inspection (giám sát trạng thái) 51

3.4 Một số mô hình mạng được triển khai bằng firewall 51

4 Thiết bị phát hiện xâm nhập hệ thống 52

4.1 Network-based IDSs 53

4.2 Host-based IDSs 54

CHƯƠNG III: XÂY DỰNG HỆ THỐNG MÔ PHỎNG 56

I Tổng quan mạng mô phỏng 56

1 Mô hình mạng mô phỏng 56

1.1 Yêu cầu thiết kế 56

1.2 Mô tả hệ thống 57

II Triển khai cấu hình trên các thiết bị 58

1 Router 58

1.1 Cấu hình địa chỉ IP 58

1.2 Cấu hình password truy nhập 59

1.3 Cấu hình phương pháp định tuyến 60

1.4 Cấu hình ACLs 60

2 Switch 61

2.1 Cấu hình password truy nhập 61

2.2 Cấu hình VLAN 62

2.2.1 Cấu hình cho chi nhánh Hà Nội 62

2.2.2 Cấu hình cho chi nhánh Thái Nguyên 66

CHƯƠNG IV : ĐÁNH GIÁ VÀ KẾT LUẬN 67

I Đánh giá 67

1 Ưu điểm 67

2 Nhược điểm 67

II Kết luận 67

TÀI LIỆU THAM KHẢO 69

NHỮNG THUẬT NGỮ VIẾT TẮT

ACK Acknowledgement

ACLs Access Control Lists

ARP Address Resolution Protocol

ATM Asynchronous Transfer Mode

CAM Content Addressable Memory

CHAP Challenge Handshake Authentication ProtocolDCE Data Circuit-Terminating Equipment

DDoS Distributed Denial of Service

DNS Domain Name System

DoS Denial of Service

DTE Data Terminal Equipment

FDDI Fiber Distributed Data Interface

FTP File Transfer Protocol

IDSs Instrution Direction Systems

ICMP Internet Control Message Protocol

IP Internet protocol

ISDN Intergrated Services Digital NetworkLAN Local Area Network

MAC Media Access Control

NAT Network Address Transtation

NIC Network Interface Card

OSI Open Systems Interconnection

OSPF Open Shortest Path Firth

PAP Password Authentication ProtocolPPP Point to point Protocol

RIP Routing Information Protocol

SMTP Simple Mail Transfer Protocol

SNMP Simple Network Management ProtocolSONET Synchronous Optical Network

STP Shield Twisted Pair

TCP Transmission Control Protocol

UDP User Datagram Protocol

UTP Unshield Twisted Pair

VLAN Virtual LAN

VTP VLAN Trunking Protocol

WAN Wide Area Network

LỜI NÓI ĐẦU

Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất to lơn đểphát triển công nghệ thông tin Cùng với viễn thông, tin học là một thành phần cốtlõi của công nghệ thông tin Thuật ngữ “mạng máy tính” đã trở nên quen thuộc vàtrở thành đối tượng nghiên cứu, ứng dụng của rất nhiều người có nghề nghiệp vàphạm vi hoạt động khác nhau

Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tài nguyên,giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong công tác văn phòngmột cách rất tiện lợi Đến nay, do sự phát triển của xã hội, nhu cầu trao đổi thông tinngày một nhiều, vì vậy mạng máy tính không ngừng phát triển, không ngừng tối ưuhoá các dịch vụ để đáp ứng yêu cầu đó Trong những năm gần đây, internet đã trởthành một công cụ rất thuận tiện và phổ biến trong các hoạt động kinh doanh và giảitrí

Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từngười gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau, không

có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hay xuyên tạc Do

đó việc xây dựng và hoạch định ra một chính sách, triển khai xây dựng hệ thốngmạng một cách an toàn nhằm tạo ra một môi trường mạng “trong sạch” đang là mộtvấn đề được rất nhiều tổ chức, doanh nghiệp, quốc gia quan tâm Để làm được điềunày, các cơ quan tổ chức cần phải xây dựng cho mình một chính sách bảo vệ môitrường mạng của mình một cách thiết thực nhất Dựa trên những yêu cầu đặt ra banđầu, thông qua những hiểu biết về việc cấu hình thiết bị mạng, phối kết hợp chúng

để chúng phát huy được những điểm mạnh sẵn có và khắc phục được các điểm yếucho nhau nhằm đạt được mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó

CHƯƠNG 1: CƠ BẢN VỀ MẠNG LAN I: Các khái niệm cơ bản

1 Cơ bản về hệ thống LAN

Những mạng LAN đầu tiên được tạo ra vào khoảng cuối những năm 1970 vàthường tạo ra những mối liên kết cao tốc giữa vài máy tính trung tâm lớn tại một chỗ

Đến khoảng đầu những năm 1983 thì mạng LAN đã hình thành khá phổ biến trong các máy tính ở các doanh nghiệp

Đến khoảng đầu những năm 1990 cùng với sự ra đời của hệ điều hành mạng tân tiến Windows NT advanced server và Windows cho nhóm làm việc thì mạng LAN đã thực sự phát triển mạnh cho đến tận ngày năy

Mạng Lan hay còn được gọi với cái tên đầy đủ “local area network”, mạng máy tính cục bộ là một mạng máy tính cơ bản được sử dụng rộng rãi trong các mô hình nhỏ như gia đình, cơ quan, trường học vv

1.1: Mô hình Lan cơ bản

Trong thực tế mô hình Lan phát triển dưới nhiều mô hình khác nhau tùy vào

hạ tầng, mức độ phức tạp và cả vấn đề tài chính Trong hệ thống Lan có hai mô hìnhtiêu biểu thường được nói là Server-based và peer-to-peer Đây có thể coi là hai mô hình “rễ” để từ đó Lan phát triển sâu rộng hơn và có nhiều mô hình biến hóa hơn trong thực tế

dữ liệu bạn đã tạo cho mọi người cùng xem và thưởng thức

Không có hệ thống mạng dữ liệu, muốn mang thông tin sang các máy tínhkhác bạn chỉ có thể dùng tới sự giúp đỡ của đĩa mềm (floppy), hoặc là in tài liệu cầnchia sẻ ra giấy Đó là sự hạn chế rất lớn của việc thiếu môi trường mạng Đây chính

là sự làm việc trong môi trường độc lập, do đó hiệu quả công việc không cao Nếu

một người trong môi trường độc lập nối máy tính của mình với máy tính của nhiềungười khác, anh ta sẽ có thể sử dụng dữ liệu trên các máy tính khác, kể cả máy in.

Một nhóm máy tính và các thiết bị ngoại vi kết nối với nhau bởi các đường truyền vật lý theo một kiến trúc nào đó được gọi là mạng (network), còn khái niệm

các máy tính nối với nhau dùng chung tài nguyên gọi là nối mạng (networking)

Hình 1.2: Một hệ thống mạng đơn giản

Đường truyền vật lý dùng để truyền các tín hiệu điện tử giữa các máy tính.Hiện nay cả hai loại đường truyền hữu tuyến (cable) và vô tuyến (wireless) đềuđược sử dụng trong việc nối kết mạng máy tính

Đường truyền hữu tuyến gồm có:

+Cáp đồng trục (coxial cable)

+Cáp đôi xoắn (twisted pair cable), gồm hai loại STP và UTP

+Cáp quang (fiber optic cable)

Đường truyền vô tuyến gồm có:

+Radio

+Sóng cực ngắn (micro wave)

+Hồng ngoại (infrared)

Kiến trúc mạng máy tính (network architecture) thể hiện cách nối các máytính với nhau ra sao và tập hợp các quy tắc, quy ước mà tất cả các thực thể tham giatruyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Cáchnối các máy tính gọi là topology của mạng, còn tập hợp các quy tắc, quy ước truyềnthông gọi là giao thức (protocol) của mạng.

*Topo mạng:

Một số topo thường được dùng là:

+Bus (xa lộ): Tất cả các trạm phân chia chung một đường truyền chính.Đưòng truyền này được giới hạn 2 đầu bởi một loại đầu nối đặc biệt gọi là

terminator Mỗi trạm được nối vào bus qua một đầu nối chữ T Khi 1 trạm truyền dữ

liệu, tín hiệu được quảng bá trên 2 chiều của bus, nghĩa là tất cả các trạm còn lạiđều có thể nhận được

+Ring (vòng): Tín hiệu được lưu chuyển trên vòng theo một chiều duy nhất.Mỗi trạm được nối với vòng qua một bộ chuyển tiếp (repeater) có nhiệm vụ nhậntín hiệu và chuyển đến trạm kế tiếp trên vòng Cần thiết phải có giao thức điềukhiển việc cấp phát “quyền” được truyền dữ liệu trên vòng cho các trạm có nhu cầu

+Star (hình sao): Tất cả các trạm được nối vào 1 thiết bị trung tâm có nhiệm

vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích của tín hiệu Tuỳ theo yêu cầucủa truyền thông mạng thiết bị trung tâm có thể là một bộ chuyển mạch (switch), bộchọn đường (router) hoặc đơn giản là một bộ phân kênh (hub) Star là topo lắp đặtđơn giản, dễ cấu hình, dễ kiểm soát và khắc phục sự cố Tuy nhiên độ dài đườngtruyền với thiết bị trung tâm bị hạn chế (khoảng 100m)

+Extended star (hình sao mở rộng): Nó cũng tương tự dạng hình sao Các bộtập trung của các mạng hình sao lại được được nối vào một bộ tập trung khác

+Hierarchical (phân lớp): Topo này cũng tương tự như dạng sao mở rộng Sựkhác biệt ở đây là ở đây không sử dụng nút trung tâm như hình sao mở rộng

+Mesh (tổng hợp): Trong dạng này, tất cả các thiết bị đều có đường nối trựctiếp đến thiết bị khác Ưu điểm của dạng này là đảm bảo mạng vẫn hoạt động bình

thường trong trường hợp có một vài kết nối nào đó bị hỏng Tuy nhiên dạng này chiphí cao do mất nhiều dây nối giữa các trạm Topo này thường được dùng trong cácmạng lõi (backbone).

Hình 1.3: Một số topology mạng thông thường

3 Các loại hình mạng

Theo cơ chế hoạt động thì mạng máy tính được chia làm hai loại, đó là mạngngang hàng và mạng dựa trên máy phục vụ

*Mạng ngang hàng (peer to peer):

Mạng ngang hàng là sự lựa chọn lý tưởng cho các môi trường mạng:

+Có ít hơn 10 người dùng

+Tất cả người dùng đều ở trong một khu vực

+Tính bảo mật không phải là vấn đề quan trọng

+Số người dùng và mạng sẽ hạn chế phát triển trong tương lai gần

Hình 1.4: Peer to peer network

Trong mạng ngang hàng người dùng có thể quản lý tài nguyên của mình, có thể chia

sẻ cũng như không cho phép truy cập dữ liệu từ những người dùng khác Một ưuđiểm rất lớn của mạng ngang hàng là rất dễ cài đặt và sử dụng Như vậy trong một

số trường hợp sử dụng mạng ngang hàng là một giải pháp tương đối tốt

*Mạng dựa trên máy phục vụ (client/server):

