Hướng dẫn tạo mạng wifi ảo man in the middle

Chào mừng các bạn đã đến với bài 8 của series Mạng Căn Bản. Hôm nay chúng ta sẽ tìm hiểu về các hình thức tấn công mạng phổ biến theo từng lớp của mô hình TCP/IP. Đây cũng là bài tạm kết thúc của series Mạng Căn Bản. Tại sao gọi là tạm kết thúc? Vì hiện tại với ngần này kiến thức cá nhân mình thấy đã phần nào đủ cho các bạn để theo series Linux Penetration Testing căn bản rồi. Trong tương lai nếu mình thấy có những nội dung cần thiết ví dụ như Virtualization network (mạng ảo), mình sẽ viết tiếp series này.

Trước khi vào bài chúng ta cũng cần làm rõ những nội dung mà series này không bao gồm:

• Series này sẽ không dạy các kiến thức để thi CCNA hoặc MSCA cũng như các kiến thức về quản trị mạng ví dụ như cách thiết lập DHCP, DNS, Routing protocols, vâng vâng.
• Series Mạng Căn Bản sẽ không bao gồm phần lab xây dựng mạng mà chỉ đơn thuần lý thuyết và một vài thực hành nhỏ.
• Series Mạng Căn Bản sẽ chỉ có kiến thức căn bản và sẽ không đi quá sâu vào bất kỳ một chủ đề nào. Mục đích chính là để tránh series này bị kéo dài một cách không cần thiết. Tuy nhiên, với những bạn muốn nghiên cứu thêm, mình sẽ đính kèm tài liệu tự nghiên cứu trong bài nhé.

1/ Hệ thống mạng Internet hoạt động như thế nào?

Trước khi đi vào các hình thức tấn công mạng, mình sẽ sơ lược lại một cách đơn giản nhất cách mà mạng Internet hoạt động như sau:

1. Khi kết nối mạng bằng wifi bạn nhập password để đăng nhập wifi hoặc bạn có thể kết nối mạng bằng dây dẫn
2. Giao thức DHCP sẽ cấp cho bạn một địa chỉ IP để định danh trong mạng nếu bạn không được cấp địa chỉ IP tĩnh.

Khi bạn truyền dữ liệu, sẽ có những trường hợp sau xảy ra:

1A – Truyền dữ liệu trong mạng LAN

1A-1/ Sử dụng địa chỉ IP:

Nếu bạn truyền dữ liệu giữa các máy trong mạng với nhau thông qua địa chỉ IP, giao thức ARP hoặc ARP table sẽ được sử dụng để tìm địa MAC của máy đích đến từ đó xác định được đường đi đến máy đích đến. Dữ liệu của bạn sẽ được chuyển hóa thành các frame dữ liệu , sau đó sẽ được đưa xuống lớp 1 physical.

Tại đây dữ liệu sẽ được chuyển hóa thành dữ liệu nhị phân với các bits 0 và 1 dưới dạng tín hiệu điện tử có hình dạng gần giống như sau:

Nếu máy đích đến nối mạng bằng cáp, tín hiệu này sẽ được truyền đến thông qua cáp, nếu máy đích sử dụng Wifi, tín hiệu này sẽ được truyền đến qua sóng Wifi. Dữ liệu sau đó sẽ được xử lý và hiện ra cho người dùng cuối.

1A-2/ Sử dụng domain:

Trong một vài công ty lớn, họ có hệ thống phân cấp tên miền riêng cho nội bộ công ty giúp các nhân viên trong công ty có thể trao đổi dữ liệu với nhau thông qua tên miền ví dụ congtyabc.phongketoan.local thay vì phải nhớ địa chỉ IP ví dụ 192.168.10.154. Ở những công ty này, họ cũng sẽ có một hệ thống DNS nội bộ để phân giải tên miền thành địa chỉ IP trước khi dữ liệu được gửi đi trong mạng.

Phần còn lại của quá trình truyền dữ liệu sẽ giống với 1A-1 bên trên.

1B – Truyền dữ liệu ngoài mạng LAN

Khi bạn truy cập một website ví dụ trang tuhocnetworksecurity.business.blog, server host website này không nằm trong hệ thống mạng của bạn. Lúc này quá trình gửi HTTP GET request sẽ diễn ra như sau theo mô hình TCP/IP:

1. Hệ thống DNS sẽ hoạt động để phân giải tên miền thành địa chỉ IP được gán với tên miền đó.
   • Các bạn lưu ý là một số Wifi router tại nhà hiện nay có cả chức năng DNS, địa chỉ của hệ thống DNS này chính là địa chỉ default gateway hay là địa chỉ IP của Wifi router của bạn trong mạng.
   • Tên miền cần truy cập đầu tiên sẽ được kiểm tra với cơ sở dữ liệu của hệ thống DNS trong mạng xem có địa chỉ IP của tên miền tuhocnetworksecurity.business.blog hay không? Nếu không có, DNS trong mạng sẽ chuyển tiếp truy vấn tìm địa chỉ IP của tên miền đến hệ thống DNS tại ISP (nhà cung cấp dịch vụ mạng ví dụ Viettel, VNPT) để tra cứu tiếp. Nếu lại không có, truy vấn sẽ được chuyển tiếp đến các hệ thống DNS khác cho đến khi tìm được địa chỉ IP gán với tên miền tuhocnetworksecurity.business.blog mới thôi.
2. Sau khi địa chỉ IP của tên miền tuhocnetworksecurity.business.blog đã được tìm thấy, một gói tin HTTP GET sẽ được chuẩn bị tại lớp Application sau đó sẽ được chuyển đến lớp Transport.
3. Tại lớp Transport, như các bạn đã biết hai giao thức chính của lớp này là TCP và UDP. Giao thức HTTP dựa trên giao thức TCP, nên tại đây gói tin HTTP GET sẽ được chia nhỏ thành các segments với kích thước thỏa mãn MTU (Maximum Tranmission Unit) là không nhỏ hơn 68 bytes và không lớn hơn 576 bytes với IPv4 và không lớn hơn 1280 bytes với IPv6, nhằm để tránh việc segment chuyển đi bị hư hao trên đường đi. Đồng thời TCP three way handshake cũng sẽ được thực hiện.
   • UDP sẽ không thực hiện các bước trên vì đơn giản nó chẳng quan tâm gói tin gửi đi có bị hư hao hay có bị mất hay không.
4. Sau đó, các segments sẽ được chuyển đến lớp 3, Network, và được chuyển thành các packets (gói tin) dữ liệu, tại đây các thông tin quan trọng như địa chỉ IP điểm đến và điểm gửi cùng các thông số như TTL, v.v sẽ được thêm vào. Lúc này IP điểm gửi là địa chỉ IP public sau khi đã được giao thức NAT xử lý.
5. Sau đó, các packets sẽ được chuyển xuống đến lớp 2, Data Link, địa chỉ MAC của default gateway hay rourter mạng sẽ được thêm vào. Các packets sẽ được chuyển thành các frame dữ liệu.
6. Sau đó, các frame dữ liệu này sẽ được đẩy xuống lớp 1, Physical, frame dữ liệu sẽ được chuyển thành các bits dữ liệu nhị phân (0 và 1) trước khi được đưa vào hệ thống cáp mạng để truyền được truyền ra khỏi mạng.
7. Dữ liệu lúc này sẽ được truyền qua nhiều nút mạng khác nhau thông qua giao thức định tuyến (routing protocols). Tại mỗi router, địa chỉ IP điểm đến sẽ được tra cứu với routing table được lưu tại router đó. Khi đó, các trường hợp sau sẽ xảy ra:
   • Nếu địa chỉ IP điểm đến nằm trong IP table của router đó, router đó sẽ chỉ đường cho dữ liệu để đến đích đến.
   • Nếu địa chỉ IP điểm đến không nằm trong IP table của router đó, router đó sẽ kiểm tra xem, trong IP table của mình có địa chỉ IP nào ở cùng mạng với IP điểm đến hay không? Nếu có, router đó sẽ chỉ đường cho dữ liệu đến với mạng có chứa IP đó.
   • Nếu cả hai phương án trên đều không tìm được IP điểm đến, dữ liệu sẽ được chuyển đến địa chỉ default gatewar của mạng đó để được chuyển tiếp qua một mạng khác.
   • Lưu ý là trong quá trình chuyển tiếp giữa các routers, địa chỉ MAC address đính kèm trong gói tin luôn thay đổi thành địa chỉ MAC của router gần nhất đã chuyển dữ liệu đi. Địa chỉ IP điểm đến và điểm đi thì vẫn được giữ nguyên.
   • Quá trình này sẽ tiếp diễn cho đến khi dữ liệu đến được điểm cần đến. Khi đó, lộ trình đã đi qua để đến điểm đến sẽ được lưu vào routing table để lần sau, dữ liệu không cần phải tìm đường đi như lần đầu nữa.
8. Tại điểm đến, dữ liệu sẽ được sẽ được xử lý theo các bước sau:
   1. Các bits dữ liệu được nhận và được chờ xử lý tại lớp Physical.
   2. Các bits dữ liệu sau đó được đưa lên lớp Data Link và được chuyển đổi thành frames dữ liệu. Sau đó, chúng được kiểm tra xem địa chỉ MAC trong dữ liệu đến có trùng với địa chỉ MAC của thiết bị hay không. Địa chỉ MAC này do router mạng của máy điểm đến cung cấp thông qua giao thức ARP.
   3. Nếu địa chỉ MAC trùng khớp, các frames dữ liệu này được đưa lên lớp 3 Network, và được chuyển đổi thành packets, tại đây địa chỉ IP sẽ được check và đồng thời các packet sẽ được kiểm tra xem dữ liệu nhận được có bị lỗi hay mất mát hay không. Quá trình này được gọi là Checksum và chỉ xảy ra với IPv4.
   4. Sau đó các packets được truyền lên lớp Transport và chuyển hóa thành segments
   5. Sau đó các segments này sẽ được chuyển lên lớp Application và chuyển đổi thành dữ liệu (data). Trong trường hợp chúng ta đang gửi gói tin HTTP GET, các dữ liệu này sẽ được chuyển đến port 80 đang chạy giao thức HTTP.
   6. Vậy là chúng ta đã đến được điểm cần đến.

Tất cả quá trình trên, tuy diễn giải dài dòng, nhưng thực ra nó xảy ra nhanh đến mức bạn không hề nhận ra.

2/ Những hình thức tấn công mạng phổ biến

Tại sao mình lại phải sơ lược lại cách hoạt động của hệ thống mạng Internet trước khi đi vào nội dung chính? Là vì mỗi bước ở mục 1 đều có thể trở thành mục tiêu tấn công của hackers.

Mình sẽ trình bày các hình thức tấn công mạng phổ biến theo từng lớp nhé.

2a/ Lớp Physical

Tapping attacks: Tại lớp Physical, khi dữ liệu được truyền qua hệ thống cáp mạng dưới dạng nhị phân. Hackers có thể sử dụng những dụng cụ đặc biệt gắn vào dây cáp mạng mục đích là dùng để dịch dữ liệu từ nhị phân sang dữ liệu đọc được nhằm đánh cắp thông tin.

Nếu dữ liệu bị lấy đi chủ yếu là được truyền qua giao thức TCP, người dùng cuối sẽ không bao giờ phát hiện ra. Do TCP có chức năng tự động gửi lại dữ liệu nếu dữ liệu bị mất trên đường truyền.

Với UDP, vì nó chẳng quan tâm chuyện gì sẽ xảy ra với dữ liệu được gửi, nếu dữ liệu bị mất thì nó có thể gửi lại dữ liệu hoặc thậm chí không làm gì cả. Thế nên cũng rất khó bị phát hiện khi đường truyền bị tapping.

Wifi evil twin: Hackers có thể tạo ra một trang truy cập wifi giả mạo giống y hệt với trang đăng nhập wifi mà bạn thường truy cập (bạn nào hay đi sân bay sẽ biết cách thức kết nối mạng này) và lừa bạn truy cập vào trang đăng nhập giả để lấy mật khẩu wifi bạn đang muốn truy cập hoặc thông tin cá nhân của bạn.

Evil twin wifi hotspots: Hackers còn có thể tự tạo ra một mạng wifi công cộng với tên và password gần tương tự với một mạng wifi công cộng thật và lừa người dùng vào đó để đánh cắp thông tin hoặc để gửi mã độc đến máy của bạn.

Ví dụ bạn đang ở quán cà phê có tên ABC, quán này có một mạng wifi dành riêng cho khách là ABCcafe và mật khẩu là ABCcafepass, hackers có thể tạo ra một mạng wifi ảo là ABCcafe-1 với mật khẩu y chang để dụ người dùng vào. Thậm chí hackers còn có thể đánh sập mạng ABCcafe khiến cho mạng này mất khả năng truy cập để ép người dùng sử dụng mạng ABCcafe-1.

Phishing emails: Hackers sẽ tạo ra một email giả mạo là ISP (nhà cung cấp dịch vụ mạng) của bạn yêu cầu bạn bấm vào đường link dẫn đến một trang giả mạo đã được tạo nên từ trước và yêu cầu bạn cung cấp tên mạng và mật khẩu wifi bạn đang dùng.

DoS (Denial of Service): Giả dụ như bạn muốn kết nối với mạng công ty để làm việc. Sau khi hackers đã thành công xâm nhập vào mạng của công ty bạn thông qua Information Stealing rồi, họ có thể tiến hành tấn công vào router wifi của công ty bạn làm cho tất cả nhân viên hoặc các máy đang kết nối với mạng bị kick/đuổi ra khỏi mạng và không thể kết nối lại được.

Nếu công ty bạn phục thuộc nặng nề vào hạ tầng mạng để làm việc, tấn công DoS sẽ làm tê liệt hoạt động công ty của bạn.

Rogue device injection: Hackers có thể giả dạng thành nhân viên bảo trì hệ thống hoặc mua chuộc những nhân viên có thể tiếp cận các thiết bị mạng để nhờ họ cắm usb chứa mã độc hoặc backdoor vào hệ thống, giúp hacker phát tán ransomeware, virus hoặc truy cập và điều khiển hệ thống từ xa.

2B/ Lớp Data Link

Man-in-the-middle: Đây là hình thức tấn công mà dữ liệu được truyền đi từ điểm gửi sẽ được chuyển tiếp đến máy của hacker sau đó tùy vào hacker quyết định mà dữ liệu hoặc sẽ được truyền đến điểm đích hoặc không.

Ví dụ: Máy A và máy B là 2 máy nạn nhân, máy C là máy của hacker. Trong Man-in-the-middle attack, dữ liệu từ A đến B hoặc từ B về A sẽ thành như thế này:

A => C => B hoặc B = > C => A

MAC spoofing: MAC spoofing là một hình thức mà hackers sẽ ăn cắp địa MAC của một thiết bị ở trong mạng, thường là địa chỉ MAC của default gateway. Sau đó hackers sẽ thay đổi địa chỉ MAC của mình trở thành địa chỉ MAC của default gateway từ đó có thể xem hết nội dung của các dữ liệu được gửi trong mạng.

MAC spoofing có thể được dùng làm nền tảng để thực hiện nhiều hình thức tấn công khác ví dụ như nếu hackers không chuyển tiếp dữ liệu ra khỏi mạng hoặc chuyển tiếp dữ liệu đến các máy trong mạng sẽ làm cho mạng ngừng hoạt động. Đây là một hình thức tấn công DoS và Man-in-the-middle.

STP attacks: STP (Spanning Tree Protocol) là một giao thức ở lớp 2, được sử dụng để chỉ định đường đi của các frames dữ liệu. Trong thực tế, để dự phòng trường hợp kết nối từ thiết bị A đến thiết bị B bị đứt, sẽ luôn có ít nhất 2 kết nối giữa A và B. Tuy nhiên lúc này lại xảy ra trường hợp là gói tin không biết sẽ dùng đường nào để đi từ A đến B và ngược lại. Ngoài ra một trường hợp vô cùng tồi tệ khác được gọi là vòng lặp dữ liệu (loops), xảy ra khi một frame dữ liệu sau khi đi qua kết nối số 1 đến điểm đích, thay vì dừng lại nó lại đi tiếp qua kết nối số 2 đồng thời tự khuếch đại chính nó và tạo nên một vòng lặp dữ liệu không ngừng và lượng dữ liệu ngày càng lớn có thể gây ra sập mạng.

Giao thức STP ra đời để khóa đi các kết nối dự phòng giữa A và B để chống loops và chỉ chừa lại một con đường duy nhất để truyền dữ liệu thôi. Khi đường truyền này bị đứt, một đường truyền dự phòng sẽ được mở ra.

Do STP được thiết lập trên switches, hackers có thể lợi dụng điểm này ăn cắp địa chỉ MAC của switch được thiết lập STP và biến mình thành switch đó để đọc dữ liệu được truyền qua, hoặc tắt STP đi để mạng bị sập. Đây là một hình thức tấn công DoS và Man-in-the-middle.

CAM overflows: CAM viết tắt của Content Addressable Memory hay MAC address table. Đây là cơ dở dữ liệu được switch dùng để tra cứu đường đi khi càn gửi dữ liệu giữa các máy trong mạng. Do số lượng địa chỉ MAC mà bảng CAM có thể chứa là có giới hạn, hackers có thể tấn công vào bảng CAM bằng cách liên tục gửi một lượng lớn địa chỉ MAC không có thực đến switch để thêm vào bảng CAM, làm cho bản CAM bị đầy tràn dẫn đến việc các địa chỉ MAC thật bị đẩy ra khỏi bảng CAM và không thể được thêm vào do bảng đã đầy. Hậu quả là dữ liệu không gửi đi được. Đây là một hình thức tấn công DoS.

2C/ Lớp Network

ARP spoofing: Hackers có thể lợi dụng ARP table để thực hiện Man-in-the-middle attack bằng cách thay đổi dữ liệu trong ARP table.

Ví dụ chúng ta có giá trị trong ARP table như sau:

• Máy A có MAC là: AA và IP là 192.168.0.2 (nạn nhân A)
• Máy B có MAC là: BB và IP là 192.168.0.3 (nạn nhân B)
• Máy C có MAC là: CC và IP là 192.168.0.4 (máy hacker)

Hacker muốn nghe xem A và B đang nói gì, để làm được điều đó, họ có thể thay đổi giá trị trong ARP table thành:

• Máy A có MAC là: AA và IP là 192.168.0.2 (nạn nhân A)
• Máy B có MAC là: CC và IP là 192.168.0.3 (nạn nhân B)
• Máy C có MAC là: BB và IP là 192.168.0.4 (máy hacker)

Như bạn đã thấy hacker (máy C) đã cướp lấy địa chỉ MAC của B, do đó mọi dữ liệu máy A gửi đến B đều sẽ được chuyển thẳng cho C chính là máy của hacker.

IP spoofing: Tương tự như MAC spoofing, nhưng thay vì ăn cắp địa chỉ MAC, lần này địa IP của máy nạn nhân sẽ bị ăn cắp và hackers sẽ dùng chính địa chỉ IP này để tấn công Man-in-the-middle hoặc DoS nếu hackers giả làm router.

DHCP starvation: Như bạn đã biết DHCP được dùng để cấp địa chỉ IP tự động cho thiết bị mới kết nối vào mạng. Hackers có thể tạo ra một loạt địa chỉ MAC giả đồng thời gửi hàng loạt yêu cầu cấp IP đến DHCP server làm cho lượng địa chỉ IP được phép sử dụng để cấp cho máy mới bị cạn kiệt hoàn toàn khiến cho các máy khác không thể truy cập vào mạng được. Đây là một hình thức tấn công DoS.

DHCP spoofing: Hackers có thể chèn vào mạng một DHCP server do mình kiểm soát. Như bạn đã biết, khi trong mạng có nhiều hơn 1 DHCP server, server nào gửi phản hồi nhanh nhất, máy tính của bạn sẽ nhận IP từ server đó. Hackers có thể tấn công DHCP starvation trước để làm tiền đề tấn công DHCP spoofing. Mục đích chính là làm DHCP server chính không thể phản hồi được, và chắc chắn server của hacker sẽ là server phản hồi nhanh nhất.

Do DHCP thường được cài đặt trên wifi router cũng đồng thời là default gateway, việc máy tính của bạn nhận IP từ server của hacker sẽ đồng nghĩa với việc máy tính của bạn dùng server của hacker như default gateway. Hậu quả là dữ liệu truyền đi sẽ bị theo dõi. Đây là một hình thức tấn công Man-in-the-middle.

Routing protocols attacks: Là những hình thức tấn công nhắm thẳng vào các giao thức định tuyến như BGP, OSPF, RIP v.v. để thực hiện tấn công DoS hoặc Man-in-the-middle.

2D/ Lớp Transport

SYN flood: SYN là một trong 3 gói tin được gửi đi để hình thành TCP three way handshake. Hackers có thể tấn công DoS bằng cách gửi một lượng khổng lồ gói tin SYN giống như một cơn lũ gói tin SYN đến server nạn nhân và không phản hồi bất cứ gói tin SYN-ACK nào nhận được từ server nạn nhân. Server nạn nhân tuân theo quy tắc của TCP protocol, bắt buộc phải chờ gói tin ACK phản hồi lại từ máy của hacker, điều sẽ không bao giờ đến.

Do băng thông của mạng có giới hạn, cũng như phần cứng chỉ có thể xử lý một số lượng kết nối nhất định, nên việc quá nhiều kết nối bị treo do chờ gói tin ACK có thể dẫn đến hậu quả là không ai có thể truy cập server được nữa.

UDP flood: UDP flood được tiến hành dựa trên cách các servers phản hồi khi nhận được gói tin UDP. Khi nhận được gói tin UDP server sẽ:

1. Kiểm tra xem có bất cứ ứng dụng đang chạy nào ở trạng thái lắng nghe/chờ request tại port nhận được gói tin UDP hay không
2. Nếu không có ứng dụng nào chờ/nhận gói tin UDP tại port đó, server sẽ hồi đáp bằng một gói tin ICMP để thông báo với người gửi rằng “ứng dụng không truy cập được”

Hackers có thể tận dụng điều này để tấn công DoS bằng cách gửi một số lượng lớn/một cơn lũ gói tin UDP đến server nạn nhân. Do vừa phải kiểm tra hệ thống vừa phải hồi đáp bằng gói tin ICMP, server sẽ nhanh chóng quá tải và không ai có thể truy cập server được nữa.

Do phần lớn các giao thức ở lớp Application đều dựa vào TCP hoặc UDP, cũng như vì TCP và UDP là hai giao thức xương sống của hệ thống mạng Internet nên tường lửa gần như không thể chặn hai giao thức này mặc dù nó có thể chặn những giao thức khác ví dụ như ICMP.

Một điểm cũng cần lưu ý là do khi gửi các gói tin đến máy nạn nhân, chắc chắn sẽ có kèm theo cả địa chỉ IP và địa chỉ MAC của máy gửi. Những dấu vết này rất quan trọng trong việc điều tra và bắt tội phạm mạng. Để hạn chế việc lộ tung tích của mình, hackers thường không dùng hình thức tấn công DoS mà sẽ sử dụng DDoS (Distributed Denial of Service).

Đây là hình thức tấn công thay vì gửi một số lượng lớn gói tin đến máy nạn nhân bằng máy của mình. Hackers sẽ sử dụng những mạng botnets là tập hợp của một số lượng lớn máy tính, thiết bị di động, IoT ví dụ camera an ninh được nối mạng, v.v. Đây vốn dĩ đều là những thiết bị đã bị hackers chiếm quyền điều khiển theo nhiều cách khác nhau và chủ sở hữu các thiết bị này không hề nhận ra. Với vài câu lệnh, hackers có thể ra lệnh cho tất cả các máy trong mạng botnets đồng loạt, liên tục và cùng một lúc gửi các gói tin đến máy nạn nhân, làm máy nạn nhân bị quá tải dẫn đến việc từ chối dịch vụ.

2E/ Lớp Application

DNS cache poisoning/DNS spoofing: Đây là hình thức tấn công bằng cách khai thác các lỗ hổng tồn tại trong hệ thống DNS để tiến hành thay đổi địa chỉ IP gắn với một domain nào đó.

Ví dụ: Địa chỉ IPv4 của tuhocnetworksecurity.business.blog trong DNS là 192.168.52.4, hackers có thể tấn công vào hệ thống DNS và thay đổi địa chỉ IP thành 192.168.40.59 là địa chỉ trang web giả mạo do hắn lập nên nhằm mục đích dẫn dụ và tấn công những người truy cập vào đó.

Điểm nguy hiểm đó là do các hệ thống DNS thường tra cứu và cập nhật dữ liệu với nhau, nên một hệ thống DNS bị đầu độc sẽ rất dễ lan dữ liệu bị đầu độc sang các hệ thống DNS khác làm tăng số người bị dẫn dụ vào website giả của hackers.

Vulnerable software: Hackers có thể lợi dụng những lỗ hổng bảo mật chưa được vá trên các ứng dụng đang chạy trên server mục tiêu để tiến hành xâm nhập và điều khiển server hoặc tấn công những người truy cập vào trang web bị tấn công. Có hàng loạt lỗ hổng có thể bị lợi dụng để tấn công ví dụ như:

• Buffer overflow, heap overflow, stack overflow. v.v
• Command injection, SQL injection
• Malicious file upload, LFI
• XSS, CSRF
• v.v

Proxy attacks: Proxy là một hệ thống đặc biệt được sử dụng như một cổng trung gian cho dữ liệu mạng ra vào mạng. Nghĩa là khi một dữ liệu được chuyển ra ngoài mạng, thay vì đi thẳng đến điểm đích, nó sẽ phải đi qua proxy server, proxy server sẽ lưu lại thông tin của dữ liệu bao gồm nội dung, địa chỉ IP đến, địa chỉ IP gửi, địa chỉ MAC v.v. Sau đó, proxy server sẽ hủy gói tin đã nhận được và tạo một gói tin khác với địa chỉ đến và nội dung giống y như nội dung của gói tin đã nhận, tuy nhiên địa chỉ MAC và địa chỉ IP người gửi sẽ là địa chỉ của proxy server, sau đó gói tin này được gửi đi.

Khi nhận được phản hồi từ server đích đến, proxy server cũng sẽ hủy gói tin nhận được, tạo một gói tin mới với địa chỉ điểm gửi và nội dung không đổi, địa chỉ IP điểm đến và MAC sẽ được đổi thành địa chỉ đã gửi gói tin đến ban đầu và sau đó gói tin được gửi đi.

Nói cách khác, proxy server hoạt động như một người đại diện để dữ liệu bên trong và bên ngoài mạng giao tiếp với nhau thông qua nó.

Proxy server được sử dụng để che giấu địa chỉ IP và địa chỉ MAC thật sự của thiết bị gửi dữ liệu, đồng thời có thể được sử dụng như một bộ lọc nội dung nhằm chặn những nội dung không được cho phép. Ngoài ra với proxy server, các dữ liệu nhận được sẽ được quét bởi phần mềm diệt virus giúp tăng nâng cao khả năng phòng thủ. v.v.

Tuy mang nhiều tính năng đặc biệt như vậy, nhưng proxy server cũng không nằm ngoài sự tấn công của hackers. Tấn công và kiểm soát thành công proxy server cho phép hacker thực hiện thành công Man-in-the-middle attack hoặc thậm chí là DoS nếu hacker quyết định không cho dữ liệu truyền qua proxy server.

HTTP flood: Do khả năng xử lý và phản hồi HTTP của server có giới hạn, nếu hackers sử dụng botnet để gửi một số lượng lớn HTTP request đến server có thể làm hệ thống bị quá tải và khiến người dùng không thể truy cập website được.

Bên trên là một vài hình thức tấn công theo lớp phổ biến. Thực tế, các thiết bị mạng như switches và routers hiện nay đều có các chức năng chống MAC và IP spoofing; Access Control List có thể được dùng để hạn chế thiết bị lạ xâm nhập cũng như nhiều biện pháp đã được sử dụng ví dụ như Cloudflare proxy để chuyển hướng DDoS giúp các website có thể hoạt động lại bình thường trong vòng vài phút thay vì bị sập có khi là cả ngày hoặc hơn.

Mặc dù nhiều biện pháp đã được áp dụng để tấn công mạng ngày càng khó hơn, hình phạt đối với các tội phạm mạng ngày càng nặng hơn, tuy nhiên cuộc chiến giữa hackers mũ đen và mũ trắng vẫn chưa bao giờ ngã ngũ.

Ngày càng nhiều công nghệ mới như AI hay Blockchain đang được nghiên cứu và đưa vào đời sống, hứa hẹn gia tăng tính bảo mật, tuy nhiên về mặt lý thuyết AI vẫn có thể bị đầu độc để hoạt động sai mục đích ban đầu nó được thiết kế nên, cũng như Blockchain hoàn toàn có thể bị bẻ gãy.

Hackers mũ đen vẫn ra sức cố gắng tìm những lỗ hổng mới chưa được vá hoặc sử dụng Social Engineering để tấn công người dùng nhằm trục lợi trong khi các hackers mũ trắng vẫn ngày đêm ra sức bảo vệ hệ thống và người dùng bằng cách phải tìm ra các lỗ hổng zero day (lỗ hổng chưa được biết đến và chưa có bản vá lỗi) trước các hackers mũ đen cũng như training người dùng về các thủ đoạn mà hackers mũ đen hay dùng để đánh lừa họ.

3/ Học gì sau series Mạng Căn Bản nếu bạn muốn đào sâu thêm kiến thức về mạng

Có 2 hướng mà bạn có thể chọn đó là học CCNA hoặc Network+. Điểm khác nhau đó là CCNA thì có cả thực hành lẫn lý thuyết tuy nhiên phần thực hành của nó chủ yếu xoay quanh việc thiết lập các giao thức trên thiết bị của Cisco.

Với Network+, bạn sẽ học thuần lý thuyết, nội dung trải dài trên nhiều chủ đề khác nhau sẽ cho bạn một cái nhìn bao quát về thế giới mạng.

Việc học cái nào là do tùy vào nhu cầu và định hướng của các bạn. Các bạn có thể chỉ học chứ không cần thiết phải đi thi. Tài liệu học về 2 chủ đề này có rất nhiều trên mạng. Các bạn cũng có thể tìm hiểu trên các trang tuyển việc xem yêu cầu nhân sự mảng cybersecurity có yêu cầu CCNA hay phải có kỹ năng thiết lập/cấu hình thiết bị mạng hay không để lựa chọn hướng đi đúng đắn nhất cho mình. Tránh để thi xong không dùng, kiến thức và kỹ năng sẽ bị mai một dần theo thời gian, chưa kể thời hạn của một chứng chỉ như CCNA chỉ tầm 3 năm, sau thời gian đó, bạn phải thi lại mới giữ được chứng chỉ CCNA.