Hệ thống phát hiện xâm nhập

Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng r

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐINH TIẾN HIỆU

1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn m ng 3 ạ

1.1.3 Xác định các mối đe dọa đến an ninh m ng 5 ạ

1.1.4 Xác định l h ng h th ng (Vulnerable) và các nguy c (Risk) 7 ỗ ổ ệ ố ơ

1.1.5 Nhận dạng các hi m h a 9ể ọ

1.2 M t s phộ ố ương thức tấn công m ng máy tính và phòng ch ng 10ạ ố

1.2.1 Các ph ng pháp xâm nh p h th ng 12ươ ậ ệ ố

1.2.2 Các ph ng pháp phát hiươ ện và ngăn ngừa xâm nh p 14ậ

CHƯƠNG 2: MÔ HÌNH AN NINH M NGẠ VÀ MỘT SỐ CÔNG NGHỆ Ả B O

M T 18Ậ

2.1 Mô hình an ninh m ng 18ạ

2.1.1 Quy trình xây d ng h th ng thông tin an toàn 18ự ệ ố

2.1.2 Xây d ng mô hình an ninh m ng 19ự ạ

CHƯƠNG III T NG QUAN H TH NG PHÁT HI N XÂM NH P (IDS) 32: Ổ Ệ Ố Ệ Ậ

3.1 Gi i thi u h ớ ệ ệthống phát hi n xâm nh p IDS 32ệ ậ

3.1.1 Khái ni m h th ng phát hi n xâm nhệ ệ ố ệ ập IDS 32

3.1.2 C ơchế ạt độ ho ng c a IDS 33ủ

3.1.2.1 Phân tích gói tin 33

3.1.2.2 Phát hiện xâm nhập 35

3.1.2.3 Ph n ng 37ả ứ 3.2 Phân lo i IDS 38ạ 3.2.1 Host- Based Intrusion Detection System (HIDS) 38

3.2.2 Network- Based Intrusion Detection Systems (NIDS) 40

3.2.3 Application- Based Intrusion Detection (AIDS) 43

CHƯƠNG 4: ỘT SỐ CÔNG NGHỆM IDS VÀ TH ỰC NGHIỆM 44

4.1 Giới thiệu m t s công ngh IDS 44ộ ố ệ 4.1.1 H th ng phát hi n xâm nhệ ố ệ ập mềm 44

4.1.2 H th ng phát hi n xâm nhệ ố ệ ập cứng 45

4.2 Lựa chọn công ngh th c nghi m 48ệ ự ệ 4.2.1 Các thành ph n c a Snort 48ầ ủ 4.2.2 Các ch làm viế độ ệc của Snort 53

1 Network sniffer mode 53

2 Packet Logger mode 54

3 Network instrusion detection mode 55

4.2.3 Các option trong việc sử ụng Snort d 58

4.2.4 Cập nhật và t o rule Snortạ 63

4.3 Tri n khai h th ng phát hi n xâm nh p m m (snort) 89ể ệ ố ệ ậ ề 4.3.1 Mô hình tri n khai th c nghi m 89ể ự ệ 4.3.2 Cài đặt, c u hình Snort và các ph n m m h tr 90 ấ ầ ề ỗ ợ 4.3.2.1 Cài đặt Snort 90

4.3.3 K t qu ghi nhế ả ận của Snort khi th c hiự ện tấn công xâm nh p 104ậ K T LU N 107Ế Ậ TÀI LIỆU THAM KHẢO 109

DANH MỤC HÌNH VẼ

Hình 2 – 1: Mô hình an ninh mạng 20

Hình 2-2: Quy trình mã hóa 22

Hình 2-3: Chứng thực bằng user và password 23

2 CHAP (Challenge Hanshake Authentication Protocol) 23

Hình 2-4: Hoạt động c a CHAPủ 23

Hình 2- 5: Mã hóa Kerberos 24

Hình 2 – 6: Mô hình t ng quát firewallổ 26

Hình 2 -7: H th ng ch ng xâm nh p IDSệ ố ố ậ 29

Hình 3-1: Các thành ph n c a h th ng IDS.ầ ủ ệ ố 33

Hình 3-2: Cấu trúc tiêu đề gói tin ICMP 35

Hình 3-3: Mô hình một hệ ống HIDS. th 39

Hình 3-4: Mô hình h ệ thống NIDS 41

Hình 4-1: IPS PROVENTIA G200 c a IBMủ 46

Hình 4-2: Các thành ph n c a Snort.ầ ủ 49

Hình 4-3 : Snort’s preprocessor 50

Hình 4-4: Detection Engine 52

Hình 4-5: Các thành ph n Alerting/logging.ầ 53

Hình 4-6: Mô hình Snort-Inline 57

Hình 4-7: Mô hình tri n khai thể ực nghiệm 90

Hình 4-8: Mô hình th c nghi m b ng m ng oự ệ ằ ạ ả 90

91

Hình 4-9: Cài đặt Snort Hình 4-10: Ki m tra hoể ạt động Snort 93

Hình 4-11: Snort đang ở chế độ sniffer 94

Hình 4-12: Báo cáo quá trình th c hi n Snifferự ệ 95

Hình 4-14: Thi t l p Snort chế ậ ạy như một Service 99

Hình 4-16: Dùng Base để qu n lý và phân tích Alertả 103

Hình 4-17: Quét thăm dò cổng máy cài Snort 104

Hình 4-18: C nh báo Snort ghi nh n và b n ra BASEả ậ ắ 105

DANH MỤC CÁC TỪ VIẾT TẮT

STT Từ viết

tắt Từ tiếng anh

1 IDS Intrusion Detection System

2 IPS Intrusion Prevetion System

3 HIDS Host-Based Intrusion Detection System System

4 NIDS Network-Based Intrusion Detection Systems

5 AIDS Application-Based Intrusion Detection System

6 TCP/IP Transmission Control Protocol/Internet Protocol

7 UDP User Datagram Protocol

8 FTP File Transfer Protocol

9 ICMP Internet Control Message Protocol

10 HTTP Hypertext Transfer Protocol

11 DNS Domain Name System

12 DoS Denial of Service

13 DDoS Distributed Denial of Service

14 VLAN Virtual Local Area Network

15 LAN Local Area Network

16 WAN Wide Area Network

17 CIDR Classless Inter-Domain Routing

18 RFC Requests For Comments

19 FDDI Fiber Distributed Data Interface

DANH MỤC CÁC THUẬT NGỮ

1 Inline mode Kiểm tra lưu thông mạng, có khả năng ngăn chặn thâm nhập trước khi nó đến được mục tiêu

2 Promiscuous mode (passive mode) Thụ động kiểm tra lưu thông mạng

3 Signature engine Một engine hỗ trợ tín hiệu chia sẻ những thuộc tính chung (tương tự như giao thức)

4 Meta-Event Generator Khả năng định nghĩa tín hiệu biến đổi dựa trên nhiều tín hiệu khác

5 Atomic signature Một tín hiệu phát ra theo nội dung của từng gói tin

6 Flow-based signature Một tín hiệu phát ra dựa trên thông tin chứa trong trình tự gói tin giữa 2 hệ thống (ví dụ như gói tin trong kết nối TCP)

