Câu 1 : Trình bày mục đích, vai trò và ý nghĩa của việc TT&PT ANM ?

Các
công cụ chính được sử dụng trong việc thu thập, phân tích thông tin mạng ?

 Trình bày mục đích, vai trò và ý nghĩa của việc TT&PT ANM
 Mục đích
- TT&PTTTANM thực hiện thu thập các dữ liệu, sự kiện thông tin an ninh mạng và
phân tích chúng với mục đích đánh giá và đưa ra các cảnh báo cho người quản trị hệ
thống. Cho phép người quản trị biết những gì đã và đang diễn ra trong hệ thống.
Một số mục đích chính của việc TT&PTTTANM:
+ Quản lý tài nguyên. + Xử lý sự cố.
+ Phát hiện thâm nhập trái phép. + Điều tra số.
 Vai trò và ý nghĩa
- Việc thu thập và phân tích thông tin an ninh mạng góp phần phát hiện các sự cố
bên trong mạng, các tấn công từ bên ngoài hệ thống.

- Phát hiện ra sự cố hoặc tấn công càng sớm thì càng tránh được tổn thất cho hệ
thống và giúp cho hệ thống sớm đưa ra biện pháp ngăn chặn thích hợp.

 Các công cụ chính được sử dụng trong việc thu thập, phân tích thông tin
mạng
- Wireshark ; tshark ; Tcpdump ; Cain and Abel ; Kismet; Ettercap; NetStumbler;
Dsniff ; Ntop; Ngrep; AtherApe.
+ Wireshark : là công cụ rất mạnh cho việc phân tích gói tin, có khả năng tự động
thông dịch và hiển thị chi tiết thông tin giao thức bên trong các gói tin, sàng lọc dựa
trên thông tin của các trường xác định.
+ tshark : là công cụ phân tích giao thức mạng dạng dòng lệnh, là 1 phần trong phiên
bản của Wireshark.
+ Tcpdump : là phần mềm bắt gói tin trong mạng làm việc trên hệ điều hành
unix/linux. Cho phép bắt và lưu lại những gói tin bắt được, từ đó có thể sử dụng để
phân tích.

Câu 2 : Nêu các định dạng khung của lớp MAC trong WLAN. Cho ví dụ cụ thể.
- Tương tự mạng Ethernet, khi các client tham gia vào mạng nó sẽ giao tiếp với các
thiết bị khác bằng cách gửi các khung (frame) ở lớp 2.
- Mạng Ethernet có các dạng khung: Frame relay, PPP, HDLC – High Level Data
Link Control, ATM…
1
- WLAN phân loại khung dựa trên chức năng tổng quát.
- Có 3 dạng khung trong WLAN:
 Khung quản lý (Management Frame – Type 0) : dùng để truyền thông trong
WLAN, giữ kết nối các trạm tới AP…
0x0- Association request frame 0x8- Beacon frame
0x9- ATIM frame
0x1- Association response frame
0xA- Disassociation frame
0x2- Reassociation request frame 0xB- Authentication frame
0x3- Reassociation response 0xC- Deauthentication frame
frame
0x4- Probe request frame
0x5- Probe response frame
 Khung điều khiển (Control Frame – Type 1): được sử dụng để điều khiển
luồng lưu lượng trong mạng không dây.
0x1B - Request to send (RTS)
0x1C - Clear to send (CTS)
0x1D - Acknowledgement (ACK)

 Khung dữ liệu (Data Frame – Type 2) : được sử dụng để truyền tải dữ liệu
trong mạng không dây.
0x0 - Data 0x4 – Null Data

Câu 3 : Log file là gì ? Trình bày các phương pháp thu thập log ?
 Log file :
- Tập tin được tạo ra bởi một thiết bị trong hệ thống (máy chủ web, firewall,
IDS…). Chứa tất cả các thông tin về các hoạt động diễn ra trên thiết bị. Giúp quản
trị viên theo dõi hệ thống và giải quyết các vấn đề gặp phải.
 Phương pháp đẩy (The push method)
- Các sự kiện từ các thiết bị, máy trạm, máy chủ… sẽ được tự động chuyển về
các Collector theo thời gian thực hoặc sau mỗi khoảng thời gian phụ thuộc vào
việc cấu hình trên các thiết bị tương ứng.
- Collector của Log Server sẽ thực hiện việc nghe và nhận các sự kiện khi chúng
xảy ra.
 Phương pháp kéo (The pull method)
- Các sự kiện được phát sinh và lưu trữ trên chính các thiết bị sẽ được lấy về bởi
các bộ Collector.
2
Câu 4 : Liệt kê các phương pháp lưu trữ log phổ biến. Ưu nhược điểm của từng
phương pháp.

