Mục lục

Lời nói đầu 5

Chương 1 7

Các kiến thức về mô hình mạng TCP/IP 7

1.Kiến thức chung về mạng máy tính 7

1.1. Mô hình OSI 7

1.1.1. Tầng vật lý. 8

1.1.2. Tầng liên kết dữ liệu. 8

1.1.3. Tầng mạng 9

1.1.4. Tầng giao vận 9

1.1.5. Tầng phiên 9

1.1.6. Tầng trình diễn 10

1.1.7. Tầng ứng dụng 10

1.2. Cấu trúc phân tầng trong giao thức TCP/IP 11

1.2.1. Tầng truy nhập mạng 13

1.2.2. Tầng liên mạng 13

1.2.3. Tầng giao vận 13

1.2.4. Tầng ứng dụng 14

2. Giao thức IP 14

2.1. Cấu trúc khối dữ liệu IP 15

2.2. Cấu trúc địa chỉ IP 17

2.3. Phân đoạn các khối dữ liệu 19

3. Giao thức TCP 19

3.1. Cấu trúc đoạn dữ liệu TCP 20

3.2. Mô hình hoạt động của TCP 22

4. Khuôn dạng dữ liệu của frame ethernet. 23

Chương 2 25

Tổng quan về an ninh mạng, các nguy cơ bị tấn công, và một số biện pháp phòng tránh. 25

1. Tổng quan về an ninh mạng 25

1.1. Đặt vấn đề 25

1.2. Tình hình thực tế 25

1.3. Các hình thức xâm phạm an toàn mạng và nhu cầu bảo vệ dữ liệu. 26

1.3.1. Bảo vệ dữ liệu 27

1.3.2. Bảo vệ các tài nguyên sử dụng trên mạng 27

1.3.3. Bảo vệ danh tiếng 27

2. Các mối đe dọa vào an ninh hệ thống: 27

2.1. Các tấn công vào phần cứng: 28

2.2. Tấn công trực tiếp 28

2.3. Các truy nhập không được phép 29

2.4. Quan hệ xã hội: 29

2.5. Lỗi hệ thống và các chương trình ẩn: 29

2.5.1. Lỗi của cơ chế xác thực 30

2.5.2. Lỗi trong các giao thức 30

2.5.4. Từ chối dịch vụ 30

3. Một số loại tấn công trên mạng 31

3.1. Ping of Death 31

3.2. Giả mạo IP (IP spoofing) 32

3.3. Giả mạo TCP (TCP spoofing) 32

3.4. Bắt cóc phiên (Session hijacking) 33

3.5. Tấn công bằng hàng loạt các gói SYN (SYN flood attack) 33

3.6. Tấn công bằng IP phân đoạn (IP frags attack) 33

3.7. LAND attack 34

4. Các mối đe dọa đối với dịch vụ thông tin 34

4.1. Tấn công từ chối dịch vụ (Denial of sevice) 34

4.2. Tấn công các giao thức dùng số tuần tự TCP 34

4.3. Tấn công các giao thức không xác thực 35

5. Một số các biện pháp phòng tránh 35

5.1. Các chiến lược bảo mật chung nhất 35

5.1.1. Quyền hạn tối thiểu 35

5.1.2. Bảo vệ theo chiều sâu 35

5.1.3. Điểm thắt 36

5.1.4. Điểm yếu nhất 36

5.1.5. Phối hợp chung 36

5.1.6. Phòng thủ đa dạng 36

5.1.7. Tính đơn giản 36

5.2. Một số biện pháp bảo mật bằng giao thức 37

NAT (Network Address Translation) 37

IPSec 38

5.3. Một số biện pháp bảo mật bằng hệ thống 38

5.3.1. Firewall 38

5.3.2. IDS (Intrusion Detection System) 39

5.3.3. VPN (Vitual Private Network) 40

Chương 3 45

Tổng quan về các hệ thống Intrusion Detection Systems 45

1. Phát hiện sự xâm phạm là gì 45

2. Tại sao phải sử dụng IDS. 45

2.1. Phát hiện các cuộc tấn công và các hành vi vi phạm an ninh mà không ngăn cản được bằng các biện pháp khác. 45

2.2. Phát hiện sớm dấu hiệu các cuộc tấn công khi nó mới mới bắt đầu xảy ra, nhằm có biện pháp ngăn chặn kịp thời. 46

2.3. Tăng độ mạo hiểm cho kẻ tấn công. 46

2.4. Giúp cho việc thiết kế bảo mật và quản trị có chất lượng 46

2.5. Cung cấp các thông tin hiệu quả về sự xâm nhập 46

2.6. Lập tài liệu về các nguy cơ có thể xảy ra với hệ thống 47

2.Phân loại các hệ thống IDS chính 47

3.1. Network Based IDS (NIDS ) 47

3.1.1. Ưu điểm của hệ thống NIDS 47

3.1.2. Nhược điểm của hệ thống NIDS 48

3.2. Host based IDS (HIDS) 48

3.2.1. Ưu điểm của hệ thống HIDS 49

3.2.2. Nhược điểm của Hệ thống HIDS 49

3.3. Application Based IDS (AIDS) 49

3.3.1. Ưu điểm của hệ thống AIDS 50

3.3.2. Nhược điểm của hệ thống AIDS 50

3.4. Sử dụng kết hợp HIDS và NIDS 50

2.Các kỹ thuật phân tích của các hệ thống IDS 51

2.1. Phát hiện sự lạm dụng(Misuse detection) 51

2.1.1. Ưu điểm 51

2.1.2. Nhược điểm. 51

2.2. Phát hiện sự bất thường(Anomaly Detection) 51

2.2.1. Ưu điểm 52

2.2.2. Nhược điểm 52

2.3. Giám sát (Target Monitoring ) 52

2.4. Thăm dò hành động lén lút 53

3. Hệ thống phát hiện xâm nhập dựa trên thống kê 53

3.1. Ưu điểm 53

3.2. Nhược điểm 53

Chương 4 55

Xây dựng 1 chương trình IDS 55

1. Mục đích : 55

1.1. Có khả năng ghi lại các hoạt động trên mạng 55

1.2. Dựng lại phiên làm việc giữa hai máy trên mạng 55

1.3. Phát hiện các hành vi bất thường để thông báo cho người quản trị. 55

1.4. Cho phép cấu hình một cách đơn giản 55

2. Thiết kế chương trình. 56

2.1. Cơ sở dữ liệu: 57

2.2. Module bắt các gói tin 57

2.3 Module phân tích các gói tin 58

2.3. Xây dựng lại phiên làm việc 59

2.4. So sánh với các cấu hình trong hệ thống 60

2.5. Module nhận các thông tin từ người sử dụng 61

3. Thiết kế chi tiết của chương trình 61

3.1. Cơ sở dữ liệu. 61

3.2. Thu bắt các gói tin 62

3.3. Xây dựng lại phiên làm việc 63

3.4. So sánh với các cấu hình trong hệ thống 63

4. Cài đặt chương trình 63

4.1. Các sơ đồ thuật toán của chương trình. 64

4.2. Các hàm sử dụng trong chương trình 66

4.2.1. Các hàm dùng để bắt gói tin. 66

4.2.2. Các hàm dùng để xử lý gói tin 67

4.2.3. Hàm xây dựng lại phiên làm việc 67

4.2.4. Kiểm tra Phiên 67

5. Các Form trong chương trình 68

5.1. Form Config 68

5.2. Form Packet Detail Information 69

5.3. Form Alert 70

6. Một số kết quả đạt được 70

7. Phương hướng phát triển trong tương lai 71

8. Lời kết 72

Phụ lục A 73

Phụ lục B 74