7 Behavior-based signature Một tín hiệu phát ra khi có lưu thông bất thường từ những người dùng thông thường

8 Anomaly-based signature Một tín hiệu phát ra khi lưu thông vượt quá cấu hình bình thường

9 False negative thông nhập mặc dù có một tín hiệu nhận biết được hoạt động Tình huống mà hệ thống phát hiện không nhận biết được

đó

10 False positive Tình huống người dùng bình thường gây ra báo động (không có hành vi đột nhập)

11 True negative Tình huống mà không phát sinh tín hiệu khi có lưu thông bình thường trên mạng

12 True positive Tình huống báo động đúng khi có đột nhập, tấn công trên mạng

13 Deep-packet inspection Giải mã các giao thức và kiểm tra toàn bộ gói tin để cho những luật dựa trên gói tin hoạt động đúng

14 Event correlation Kết hợp với đa thông báo hay đa sự kiện với một tấn công đơn lẻ

15 Risk rating (RR) Một đánh giá đe dọa dựa trên nhiều nhà sản xuất mà không dựa trên tính nghiêm trọng của tấn công

LỜI NÓI ĐẦ U

V nhu c u trao i thông tiới ầ đổ n ngày nay ắ b t bu c ộ các c á n h â n c ũ n g

n h ư c á c cơ quan, t c c ph i hoà mình vào mổ hứ ả ạng toàn c u Internet An to ầ àn

và bảo m t thông tin là mộtậ trong nh ng v n quan trọng hàng u khi t c ữ ấ đề đầ hự

hi n t n i Iệ kế ố nternet

Ngày nay, các ệ bi n pháp toàn thông tin an cho máy tính cá nhân c ng nh ũ ư

các m ng n i b ạ ộ ộ đã được nghiên c u và tr n khai Tuy nhiê v n ứ iể n, ẫ thường xuyên

có các m ng t n công, có ạ bị ấ các tổ chức b ánh c p thông tin,…gây nên nh ng ị đ ắ ữ

h u q vô cùng nghiêm ng Nh ng v t n công này nh m vào t t c máy ậ uả trọ ữ ụ ấ ằ ấ cả cá

tính có m t trên ặ mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công

không được báo trước, số lượng các v t n công ng lên nhanh chóng ụ ấ tă và các

ph ng pháp t n công cươ ấ ũng li ên t c ụ được hoàn thi n Vì v y vi c t n ệ ậ ệ kế ối một máy

tính vào m ng ạ nội bộ cũng như vào mạng Internet cần phải có các ệ bi n pháp m đả

b o ninh ả an

Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên phải đối mặt trên

môi trường Internet em đã quyết định chọn đề tài: Hệ thống phát hiện xâm nhập

với mục đích tìm hiểu nguyên tắc hoạt động và cơ sở lý thuyết cùng một số kỹ thuật

xử lý làm nền tảng xây dựng hệ thống phát hiện xâm nhập

Em xin trân thành cảm ơn sự hướng dẫn tận tình của PGS.TS Nguyễn Thị

Việt Hương Do trình độ còn hạn chế và lĩnh vực An ninh mạng vẫn là một lĩnh vực

còn mới nên Luận văn này không tránh khỏi sai sót, em rất mong được sự chỉ bảo

của các thầy cô

CHƯƠNG 1 TỔNG QUAN VỀ AN NINH MẠNG

1.1 Giới thiệu chung về an ninh mạng

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin

đóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính

chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ

thông tin biết được nó Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông

tin chưa phải là phương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn,

bảo mật đôi khi bị xem thường Nhưng một khi nhìn nhận tới mức độ quan trọng

của tính bền hệ thống và giá trị đích thực của thông tin đang có thì chúng ta sẽ có

mức độ đánh giá về an toàn và bảo mật hệ thống thông tin Để đảm bảo được tính an

toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần

cứng, phần mềm và con người

1.1.1 Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ

Để thấy được tầm quan trọng của việc đảm bảo an ninh mạng ta tìm hiểu các

tác động của việ mất an ninh mạng và từ đó đưa ra các yếu tố cần bảo vệ:c

 Tác hại của việc không đảm bảo an ninh mạng

1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng

Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá

mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được t ừa nhận là thước đo h

mức độ an ninh mạng

a Đánh giá trên phương diện vật lý

 An toàn thiết bị

Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau:

- Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng

thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

- Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

- Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

- Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét,

phòng chống cháy nổ, vv

 An toàn dữ liệu

- Có các biện pháp sao lưu dữ liệu một cách định kỳ và không định kỳ trong

các tình huống phát sinh

- Có biện pháp lưu trữ dữ liệu tập trung và phân tán nhằm chia bớt rủi ro trong

các trường hợp đặc biệt như cháy nổ, thiên tai, chiến tranh, vv

b Đánh giá trên phương diện logic

Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau:

 Tính bí mật, tin cậy (Condifidentislity)

Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động Có thể dùng

vài mức bảo vệ để chống lại kiểu tấn công này Dịch vụ rộng nhất là bảo vệ mọi dữ

liệu của người sử dụng truyền giữa hai người dùng trong một khoảng thời gian Nếu

một kênh ảo được thiết lập giữa hai hệ thống, mức bảo vệ rộng sẽ ngăn chặn sự rò rỉ

của bất kỳ dữ liệu nào truyền trên kênh đó

Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng lẻ

việc bảo vệ lưu lượng khỏi việc phân tích Điều này làm cho những kẻ tấn công

không thể quan sát được tần suất, độ dài của nguồn và đích hoặc những đặc điểm

khác của lưu lượng trên một phương tiện giao tiếp

 Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy

Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnh báo,

chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từ nguồn mà

nó xác nhận là đúng

Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầu cuối

đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm

bảo rằng hai thực thể là đáng tin Mỗi chúng là một thực thể được xác nhận Thứ

hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể

thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin

không được cho phép

 Tính toàn vẹn (Integrity)

Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin, một

bản tin riêng biệt hoặc những trường lựa chọn trong bản tin Một lần nữa, phương

thức có ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu

Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảm bảo rằng

các bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa, hoán vị hoặc

tái sử dụng Việc hủy dữ liệu này cũng được bao gồm trong dịch vụ này Vì vậy,

dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổi luồng dữ liệu và cả từ

chối dữ liệu Mặt khác, một dịch vụ toàn vẹn không kết nối, liên quan tới từng bản

tin riêng lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào, chỉ cung cấp sự bảo

vệ chống lại sửa đổi bản tin

Chúng ta có thể phân biệt giữa dịch vụ có và không có phục hồi Bởi vì dịch

vụ toàn vẹn liên quan tới tấn công chủ động, chúng ta quan tâm tới phát hiện hơn là

ngăn chặn Nếu một sự vi phạm toàn vẹn được phát hiện, thì phần dịch vụ đơn giản

là báo cáo sự vi phạm này và một vài những phần của phần mềm hoặc sự ngăn chặn

của con người sẽ được yêu cầu để khôi phục từ những vi phạm đó Có những cơ chế

giành sẵn để khôi phục lại những mất mát của việc toàn vẹn dữ liệu

 Không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể

chối bỏ 1 bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có

thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn

toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin

đó đúng thật được nhận bởi người nhận hợp lệ

 Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạn chế

các truy nhập với máy chủ thông qua đường truyền thông Để đạt được việc điều

khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận

diện, hoặc được xác nhận sao cho quyền truy nhập có thể được đáp ứng nhu cầu đối

với từng người

 Tính khả dụng, sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất

cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn

công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ Tính

khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của

hệ thống do các cuộc tấn công gây ra

1.1.3 Xác định các mối đe dọa đến an ninh mạng

1 Mối đe dọa không có cấu trúc ( Untructured threat)

Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể

tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa Cũng có những

người thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm

bảo vệ Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies

(những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả

năng lập trình) hay những người có trình độ vừa phải Hầu hết các cuộc tấn công đó

vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn công có ý đồ xấu Những trường

Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng

nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn Đôi khi

chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng của công ty Một

Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host

của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây

hỏng hóc cho vùng rộng của hệ thống Hay trường hợp khác, chỉ vì ai đó có ý định

thử nghiệm khả năng, cho dù không có mục đích xấu nhưng đã gây hại nghiêm

trọng cho hệ thống

2 Mối đe dọa có cấu trúc ( Structured threat)

Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao Không như

Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể

chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới Những kẻ tấn công

này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật

hack phức tạp nhằm xâm nhập vào mục tiêu

Động cơ của các cuộc tấn công này thì có rất nhiều Một số yếu tố thường thấy

có thể vì tiền, hoạt động chính trị, tức giận hay báo thù Các tổ chức tội phạm, các

đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện

các cuộc tấn công dạng structured threat Các cuộc tấn công này thường có mục đích

từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh Cho dù động cơ là gì,

thì các cuộc tấn công như vậy có thể gây hậu quả nghiêm trọng cho hệ thống Một

cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống

3 Mối đe dọa từ bên ngoài (External threat)

External threat là các cuộc tấn công được tạo ra khi không có một quyền nào

trong hệ thống Người dùng trên toàn thế giới thông qua Internet đều có thể thực

hiện các cuộc tấn công như vậy

Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat

Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn

công này xuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty

thường phải bỏ nhiều tiền và thời gian để ngăn ngừa

4 Mối đe dọa từ bên trong ( Internal threat )

Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công

được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của

bạn Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy

trong mạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể

truy cập mạng và dữ liệu bí mật của công ty Hầu hết các công ty chỉ có các tường

lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access

Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong

Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp

bất kì sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường được thực hiện bởi

các nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo

mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên

ngoài, như là Internet Khi vành đai của mạng được bảo mật, các phần tin cậy bên

trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ

bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản Đôi

khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ

của người bên trong hệ thống Trong trường hợp đó, kẻ tấn công trở thành structured

internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài

nguyên quan trọng của công ty Structured internel threat là kiểu tấn công nguy

hiểm nhất cho mọi hệ thống

1.1.4 Xác định lỗ hổng hệ thống (Vulnerable) và các nguy cơ (Risk)

a Lỗ hổng hệ thống

Lỗ hổng hệ thống là nơi mà đối tượng tấn công có thể khai thác để thực hiện

các hành vi tấn công hệ thống Lỗ hổng hệ thống có thể tồn tại trong hệ thống mạng

hoặc trong thủ tục quản trị mạng

b Nguy cơ hệ thống

Nguy cơ hệ thống được hình thành bởi sự kết hợp giữa lỗ hổng hệ thống, các

mối đe dọa đến hệ thống và các biện pháp an toàn hệ thống hiện có

Nguy cơ = Mối đe dọa + Lỗ hổng hệ thống + Các biện pháp an toàn hiện có

- Các môi trường truy c p v t ậ ậ lý đến h th ng ệ ố

- Các điểm truy cập người dùng

- Các điểm truy c p không dây ậ

 Xác định các mối đe dọa

Việc xác định các mối đe dọa là rất khó khăn vì các lý do:

- Các mối đe dọa thường không xuất hiện rõ ràng (ẩn)

- Các hình thức và kỹ thuật tấn công đa dạng:

• DoS/DDoS, BackDoor, Tràn bộ đệm,…

• Virus, Trojan Horse, Worm

• Social Engineering

- Thời điểm tấn công không biết trước

- Qui mô tấn công không biết trước

 Kiểm tra các biện pháp an ninh mạng hiện có

Các biện pháp an ninh gồm các loại sau:

- Bức tường l - Firewall ửa

- Phần m m di t virus ề ệ

- Điều khi n truy nh p ể ậ

Virus máy tính là một chương trình có thể tự động nhân bản và lây truyền từ

máy tính này sang máy tính khác bất chấp sự cho phép của người dùng Chương

trình nguồn Virus và các bản copy của nó có thể tự biến thể Virus chỉ có thể lây

nhiễm từ máy này sang máy khác khi máy tính có giao tiếp với nguồn gây bệnh

thông qua các phương thức trao đổi dữ liệu như qua đĩa mềm, CD hoặc USB, đặc

biệt trong trường hợp trao đổi qua hệ thống mạng

2 Con ngựa thành Troya (Trojan Horse)

Trojan là một file xuất hiện một cách vô hại trước khi thi hành Trái ngược

với Virus Trojan không chèn các đoạn mã lệnh vào các file khác Trojan thường

đư-ợc gắn vào các chương trình trò chơi hoặc phần mềm miễn phí, vô thưởng vô phạt

Khi một ứng dụng được thực thi thì Trojan cũng đồng thời thực hiện nhiệm vụ của

nó Nhiều máy tính cá nhân khi kết nối Internet là điều kiện thuận lợi để bị lây

nhiễm Trojan Ngày nay Trojan được cài đặt như là một bộ phận của phần mềm

thâm nhập vào cửa sau của hệ thống và từ đó phát hiện các lỗ hổng bảo mật

3 Con sâu-Worm

Con sâu Worm có thể lây nhiễm tự động từ máy này sang máy khác không

nhất thiết phải dịch chuyển như là một bộ phận của host Worm là chương trình có

thể tự tái tạo thông qua giao dịch tìm kiếm các file đã bị lây nhiễm của hệ điều hành

Hiện nay Worm thường lây nhiễm qua đường thư điện tử, Worm tự động nhân bản

thể lây nhiễm thông qua việc download file, sự nguy hiểm của Worm là nó có thể

làm vô hiệu hoá các chương trình diệt virus và các biện pháp an ninh như là việc ăn

cắp mật khẩu,

4 Bom logic – Logic Bombs

Logic Bombs là một đoạn mã lệnh ngoại lai được chèn vào hệ thống phần

mềm có mục đích phá hoại được cài đặt ở chế độ tắt, khi gặp điều kiện thuận lợi sẽ

đợc kích hoạt để phá hoại Ví dụ người lập trình sẽ cài ẩn vào phần mềm của mình

đoạn mã lệnh xoá file nếu trong quá trình sử dụng khách hàng không trả phí Thông

thường logic Bombs đợc kích hoạt theo chế độ giới hạn thời gian Các kỹ thuật này

cũng được sử dụng trong các chương trình Virus và Worm hoặc các Trojan đợc kích

hoạt đồng loạt tại một thời điểm nào đó gọi là “Time bombs”

5 Adware - advertising-supported software

Adware hay còn gọi là phần mềm hỗ trợ quảng cáo là một gói phần mềm tự

động thực hiện, trình diễn hoặc tải về các chất liệu quảng cáo sau khi được kích

hoạt

6 Spyware

Spyware là phần mềm máy tính dùng để thu thập các thông tin của cá nhân

không được sự chấp thuận của họ Thuật ngữ Spyware xuất hiện năm 1995 và được

phổ biến rộng rãi sau đó 5 năm Thông tin cá nhân bao gồm hệ thống khoá truy cập

(username, password, ), địa chỉ các trang Web thường xuyên truy cập, các thông

tin được l ư trữ trên đĩa cứng của máy tính cá nhân u

Spyware thường dùng phương thức đánh lừa khi khai báo để truy cập vào trang Web

nào đó, đặc biệt là các thông tin mật, số PIN của thẻ tín dụng, số điện thoại,

7 Backdoor

Backdoor một giải pháp tìm đường vòng để truy cập từ xa vào hệ thống đ

-ược đảm bảo an ninh một cách vô hình từ sự cẩu thả quá trình kiểm duyệt Backdoor

có thể được đặt kèm theo chương trình hoặc biến đổi từ một chương trình hợp pháp

1.2 Một số phương thức tấn công mạng má y tính và phòng chống

Các kiểu tấn công vào mạng ngày càng vô cùng tinh vi, phức tạp và khó

lường, gây ra nhiều tác hại Các kỹ thuật tấn công luôn biến đổi và chỉ được phát

hiện sau khi đã để lại những hậu quả xấu Một yêu cầu cần thiết để bảo vệ an toàn

cho mạng là phải phân tích, thống kê và phân loại được các kiểu tấn công, tìm ra các

lỗ hổng có thể bị lợi dụng để tấn công Có thể phân loại các kiểu tấn công theo một

số cách sau

 Theo tính chất xâm hại thông tin

- Tấn công chủ động: Là kiểu tấn công can thiệp được vào nội dung và luồng

thông tin, sửa chữa hoặc xóa bỏ thông tin Kiểu tấn công này dễ nhận thấy khi phát

hiện được những sai lệch thông tin nhưng lại khó phòng chống

- Tấn công bị động: Là kiểu tấn công nghe trộm, nắm bắt được thông tin

nhưng không thể làm sai lạc hoặc hủy hoại nội dung và luồng thông tin Kiểu tấn

công này dễ phòng chống nhưng lại khó có thể nhận biết được thông tin có bị rò rỉ

hay không

 Theo vị trí mạng bị tấn công

- Tấn công trực tiếp vào máy chủ cung cấp dịch vụ làm tê liệt máy chủ dẫn tới

ngưng trệ dịch vụ, hay nói cách khác là tấn công vào các thiết bị phần cứng và hệ

điều hành

- Tấn công vào cơ sở dữ liệu làm rỏ rỉ, sai lệch hoặc mất thông tin

- Tấn công vào các điểm (node) truyền tin trung gian làm nghẽn mạng hoặc có

thể làm gián đoạn mạng

- Tấn công đường truyền (lấy trộm thông tin từ đường truyền vật lý)

 Theo kỹ thuật tấn công

- Tấn công từ chối dịch vụ (Denied of service): tấn công vào máy chủ làm tê

liệt một dịch vụ nào đó

- Tấn công kiểu lạm dụng quyền truy cập (Abose of acccess privileges): kẻ tấn

công chui vào máy chủ sau khi đã vượt qua được các mức quyền truy cập Sau đó sử

dụng các quyền này để tấn công hệ thống

- Tấn công kiểu ăn trộm thông tin vật lý (Physical theft): lấy trộm thông tin

trên đường truyền vật lý

- Tấn công kiểu thu lượm thông tin (information gather): bắt các tập tin lưu

thông trên mạng, tập hợp thành những nội dung cần thiết

- Tấn công kiểu bẻ khóa mật khẩu (password cracking): dò, phá, bẻ khóa mật

khẩu

- Tấn công kiểu khai thác những điểm yếu, lỗ hổng (exploitation of system

and network vulnerabilities): tấn công trực tiếp vào các điểm yếu, lỗ hổng của mạng

- Tấn công kiểu sao chép, ăn trộm thông tin (spoofing): giả mạo người khác để

tránh bị phát hiện khi gửi thông tin vô nghĩa hoặc tấn công mạng

- Tấn công bằng các đoạn mã nguy hiểm (malicious code): gửi theo gói tin đến

hệ thống các đoạn mã mang tính chất nguy hại đến hệ thống

1.2.1 Các p hương pháp xâm nhập hệ thống

1.Phương thức ăn cắp thống tin bằng Packet Sniffers

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển

trên mạng (trên một collision domain) Sniffer thường được dùng cho

troubleshooting network hoặc để phân tích traffic Tuy nhiên, do một số ứng dụng

gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3, ) nên sniffer

cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username,

password, và từ đó có thể truy xuất vào các thành phần khác của mạng

2 Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: brute-force

attack, chương trình Trojan Horse, IP spoofing, và packet sniffer Mặc dù dùng

packet sniffer và IP spoofing có thể lấy được user account và password, như hacker

lại thường sử dụng brute force để lấy user account hơn

-Tấn công brute force được thực hiện bằng cách dùng một chương trình chạy trên

-mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai”

passwork

3.Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay Email server nếu cấu hình không

chuẩn hoặc Username/ password của user sử dụng mail bị lộ Hacker có thể lợi dụng

email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác Ngoài ra

với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn

công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội

bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó

4.Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và

cũng là hệ thống quan trọng nhất trong hệ thống máy chủ

Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại

nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng

- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

- Cài đặt hệ thống IDS Host cho hệ thống DNS

- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

5.Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của

mạng Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc

cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công

ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy

nhập vào mạng riên của công ty khách hàng Tấn công dạng này được thực hiện nhờ

một packet sniffer

6.Phương thức tấn công để thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về

mạng khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập

được thông tin về mạng càng nhiều càng tốt trước khi tấn công Điều này có thể

thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan

7.Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin

cậy đối với mạng Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một

quan hệ tin cậy với hệ thống bên trong firewall Khi bên ngoài hệ thống bị xâm hại,

các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall

8.Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã

đã bị đột nhập đi qua firewall Ví dụ, một firewall có 3 inerface, một host ở outside

có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside

Host ở DMZ có thể vào được host ở inside, cũng như outside Nếu hacker chọc

thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ

hướng traffic từ host outside đến host inside

9.Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một

trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như

sendmail, HTTP, hay FTP

Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những

port cho qua bởi firewall Ví dụ các hacker tấn công Web server bằng cách sử dụng

TCP port 80, mail server bằng TCP port 25

10.Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus

và ngựa thành Trojan (Trojan horse) Virus là một phần mềm có hại, được đính kèm

vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó

Trojan horse thì hoạt động khác hơn Một ví dụ về Trojan horse là một phần mềm

ứng dụng để chạy một game đơn giản ở máy workstation Trong khi người dùng

đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong

address book Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy,

gởi đến tất cả các địa chỉ mail có trong address book của user đó

1.2.2 Các phương pháp phát hiện và ngăn ngừa xâm nhập

1.Phương thức ăn cắp thống tin bằng Packet Sniffers

Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của

mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN

Ta có thể cấm packet sniffer bằng một số cách như sau:

 Authentication

Kỹ thuật xác thực này được thực hiện phổ biến như one-type password

(OTPs) Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal

identification number ( PIN ) và token card để xác thực một thiết bị hoặc một

phần mềm ứng dụng

Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một

cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy

nhất Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers,

thông tin đó cũng không có giá trị vì nó đã hết hạn

 Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong

mạng

Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường

mạng Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể

xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến

Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể

giảm được tầm ảnh hưởng của nó

 Các công cụ Anti sniffer: công cụ này phát hiện sự có mặt của packet siffer

-trên mạng

 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa Khi đó,

nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã

hóa Cisco dùng giao thức IPSec để mã hoá dữ liệu

2 Phương thức tấn công mật khẩu Password attack

Phương pháp giảm thiểu tấn công password:

 Giới han số lần login sai

 Đặt password dài

 Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an

toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa

3.Phương thức tấn công bằng Mail Relay

Phương pháp giảm thiểu :

 Giới hạn dung lương Mail box

 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho

SMTP server, đặt password cho SMTP

 Sử dụng gateway SMTP riêng

4.Phương thức tấn công hệ thống DNS

Phương pháp hạn chế:

 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

 Cài đặt hệ thống IDS Host cho hệ thống DNS

 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

5.Phương thức tấn công Man-in-the-middle attack

Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra Nếu

các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa

6.Phương thức tấn công để thăm dò mạng

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy Ví dụ

ta có thể tắt đi ICMP echo và echo reply, khi đó có thể chăn được ping sweep,

-nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu

NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong

mạng

7.Phương thức tấn công Trust exploitation

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất

khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào

các tài nguyên nào của mạng

8.Phương thức tấn công Port redirection

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server

HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó

9.Phương thức tấn công lớp ứng dụng

Một số phương cách để hạn chế tấn công lớp ứng dụng:

 Lưu lại log file, và thường xuên phân tích log file

 Luôn cập nhật các patch cho OS và các ứng dụng

 Dùng IDS, có 2 loại IDS:

• HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các

tấn công lên server đó

• NISD: xem xét tất cả các packet trên mạng (collision domain) Khi nó

thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay cắt session đó

Các IDS phát hiện các tấn công bằng cách dùng các signature Signature của một tấn

công là một profile về loại tấn công đó Khi IDS phát hiện thấy traffic giống như

một signature nào đó, nó sẽ phát cảnh báo

10.Phương thức tấn Virus và Trojan Horse

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và

luôn luôn cập nhật chương trình chống virus mới

CHƯƠNG 2

MÔ HÌNH AN NINH MẠNG

2.1 Mô hình an ninh mạng

Trong một hệ thống truyền thông ngày nay, các loại dữ liệu như các quyết định,

chỉ thị, tài liệu, được lưu chuyển trên mạng với một lưu lượng lớn, khổng lồ và đa

dạng Trong quá trình dữ liệu đi từ người gửi đến người nhận, chúng ta quan tâm đến

vấn đề sau:

- Dữ liệu có bị sửa đổi không?

- Dữ liệu có bị mạo danh không?

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử

dụng đồng thời nhiều mức độ bảo vệ khác nhau trước các hoạt động xâm phạm Việc

bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin trên các kho dữ liệu được cài

đặt trong các Server của mạng Bởi thế ngoài một số biện pháp nhằm chống thất thoát

thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức “rào

chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng

2.1.1 Quy trình xây dựng hệ thống thông tin an toàn

a Đánh giá và lập kế hoạch

- Có các khóa đào tạo trước triển khai để người trực tiếp thực hiện nắm vững

các thông tin về an toàn thông tin Sau quá trình đào tạo người trực tiếp tham gia công

việc biết rõ làm thể nào để bảo vệ các tài nguyên thông tin của mình

- Đánh giá mức độ an toàn hệ thống về mọi bộ phận như các ứng dụng mạng, hệ

thống, hệ điều hành, phần mềm ứng dụng, vv Các đánh giá được thực hiện cả về

mặt hệ thống mạng logic lẫn hệ thống vật lý Mục tiêu là có cài nhìn tổng thể về an

toàn của hệ thống của bạn, các điểm mạnh và điểm yếu

- Các cán bộ chủ chốt tham gia làm việc để đưa ra được chính xác thực trạng an

toàn hệ thống hiện tại và các yêu cầu mới về mức độ an toàn

- Lập kế hoạch an toàn hệ thống

b Phân tích hệ thống và thiết kế

- Thiết kế hệ thống an toàn thông tin cho mạng

- Lựa chọn các công nghệ và tiêu chuẩn về an toàn sẽ áp dụng

- Xây dựng các tài liệu về chính sách an toàn cho hệ thống

c Áp dụng vào thực tế

- Thiết lập hệ thống an toàn thông tin trên mạng

- Cài đặt các phần mềm tăng cường khả năng an toàn như firewall, các bản chữa

lỗi, chương trình quét và diệt virus, các phần mềm theo dõi và ngăn chặn truy nhập

bất hợp pháp

- Thay đổi cấu hình các phần mềm hay hệ thống hiện sử dụng cho phù hợp

- Phổ biến các chính sách an toàn đến nhóm quản trị hệ thống và từng người sử

dụng trong mạng, quy định để tất cả mọi người nắm rõ các chức năng và quyền hạn

của mình

d Duy trì và bảo dưỡng

- Đào tạo nhóm quản trị có thể nắm vững và quản lý được hệ thống

- Liên tục bổ sung các kiến thức về an toàn thông tin cho những người có trách

nhiệm như nhóm quản trị, lãnh đạo

- Thay đổi các công nghệ an toàn để phù hợp với những yêu cầu mới

2.1.2 Xây dựng mô hình an ninh mạng

Hiện nay vai trò bảo đảm an ninh mạng rất được coi trọng, nhiều công nghệ và

kỹ thuật mới được đề cập Để bảo đảm an ninh mạng tốt, chúng ta phải lường trước

hết mọi khả năng vi phạm có thể xảy ra Có hai loại vi phạm thường xảy ra là thụ

động và bị động Vi phạm thụ động đôi khi do vô tình hoặc không cố ý, còn vi phạm

chủ động có mục đích phá hoại rõ ràng và hậu quả khôn lường

Hình 2 – 1: Mô hình an ninh mạng

1 Lớp quyền truy cập – Right Acces

Nhằm kiểm soát các tài nguyên thông tin của mạng và quyền hạn sử dụng tài

nguyên đó Việc kiểm soát càng chi tiết càng tốt

2 Lớp đăng nhập tên/mật khẩu Login Password

Nhằm kiểm soát quyền truy cập ở mức hệ thống Mỗi người sử dụng muốn vào

được mạng để sử dụng tài nguyên đều phải đăng ký tên và mật khẩu Người quản trị

Right access – Quyền truy cập

Physical protection – Bảo vệ vật lý Data encryption – Mã hóa dữ liệu

Fire wall – Tường lửa

Loggin password – Mã truy nhập

Database

Hệ thống phát hiện xâm nhập (IDS/IPS)

mạng có trách nhiệm quả lý, kiểm soát mọi hoạt động của mạng và xác định quyền

truy nhập của người sử dụng khác tuỳ theo không gian và thời gian

3 Lớp mã hoá thông tin Data Encryption

Để bảo mật thông tin truyền trên mạng người ta còn sử dụng các phương pháp

mã hoá thông tin trên đường truyền Có hai phương pháp cơ bản: mã hoá đối xứng và

bất đối xứng, người ta đã xây dựng nhiều phương pháp mã hoá khác nhau

4 Lớp bảo vệ vật lý Physical Protection

Thường dùng các biện pháp truyền thống như ngăn cấm tuyệt đối người không

phận sự vào phòng đặt máy mạng, quy định chặt chẽ các chế độ khai thác và sử dụng

mạng,

5 Lớp bảo vệ bức tường lửa

Để bảo vệ từ xa một mạng máy tính hoặc cho cả một mạng nội bộ người ta

dùng một hệ thống đặc biệt là bức tường lửa để ngăn chặn các thâm nhập trái phép,

lọc bỏ các gói tin không cho gửi hoặc nhận từ trong ra ngoài hoặc ngược lại

6 Hệ thống phát hiện/ Ngăn chặn xâm nhập IDS/IPS

IDS/IPS (Intrusion Detection System Intrusion prevention System) là hệ ố/ th ng

phát hiệ / ngăn n chặn xâm nhậ nó tương tự như mộp, t hệ ống chuông báo động đượ th c

cấu hình để giám sát các điểm truy cậ có thể theo dõi, phát hiện sự xâm nhập của p,

các attacker Mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và

thông báo cho nhà quản trị viên biết về an ninh của sự kiện cảm biến được cho là

đáng báo động Cách tiếp cận phản ứng này không ngăn chặn lưu lượng cuộc tấn công

vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS (the intrusion

prevention systems) đã có để thực hiện nhiều vai trò hơn, có thể chủ động dừng ngay

các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu

2.2 Một số phương pháp bảo mật

Có nhiều biện pháp và công cụ bảo mật hệ thống, ở đây xin liệt kê một số loại

phổ biến, thường áp dụng

2.2.1 Phương pháp m ã hoá

Mã hoá là cơ chế chính cho việc bảo mật thông tin Nó bảo vệ chắc chắn thông

tin trong quá trình truyền dữ liệu, mã hoá có thể bảo vệ thông tin trong quá trình lưu

trữ bằng mã hoá tập tin Tuy nhiên người sử dụng phải có quyền truy cập vào tập tin

này, hệ thống mã hoá sẽ không phân biệt giữa người sử dụng hợp pháp và bất hợp

pháp nếu cả hai cùng sử dụng một key giống nhau Do đó mã hoá chính nó sẽ không

cung cấp bảo mật, chúng phải được điều khiển bởi key mã hoá và toàn bộ hệ thống

Hình 2-2: Quy trình mã hóa

Mã hoá nhằm đảm bảo các yêu cầu sau:

- Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”

- Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình truyền

Tính không từ chối (Non repudiation): là cơ chế người thực hiện hành động

-không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốc hoặc

người đưa tin

2.2.2 Chứng thực người dùng

Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin

trong hệ thống Các loại chứng thực như:

1 Username/password

Là loại chứng thực phổ biến nhất và yếu nhất của chứng thực,

username/password được giữ nguyên dạng chuyển đến Server

Hình 2-3: Chứng thực bằng user và password

2 CHAP (Challenge Hanshake Authentication Protocol)

Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực thử

thách/hồi đáp Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ chế bắt tay 3

bước và thông tin bí mật được mã hóa sử dụng MD5 Hoạt động của CHAP như sau:

Hình 2-4: Hoạt động của CHAP

3 Kerberos

Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính

hoạt động trên những đường truyền không an toàn Giao thức Kerberos có khả năng

chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ

liệu Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách

(client-server) và đảm bảo nhận thực cho cả hai chiều

Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực

gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác

thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server -

TGS) "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng

của người sử dụng.) Mỗi người sử dụng trong hệ thống chia sẻ một khóa chung với

máy chủ Kerberos Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh

nhận dạng của một người sử dụng Trong mỗi giao dịch giữa hai người sử dụng trong

hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó

Hình 2- 5: Mã hóa Kerberos

2.2.3 Bảo mật máy trạm

Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ

yếu vào sự quản lý Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet

để phát hiện lỗ hổng bảo mật Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm

định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi

firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc

Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật

tối thiểu và có rất nhiều lỗ hổng bảo mật Trước khi một máy chủ khi đưa vào sản

xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định Toàn bộ các bản sửa

lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được

loại bỏ Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống

Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng Chúng sẽ

cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật Trong rất

nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn

công vào máy chủ

2.3 MỘT SỐ CÔNG NGHỆ BẢO MẬT

2.3.1 Bảo mật bằng VPN (Virtua l Private Network)

Mạng riêng ảo l phương ph p l m cho một mạng công cộng hoạt động giốà á à ng

như mạng c c b , có các đ c tíụ ộ ặ nh như bảo m t và tíậ nh ưu tiên m ngườà i dùng ưa

thích VPN cho ph p kết nối riêng với những người dé ùng ở xa, c c văn ph ng chi á ò

nhánh của bộ, công ty v đố c của bộ đang sử ụà i tá d ng chung m t m ng công c ng ộ ạ ộ

Định đường h m là m t cơ ch dùng cho vi c đóầ ộ ế ệ ng g i m t giao th c vào trong ó ộ ứ

một giao thức kh c Trong ngữ ảnh Internet, định đường hầm cho ph p những giao á c é

thức như IPX, AppleTalk v IP được mà ã hóa, sau đ đóng gó ói trong IP

VPN c n cung cò ấp các th a thuỏ ận về chất lượng dịch vụ (QoS), những thỏa

thuận n y thường đượ ịà c đnh ra trong một giớ ạn trên cho ph p độ ễ trung b nh của i h é tr ì

gói trên m ng ạ

VPN = Định đường h m + B o m t + Các th a thu n v QoS ầ ả ậ ỏ ậ ề

 Sau đây là các ưu điểm c a VPN: ủ

- Giảm chi ph thường xuyên: VPN cho ph p tiết kiệm đến 60% chi ph so với í é í

thuê đường truy n ề

- Giảm chi ph đầu tư: sẽ không tốn chi ph đầu tư cho m y chủ, bộ định tuyến cho í í á

mạng đường trục v ộà b chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị

này do các nh cung cấ ịà p d ch v ụ quản lý và làm ch ủ

- Giảm chi phí quản lý và h ỗ trợ: với qui mô kinh tế ủa m nh, c c nh cung cấp c ì á à

dịch vụ có th ể mang lại cho các đơn vị sử dụng ững khoản tiết kiệm cnh ó giá tr so ị

v i viớ ệc tự ả qu n lý m ng ạ

- Truy cập mọi lúc mọi nơi:

2.3.2 Tường lửa (Firewall)

Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm

nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sử dụng firewall

là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và

Internet thông qua các chính sách truy cập đã được thiết lập

Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chung một

thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các tính

năng như dự phòng trong trường hợp xảy ra lỗi hệ thống

Hình 2 – 6: Mô hình tổng quát firewall

Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng

Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể Khi

xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall

như tính năng lọc địa chỉ, gói tin

 Các thành phần của Firewall và cơ chế hoạt động

Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc packet ( packet-filtering router )

- Cổng ứng dụng (application-level gateway hay proxy server )

- Cổng mạch (circuite level gateway)

- Bộ lọc gói tin (Packet filtering router)

 Nguyên lý

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall

thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên mạng

TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ

các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức

(Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho

các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó

các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của

chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra

toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các

luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở

đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng

Đó là:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP ( ICMP message type)

- Giao diện packet đến ( incomming interface of packet)

- Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu

không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào

các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống

mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm

cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy

chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới

chạy được trên hệ thống mạng cục bộ

 Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm

của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao

gồm trong mỗi phần mềm router

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì

vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

 Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người

quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header,

và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng

lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm

soát được nội dung thông tin của packet Các packetchuyển qua vẫn có thể mang theo

những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

2.3.3 Bảo mật bằng IDS (Hệ thống Phát hiện xâm nhập )

IDS (Intrusion Detection System) là hệ ố th ng phát hiện xâm nh p, hệ ốậ th ng bảo

mật bổ sung cho firewall, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một

mức độ cao hơn, nó tương tự như một h thệ ống chuông báo động được cấu hình để

giám sát các điểm truy c p có th theo dõi, phát hi n s xâm nh p c a các attacker, có ậ ể ệ ự ậ ủ

khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả

năng vượt qua được firewall Có hai dạng chính đó là network based và host based

Hình 2 -7: Hệ thống chống xâm nhập IDS

IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chung của

IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị viên

biết về an ninh của sự kiện cảm biến được cho là đáng báo động Một số IDS so sánh

các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗi tấn công đã

biết trước hay chữ ký Khi mà lưu lượng mạng được xem xét cho là phù hợp với một

chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi là Signature based IDS Đối

-với việc quan sát lưu lương của hệ thống theo thời gian và xem xét các tình huống mà

không phù hợp với bình thường sẽ gây ra một cảnh báo ,IDS này gọi là

anomaly-based IDS

Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảo mật

Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thống cho các

dấu hiệu của hoạt động xâm nhập Khi hoạt động xâm nhập được phát hiện, IDS cung

cấp khả năng cho việc ngăn chặn trong tương lai với các hoạt động xâm nhập từ các

máy chủ nghi ngờ Cách tiếp cận phản ứng này không ngăn chặn lưu lượng cuộc tấn

công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuy nhiên một IPS (the intrusion

prevention systems) đã có để thực hiện nhiều vai trò hơn, có thể chủ động dừng ngay

các lưu lượng truy cập tấn công vào hệ thống ngay lúc ban đầu

2.3.4 Kết luận

 Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống Các

công cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạn chế

riêng làm hệ thống vẫn có nguy cơ bị tấn công cao

 Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và

Internet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vành đai Nó

hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm

rủi ro cho hệ thống Đây là một công cụ không thể thiếu trong một giải pháp bảo mật

tổng thể Tuy nhiên Firewall cũng có những điểm yếu sau:

 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống,

và không thể chống lại sự đe dọa từ trong hệ thống

 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có

thể cho phép việc thăm dò điểm yếu

 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều

này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công

 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy

nhập một cách tin cậy và loại bỏ được cơ chế firewall

 Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc

không an toàn gia nhập hoặc rời khỏi hệ thống

 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet

 Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việc

truyền thông đầu cuối các dữ liệu quan trọng Nhóm mã hóa với việc xác thực khóa

công khai và khóa mật cung cấp cho người dùng, người gửi và người nhận sự từ chối,

sự tin cậy và toàn vẹn dữ liệu Tuy nhiên, các dữ liệu có mã hóa chỉ an toàn với những

người không được xác thực Việc truyền thông sẽ trở nên mở, không được bảo vệ và

quản lý, kể cả những hành động của người dùng PKI có vai trò như khung làm việc

chung cho việc quản lý và xử lý các dấu hiệu số với mã hóa công khai để bảo đảm an

toàn cho dữ liệu Nó cũng tự động xử lý để xác nhận và chứng thực người dùng hay

ứng dụng PKI cho phép ứng dụng ngăn cản các hành động có hại, tuy nhiên hiện tại

việc triển khai sử dụng chỉ mới bắt đầu (chỉ có các dự án thí điểm và một số dự án có

quy mô lớn áp dụng) vì những lý do sau:

 Chuẩn PKI vẫn đang phát triển với việc hoạt động chung của các hệ thống

chứng chỉ không đồng nhất

 Có quá ít ứng dụng có sử dụng chứng chỉ

Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên

chúng không phát hiện được cuộc tấn công đang tiến hành Phát hiện xâm nhập trái

phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường

cho mục đích xác định hành động có dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”

 Vì những lý do trên, cần thiết phải có một thiết bị phát hiện và ngăn chặn các

cố gắng xâm nhập vào hệ thống Thiết bị ngăn chặn/phát hiện xâm nhập IDS/IPS

có thể đáp ứng được các yêu cầu trên nhờ các ưu điểm:

 Có thể phát hiện được những kiểu tấn công chưa biết trước

 Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng Lợi ích

mà nó đem lại là rất lớn Một mặt nó giúp hệ thống an toàn trước những nguy

cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được

những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung

cấp Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể

những lỗ hổng về bảo mật trong môi trường mạng

CHƯƠNG III

3.1 Giới thiệu hệ thống phát hiện xâm nhập IDS

3 1.1 Khái niệm hệ thống phát hiện xâm nhập IDS

Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là các hệ thống

phần cứng hoặc phần mềm có chức năng tự động giám sát các hoạt động đang diễn ra

trên mạng hoặc trong các hệ thống máy tính, phân tích chúng và đưa ra các cảnh báo

tới nhà quản trị mạng về các hành động bất thường, phục vụ mục đích bảo vệ an ninh

mạng

Cùng với sự phát triển nhanh chóng của mạng trao đổi thông tin là sự gia tăng các

nguy cơ tác động đến an ninh mạng Tổ chức, doanh nghiệp khi tham gia kết nối vào

mạng toàn cầu cũng có nghĩa là phải chấp nhận các thách thức từ mạng toàn cầu đem

lại Theo xu hướng đó IDS càng trở nên quan trọng trong hệ thống bảo vệ an ninh

mạng của hầu hết các tổ chức, các doanh nghiệp

IDS được xây dựng dựa trên ba thành phần chính:

• Các điểm thu thập thông tin (Sensor): Là các điểm được sử dụng để nhận các

gói tin truyền trên mạng Thường các điểm thu thập thông tin được đặt tại các

cửa ngõ của mạng, nơi mà mọi trao đổi dữ liệu của mạng đi qua

• Trung tâm phân tích (Analysis): Là hệ thống tiếp nhận các dữ liệu từ các

điểm thu thập thông tin gửi về, từ đó phân tích các mục đích của các gói tin,

tìm ra các hoạt động tấn công, xâm nhập trái phép

• Hệ thống phản ứng (Knowledge and Response): Đưa ra các cảnh báo cho nhà

quản trị mạng dựa vào các kết quả phân tích hoặc đưa ra các phản ứng trước

những hành động bất hợp pháp

Hình 3-1: Các thành phần của hệ thống IDS.

3 1.2 Cơ chế hoạt động của IDS

IDS hoạt động theo nguyên tắc phân tích các gói tin truy nhập vào mạng, phát hiện

các biểu hiện xâm nhập từ đó đưa ra các phản ứng trước những hành động xâm nhập,

tấn công

3.1.2.1 Phân tích gói tin

Trong cơ chế hoạt động của IDS, phân tích gói tin là giai đoạn quan trọng nhất Nó

quyết định hiệu quả hoạt động của cả hệ thống Công việc phân tích nội dung của gói

tin chủ yếu liên quan đến phần tiêu đề của gói tin như xuất xứ nguồn gốc của gói tin,

loại giao thức sử dụng để trao đổi, địa chỉ đích, loại hình dịch vụ sử dụng… Dựa vào

các thông tin cơ bản này, hệ thống IDS có thể tiếp tục phân tích tiếp các phần dữ liệu

trong trường tải trọng của gói tin nhằm tìm ra các gói tin bất hợp lệ Hiệu quả hoạt

động của một hệ thống IDS được đánh giá thông qua độ chính xác khi phân tích gói

tin và tốc độ xử lý gói tin

Có nhiều hệ thống IDS chỉ đơn giản kiểm tra các đoạn ký tự bên trong gói tin như

một dấu hiệu nhằm phát hiện ra các gói tin bất hợp lệ Ví dụ khi cần phát hiện hành

động thăm dò version BIND (Berkery Internet Name Deamon) của DNS server, hầu

hết các hệ thống IDS loại này sẽ tìm đến chuỗi ký tự “07 version04bind” bên trong

gói tin (Các con số 07, 04 được coi như các nhãn – label – dùng để chỉ ra có bao

nhiêu ký tự đi sau nó, ở đây version có 7 ký tự, bind có 4 ký tự) Tuy nhiên, việc xem

xét theo một đoạn ký tự thường không đem lại kết quả chính xác cao do gói tin có thể

bị phân đoạn làm cho các chuỗi ký tự không còn nguyên vẹn như ban đầu

Một trong các bước đầu tiên của công việc xác định hành động của gói tin là kiểm

tra giao thức của nó Loại giao thức được tìm thấy trong byte thứ 9 của IP header (chú

ý rằng byte đầu tiên được tính là byte thứ 0) Các giá trị thường được tìm thấy trong

phần này là Ox01 (ICMP), Ox06 (TCP), Ox11(UDP)

Sau khi xác định được giao thức, cần phải tính ra header của gói tin là bao nhiêu

byte Giá trị thông thường là 20 byte header Tuy nhiên IP header còn có phần tuỳ

chọn (Options), do đó độ dài của IP header cần phải tính thông qua trường IP header

length Nó nằm ở nipple cao trong byte đầu tiên nên giá trị tìm được phải nhân với 4

để ra giá trị bằng byte Từ đó có thể tính được điểm bắt đầu của phần tiêu đề giao thức

của gói tin Protocol header có cấu trúc khác nhau tuỳ thuộc vào loại giao thức :

ICMP, TCP, UDP Ví dụ với UDP, độ dài header là 8 byte, trong khi header của TCP

có giá trị thay đổi, tuỳ thuộc vào loại giao thức

Ví dụ sau khi mô tả việc tính toán các giá trị các trường của phần tiêu đề gói tin

được đưa ra bởi một chương trình bắt giữ gói tin Nội dung gói tin nhận được được

trình bày dưới dạng hexa :

4 00 0054 f23b 4000 ff d121 0102 0304 5 01

0403 0201 0000 9f00 d646 0000 b4cb 863a 56af 0e00 0809 0a0b 0c0d 0e0f 1011 1213