➢ Lưu trữ phân tán: Lưu log tại local, vị trí mặc định thường là /var/log
Log file Description
/var/log/boot.log Thông tin đăng nhập khởi động.
/var/log/httpd Đăng nhập máy chủ web Apache.
/var/log/messages Đăng thông tin về hạt nhân khởi
động.
/var/log//auth.log Nhật ký xác thực người dùng.
/var/log//dmesg Hệ thống khởi động thư.
/var/log/mail.log Đăng nhập máy chủ thư.
/var/log/Xorg.0.log X Máy chủ đăng nhập.
✓ Ưu điểm: ✓ Nhược điểm:
 Thích hợp với các hệ thống mạng  Khó khăn trong việc quản lý,
nhỏ. phân tích.
 Nếu 1 bộ phận log gặp vấn đề  Thông tin ghi lại có thể không
không gây ảnh hưởng tới các thành phần đồng nhất, có nhiều dị bản.
khác .  Đôi khi dữ liệu ghi lại bị thừa,
 Xử lý đơn giản, không phức tạp. trùng lặp.

➢ Lưu trữ tập trung:

3
 ✓ Ưu điểm:
 Dễ quản lý và phân tích,
giảm thiểu được nguồn lực.
 Liên kết các sự kiện từ
nhiều nguồn log từ đó giúp quản
trị viên có cái nhìn chi tiết về hệ
thống.
 Đưa ra các cảnh báo kịp
thời cho người quản trị.
✓ Nhược điểm:
Xây dựng hệ thống tốn kém.
 Khó khăn trong việc chuẩn hóa.
 Đảm bảo tính toàn vẹn, bí mật, sẵn sàng
của log (nhiều rootkit được thiết kế xóa bỏ
logs, log mới ghi đè lên log cũ, kênh truyền
log an toàn).
 Nếu log server bị hỏng sẽ ảnh hưởng
đến toàn bộ hệ thống.

Câu 5 : Trình bày tổng quan về kiến trúc và thành phần hệ thống TT&PT
TTANM.

 Thành phần thu thập dữ liệu.

- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng.
- Kiểm soát băng thông, không gian lưu trữ.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
 Thành phần phân tích và lưu trữ.
- Tập hợp nhật ký tập trung, tiến hành phân tích, so sánh tương quan.
- Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như
khả năng tuz biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu giúp nâng cao khả năng lưu trữ
và xây dựng kế hoạch dự phòng, chống mất mát dữ liệu.
 Thành phần quản trị tập trung.
- Cung cấp giao diện quản trị. Các giao diện được phân quyền theo vai trò của
người quản trị.
- Hỗ trợ các mẫu báo cáo, các giao diện theo dõi, điều kiện lọc, tập luật…
- Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạng xảy ra trong hệ
thống.
 Các thành phần khác.

4
Câu 6 : Nêu các phương pháp chính được sử dụng trong việc thu thập thông tin
trong hệ thống mạng lan (Hubs, SPAN ports, TAPS). Ưu và nhược điểm của
mỗi phương pháp.

 Hubs

✓ Ưu điểm: ✓ Nhược điểm:

- Giá thành thấp. - Hạn chế tốc độ truyền dữ liệu (Hub hoạt động chế độ half
- Dễ dàng sử dụng. duplex).
- Gây ra xung đột mạng (Collision).
- Khi Hub bị sự cố sẽ dẫn đến việc kết nối bị ngắt.

 SPAN Ports
✓ Ưu điểm:
- Tích hợp sẵn trên hầu hết
các switch
- Không tốn chi phí triển khai
- Khắc phục được các nhược
điểm của Hubs
- Có khả năng chuyển dữ liệu
ở chế độ full duplex
✓ Nhược điểm:
- Việc cấu hình SPAN port khá phức tạp, đòi hỏi
chuyên môn cao .
- Có thể xảy ra tình trạng mất gói khi cấu hình
SPAN port vì dữ liệu được gửi đến cổng giám
sát cao hơn sơ với khả năng của cổng.
- Một số nhà sx chỉ cung cấp khả năng cấu hình
cho một hoặc hai cổng giám sát.
- Gây quá tải cho switch, ảnh hưởng đến hoạt
động của mạng

 TAPS(Test access port) là thiết bị dùng để sao chép dữ liệu giữa hai điểm trên
hệ thống mạng (router-firewall, switch-switch, host-switch…). Tất cả các gói
tin được sao chép sẽ chuyển đến cổng giám sát.
✓ Có 2 loại TAP in-line:
 TAP in-line truyền thống. Chuyển dữ liệu từ hai chiều (Rx/Tx) của kết nối
full duplex ra hai cổng giám sát khác nhau. Thiết bị phân tích giám sát phải kết
hợp dữ liệu với nhau thông qua hai cổng mạng và bộ định thời gian chung.
 TAP in-line kết hợp. Có khả năng kết hợp dữ liệu cả hai chiều Rx/Tx thành
một luồng dữ liệu. Dữ liệu được xuất ra trên một cổng giám sát.

5
 ✓ Ưu điểm:
- Có khả năng chuyển tiếp được các lỗi tầng
vật lý.
- Không cần phải cấu hình, dễ dàng kết nối.
- Hỗ trợ tối đa khả năng sao chép dữ liệu ở tốc
độ cao với TAP in-line truyền thống.
- Không ảnh hưởng đến hiệu suất của switch.
✓ Nhược điểm:
- Kết nối bị ngắt khi thi công, lắp
đặt.
- Thiết bị phân tích phải có hai
cổng mạng(TAP in-line truyền
thống).
- Chi phí cao hơi so với các giải
pháp dùng Hub, Switch.

Câu 7 : Trình bày một số khái niệm sau: Tập định danh dịch vụ (SSID), Tập
định danh dịch vụ cơ sở (BSSID), Khung Beacon
 Định danh tập dịch vụ (SSID) : là chuỗi ký tự số và chữ cái, phân biệt chữ hoa
và chữ thường, có chiều dài từ 2-32 ký tự. Được sử dụng như tên của mạng. Giá trị
SSID sẽ được gởi ra trong các Beacon, Probe Request (được gửi bởi Client), Probe
Reponse (được gửi bởi AP) .
 Tập định danh dịch vụ cơ sở (BSSID) : Có độ dài 48 bit và có khuôn dạng như
địa chỉ LAN MAC. Trường này được ấn định là duy nhất cho từng BSS(Basic
Service Set - Là chế độ yêu cầu 1 AP và tất cả lưu lượng đều phải qua AP ). Giá trị
của trường này trong 1 BSS là địa chỉ MAC của trạm STA thực hiện chức năng
điểm truy cập AP của BSS đó.
 Khung Beacon :là một dạng khung ngắn được gửi từ AP đến các trạm Client
(trong mạng Infrastructure) hoặc từ trạm tới trạm (trong mạng Ad-hoc) để tổ chức
và đồng bộ các truyền thông trong mạng WLAN.

Câu 8 : Trình bày quá trình kết nối máy trạm trong mạng WLAN.
 Quá trình kết nối máy trạm : Là quá trình các trạm thực hiện đăng nhập vào
một tập dịch vụ cơ sở BSS (Basic Service Set).
Có 3 tiến trình xảy ra:
 Tiến trình thăm dò (Probe) : Quét bị động và quét chủ động
- Quét bị động (Passive Scanning): máy trạm lắng nghe các Beacon cho đến khi
chúng tìm được mạng mà nó mong muốn. Sau đó máy trạm sẽ cố gắng tham gia
vào mạng thông qua AP đã gửi Beacon cho nó.
- Quét chủ động (Active Scanning): là quá trình gửi khung ProbeRequest từ máy
trạm (máy trạm chủ động kết nối với AP).
- Nếu Probe Request được gửi xác định một SSID cụ thể thì AP nào có giá trị SSID
trùng với nó sẽ trả lời bằng một khung Probe Response.
 Tiến trình xác thực (Authentication)
- Client bắt đầu gởi một khung Authentication Request đến AP.
6
- AP sẽ chấp nhận hay từ chối yêu cầu này và sau đó báo cho máy trạm biết bằng
cách gửi một khung Authentication Response.
- Tiến trình xác thực có thể thực hiện tại AP hay AP có thể chuyển trách nhiệm này
sang tại một máy chủ xác thực khác (RADIUS server).

 Tiến trình kết nối (Association)

- Sau khi client đã được xác thực thì nó sẽ thực hiện kết nối với AP sẽ gửi một
khung Association Request (chứa các thông tin về khả năng của client) đến AP và
AP sẽ trả lời lại cho client một khung Association Response trong đó cho phép
hoặc không cho phép.
- Toàn bộ tiến trình xác thực và kết nối gồm 3 trạng thái khác nhau:
+ Chưa xác thực và chưa kết nối (Unauthenticated/Unassociated).
+ Đã xác thực và chưa kết nối (Authenticated/Unassociated).
+ Đã các thực và đã kết nối (Authenticated/Associated).

Câu 9 : Trình bày mô hình kiến trúc Honeynet trong thu thập thông tin an ninh
mạng (chức năng, phân loại, ưu nhược điểm, cơ chế thu nhận dữ liệu).

1. Mô hình kiến trúc logic của Honeynet

2. Chức năng Honeynet  Đếm số kết nối.

 Kiểm soát dữ liệu.
7
  Snort-inline.
 Thu thập dữ liệu.
 Kiểm soát băng thông.

8
  Sử dụng Sebek.  Sebek Client- Sebek Server.
 Phân tích dữ liệu.
 Phân tích gói tin.  Phân tích nhật ký sự kiện.
 Phân tích luồng dữ  Sử dụng Walleye.
liệu.
3. Phân loại
➢ Tương tác thấp (Low Interaction).
 BackOfficer Friendly (BOF)
 Honeypot tương tác thấp.
 Tương thích với bất kz phiên bản Windows, Unix.
 Chỉ hỗ trợ một số dịch vụ như FTP,Telnet, SMTP.
 Specter
 Honeypot tương tác thấp nhưng tốt hơn BOF.
 Có thể giả lập 14 port.
 Có thể cảnh báo và quản lý từ xa.
 Bị giới hạn số dịch vụ hỗ trợ.
 Honeyd
 Honeypot tương tác thấp.
 Có thể lắng nghe trên tất cả các cổng TCP, UDP.
 Có thể mô phỏng được 473 OS.
 Bị giới hạn số dịch vụ hỗ trợ và không có cơ chế cảnh báo khi hệ
thống bị xâm nhập.
✓ Ưu điểm: ✓ nhược điểm:
- Dễ cài đặt, cấu hình, triển khai thực tế. - Không có sự tương tác thật.
- Hỗ trợ ghi log, phân tích traffic ở mức đơn - Khả năng ghi log hạn chế.
giản. - Bị giới hạn về dịch vụ.
- Nhiều sản phẩm sẵn có. - Dễ dàng bị phát hiện.

➢ Tương tác cao (High Interaction).

 Honeynet
 Honeypot tương tác cao.
 Là một hệ thống thật.
 Cung cấp đầy đủ các ứng dụng, dịch vụ thật.
✓ Ưu điểm: ✓ Nhược điểm:
- Thu thập được thông tin một cách chi tiết. - Chi phí triển khai cao.
- Khó bị phát hiện. - Phân tích tốn thời gian.
- Ngăn chặn các nguy cơ trong tương lai. -Tốn thời gian vận hành, bảo dưỡng.

9
 4. Cơ chế thu nhận dữ liệu trong Honeynet : gồm 3 tầng thu nhận dữ liệu.
- Thu nhận dữ liệu từ tường lửa.
- Thu nhận dữ liệu từ luồng dữ liệu mạng.
- Thu nhận dữ liệu từ hoạt động của honeypot trong hệ thống.
Câu 10 : Trình bày các phương pháp chính trong việc phân tích giao thức.
➢ Nhận dạng giao thức (Protocol Identification).
- Dựa trên các giá trị nhị phân, thập lục phân, ASCII đi kèm trong một giao thức cụ
thể. (0x4500 – gói tin IPv4)
- Dựa trên thông tin nhận dạng trong giao thức đóng gói.
+ Các giao thức thường chứa thông tin cho biết loại giao thức được đóng gói.
+ Mô hình OSI, các trường giao thức lớp thấp thường chỉ ra giao thức lớp cao
hơn có thể được đóng gói, nhằm tạo điều kiện thuận lợi cho việc xử lý.
0x4500 Ipv4 0x60000000 IPv6

0x06 TCP 0x32 ESP

- Dựa trên các cổng TCP/UDP gắn liền với các giao thức, dịch vụ quy chuẩn.Ví dụ:
+ Port 80 – HTTP +Port 20, 21 – FTP
+ Port 443 – HTTPS + Port 22 – SSH
+ Xác định giao thức NTP (Network Time Protocol) qua cổng mặc định 123
- Dựa trên việc phân tích thông tin địa chỉ nguồn, địa chỉ đích. Vd: HTTP hoặc
AIM
➢ Giải mã nội dung giao thức (Protocol Decoding). Là kỹ thuật thông dịch các
dữ liệu trong gói tin theo một cấu trúc đặc tả.
- Để giải mã lưu lượng mạng theo một đặc tả giao thức:
+ Sử dụng bộ giải mã tự động tích hợp sẵn trong công cụ.
+ Tham khảo các tài liệu được công bố công khai và tự giải mã.
+ Viết bộ giải mã riêng.
➢ Trích xuất nội dung trong giao thức (Exporting Fields).
- File Signature: Là các dấu hiệu nhận biết dữ liệu được chứa trong giao thức.

Câu 11: Mô hình OSI ?

10
- Mô hình OSI (Open Systems Interconnection) được tổ chức ISO tạo ra năm 1984.
Đó là mô hình hệ thống mở, là mô hình giúp hai hệ thống khác nhau có thể thông
tin với nhau bất kể kiến trúc mạng của chúng ra sao. Mô hình này bao gồm 7
tầng .Mỗi tầng đều có đặc tính là nó chỉ sử dụng chức năng của tầng dưới nó , đồng
thời chỉ cho phép tầng trên sử dụng các chức năng của mình. 

- Các tầng trong mô hình OSI : 

1: TẦNG VẬT LÝ (PHYSICAL LAYER) Còn gọi là tầng thiết bị, có liên quan tới
việc truyền và nhận dòng bit thô chưa có cấu trúc trên một phương tiện vật lý. Tầng
này mô tả các giao diện điện/quang học, cơ học và chức năng cho phương tiện vật lý,
và mang tín hiệu cho tất cả các tầng cao hơn. 

2: TẦNG KẾT NỐI DỮ LIỆU (DATALINK LAYER) Tầng kết nối dữ liệu truyền
các dữ liệu thô từ lớp vật lý thành dữ liệu có độ tin cây cao hơn và có thể truyền
khung (frame) từ nút đến nút; hỗ trợ cơ chế phát hiện và xử lý lỗi dữ liệu.

3: TẦNG MẠNG (NETWORK LAYER): Tầng mạng tìm đường đi cho hai dữ liệu
truyền thông giữa hai máy bất kỳ. 

4: TẦNG VẬN CHUYỂN (TRANSPORT LAYER) Tầng vận chuyển nhằm chuyển

toàn bản tin từ thiết bị đầu cuối phát đến thiết bị đầu cuối thu (end to end). Tầng này
có nhiệm vụ phân nhỏ có gói tin có kích thước lớn khi gửi và tập hợp lại khi nhận,
đảm bảo tính toàn vẹn cho dữ liệu( không lỗi, không mất, không lặp, đúng thứ tự). 

5: TẦNG PHIÊN (SESSION LAYER) Quản lý phiên làm việc giữa các người sử
dụng. Tầng này cung cấp cơ chế nhận biết tên và chức năng về bảo mật thông tin khi
truyền qua mạng máy tính. Còn thiết lập, duy trì, giải phóng và đồng bộ hóa tương
tác giữa các hệ thống thông tin. 

6: TẦNG TRÌNH BÀY (PRESENTATION LAYER) Tầng trình bày liên quan đến
vấn đề về cú pháp (syntax) và ngữ nghĩa (sematic) của tin tức trao đổi giữa hai hệ
thống. Tầng này cung cấp định dạng dữ liệu cho ứng dụng, đảm bảo các máy tính có
định dạng dữ liệu khác nhau vẫn có thể truyền thông tin cho nhau bình thường. 

7: TẦNG ỨNG DỤNG (APPLICATION LAYER) Cho phép người dùng (user) là

người hay phần mềm, truy cập vào mạng. Tầng này cung cấp giao diện cho người
dùng và hỗ trợ dịch vụ như thư điện tử, remote file access and transfer, shared
database management và các dạng dịch vụ phân phối dữ liệu khác. 

11
12
13
14