Câu 1:

a) Hack Valua là gì?

Hack value là một thuật ngữ có nguồn gốc từ hacker. Nó mô tả mô tả một mục tiêu có thể
thu hút sự chú ý với mức độ trên trung bình của một kẻ tấn công. Hack value thường
được sử dụng để chỉ động cơ khiến hacker đầu tư nhiều thời gian vào nó mà điều này
không nhất thiết phải có ý nghĩa đối với người khác, nhưng đại diện cho một hành động
hack đối với hacker.
b) Có những công cụ nào để xác định OS của một tổ chức mục tiêu bằng kỹ thuật Search
Engine?
https://sitereport.netcraft.com

c) Nêu các biện pháp ngăn chặn FootPrinting?

Bước đầu tiên trong quá trình tấn công là thu thập thông tiêu về mục tiêu từ các dữ liệu
mà đối tượng hay tổ chức công khai trên internet. Việc này có thể thực hiện bằng những
ứng dụng trực tuyến như:
-Whois (http://www.whois.net)
-ARIN (https://www.arin.net)
-Nslookup (http://network-tools.com/nslook)
-Neo Trace
-VisualRoute Trace
-Smart Whois
-Visual Lookout
-EMailTrackerPro
-Netcraft
Các bước thu thập thông tin
-Tìm kiếm từ các nguồn thông tin
-Xác định các dãy địa chỉ mạng
-Xác định các máy còn họat động
-Tìm kiếm những cổng mở hay điểm truy cập của mục tiêu
-Dò tìm hệ điều hành của mục tiêu
-Tìm kiếm các dịch vụ đang họat động trên những cổng mở
-Lập mô hình mạng
Ngăn chặn :
-Ẩn các thông tin quan trọng, xóa lịch sử hoạt động cá nhân,..
-Xây dựng hệ thống tường lửa security
-Khóa các port không chạy dịch vụ
-Đặt mật khẩu trên các thiết bị hệ thống
d) Liệt kê tên các kỹ thuật Scanning sử dụng để thu thập thông tin mục tiêu?

- Sau khi các giai đoạn hoạt động thăm dò chủ động và bị động của hệ thống mục tiêu
hoàn tất, chúng ta tiến hành quét. Quét được sử dụng để xác định một hệ thống có trên
 mạng hay không và có đang sẵn sàng hoạt động. Công cụ quét được sử dụng để thu thập
thông tin về một hệ thống như địa chỉ IP, hệ điều hành, và các dịch vụ chạy trên các máy
tính mục tiêu. Ba loại quét chủ yếu mà chúng ta nhắm tới.

-Port scanning là quá trình xác định cổng TCP/IP mở và có sẵn trên một hệ thống. Công
cụ Port scanning cho phép một hacker tìm hiểu về các dịch vụ có sẵn trên một hệ thống
nhất định. Mỗi dịch vụ hay ứng dụng máy tính được kết hợp với một số cổng thông dụng.
Ví dụ, một công cụ quét đó là xác định cổng 80 mở cho một web sever đang chạy trên đó.
Hacker cần phải biết rõ với số cổng thông dụng.

-Network scanning là một quy trình để xác định máy chủ đang hoạt động trên mạng,
hoặc để tấn công chúng hoặc là đánh giá an ninh mạng. Máy chủ được xác định bởi IP cá
nhân của chúng. Các công cụ network-scanning cố gắng xác định tất cả các máy chủ trực
tiếp hoặc trả lời trên mạng và địa chỉ IP tương ứng của chúng.
-Vulnerability scanning là quá trình chủ động xác định các lỗ hổng của hệ thống máy
tính trên mạng. Thông thường, một máy quét lỗ hổng đầu tiên xác định các hệ điều hành
và số phiên bản, bao gồm các gói dịch vụ có thể được cài đặt. Sau đó, máy quét lỗ hổng
xác định các điểm yếu, lỗ hổng trong hệ điều hành.Trong giai đoạn tấn công sau đó, một
hacker có thể khai thác những điểm yếu để đạt được quyền truy cập vào hệ thống. Một hệ
thống phát hiện xâm nhập (IDS) hay một mạng an ninh tinh vi chuyên nghiệp với các
công cụ thích hợp có thể phát hiện các hoạt động port-scanning. Các công cụ dò quét
cổng TCP/IP tìm kiếm các cổng mở và địa chỉ IP, và lỗ hổng thường có thể bị phát hiện,
vì các máy quét phải tương tác với hệ thống đích trên mạng.

e) Trình bày hoạt động Full Open Scan?

- Full Open Scanning là một hình thức của công nghệ scan, trong đó quy trình bắt tay ba
bước bắt đầu và kết thúc. Full Open Scanning đảm bảo các phản hồi từ các host đích vẫn
hoạt động và hoàn thiện việc kết nối. Đó là một ưu điểm phổ biến của Full Open
Scanning. Tuy nhiên, nó có thể bị dò tìm, loại bỏ bởi các thiết bị bảo mật như tường lửa
và IDS. Kết nối TCP/ Full Open Scanning không yêu cầu quyền ưu tiên người dùng cấp
cao (Super user Privileges).

-Khi đang sử dụng Full Open Scanning và gặp phải một port đóng, phản hồi RST được
gửi tới các yêu cầu đang đi đến nhằm kết thúc thử nghiệm. Để thực hiện Full Open Scan,
bạn cần sử dụng lựa chọn –sT cho việc kết nối Scan ( Connect Scan)

Gõ lệnh để thực thi Full Open Scan:

nmap -sT <ip address or range>

Câu 2:
a) Vulnerability là gì?

Lỗ hổng bảo mật (tiếng Anh: vulnerability) là một khái niệm phổ biến trong giới an toàn
thông tin. Có rất nhiều định nghĩa khác nhau về lỗ hổng, nhưng tất cả đều có điểm chung là
ám chỉ một điểm yếu (kỹ thuật hoặc phi kỹ thuật) của một phần mềm, phần cứng, giao thức,
hay một hệ thống thông tin.

b) Trong phương pháp FootPrinting bằng Search Engine làm cách nào có thể xác định vị trí
địa lý của một mục tiêu?

Sử dụng công cụ Goole Earth để có được vị trí thực tế của mục tiêu
https://earth.google.com   

Các công cụ để tìm kiếm vị trí địa lý của muc tiêu

https://maps.google.com
c) Trình bày các mục tiêu của Network Scanning?
Network Scanning là một phương pháp khai thác những thông tin mạng như: Nhận dạng
máy chủ (host), thông tin cổng “port”, và các dịch vụ bằng cách quét các mạng và cổng
port.
Mục đích chính của Network Scanning là:

 Nhận dạng host hoạt động trên mạng

 Nhận dạng các cổng port đóng và mở
 Nhận dạng thông tin hệ điều hành
 Nhận dạng các dịch vụ đang chạy trên mạng
 Nhận dạng các quá trình đang diễn ra trên mang
 Nhận dạng sự hiện diện của thiết bị bảo mật, ví dụ như tường lửa
  Nhận dạng kiến trúc hệ thống
 Nhận dạng các dịch vụ đang chạy
 Nhận dạng các điểm yếu

d) Hãy trình bày kỹ thuật Scanning qua hình vẽ sau đây

Scan khi một cổng mở :