Trong trường hợp có nhiều hơn 10 người dùng mạng ngang hàng sẽ khôngđáp ứng được yêu cầu đặt ra Vì thế hầu hết các mạng đều có máy phục vụ chuyêndụng Máy phục vụ chuyên dụng là máy chủ hoạt động như một máy phục vụ chứkhông kiêm luôn vai trò của máy khách hay máy trạm Máy phục vụ có tính chuyêndụng vì chúng được thiết kế tối ưu hoá để phục vụ nhanh yêu cầu của khách trênmạng cũng như đảm bảo an toàn cho tập tin và thư mục Mạng dựa trên máy phục

vụ đã trở thành mô hình chuẩn cho hệ thống mạng ngày nay

Mạng dựa trên máy phục vụ đã giải quyết được một số nhược điểm của mạng nganghàng, vấn đề an ninh và mở rộng mạng đã được đáp ứng tốt hơn Tuy nhiên nó cũng

có một số nhược điểm nhất định Các máy server yêu cầu cấu hình cao và thôngthường rất đắt Ngoài ra nếu chỉ dùng một máy server thì mạng sẽ ngừng làm việcnếu như server hỏng

Hình 1.5: Client/server network

Một số máy phục vụ chuyên dụng:

+Máy phục vụ tập tin, in ấn (file/print server)

+Máy phục vụ thư tín (mail server)

+Máy phục vụ fax (fax server).

+Máy phục vụ web (web server)

…

Theo phân vùng địa lý thì mạng máy tính được chia thành các loại hình sau:

*Mạng cục bộ LAN (local area network):

Đây là loại hình mạng được cài đặt trong môi trường tương đối nhỏ (ví dụtrong 1 toà nhà, trong một trường học …) Một số công nghệ mạng LAN thôngdụng là Ethernet, Tocken Ring, FDDI (Fiber Distributed Data Interface)

*Mạng đô thị MAN (Metropolitan Area Network):

Đây là mạng được cài đặt trong một đô thị hoặc trong một trung tâm kinh tế

-xã hội có bán kính nhỏ hơn 100km

*Mạng diện rộng WAN (Wide Area Network):

Mạng WAN kết nối các mạng trong một vùng địa lý rộng, phạm vi có thể làtrong một quốc gia và thậm chí cả lục địa Một số công nghệ thường dùng trongmạng WAN là ISDN (Intergrated Services Digital Network, DSL(Digital SubscriberLine), Frame relay, SONET (Synchronous Optical Network)

Theo kĩ thuật chuyển mạch thì ta sẽ có các loại mạng sau: mạng chuyển mạch kênh,mạng chuyển mạch thông báo và mạng chuyển mạch gói

*Mạng chuyển mạch kênh (circuit switched network):

Khi có hai thực thể muốn trao đổi thông tin thì giữa chúng thiết lập một kênh

cố định và được duy trì cho đến khi một trong hai bên ngắt liên lạc Các dữ liệu chỉđược truyền theo một đường cố định đó Phương pháp này có hai nhược điểm đó làphải mất thời gian thiết lập kênh cố định giữa hai thực thể và hiệu suất sử dụngđường truyền không cao trong trường hợp cả hai bên đều hết thông tin để truyềntrong khi các thực thể khác không được sử dụng kênh này

*Mạng chuyển mạch thông báo (message switched network):

Thông báo (message) là một đơn vị thông tin của người sử dụng có khuôndạng được quy định trước Mỗi thông báo đều có vùng thông tin điều khiển trong đóchỉ định rõ đích của thông báo Căn cứ vào thông tin này mà mỗi nút có thể chuyểnthông báo đến nút kế tiếp trong đường dẫn đến đích của nó Tuỳ thuộc vào điều kiệncủa mạng, các thông báo khác nhau có thể được gửi đi trên các con đường khácnhau Phương pháp này có hiệu suất sử dụng đường truyền cao, mỗi nút mạng cóthể lưu trữ thông báo cho đến khi kênh truyền rỗi rồi mới gửi thông báo đi do đógiảm được tình trạng tắc nghẽn.

*Mạng chuyển mạch gói (packet switched network):

Mỗi thông báo được chia thành nhiều phần nhỏ hơn gọi là các gói tin(packet) có khuôn dạng quy định trước Mỗi gói tin cũng chứa các thông tin điềukhiển trong đó có địa chỉ nguồn và địa chỉ đích Các gói tin thuộc một thông báonào đó có thể đi theo các con đường khác nhau để đi đến đích Phương pháp nàycũng tương tự như phương pháp chuyển mạch thông báo

Điểm khác biệt là ở chỗ gói tin được giới hạn kích thước sao cho các nút mạng cóthể xử lý toàn bộ gói tin mà không phải lưu trữ tạm thời Bởi vậy mạng chuyểnmạch gói truyền các gói tin nhanh hơn và hiệu quả hơn so với chuyển mạch thôngbáo Vấn đề cơ bản nhất của phương pháp này là tập hợp các gói tin và sắp xếp saocho đúng thứ tự trong trường hợp các gói đi theo các đường khác nhau Như vậycần phải có các cơ chế đánh dấu gói tin và phục hồi các gói tin bị thất lạc hoặc bị lỗitrong quá trình truyền

II: Một số thiết bị mạng thông thường

1 Cáp

Cáp dùng làm phương tiện truyền dẫn kết nối giữa các thành phần của mạngvới nhau Có một số loại cáp thông thường là cáp đồng trục (coxial), cáp xoắn đôi(twisted pair) và cáp sợi quang (fiber optic).Trong mô hình OSI cáp được coi làthiết bị tầng 1

Cáp đồng trụcmảnh 10Base2

Cáp đồng trụcdầy 10Base5

Cáp xoắn đôi10BaseT Cáp quangChi phí Cao hơn cáp

xoắn đôi

Cao hơn cápmảnh Thấp nhất Cao nhất

Độ dài tối đa 185m 500m 100m Có thể rất xaTốc độ truyền 10Mbps 10Mbps 10, 100Mbps Cao hơn

Sử dụng rấtphổ biến

Những môitrường đòi hỏitốc độ, bảomật cao

Bảng 1.1: Một số loại cáp thông dụng

2 Card mạng

Card mạng (Network Interface Card – NIC) dùng để kết nối giữa máy tính vàphương tiện truyền dẫn Mỗi card mạng được đại diện bởi một địa chỉ MAC (MediaAccess Control) dài 48bit quy định bởi nhà sản xuất Trong mạng LAN thì địa chỉMAC được dùng để quyết định điểm đến của gói tin

NIC được coi là thiết bị tầng 2 trong mô hình OSI

3 Hub

Được dùng trong mạng LAN, hoạt động ở tầng 1 (physical).Trên Hub cónhiều cổng để kết nối với máy tính Các máy tính được nối vào Hub sẽ nằm trong 1vùng xung đột (collision domain) Trong cùng 1 thời điểm chỉ có 1 máy được gửi dũliệu đi Các máy bị chia sẻ bandwidth nhưng bù lại giá thành lại rẻ Ngày nay Hub ítđược sử dùng và được thay thế bằng switch

4 Bridge

Hoạt động ở tầng 2 (Data link) Bridge dùng để kết nối 2 hoặc nhiều mạngLan với nhau Ở mỗi cổng của bridge là một vùng xung đột Bridge dùng địa chỉ

MAC để quyết định xem có cho gói tin đi qua không Tốc độ hoạt động của bridgecao hơn của hub.

5 Switch

Hoạt động ở tầng 2 Cũng giống như bridge, switch dùng để kết nối cácmạng Lan với nhau Thay vì dùng phần mềm như bridge, switch dùng phần cứngnên tốc độ hoạt động nhanh hơn rất nhiều

6 Router

Hoạt động ở tầng 3 (Network) Mỗi cổng của router là một vùng quảng bá(broadcast domain) Router hoạt động dựa trên địa chỉ tầng 3, có nhiệm vụ xác địnhđường đi tới đích tối ưu cho các gói dữ liệu, định tuyến điều khiển luồng để đảmbảo tốc độ và tính toàn vẹn của dữ liệu

7 Card mạng không dây và điểm truy cập

Khi dùng mạng không dây mỗi máy tính cũng cần một thiết bị kết nối vớiđường truyền gọi là Wireless Nic Các máy tính sẽ được kết nối thông qua một điểmtruy cập chung gọi là Access Point (AP) Chúng ta có thể coi như Access Pointgiống như là hub trong mạng LAN thông thường

III Mô hình OSI và TCP/IP

1 Mô hình OSI

Để giảm độ phức tạp khi thiết kế và cài đặt mạng, hầu hết các mạng máy tínhđều được phân tích và thiết kế theo quan điểm phân tầng Mỗi hệ thống thành phầncủa mạng được xem là một cấu trúc đa tầng trong đó mỗi tầng được xây trên tầngtrước đó Số lượng các tầng cũng như tên và chức năng của các tầng tuỳ thuộc vàonhà thiết kế

Khi thiết kế các nhà thiết kế tự lựa chọn kiến trúc mạng riêng của mình, từ

đó dẫn đến tình trạng không tương thích giữa các mạng: phương pháp truy nhậpđường truyền khác nhau, sử dụng các bộ giao thức khác nhau… Sự không tươngthích này gây ra những khó khăn trong việc tương tác giữa những người sử dụng

Các nhà sản xuất và các nhà nghiên cứu, thông qua các tổ chức chuẩn hoá quốc gia

và quốc tế, tích cực tìm ra sự hội tụ cho các sản phẩm mạng trên thị trường Đê cóđược điều đó, trước hết cần xây dựng được một khung chuẩn về kiến trúc mạng đểlàm căn cứ cho các nhà thiết kế và chế tạo các sản phẩm về mạng

Vì lý do đó, Tổ chức tiêu chuẩn hoá quốc tế ISO (International Organization

for Standardization) đã xây dựng Mô hình tham chiếu cho việc kết nối các hệ thống

mở (Referrence Model for Open Systems Interconnection) Mô hình này được dùng

làm cơ sở cho việc nối kết các hệ thống mở phục vụ cho các ứng dụng phân tán

“Mở” ở đây nói lên khả năng 2 hệ thống có thể nối kết để trao đổi thông tin vớinhau nếu chúng tuân thủ mô hình tham chiếu và các chuẩn liên quan

1.1 Kiến trúc phân tầng

Mô hình OSI được chia làm 7 tầng Mỗi tầng OSI có những chức năng mạngđược định rõ, các chức năng của mỗi tầng giao tiếp với chức năng của tầng ngaybên trên và ngay bên dưới nó Tầng thấp nhất định nghĩa phương tiện vật lý củamạng và các tác vụ liên quan như đưa bit dữ liệu lên card mạng và cáp Tầng caonhất định nghĩa cách thức chương trình ứng dụng truy cập các dịch vụ truyền thông.Tầng càng cao nhiệm vụ của tầng càng trở nên phức tạp

7 Ứng dụng (Application Layer)

6 Trình diễn (Presentation Layer)

5 Phiên (Session Layer)

4 Giao vận (Transport Layer)

3 Mạng (Network Layer)

2 Liên kết dữ liệu (DataLink Layer)

1 Vật lý (Physical Layer)

Hình 1.6: Mô hình OSI 7 tầng

Mỗi tầng cung cấp dịch vụ hoặc hoạt động chuẩn bị dũ liệu để chuyển giaoqua mạng đến các máy tính khác Mỗi tầng được xây dựng dựa trên các tiêu chuẩn

và hoạt động của tầng trước đó

1.2 Chức năng của các tầng trong mô hình OSI

*Tầng vật lý:

Liên quan đến nhiệm vụ truyền dòng bit không có cấu trúc qua đường truyềnvật lý, truy nhập đường truyền vật lý nhờ các phương tiện cơ, điện, hàm, thủ tục.Tầng vật lý định nghĩa cách kết nối giữa cáp và card mạng như thế nào Chẳng hạn,

nó định rõ bộ nối có bao nhiêu chân và chức năng của từng chân như thế nào Tầngnày cũng định rõ kĩ thuật truyền nào sẽ được dùng để gửi dữ liệu lên cáp mạng

Tầng vật lý chịu trách nhiệm truyền bit (bit 0 và bit 1) từ máy tính này sangmáy tính khác Bản thân bit không có ý nghĩa rõ rệt Tầng vật lý định rõ sự mã hoábit và sự đồng bộ, bảo đảm rằng khi truyền đi bit 1 thì sẽ nhận được bit 1 chứ khôngphải là bit 0 Tầng vật lý cũng định rõ mỗi bit kéo dài bao lâu và được diễn dịchthành xung điện hay xung ánh sáng thích hợp với cáp mạng như thế nào

*Tầng liên kết dữ liệu:

Cung cấp phương tiện để truyền thông tin qua liên kết vật lý đảm bảo tin cậy,gửi các khung dữ liệu (frame) với các cơ chế đồng bộ hoá, kiểm soát lỗi và kiểmsoát luồng dữ liệu cần thiết

*Tầng mạng:

Thực hiện việc chọn đường và chuyển tiếp thông tin với công nghệ chuyểnmạch thích hợp, thực hiện việc kiểm soát luồng dữ liệu và cắt/hợp dữ liệu nếu cần.Tầng mạng cung cấp phương tiện để truyền các đơn vị dữ liệu qua mạng, bởi vậy nócần phải đáp ứng với nhiều kiểu mạng và nhiều kiểu dịch vụ cung cấp bởi các mạngkhác nhau

*Tầng giao vận:

Thực hiện việc truyền dữ liệu giữa hai đầu mút (end to end), thực hiện việckiểm soát lỗi và kiểm soát luồng giữa hai đầu mút Cũng có thể thực hiện việc ghépkênh (multiplexing), cắt/hợp dữ liệu nếu cần Tầng giao vận là ranh giới giữa cáctầng thấp và các tầng cao trong mô hinh OSI, nó vừa phải biết về yêu cầu chấtlượng dịch vụ (Quality of Service – QOS) của người sử dụng đồng thời cũng phảibiết được khả năng cung cấp dịch vụ của mạng bên dưới

1.3 Quan hệ giữa các tầng trong mô hình OSI

Nhiệm vụ của mỗi tầng là cung cấp dịch vụ cho tầng ngay bên trên nó và đưayêu cầu đối với tầng ngay bên dưới nó Các tầng được thiết lập theo cách thức qua

đó mỗi tầng hoạt động như thể nó đang giao tiếp với tầng đối tác của nó trong máytính khác Đây là dạng giao tiếp ảo hay giao tiếp logic giữa những tầng đồng mức.Thật sự là giao tiếp xảy ra giữa các tầng kề nhau trên cùng 1 máy tính

Hình 1.7: Quan hệ giữa các tầng trong mô hình OSI

Thông tin truyền trên mạng giữa nguồn và đích được gọi là các gói dữ liệu(data packets) Một máy tính (host A) muốn gửi dữ liệu đến một máy tính khác(host B) thì dữ liệu phải tuân theo một quá trình gọi là quá trình đóng gói(Encapsulation)

Khi dữ liệu chạy từ tầng trên xuống tầng dưới, mỗi tầng sẽ thêm một phầnđầu (header) và có thể là phần cuối (trailer) vào dữ liệu trước khi chuyển xuốngtầng dưới Các phần header và trailer này chứa thông tin điều khiển cho các thiết bịmạng và đầu nhận để đảm bảo dữ liệu được chuyển đến đúng nơi nhận Thông tin từtầng ứng dụng qua tầng trình diễn sẽ được chuyển đổi sao cho nó có thể truyền quamạng Ở tầng giao vận, dữ liệu sẽ được đóng gói để thực hiện truyền giữa hai đầumút (end to end) Qua tầng mạng, địa chỉ mạng sẽ được thêm vào phần header Phầnheader thêm vào này chứa địa chỉ logic của nguồn và đích Đến tầng liên kết dữ liệucác gói dữ liệu sẽ được chuyển thành các khung (frame) Phần header của khung sẽchứa thông tin về địa chỉ vật lý của nguồn và đích Ngoài ra có thể có thêm phầntrailer chứa thông tin sửa lỗi Đến tầng vật lý dữ liệu sẽ được chuyển thành dạng bit

để truyền trên đường truyền đến nơi nhận

Hình 1.8 Quá trình Encapsulation

Tại nơi nhận, quá trình xảy ra ngược lại (De-Encapsulation) Ở mỗi tầng sẽnhận dữ liệu, loại bỏ thông tin của tầng mình rồi chuyển lên tầng tiếp theo Khithông tin chuyển đến tầng ứng dụng, mọi thông tin về địa chỉ đã được loại bỏ, dữliệu trở về dạng ban đầu mà máy nhận có thể đọc được

Ngoại trừ tầng thấp nhất trong mô hình mạng, không tầng nào có thể truyềntrực tiếp thông tin sang tầng tương ứng trên máy tính khác Thông tin cần phảitruyền xuống các tầng dưới và ở máy nhận lại truyền ngược lên tầng tương ứng Ví

dụ tầng mạng của máy gửi (host A) gửi thông tin thì nó sẽ qua tầng liên kết dữ liệu

và tầng vật lý rồi qua cáp mạng đến tầng vật lý của máy nhận (host B), sau đó quatầng liên kết dữ liệu và đến nơi nhận là tầng mạng

Mỗi tầng có một giao thức điều khiển riêng của nó Giao thức này sẽ quyếtđịnh tầng dưới sẽ phải cung cấp những dịch vụ nào cho tầng trên và quy định rõnhững dịch vụ này được truy cập như thế nào

2 Mô hình TCP/IP

2.1 Kiến trúc phân tầng

Cũng giống như mô hình OSI, mô hình TCP/IP (Transmission ControlProtocol/Internet Protocol) cũng sử dụng kiến trúc phân tầng TCP là một giao thứckiểu có kết nối (Connection Oriented), tức là cần phải có một giai đoạn thiết lập liênkết giữa 2 thực thể TCP trước khi chúng thực hiện trao đổi dữ liệu IP là một giaothức kiểu không có kết nối (Connectionless), nghĩa là không cần phải thiết lập kếtnối trước khi thực hiện trao đổi thông tin Trong mô hình TCP/IP không chỉ sử dụnghai giao thức TCP và IP mà ngoài ra còn sử dụng rất nhiều các giao thức khác nhưUDP,FTP… Tuy nhiên trên môi trường Internet hiện nay chủ yếu sử dụng 2 giaothức là TCP và IP

Hình 1.9 So sánh giữa OSI và TCP/IP

Mô hình TCP/IP gồm 4 tầng: Tầng ứng dụng (Application), tầng giao vận(Transport), tầng Internet, tầng truy cập mạng (Network Access) Tương quan giữa

mô hình TCP/IP và mô hình OSI như trên hình

2.2 Các tầng trong mô hình TCP/IP

*Tầng ứng dụng:

Tầng ứng dụng của TCP/IP tương đương với 3 tầng trên cùng của mô hìnhOSI do vậy nó mang chức năng tổng hợp của cả 3 tầng Một số giao thức thườngdùng của tầng ứng dụng :

+HTTP (Hypertext Transfer Protocol): Giao thức này sử dụng bởi WorldWide Web (www) HTTP quy định việc định dạng và truyền các bản tin như thếnào

+FTP (File Transfer Protocol): Đây là giao thức truyền tệp, được sử dụng đểtruyền từ máy này sang máy khác Giao thức này đảm bảo sự tin cậy và sử dụngkiểu có kết nối

+TFTP (Trivial File Transfer Protocol): Cũng là giao thức truyền tệp nhưFTP nhưng là dạng không kết nối Nó không đảm bảo sự tin cậy nhưng tốc độ lạinhanh hơn FTP rất nhiều Nó được sử dụng chủ yếu trong môi trường mạng LAN vìmôi trường này rất ít xảy ra lỗi

+SMTP (Simple Mail Transfer Protocol): Giao thức chuyển e-mail trongmạng máy tính

+Telnet (Terminal emulation): Giao thức cho phép điều khiển 1 thiết bị từmột thiết bị ở xa

+SNMP (Simple Network Management Protocol): Giao thức cho phép quansát và điều khiển các thiết bị mạng trong việc cấu hình, bảo mật…

+DNS (Domain Name System): Hệ thống chuyển từ tên miền sang địa chỉ IPcủa nó

*Tầng giao vận:

Tầng giao vận cung cấp các dịch vụ chuyển dữ liệu từ máy gửi sang máynhận Nó thiết lập 1 kết nối logic giữa máy gửi và máy nhận (end to end) Ngoài ra

nó cũng tham gia vào việc điều khiển luồng và cung cấp thông tin đảm bảo độ tincậy của dữ liệu nhận được.

Lớp giao vận dùng hai giao thức là TCP và UDP (User Datagram Protocol) UDP làmột giao thức không có kết nối

Ngoài ra tầng này còn có một số giao thức khác:

+ICMP (Internet Control Message Protocol)

+ARP (Address Resolution Protocol): giao thức chuyển từ địa chỉ IP sang địachỉ MAC tương ứng

+RARP (Reveser ARP): giao thức chuyển từ địa chỉ MAC sang địa chỉ IP

*Tầng truy cập mạng:

Tầng này tương đương với 2 tầng dưới cùng của mô hình OSI Nó có nhiệm

vụ thiết lập kết nối vật lý giữa máy tính và đường truyền của mạng Tầng này baogồm kĩ thuật của mạng LAN và WAN Như vậy các công nghệ được sử dụng trongtầng này là Ethernet, Fast Ethernet, FDDI, ATM, Frame Relay…

Các giao thức thường dùng trong tầng này là ARP và RARP

CHƯƠNG II: BẢO MẬT MẠNG LAN

I Một số phương thức tấn công chủ yếu

1 Một số khái niệm

1.1 Đối tượng tấn công mạng

Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng

và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu

và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép

Một số đối tượng tấn công mạng như:

+ Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệthống

+ Masquerader : Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng…

+Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị

Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như

ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định,hoặc

có thể đó là những hành động vô ý thức…

1.2 Các lỗ hổng bảo mật

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về các dịch

vụ cung cấp…

Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau Có lỗ hổng chỉảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống.

Có các loại lỗ hổng như:

Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:

+Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS

(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống

Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này

vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung

đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này

+ Lỗ hổng loại B : Cho phép người sử dụng có thêm các quyền trên hệ thống

mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật

Lỗ hổng này thường có trong các ứng dụng trên hệ thống Có mức độ nguy hiểm trung bình

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ

thống.Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sử dụng một vùng

đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian

bộ nhớ cho từng khối dữ liệu Ví dụ khi viết chương trình nhập trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai báo:

Char first_name [20]; Khai báo này cho phép người sử dụng nhập tối đa 20

ký tự Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm Khi người sử dụng nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm Những ký tự nhập thừa sẽ nằm ngoài vùng đệm khiến ta không thể kiểm soát được Nhưng đối với những kẻ tấn công chúng có thể lợi dụng những lỗ hổng này để nhập vào những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống Thông thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ

Để hạn chế được các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các chương trình

+Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp

pháp vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗ hổng này có mức

độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng

có thể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như:

FTP,Gopher, Telnet, Sendmail, ARP, finger

1.3 Chính sách bảo mật

Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.Đối với từng trường hợp phải có chính sách bảo mật khác nhau Chính sách bảo mật giúp người

sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng

2 Các vấn đề chung

Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, các môhình mạng cũng có xu hướng ngày càng được nâng cấp để có thể phát triển songhành cùng với những tiến bộ không ngừng của những công nghệ mới Nhưng sựphát triển này cũng mang theo nó rất nhiều phiền toái, bởi cùng với sự phát triển vềcông nghệ bảo mật thì những kẻ phá hoại trên mạng cũng không ngừng nâng caotay nghề phá hoại của mình, và kĩ thuật mà chúng sử dụng ngày càng tinh vi, xảoquyệt hơn

Công nghệ tấn công ngày càng phức tạp và vì thế cũng rất khó có biện pháphữu hiệu nào có thể chống được hoàn toàn những vấn đề đó Ngày nay có rất nhiềucách tấn công được những kẻ tấn công trên mạng sử dụng như những công cụ pháhoại phổ biến để phá hoại thông tin trên mạng Nhưng dù có nhiều cách tấn côngđến mấy thì các cách mà những hacker dùng để tấn công hệ thống đều dựa trênnhững yếu tố sau:

+Tấn công vào những mục tiêu phổ biến (những ứng dụng hay những thànhphần mạng)

+Tấn công bằng hai phương pháp thông dụng active và passive

+Các cách thực hiện việc tấn công khác như ăn trộm password, phá mật mã,thuật toán giải mã…

Dù cho các cách tấn công có tinh vi đến mấy thì nó cũng chỉ tập trung ởnhững loại cơ bản sau:

+Chủ động tấn công (Active attacks).Bao gồm các cách tấn công như Denial

of Service (DoS), Distributed Denial of Service (DdoS), buffer overflow, SYNattack, spoofing…

+Tấn công bị động (Passive attacks).Bao gồm các cách tấn công nhưsniffing, vulnerability scanning…

+Tấn công Password (Password attacks).Bao gồm các cách tấn công nhưpassword guessing, brute force, dictionary-based password attacks…

Trên đây là tổng kết những phương pháp tấn công mạng phổ biến nhất hiệnnay mà ta thường gặp Để hiểu biết sâu hơn về vấn đề này ta đi nghiên cứu từngcách tấn công một

3 Tấn công chủ động

3.1 Phương pháp tấn công DoS

Những kiểu tấn công chủ động rất dễ nhận biết, bởi vì những nguy hiểm đốivới hệ thống mạng được thể hiện rất rõ Những kẻ tấn công theo cách này khônglắng nghe thông tin trên đường dây mà thường tìm cách phá hoại đến môi trườngmạng và những dịch vụ đang hoạt động Phương pháp tấn công chủ động có khuynhhướng rất rõ ràng, bởi vì những nguyên nhân gây ra thiệt hại thường là nhận biếtđược Một trong những kiểu tấn công tiêu biểu cho dạng tấn công này đó là kiểu tấncông DoS và DDoS

DoS (Denial of Service) là phương pháp tấn công trực diện vào trung tâmcủa mạng nhằm làm cho cơ sở hạ tầng của những dịch vụ mạng bị phân tán Kiểutấn công này thường không chú trọng đến việc đột nhập vào hệ thống mà nó địnhtấn công, nó thường tác động làm giảm chất lượng cung cấp dịch vụ của mạng, làmcho hệ thống không còn khả năng phân phối dịch vụ cho khách hàng nữa Thôngthường chúng ta đều nghĩ rằng mục tiêu tấn công chủ yếu của DoS chỉ là nhữngmáy chủ (server) Điều này không phải lúc nào cũng là đúng, bởi vì mục đích tấncông chủ yếu của phương pháp này chính là nó làm giảm chất lượng cung cấp dịch

vụ ứng dụng tới tất cả những khách hàng của hệ thống mạng đó Mà mọi khách

hàng đều sử dụng môi trường vật lý hay những thực thể logic để liên kết với các hệthống máy tính khác, những môi trường liên lạc này thường đều có giới hạn nhấtđịnh về traffic nào đó Khi đó kẻ tấn công sẽ gửi tới mạng liên tiếp những gói tinkhiến cho hệ thống, hay server không thể xử lý kịp những gói tin đó Đây cũngchính là nguyên nhân mà ta không thể dự đoán trước được Cách tấn công này cóthể gây ra hiện tượng mạng bị treo, thậm chí nó còn làm cho mạng bị shutdown.Một số lượng lớn những vụ tấn công bởi DoS có thể sẽ gây khó khăn cho việc pháthiện và ngăn chặn hiện tượng này và nó còn có thể làm sai lệch thông tin cảnh báo

mà bạn nhận được

Phần lớn các cuộc tấn công bằng phương pháp DoS đều bắt nguồn từ nguyênnhân xảy ra những lỗ hổng trên mạng mà hacker đã dò và phát hiện ra Phươngpháp tấn công DoS không chỉ được hình thành và thực hiện từ những hệ thống ở xa

mà nó còn được xuất phát từ chính bên trong của những mạng đó Những cuộc tấncông DoS xuất phát từ mạng cục bộ thường dễ xác định được vị trí tấn công để sửachữa vì giới hạn không gian của vấn đề đã được xác định rõ ràng

Phương thức tấn công DoS có hai dạng cơ bản phổ biến, đó là :

+Tấn công phá hoại tài nguyên

+Tấn công vào những gói tin dị tật

Tài nguyên của máy tính luôn là có hạn, các nhà quản trị trên toàn thế giớiđều nhận thức được về vấn đề thiếu thốn này như sự khan hiếm về dải thông, sự hạnchế của CPU, RAM, và bộ nhớ phụ Sự thiếu hụt này gây nên rất nhiều khó khăncho việc phân phối một vài dạng dịch vụ tới những khách hàng (client) Một trongnhững dạng tấn công tiêu biểu cho hình thức này được gọi là network bandwidth.Một số các doanh nghiệp có vị trí thuận lợi và có dải thông dư thừa cũng nên đềphòng với loại hình tấn công này vì chính sự dư thừa đó lại tạo cơ hội nảy sinhnhững đợt tấn công kiểu này Sự tàn phá nguồn tài nguyên mạng phần lớn là bắtnguồn từ bên ngoài mạng nhưng ta cũng không nên loại bỏ khả năng mình sẽ bị tấncông từ chính bên trong mạng đó Dạng tấn công này thường được thực hiện bằng

cách kẻ tấn công gửi một lượng lớn những gói tin tới máy tính bị hại Hình thức tấncông này được gọi là hiện tượng làm “tràn” mạng (flooding) Mạng bị tấn công cóthể bị tràn ngập bởi các gói tin gửi tới, dải thông của mạng sẽ bị chiếm hết và do đócác dịnh vụ khác muốn chạy trên hệ thống đều bị nhưng trệ, hệ thống mạng coi nhưtrở thành tê liệt.

Một cách phá huỷ hệ thống khác cũng hay được sử dụng là nhờ vào sự cấuhình mạng một cách lỏng lẻo, hacker sẽ tìm cách điều khiển traffic của kẻ bị hại,bằng cách này hacker có thể lừa bịp sự kiểm soát của mạng và dễ dàng làm chomạng đó bị tràn ngập Kiểu tấn công mạng như vậy được gọi là tấn công vào ứngdụng (Application attacks)

Nhìn chung DoS là một dạng tấn công mạng hoạt động trong một phạm vi rấtrộng, vì thế nó thường xuất hiện trong rất nhiều hoàn cảnh khác nhau Đây là mộtdạng tấn công nhằm mục đích phá hoại những tài nguyên trên mạng, làm giảm khảnăng kết nối của hệ thống để hợp pháp hoá tư cách sử dụng tài nguyên mạng củanhững kẻ phá hoại, từ đó làm tê liệt hệ thống hay hệ điều hành mạng

3.2 Phương pháp tấn công DDoS

DDoS (Distributed Denial of Service) là cách thức tấn công được phát triểndựa trên những gì mà DoS đã sẵn có Đây là một trong những phương pháp tấncông phổ biến hiện nay, nó gắn liền với tất cả các mạng và phân phối trên rất nhiềumạng máy tính trên thế giới Cách thức tấn công DDoS được chia làm hai pha khácbiệt

+Trong suốt thời gian của pha một DDoS, kẻ làm hại mạng máy tính này sẽhoạt động trên khắp mạng Internet và tiến hành cài đặt những phần mềm đặc biệttrên các host nhằm mục đích giúp đỡ cho sự tấn công sau này

+Trong pha thứ hai, những host đã bị hại (được gọi là zombies) sẽ cung cấpthông tin cho giai đoạn trung gian (master) để bắt đầu cho một cuộc tấn công Hàngtrăm, thậm chí có thể là hàng nghìn zombies có thể được kết nạp vào cuộc tấn côngnày bởi những kẻ hacker chuyên cần Bằng cách sử dụng những phần mềm đã cài

đặt từ trước để điều khiển, mỗi zombies sẽ được sử dụng sao cho chính bản thân nó

sẽ có thể tấn công vào mục tiêu Những kết quả tấn công bằng zombies sẽ được tíchluỹ lại và nó làm cho một lượng lớn traffic trên mạng sẽ bị rỗng cạn tài nguyên vàcác liên lạc sẽ bị chồng chất lên nhau

3.3 Tấn công SYN

Bản chất của phương pháp tấn công SYN attacks là dựa vào những yếu điểmcủa giao thức TCP/IP Phương pháp này lợi dụng quá trình bắt tay ba bước (3-wayhandshake) để làm cho thiết bị đích gửi ACK về cho địa chỉ nguồn và không kếtthúc quá trình bắt tay được

Trước hết chúng ta tìm hiểu về quá trình bắt tay ba bước

Hình 2.1 Quá trình bắt tay 3 bước (3- way handshake)

Quá trình này được bắt đầu khi một host gửi đi một gói SYN(synchronization) Trong gói syn này sẽ có địa chỉ IP của nguồn và đích, nó sẽ giúpmáy đích gửi gói tin SYN/ACK cho máy nguồn Khi máy nguồn nhận được gói tinnày nó sẽ gửi gói tin ACK xác nhận thiết lập kết nối

Trong kiểu tấn công SYN, hacker sẽ gửi những gói tin SYN nhưng giả mạođịa chỉ IP nguồn Khi đó máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, khôngđến được và chờ nhận ACK từ máy đó Trong trạng thái chờ như vậy, yêu cầu thiếtlập kết nối được lưu trong hàng đợi hoặc trong bộ nhớ Trong suốt trạng thái chờ, hệthống bị tấn công sẽ phải dành hẳn một phần tài nguyên cho đến khi thời gian chờhết hạn.

Hiình 2.2 SYN attack

Với rất nhiều gói tin SYN gửi đi, hacker sẽ làm tràn ngập thiết bị khiến chothiết bị này bị tràn ngập tài nguyên khi trả lời và chờ các kết nối giả tạo và nó khôngcòn khả năng trả lời cho các yêu cầu kết nối thật khác

Để chống lại phương pháp này có thể dùng cách giảm thời gian chờ cho mộtkết nối và tăng kích thước hàng đợi lên Tuy nhiên đây chỉ là cách bị động để giải

quyết Phương pháp tốt nhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệucủa các đợt tấn công này để ngăn chặn từ trước

4 Tấn công bị động

Phương pháp tấn công này trái ngược với kiểu tấn công chủ động Trong suốtquá trình tấn công, kẻ tấn công không không trực tiếp làm ảnh hưởng đến mạng bịhại

Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong mạng - từ đó "bắt" được thông tin

Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạng Ethernet.Tuy nhiênviệc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, :các giao thức mạng

Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động ởtầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống