Bài giảng An toàn mạng máy tính - Bài 1: Tổng quan về an ninh mạng

n vào một tập tin 
hoặc một chương trình khác. 
Khi một chương trình bị nhiễm virus máy tính được 
thực hiện hoặc một tập tin bị nhiễm được mở ra, 
loại virus chứa trong nó sẽ được thực thi.
Khi thực hiện, virus có thể làm hại máy tính và sao 
chép chính nó để lây nhiễm sang máy khác trong 
hệ thống.
ATMMT - TNNQ 43
2. Các kỹ thuật tấn công phổ biến 
và cơ chế phòng thủ
9. Malicious Software
Worms
Cũng là một chương trình có thể tự sao chép chính 
nó. Nhưng không giống như virus, Worm là một 
chương trình đứng một mình (stand alone 
program). Nói cách khác là nó không cần vật chủ 
để ký sinh.
Một Worm có thể tự thực thi tại bất kỳ thời điểm 
nào nó muốn.
Khi thực thi, Worm có thể gây nguy hiểm cho hệ
thống nơi nó thường trú hoặc tái sinh chính nó trên 
các hệ thống qua mạng.
ATMMT - TNNQ 44
2. Các kỹ thuật tấn công phổ biến 
và cơ chế phòng thủ
9. Malicious Software
Trojan horses: 
Thường nguỵ trang mình kèm theo những chương 
trình ứng dụng thông thường và vô hại như trò 
chơi hoặc những công cụ miễn phí để người dùng 
tải về máy.
Trojan không tự sinh sản như virus hay worm và
chỉ thực hiện khi người dùng chạy chương trình có 
đính kèm Trojan.
Chức năng chính của Trojan là điểu khiển máy tính 
từ xa, ăn cắp thông tin của nạn nhân hoặc làm 
nhiệm vụ backdoor.
ATMMT - TNNQ 45
2. Các kỹ thuật tấn công phổ biến 
và cơ chế phòng thủ
9. Malicious Software
Logic bombs
– Bom logic là chương trình con hoặc lệnh được nhúng 
trong một chương trình. Sự thi hành của nó được kích 
hoạt bởi câu lệnh điều kiện. 
– Ví dụ, một nhân viên công ty làm việc trên một dự án 
phát triển có thể cài đặt một quả bom logic bên trong 
một chương trình. Quả bom được kích hoạt chỉ nếu 
nhân viên này đã không chạy chương trình trong một 
thời gian nhất định. Khi điều kiện được đáp ứng, có
nghĩa là nhân viên này đã bị sa thải một thời gian 
trước đó. Quả bom logic trong trường hợp này được 
sử dụng để trả thù chống lại chủ nhân. 
ATMMT - TNNQ 46
2. Các kỹ thuật tấn công phổ biến 
và cơ chế phòng thủ
9. Malicious Software
Backdoors
– Backdoors là những đoạn chương trình bí mật thường 
được đính kèm vào những chương trình khác nhằm 
giúp kẻ tấn công sau khi đã xâm nhập được vào hệ
thống mở sẵn những lối vào (cổng hậu)..
– Khi được chạy trên máy nạn nhân, Backdoors sẽ 
thường trực trong bộ nhớ, mở một port (mặc định 
hoặc do kẻ tấn công quy định) giúp kẻ tấn công dễ
dàng đột nhập vào máy nạn nhân thông qua port này.
ATMMT - TNNQ 47
2. Các kỹ thuật tấn công phổ biến 
và cơ chế phòng thủ
9. Malicious Software
Spywares
– Spyware là một loại phần mềm tự cài đặt 
chính nó trên máy tính của người dùng. 
Spyware thường được sử dụng để theo dõi 
xem người dùng làm gì và quấy rối họ với 
những thông điệp thương mại xuất hiện trong 
những cửa sổ popup.
– Thường gồm các loại Browser hijacking và
Zombieware.
ATMMT - TNNQ 48
2. Các kỹ thuật tấn công phổ biến 
và cơ chế phòng thủ
9. Malicious Software
Spywares
Browser Hijacking: là một kỹ thuật có thể thay đổi 
các thiết lập của trình duyệt của người dùng. Nó có
thể thay thếWebsite mặc định của người dùng với 
một trang web khác được lựa chọn bởi kẻ tấn 
công. Hoặc nó có thể ngăn chặn người dùng truy 
cập vào các Websites họ muốn đến thăm. 
Zombieware: là phần mềm có trên máy tính của 
người dùng và biến nó thành một zombie để khởi 
động các cuộc tấn công DDoS hoặc thực hiện các 
hoạt động có hại như gửi thư rác hoặc phát tán 
virus.
ATMMT - TNNQ 49
3. Lý lịch của những kẻ tấn công
Các attacker có thể là:
– Black-hat hackers
– Script kiddies
– Cyber spies
– Vicious employees
– Cyber terrorists
ATMMT - TNNQ 50
3. Lý lịch của những kẻ tấn công
Black-hat hackers
– Hackers là những người có tri thức đặc 
biệt về hệ thống máy tính. Họ quan tâm 
đến những chi tiết tinh tế của phần mềm, 
giải thuật, mạng máy tính và cấu hình hệ
thống. Họ là một nhóm người ưu tú, 
năng động, được đào tạo tốt.
– Tùy theo mục đích, hackers được chia 
thành hackers mũ đen, hackers mũ trắng 
và hackers mũ xám.
ATMMT - TNNQ 51
3. Lý lịch của những kẻ tấn công
Script kiddies
– Là những người sử dụng các script hoặc các 
chương trình được phát triển bởi các hacker mũ 
đen (những công cụ hack) để tấn công các máy 
tính và gây thiệt hại cho người khác.
– Script kiddies chỉ biết sử dụng công cụ hack để
tấn công các mục tiêu chứ không hiểu cách 
thức hoạt động và cũng không có khả năng viết 
ra những công cụ tương tự.
– Đa số Script kiddies chỉ là những thanh thiếu 
niên, không đủ nhận thức và chín chắn để hiểu 
hết những hậu quả do mình gây ra.
ATMMT - TNNQ 52
3. Lý lịch của những kẻ tấn công
Cyber spies
– Có thể hoạt động trên lãnh vực quân sự, kinh tế…
– Đánh chặn truyền thông trên mạng và phá mã các 
thông điệp đã được mã hoá.
– Nhiều tổ chức tình báo lớn trên thế giới đã thuê 
các nhà toán học, các nhà khoa học máy tính, các 
giáo sư đại học làm việc cho họ để phát triển các 
công cụ nhằm chống lại loại tội phạm này.
ATMMT - TNNQ 53
3. Lý lịch của những kẻ tấn công
Vicious employees
– Là những người cố tình vi phạm an ninh 
để làm hại những người sử dụng họ.
– Tấn công máy tính công ty để kiếm sự
quan tâm từ những người lãnh đạo.
– Hoạt động như gián điệp mạng để thu 
thập và bán bí mật của công ty.
ATMMT - TNNQ 54
3. Lý lịch của những kẻ tấn công
Cyber terrorists: 
– Là những kẻ khủng bố cực đoan sử
dụng máy tính và công nghệ mạng làm 
công cụ.
– Phá hoại tài sản công cộng và cuộc sống 
của những người vô tội nên cực kỳ nguy 
hiểm.
– Vẫn chưa có những báo cáo đầy đủ về
loại tội phạm này.
ATMMT - TNNQ 55
4. Mô hình bảo mật cơ bản
Mô hình bảo mật cơ bản gồm 4 thành phần:
– Hệ thống mã hoá (Cryptosystem): 
Sử dụng mật mã và các giao thức bảo mật để bảo 
vệ dữ liệu. 
Các giao thức bảo mật bao gồm các giao thức mã 
hoá, các giao thức chứng thực, các giao thức quản 
lý khoá.
– Tường lửa (Firewalls): là những gói phần mềm 
đặc biệt cài trên máy tính hoặc thiết bị mạng để
kiểm tra các gói tin đi vào và đi ra trên mạng.
ATMMT - TNNQ 56
4. Mô hình bảo mật cơ bản
Mô hình bảo mật cơ bản gồm 4 thành phần:
– Hệ thống phần mềm chống độc hại (Anti-Malicious 
System software – AMS software): quét các thư mục 
hệ thống, tập tin, registry, sau đó nhận diện, cách ly 
hoặc xoá các mã độc hại.
– Hệ thống tìm kiếm xâm nhập (Intrusion Detection 
System – IDS): giám sát việc đăng nhập vào hệ thống 
và hành vi của người dùng, phân tích file log để nhận 
diện và đưa ra cảnh báo khi khi phát hiện có sự xâm 
nhập.
ATMMT - TNNQ 57
4. Mô hình bảo mật cơ bản
Bốn thành phần của mô hình bảo mật cơ bản
ATMMT - TNNQ 58
4. Mô hình bảo mật cơ bản
Mô hình mạng của hệ thống mã hoá
ATMMT - TNNQ 59
5. Bài tập
1. Kiến thức cơ bản về mạng máy tính
1. Mô tả cấu trúc của một gói TCP và giải thích các chức năng 
của TCP header.
2. Mô tả cấu trúc của một gói IP và giải thích các chức năng của 
IP header.
3. Trình bày chức năng chính của giao thức ARP.
4. Trình bày chức năng chính của giao thức ICMP.
5. Trình bày chức năng chính của giao thức SMTP.
6. Mô tả giao thức bắt tay ba bước (Three-way handshake).
7. Nêu sự khác biệt giữa giao thức TCP và UDP.
8. So sánh những khác biệt chính giữa IPv4 và IPv6.
9. Trình bày chức năng cơ bản của router và switch.
ATMMT - TNNQ 60
5. Bài tập
2. Sử dụng các công cụ quản trị mạng
1. Nêu công dụng và cách sử dụng các lệnh ipconfig, ping, 
tracert, nslookup, netstat trong hệ điều hành Windows.
2. Trong hệ điều hành UNIX hay LINUX, nêu cách sử dụng các 
lệnh ping, nlslookup, netstat, arp và giải thích các kết quả thu 
được.
3. Nêu cách tìm một số thông tin như host name, địa chỉ MAC, 
địa chỉ IP, subnet mask, default gateway trên máy PC trong hệ 
điều hành Windows và Linux.
4. Mở cửa sổ cmd trong hệ điều hành Windows và nhập lệnh 
netstat –ano. Giải thích các kết quả thu được. Từ số port và 
PID thu được nhờ lệnh netstat, dùng Windows Task Manager 
để nhận diện chương trình đang chạy trên port đó là chương 
trình nào. 
ATMMT - TNNQ 61
5. Bài tập
3. Sử dụng các công cụ Network sniffer.
1. Download TCPdump từ www.tcpdump và Wireshark từ
www.wireshark.org và tiến hành cài đặt các phần mềm 
này.
2. Sử dụng Wireshark, sniff các gói ARP từ việc mở một 
trình duyệt và thăm một số trang web nào đó. Trình bày 
cách thực hiện và nêu nhận xét.
3. Tự tìm hiểu rồi nêu cách sử dụng công cụ TCPdump.
4. Tự gởi 1 email rồi lọc các gói tcp từ cổng 25. Nhận xét?
5. Thăm vài Websites và lọc tcp ở cổng 80. Giải thích kết 
quả thu được.
6. Tìm cách để bắt các gói tcp ở cổng 443. Nhận xét?
ATMMT - TNNQ 62
5. Bài tập
4. Sử dụng Scan port để kiểm tra các port 
đang mở trên máy tính
1. Sử dụng một phần mềm scan port bất kỳ để
tìm các port đang mở trên máy tính. 
2. Xác định các chương trình đang chạy ứng với 
những port đang mở.
3. Đóng lại một số cổng đang mở. Nhận xét.
ATMMT - TNNQ 63
5. Bài tập
5. Cài đặt phần mềm tường lửa ISA 2006 
trên máy Windows Server 2003 và thực 
hiện các yêu cầu sau:
1. So sánh System Policy và Access Rule.
2. Cho biết chức năng các thành phần trên giao diện 
ISA Management Console.
3. Nêu cách cấu hình ISA trên máy chủ ISA và trên 
máy tính khác kết nối từ xa.
4. Thực hiện tạo một số Access Rule cơ bản.
ATMMT - TNNQ 64
5. Bài tập
5. So sánh các loại ISA client:
SecureNAT client
Web Proxy client
Firewall client
6. So sánh công dụng và cách hoạt động của các loại 
Network Templates: 
Edge Firewall
3-Leg Perimeter
Front Firewall
Back Firewall
Single Network Adapter
7. Web caching là gì và hoạt động như thế nào?
ATMMT - TNNQ 65
5. Bài tập
8. Thực hiện việc giám sát và lập báo cáo 
trong ISA server:
Cấu hình Intrusion Detection and IP Preferences.
Cấu hình giám sát và cảnh báo (Logging and 
alerts).
Cấu hình và chạy báo cáo (Report).
9. Giới hạn dịch vụ và lọc nội dung:
Giới hạn mạng nội bộ truy cập Internet.
Lọc nội dung trang Web.
Cấm Internal Network truy xuất đến trang Web.