 Máy tấn công gửi đến máy mục tiêu một bản tin SYN để bắt đầu kết nối nhằm để dễ dàng
giao tiếp giữa 2 máy chủ.
 Máy mục tiêu nhận được gói SYN yêu cầu từ máy tấn công thì máy mục tiêu sẽ gửi lại
phản hồi SYN/ACK 
 Máy tấn công gửi lại gói ACK để xác nhận kết nối và giao tiếp bắt đầu được thực hiện .
Sau 3 gói tin gói này là các gói tin có chứa dữ liệu.
 Máy tấn công gửi gói tin RST để đặt lại kết nối.
Scan khi một cổng đóng :
 Máy tấn công gửi tới máy mục tiêu gói tin SYN để yêu cầu kết nối 
 Máy mục tiêu phản hồi lại gói RST yêu cầu đặt lại kết nối.
e) Sử dụng công cụ nmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
Nmap -sT -p 135 192.168.198.140  
Nmap -sT -p 80 192.168.198.140  
Câu 3:
a) Exploit là gì?
Exploit là một cuộc tấn công lợi dụng một lỗ hổng cụ thể trên hệ thống để giúp những kẻ
tấn công xâm nhập vào máy tính
b) FootPrinting bằng People Search thu thập được những thông tin nào của một người hoặc
một tổ chức?
Sử dụng
https://www.google.com.vn/alerts 
-Theo dõi một nội dung đặc biệt một cách nhanh và an toàn nhất.
-Hỗ trợ rất tốt để tìm kiếm khách hàng trên Internet.
  -Theo dõi các xu hướng người dùng hiệu quả để lên chiến dịch marketing.
 -Tìm kiếm các thông tin đặc biệt mỗi ngày (mã giảm giá, vé máy bay giá rẻ, máy tính đời
mới…v…v..)
- Theo dõi ý tưởng viết bài hay một ý tưởng nào đó một cách dễ dàng.
- Theo dõi thông tin cá nhân nhạy cảm trên internet.
- Phát hiện spam trên website rất hiệu quả.
-Hỗ trợ SEO.
- Theo dõi các đối thủ cạnh tranh.

c) Để kiểm tra một thiết bị đang hoạt động trên mạng có thể sử dụng kỹ thuật quét nào?
 Scan ICMP (ICMP Scanning) Quét ICMP là một phương thức nhận dạng host nào
đang hoạt động bằng cách gửi  ICMP echo request tới một host. Gói trả lời ICMP
Echo xác nhận host đang hoạt động.  Ping Scanning là một công cụ hữu hiệu không chỉ
cho việc nhận dạng host hoạt động mà còn cho việc quyết đinh gói ICMP nào vượt qua
tường lửa và giá trị TTL.
 Ping Sweep Ping Sweep định ra host hoạt động trên phạm vị rộng. Ping Sweep là một
cách gửi gói ICMP Echo Request tới một số lượng lớn địa chỉ IP thay vì chỉ một địa chỉ
IP rồi quan sát tín hiệu phản hồi.
 Scan SSDP Simple Service Discovey Protocol (SSDP) là một giao thức được dùng để
phát hiện dịch vụ mạng mà không cần tới sự trợ giúp của cấu hình dựa vào máy chủ
như Dynamic Host Configuration Protocol (DHCP) và Domain Name System (DNS)
và cấu hình mạng host tĩnh. Giao thức SSDP có thể khám phá những thiết
bị Plug&Play với UPnP ( Universal Plug and Play). Giao thức SSDP tương thích
với IPv4 và IPv6.
 Hping là một công cụ tạo và phân tích với các dòng lệnh TCP/IP được sử dụng để gửi đi
các gói TCP/IP tùy chỉnh, hiển thị phản hồi từ mục tiêu giống như lệnh ping hiển thị các
gói ICMP Echo Reply từ host mục tiêu. Hping cũng có thể điều khiển việc phân mảnh,
phần thân gói tin tùy chọn, kích cỡ và truyền dẫn tệp tin. Hping hỗ trợ các giao thức
TCP, UUDP, ICMP và RAW-IP. Khi sử dụng Hping, ta có thể biểu diễn các thông số
sau:

 Nguyên tắc kiểm tra tường lửa

 Scan port hiện đại
 Kiểm tra thực thi mạng
 Khám phá đường đi MTU
 Truyền dẫn tập tin thậm chí qua nguyên tắc tường lửa “phát xít”
 Công cụ truy vết dưới nhiều giao thức khác nhau
 Lấy vân tay OS và những thứ khác từ xa

 Full Open Scanning là một hình thức của công nghệ scan, trong đó quy trình bắt tay ba
bước bắt đầu và kết thúc. Full Open Scanning đảm bảo các phản hồi từ các host đích
vẫn hoạt động và hoàn thiện việc kết nối. Đó là một ưu điểm phổ biến của Full Open
Scanning. Tuy nhiên, nó có thể bị dò tìm, loại bỏ bởi các thiết bị bảo mật như tường
lửa và IDS. Kết nối TCP/ Full Open Scanning không yêu cầu quyền ưu tiên người dùng
cấp cao (Super user Privileges)
  Half Open Scan còn được biết đến như Stealth Scan. Để hiểu được quá trình Half Open
Scan, xem xét cốt kịch của hai host A và B. Host A là điểm bắt đầu kết nối bắt tay TCP.
Host A gửi gói tin Sync để bắt đầu bắt tay. Host nhận ( host B) hồi đáp bằng gói
tin Sync+Ack. Host A, thay vì nhận gói Ack từ host B, sẽ trả lời bằng RST.
 Inverse TCP Flag Scanning là quá trình Scan trong đó người gửi gửi đi thăm dò TCP
với các TCP flag, i.e. FIN, URG và PSH hoặc không cần flag. Sự thăm dò bằng TCP
flags được biết đến như XMAS Scanning. Trong trường hợp không có các flag, ta biết
đến nó như Null Scanning
 Mas Scan là kiểu scan trong đó chứa nhiều flag. Các gói tin được gửi đi song song với
URG, PSH và FIN, hoặc một gói tin với tất cả các flag tạo ra một tình huống bất thường
đối với người nhận. Hệ thống nhận sẽ phải quyết định khi sự cố xảy ra. Port bị đóng
phản hồi với gói tin RST đơn. Nếu port đang được mở, một số hệ thống sẽ phản hồi như
một port mở, tuy rằng hệ thống modern sẽ phớt lờ hoặc làm ngừng lại các yêu cầu bởi sự
kết hợp giả của các flag này. FIN Scan chỉ hoạt động với hệ điều hành nào có RFC-793
based TCP/IP Implementation. FIN Scan sẽ không hoạt động trên bất cứ phiên bản hiện
tại nào của Windows, điển hình như Windows XP hoặc những phiên bản mới hơn.
 FIN scan là quá trình gửi đi các gói tin chỉ chứa bộ FIN flag. Những gói tin này có thể có
quyền tin cậy để vượt qua tường lửa. Gói FIN Scan khi được gửi tới mục tiêu, các port sẽ
được xem như là đang mở nếu không có hồi đáp. Nếu port bị đóng, RST được trả lại.
 Null Scan Là quy trình gửi đi các gói tin không chứa các bộ flag. Các phản hồi đều tương
tự với FIN và XMAS Scan. Nếu gói tin Null Scan gửi tới một port mở, sẽ không có
phản hồi. Nếu gói tin Null Scan gửi tới port đóng, nó sẽ mang theo gói RSR. Việc thực
hiện kiểu scan này tương đối dễ dàng vì không có lý do hợp lý nào giải thích cho việc gửi
đi gói tin mà không có flag nào.
 IDLE/IPID Header Scan là một công nghệ độc đáo và hiệu quả để nhận dạng trạng thái
của port máy chủ mục tiêu. Khi sử dụng cách scan này, các profile không đáng kể có thể
được giữ lại.
 Scan UDP Giống như công nghệ scan dựa trên TCP, ta cũng có các phương pháp Scan
UDP. Hãy nhớ rằng, UDP là giao thức phi kết nối. UDP không có các flag. Khi gói tin
UDP đang hoạt động với các port, ta không cần đến các kết nối có định hướng. Sẽ chẳng
có phản hồi nào nếu port mục tiêu đang mở. Tuy nhiên, nếu port bị đóng, tin nhắn phản
hồi “Port unreachable” sẽ được gửi về. Hầu hết các chương trình độc hại, Trojans, phần
mềm gián điệp sử dụng port UDP để truy cập vào mục tiêu.

d) Kỹ thuật Half-open Scan được thực hiện như thế nào?

Stealth Scan ( Half-open Scan) Half Open Scan còn được biết đến như Stealth Scan. Để
hiểu được quá trình Half Open Scan, xem xét cốt kịch của hai host A và B. Host A là điểm
bắt đầu kết nối bắt tay TCP. Host A gửi gói tin Sync để bắt đầu bắt tay. Host nhận ( host B)
hồi đáp bằng gói tin Sync+Ack. Host A, thay vì nhận gói Ack từ host B, sẽ trả lời bằng
RST. Để biểu diễn kiểu scan này trong nmap, sử dụng cú pháp:
 nmap -sS <ip address or range>
e) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
Nmap -sS -p 135 192.168.198.140
 Câu 4:

a) Payload là gì?
Payload là phần dữ liệu vận chuyển của một gói tin giữa 2 đối tác, mà không chứa dữ liệu
giao thức hay siêu dữ liệu chỉ được gửi đi để dùng cho việc chuyên chở payload. Payload
thường là văn bản, dấu hiệu hay âm thanh.
b) FootPrinting qua Job Sites thu thập được những thông tin nào?
-Yêu cầu công việc
-Hồ sơ của nhân viên
-Thông tin phần cứng
-Thông tin phần mềm
c) Hãy giải thích hình sau đây:

-Quét ping liên quan đến việc gửi các yêu cầu ICMP ECHO tới một máy chủ. nếu máy chủ lưu
trữ đang hoạt động, máy chủ sẽ trả lại câu trả lời ICMP ECHO Reply
-Quá trình quét này rất hữu ích để định vị các thiết bị đang hoạt động hoặc xác định xem ICMP
có vượt qua tường lửa hay không.
d) Kỹ thuật Xmas Scan được thực hiện như thế nào?
-Trong quá trình quét Xmas, những kẻ tấn công gửi khung TCP tới một thiết bị từ xa có đặt cờ
FIN, URG và PUSH nhằm tấn công đến các cổng đang mở để gửi một gói tin cụ thể.

- Kẻ tấn công gửi các gói thăm dò TCP với cờ TCP (FIN, URG, PSH) được đặt hoặc không có
cờ, không có phản hồi nghĩa là cổng đang mở và phản hồi RST có nghĩa là cổng bị đóng.

Lưu ý: Quét cờ TCP ngược được gọi là quét FIN, URG, PSH dựa trên cờ được đặt trong gói
thăm dò. nó được gọi là quét rỗng nếu không có cờ nào được đặt
e)
Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
nmap -sX -p 80 192.168.232.129
-sX: quét Xmas
-p: lệnh cổng (port)
-80: là cổng (port)
-192.168.32.129: IP máy tấn công
Câu 6:
a) Daisy Chaining là gì?
- Là hành động cho phép thực hiện nhiều vụ tấn công liên tục với mỗi hành động dựa trên kết
quả của những hành động trước đó
-Nó liên quan đến việc đạt đuợc quyền truy cập vào một mạng hoặc máy tính, sau đó sử dụng
cùng một thông tin để truy cập vào nhiều mạng và máy tính có chứa thông tin mong muốn
b) Thu thập thông tin qua Groups, Forums, Blogs sẽ được những thông tin gì và cách thu thập
thông tin?
- Google search engine có thể được sử dụng một cách sáng tạo để thực hiện việc tổng hợp thông
tin. Việc sử dụng về Google searh engine để lấy thông tin được gọi là Google hacking.
http://groups.google.com có thể được sử dụng để tìm kiếm Google newsgroup.
- Blog, new groups, báo chí…là những nơi tốt nhất để tìm kiếm thông tin công ty hay nhân viên.
Các công ty tuyển dụng có thể cung cấp thông tin như những loại máy chủ hoặc thiết bị cơ sở hạ
tầng một công ty đang sử dụng. Thông thường, một hacker dùng 90% thời gian hồ sơ và tập hợp
thông tin trên một mục tiêu và 10% thời gian tiến hành việc tấn công.
- Phương pháp :
Domain name lookup
Whois
Nslookup
Sam Spade

c ) Hãy biểu diễn ICMP Scanning để kiểm tra một thiết bị đang hoạt động trên mạng bằng
Command Line.
-Như hình trên thì thiết bị chúng ta đang sử dụng có địa chỉ IP là 192.168.90.124. Vậy mạng wifi
có dải mạng là 192.168.90.x và Subnet Mark là 255.255.255.0 => 24.
- Để tìm số thiết bị đang kết nối tới mạng wifi thì hãy chạy command sau:
nmap –sn 192.168.90.0/24
-Kết quả là có 8 thiết bị đang kết nối trong mạng wifi (8 hosts up)

-Kiểm tra 1 thiết bị đang hoạt động trên mạng

-Gõ câu lệnh trên Command :
Nmap –O 192.168.90.124
-Để kiểm tra các port mở và thông tin về OS của thiết bị:
d) Kỹ thuật Null Scan được thực hiện như thế nào?
- Null Scan: Là quy trình gửi đi các gói tin không chứa các bộ flag. Nếu gói tin Null Scan gửi
tới một port mở, sẽ không có phản hồi. Nếu gói tin Null Scan gửi tới port đóng, nó sẽ mang theo
gói RST. Việc thực hiện kiểu scan này tương đối dễ dàng vì không có lí do hợp lí nào giải thích
cho việc gửi đi gói tin mà không có flag nào.
e) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
nmap –sN <ip address or range>
vd: nmap –sN –p 80 192.168.79.138
null scan đến port 80(closed) máy 192.168.79.138
Câu 7:
a) Doxing là gì?
Doxing là quá trình thu thập các thông tin của người dùng khác như tên, tuổi, email, địa chỉ, số
điện thoại, ảnh, … bằng các nguồn có sẵn công khai, chẳng hạn như Internet. Doxing là hành
động sử dụng Internet để tìm kiếm các thông tin cá nhân về một người nào đó.
b) Giải thích các toán tử CACHE, LINK trong Google Advance Search?
-Toán tử CACHE:
Là một toán tử tìm kiếm được sử dụng để tìm phiên bản của một trang trong bộ nhớ đệm. Google
tạo một phiên bản lưu vào bộ nhớ đệm để người dùng vẫn có thể truy cập trang web trong những
trường hợp như khi trang web không truy cập được nữa.
Toán tử cache: chỉ dùng được trong công cụ tìm kiếm trên web.
Ví dụ: cache:vnexpress.net
-Toán tử LINK:
Tìm các trang liên kết đến một tên miền hoặc URL cụ thể Google đã loại bỏ toán tử này trong
năm 2017, nhưng nó vẫn hiển thị một số kết quả – tuy nhiên không chính xác lắm.
Ví dụ: link:apple.com

c) Hãy giải thích hình sau đây:

-Để thực hiện quét ping hoặc khám phá host, hãy gọi nmap lệnh với -sn : Các -sn tùy chọn cho
Nmap chỉ để khám phá host online và không nên làm một port quét. Để xác định host lưu trữ
được chỉ định nào đang hoạt động.
-Ta sử dụng câu lệnh: nmap -sn 192.168.1.1 với ip của mục tiêu là: 192.168.1.1
-Sau khi chạy dòng lệnh ta thấy nó quét port 192.168.1.1 => Nó thông báo host này đang hoạt
động với độ trễ 0.00s và cung cấp địa chỉ MAC

d) Kỹ thuật ACK Flag Prope Scanning được thực hiện như thế nào?
Kỹ thuật ACK Flag Probe Scanning gửi các TCP packet với ACK flag tới các mục tiêu . Kