Chương 2

Tấn công mạng máy tính

 Mục tiêu
❑ Khái niệm tấn công mạng
❑ Liệt kê các bước tấn công mạng
❑ Phân loại kẻ tấn công và các kỹ thuật tấn công mạng
❑ Mô tả một số kỹ thuật tấn công phổ biến
 Nội dung
1. Khái niệm tấn công mạng
2. Các bước tấn công mạng
3. Phân loại tấn công mạng
4. Lab sử dụng một số công cụ tấn công mạng
1. Khái niệm tấn công mạng
1. Khái niệm tấn công mạng
❑ Tấn công mạng là hành vi sử dụng không gian mạng, công nghệ
thông tin hoặc phương tiện điện tử để phá hoại, gây gián đoạn hoạt
động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống
thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu,
phương tiện điện tử
Điều 19. Phòng, chống tấn công mạng - Luật ANM 2018
❑ Hành vi tấn công mạng và hành vi có liên quan đến tấn công mạng bao
gồm:
➢ Phát tán chương trình tin học gây hại cho; mạng viễn thông, mạng Internet, mạng
máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu,
phương tiện điện tử
➢ Gây cản trở, rối loạn, làm tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái
phép việc truyền đưa dữ liệu của mạng viễn thông, mạng Internet, mạng máy tính,
hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử;
➢ Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền đưa qua mạng viễn
thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều
khiển thông tin, cơ sở dữ liệu, phương tiện điện tử;
Điều 19. Phòng, chống tấn công mạng - Luật ANM 2018
❑ Hành vi tấn công mạng và hành vi có liên quan đến tấn công mạng bao gồm:
➢ Xâm nhập, tạo ra hoặc khai thác điểm yếu, lỗ hổng bảo mật và dịch vụ hệ thống để
chiếm đoạt thông tin, thu lợi bất chính;
➢ Sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm có tính năng tấn
công mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống
xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử để sử dụng vào mục
đích trái pháp luật;
➢ Hành vi khác gây ảnh hưởng đến hoạt động bình thường của mạng viễn thông,
mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông
tin, cơ sở dữ liệu, phương tiện điện tử.
Trách nhiệm phòng, chống tấn công mạng

❑ Chủ quản hệ thống thông tin có trách nhiệm áp dụng biện pháp kỹ
thuật để phòng ngừa, ngăn chặn hành vi quy định ở trên đối với hệ thống
thông tin thuộc phạm vi quản lý, trừ hành vi sản xuất, mua bán, trao đổi,
tặng cho công cụ, thiết bị, phần mềm có tính năng tấn công mạng viễn
thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý
và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử để sử dụng
vào mục đích trái pháp luật.
Trách nhiệm phòng, chống tấn công mạng

❑ Khi xảy ra tấn công mạng xâm phạm hoặc đe dọa xâm phạm chủ
quyền, lợi ích, an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn
xã hội, lực lượng chuyên trách bảo vệ an ninh mạng chủ trì, phối hợp với
chủ quản hệ thống thông tin và tổ chức, cá nhân có liên quan áp dụng
biện pháp xác định nguồn gốc tấn công mạng, thu thập chứng cứ; yêu
cầu doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet,
các dịch vụ gia tăng trên không gian mạng chặn lọc thông tin để ngăn
chặn, loại trừ hành vi tấn công mạng và cung cấp đầy đủ, kịp thời thông
tin, tài liệu liên quan
 Nội dung
1. Khái niệm tấn công mạng
2. Các bước tấn công mạng
3. Phân loại tấn công mạng
4. Lab sử dụng một số công cụ tấn công mạng
 Các bước tấn công mạng
❑ Theo CEH (Certified Ethical Hacker)
➢ Cyber Kill Chain (Chuỗi tiêu diệt mạng)
➢ Attack Lifecycle (vòng đời tấn công)
➢ MITRE ATT&CK Framework (MITRE Adversarial Tactics Techniques &
Common Knowledge)
Cyber Kill Chain (Chuỗi tiêu diệt mạng)
Attack Lifecycle (vòng đời tấn công)
Attack Lifecycle (vòng đời tấn công)
 MITRE ATT&CK Framework
❑ Tactics (các chiến thuật)
❑ Techniques (các kỹ thuật)

Tham khảo thêm tại: https://attack.mitre.org

 MITRE ATT&CK Framework
❑ Tactics (các chiến thuật)
➢ Reconnaissance - Thu thập thông tin về mục tiêu
➢ Resource Development - Thu thập các tài nguyên có thể được sử dụng để tấn
công, chẳng hạn như cơ sở hạ tầng, tài khoản
➢ Initial Access - Truy cập ban đầu
➢ Execution - Thực thi mã độc
➢ Persistence - Giữ quyền truy cập vào hệ thống mục tiêu
➢ Privilege Escalation - Leo thang đặc quyền
➢ Defense Evasion - Tránh phát hiện
 MITRE ATT&CK Framework
❑ Tactics (các chiến thuật) (tiếp)
➢ Credential Access - Đánh cắp tên người dùng và mật khẩu
➢ Discovery - Khám phá hệ thống và mạng nội bộ mục tiêu
➢ Lateral Movement - Mở rộng phạm vi khai thác
➢ Collection - Thu thập dữ liệu mục tiêu để đánh cắp hoặc thao túng
➢ Command and Control - Kết nối với các hệ thống bị xâm nhập để kiểm soát chúng
➢ Exfiltration - Đánh cắp dữ liệu thu thập được
➢ Impact - Thay đổi hoặc phá hủy dữ liệu của mục tiêu
 MITRE ATT&CK Framework
❑Techniques (các kỹ thuật)
 Phân loại kẻ tấn công
❑ Phân loại theo mục đích của kẻ tấn công
❑ Phân loại theo trình độ của kẻ tấn công
Phân loại theo mục đích của kẻ tấn công
Kevin Mitnick
 Phân loại theo trình độ của kẻ tấn công
❑ Cybercriminals
❑ Script kiddies
❑ Brokers
❑ Insiders
❑ Cyberterrorists
❑ Hactivists
❑ State-sponsored attackers
 Cybercriminals
❑ Tội phạm mạng: trộm danh tính, gửi thư rác, lừa đảo tài chính
➢ Có động lực cao hơn
➢ Sẵn sàng chấp nhận rủi ro nhiều hơn
➢ Được tài trợ tốt
➢ Kiên cường hơn
❑ Mục tiêu của tội phạm mạng là thu lợi tài chính
❑ Cybercrime – thực hiện các cuộc tấn công có chủ đích nhằm vào
mạng lưới tài chính và đánh cắp thông tin cá nhân

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 23
 Cybercriminals
❑ Tội phạm tài chính được chia thành 2 loại:
➢ Cá nhân và doanh nghiệp
▪ Sử dụng dữ liệu bị đánh cắp, số thẻ tín dụng, thông tin tài khoản tài chính
trực tuyến hoặc số An sinh xã hội để kiếm lợi từ nạn nhân
➢ Doanh nghiệp và chính phủ
▪ Cố gắng đánh cắp nghiên cứu về một sản phẩm mới để chúng có thể bán
nó cho một nhà cung cấp nước ngoài
❑ Advanced Persistent Threat (APT) - chiến dịch xâm nhập kéo dài nhiều năm
nhắm vào thông tin kinh tế, độc quyền hoặc an ninh quốc gia rất nhạy cảm

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 24
 Script Kiddies
❑Script kiddies - những cá nhân muốn tấn công máy tính nhưng lại
thiếu kiến thức về máy tính và mạng cần thiết để thực hiện việc đó
❑ Tải xuống phần mềm hack tự động (tập lệnh) từ các trang web
❑ Hơn 40% các cuộc tấn công yêu cầu kỹ năng thấp hoặc không có kỹ
năng
❑ Exploit kits - gói tấn công tự động có thể được sử dụng mà không
cần kiến thức nâng cao về máy tính
➢ Script kiddies có thể thuê hoặc mua chúng

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 25
 Brokers
❑ Brokers - những kẻ tấn công bán kiến thức về lỗ hổng cho những
kẻ tấn công hoặc chính phủ khác
❑ Thường được nhà cung cấp thuê để phát hiện các lỗ hổng
➢ Họ không báo cáo cho nhà cung cấp mà bán thông tin về các lỗ
hổng cho người trả giá cao nhất.

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 26
 Insiders
❑ Nhân viên, nhà thầu và đối tác kinh doanh
❑ Hơn 48% vi phạm được quy cho người trong nội bộ
❑ Ví dụ về các cuộc tấn công nội bộ:
➢ Nhân viên y tế có thể công khai hồ sơ sức khỏe của người nổi
tiếng
▪ Bất mãn vì sắp bị chấm dứt công việc
➢ Người giao dịch chứng khoán có thể che giấu tổn thất thông qua
các giao dịch giả mạo
➢ Nhân viên có thể bị mua chuộc hoặc bị ép ăn cắp dữ liệu trước
khi chuyển sang công việc mới

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 27
 Cyberterrorists
❑ Khủng bố mạng - kẻ tấn công có động cơ có thể là ý thức hệ
hoặc vì các nguyên tắc hoặc niềm tin
➢ Hầu như không thể dự đoán được cuộc tấn công có thể xảy ra khi nào
và ở đâu
❑ Mục tiêu có thể:
➢ Một nhóm nhỏ máy tính hoặc mạng có thể ảnh hưởng đến số
lượng người dùng lớn nhất
❑ Ví dụ:
➢ Hệ thống máy tính điều khiển lưới điện của một khu vực

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 28
 Hactivists
❑ Hactivists - chủ nghĩa tin tặc, những kẻ tấn công tấn công vì lý do
ý thức hệ thường không được xác định rõ ràng bằng động cơ của kẻ
khủng bố mạng
❑ Ví dụ:
➢ Đột nhập vào một trang web và thay đổi nội dung trên trang web
để đưa ra tuyên bố chính trị
➢ Vô hiệu hóa một trang web của ngân hàng vì ngân hàng ngừng
chấp nhận các khoản thanh toán được gửi vào tài khoản của
những kẻ hactivists

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 29
 State-Sponsored Attackers
❑State-sponsored attacker - Kẻ tấn công được nhà nước bảo trợ -
kẻ tấn công được chính phủ ủy quyền để tấn công hệ thống thông
tin của kẻ thù
➢ Có thể nhắm mục tiêu vào các chính phủ nước ngoài hoặc thậm
chí là công dân của chính phủ bị coi là thù địch hoặc đe dọa
❑ Ví dụ:
➢ Phần mềm độc hại nhắm vào máy tính của chính phủ hoặc quân
đội
➢ Người dân bị đọc email mà không hề biết

CompTIA Security+ Guide to Network Security

Fundamentals, Fifth Edition 30
 Nội dung
1. Khái niệm tấn công mạng
2. Các bước tấn công mạng
3. Phân loại tấn công mạng
4. Lab sử dụng một số công cụ tấn công mạng
 Liệt kê một số kỹ thuật tấn công
❑ https://owasp.org/www-community/attacks/
 Phân loại tấn công mạng
❑ Phân loại theo hướng tấn công
❑ Phân loại theo vị trí tấn công
❑ Phân loại theo các bước tấn công
❑ Phân loại theo mô hình OSI
❑ Phân loại theo tính chất an toàn bị tấn công
❑ Phân loại theo trạng thái tấn công
Phân loại theo hướng tấn công
Phân loại theo vị trí tấn công
 Phân loại theo mục đích tấn công
❑ Tấn công thăm dò
❑ Tấn công xâm nhập
❑ Tấn công từ chối dịch vụ
Phân loại theo mô hình OSI
 Phân loại theo tính chất an toàn bị tấn công
❑ Tấn công nghe lén/xâm nhập
❑ Tấn công từ chối dịch vụ
❑ Tấn công thay đổi
❑ Tấn công giả mạo
❑ Tấn công phủ nhận
Phân loại theo trạng thái tấn công
Phân loại khác
Phân loại theo trạng thái tấn công
Passive Attacks
Active Attacks
 Nội dung
1. Khái niệm tấn công mạng
2. Các bước tấn công mạng
3. Phân loại tấn công mạng
4. Lab sử dụng một số công cụ tấn công mạng
Lab sử dụng một số công cụ tấn công mạng
❑ Demo tấn công xâm nhập
Phân nhóm các giải pháp
 Security service
❑ Authentication
❑ Access Control
❑ Data Confidentiality
❑ Data Integrity
❑ Nonrepudiation
❑ Availability Service
 Authentication
❑ Dịch vụ xác thực liên quan đến việc đảm bảo rằng giao tiếp là xác
thực
❑ Trong trường hợp chỉ có một tin nhắn, chẳng hạn như tín hiệu cảnh
báo hoặc báo động, chức năng của dịch vụ xác thực là đảm bảo với
người nhận rằng tin nhắn đó đến từ nguồn xác định đúng với tuyên bố
❑ Trong trường hợp tương tác đang diễn ra. Đầu tiên, tại thời điểm bắt
đầu kết nối, dịch vụ đảm bảo rằng hai thực thể là xác thực, nghĩa là
mỗi thực thể là thực thể đúng như nó tuyên bố. Thứ hai, dịch vụ phải
đảm bảo rằng kết nối không bị can thiệp theo cách mà bên thứ ba có
thể mạo danh một trong hai bên hợp pháp nhằm mục đích truyền hoặc
nhận trái phép.
 Authentication
❑ Hai dịch vụ xác thực cụ thể được xác định trong X.800:
➢ Xác thực thực thể ngang hàng: Cung cấp sự chứng thực về danh tính
của thực thể ngang hàng trong một liên kết. Hai thực thể được coi là
ngang hàng nếu chúng triển khai cùng một giao thức trong các hệ thống
khác nhau
➢ Xác thực nguồn gốc dữ liệu: Cung cấp sự chứng thực về nguồn của
đơn vị dữ liệu. Nó không cung cấp sự bảo vệ chống lại việc sao chép
hoặc sửa đổi các đơn vị dữ liệu. Loại dịch vụ này hỗ trợ các ứng dụng
như thư điện tử, nơi không có sự tương tác liên tục giữa các thực thể
giao tiếp.
 Access Control
❑ Kiểm soát truy cập là khả năng giới hạn và kiểm soát quyền truy
cập vào hệ thống máy chủ và ứng dụng thông qua các liên kết
truyền thông. Để đạt được điều này, mỗi thực thể cố gắng giành
quyền truy cập trước tiên phải được xác định hoặc xác thực để
quyền truy cập có thể được điều chỉnh cho phù hợp với từng cá
nhân.
❑ Tương ứng: AAA (Authentication – Authorization - Accounting)
 Data Confidentiality
❑ Bảo mật dữ liệu: là việc bảo vệ dữ liệu được truyền khỏi các cuộc tấn
công thụ động.
❑ Đối với nội dung truyền dữ liệu, có thể xác định được một số cấp độ
bảo vệ.
➢ Dịch vụ rộng nhất bảo vệ tất cả dữ liệu người dùng được truyền giữa hai
người dung trong một khoảng thời gian
➢ Các hình thức hẹp hơn của dịch vụ này bao gồm việc bảo vệ một tin nhắn
hoặc thậm chí các trường cụ thể trong một tin nhắn. Cấp độ này ít hữu ích
hơn so với cách tiếp cận rộng rãi và thậm chí có thể phức tạp hơn và tốn kém
hơn khi thực hiện.
❑ Hoặc b ảo vệ luồng lưu lượng khỏi quá trình phân tích. Điều này yêu
cầu kẻ tấn công không thể quan sát nguồn và đích, tần số, độ dài hoặc
các đặc điểm khác của lưu lượng truy cập trên cơ sở liên lạc
 Data Integrity
❑ Toàn vẹn dữ liệu: có thể áp dụng cho một luồng tin nhắn, một tin
nhắn đơn lẻ hoặc các trường được chọn trong tin nhắn.
❑ Dịch vụ toàn vẹn hướng kết nối, dịch vụ xử lý luồng tin nhắn, đảm
bảo rằng các tin nhắn được nhận như đã gửi mà không bị trùng lặp,
chèn, sửa đổi, sắp xếp lại hoặc phát lại
 Nonrepudiation
❑ Tính chống chối bỏ ngăn cản người gửi hoặc người nhận từ chối
một tin nhắn được truyền đi
❑ Khi một tin nhắn được gửi đi, người nhận có thể chứng minh rằng
người được cho là người gửi trên thực tế đã gửi tin nhắn đó. Tương
tự, khi nhận được tin nhắn, người gửi có thể chứng minh rằng người
được cho là người nhận trên thực tế đã nhận được tin nhắn.
 Availability Service
❑ Tính sẵn sàng là thuộc tính của hệ thống hoặc tài nguyên hệ
thống có thể truy cập và sử dụng được theo yêu cầu của thực thể hệ
thống được ủy quyền, theo thông số kỹ thuật hiệu suất cho hệ thống
(nghĩa là hệ thống có sẵn nếu nó cung cấp dịch vụ theo thiết kế hệ
thống bất cứ khi nào người dùng yêu cầu)
 Security mechanism
❑ Cryptographic algorithms
❑ Data integrity
❑ Digital signature
❑ Authentication exchange
❑ Traffic padding
❑ Routing control
❑ Notarization
❑ Access control
Cryptography
Network Security
 Communications Security
❑ Được thực hiện bằng cách sử dụng các giao thức mạng
❑ Giao thức bảo mật có thể là một cải tiến là một phần của giao thức
hiện có hoặc giao thức độc lập
❑ Một đặc điểm chung của tất cả các giao thức này là chúng sử
dụng một số thuật toán mã hóa như một phần của cơ chế cung cấp
bảo mật
 Device Security
❑ Device network: thiết bị mạng, như bộ định tuyến và chuyển mạch,
cũng như các hệ thống đầu cuối được kết nối với mạng
❑ Các giải pháp phổ biến:
➢ Firewall
➢ Intrusion detection
➢ Intrusion prevention
 Trust and Trustworthiness
❑ Sự đáng tin cậy của một cá nhân
❑ Sự đáng tin cậy của một tổ chức
❑ Sự đáng tin cậy của một hệ thống thông tin
 Trust and Trustworthiness
❑ Thiết lập mối quan hệ tin cậy: phụ thuộc vào nhiều yếu tố khác nhau, chẳng hạn như
luật pháp và quy định, mức độ chấp nhận rủi ro cũng như mức độ quan trọng và nhạy
cảm của mối quan hệ
➢ Sự tin cậy được xác thực: Sự tin cậy dựa trên bằng chứng mà tổ chức tin cậy thu được về tổ
chức hoặc thực thể đáng tin cậy. Thông tin có thể bao gồm chính sách bảo mật thông tin, các
biện pháp bảo mật và mức độ giám sát
➢ Sự tin cậy lịch sử trực tiếp: Loại sự tin cậy này dựa trên hồ sơ theo dõi liên quan đến bảo
mật được một tổ chức thể hiện trong quá khứ, đặc biệt là trong các tương tác với tổ chức
đang tìm cách thiết lập sự tin cậy.
➢ Sự tin cậy qua trung gian: Sự tin cậy qua trung gian liên quan đến việc sử dụng một bên thứ
ba được hai bên tin tưởng lẫn nhau, trong đó bên thứ ba đưa ra sự đảm bảo hoặc đảm bảo
về mức độ tin cậy nhất định giữa hai bên đầu tiên
➢ Ủy thác bắt buộc: Một tổ chức thiết lập mức độ tin cậy với một tổ chức khác dựa trên ủy
nhiệm cụ thể do bên thứ ba ở vị trí có thẩm quyền ban hành
 Standards
❑ Federal Information Processing Standards (FIPS)
❑ Requests for Comments (RFCs)
❑ Recommendations of ITU-T
❑ ISO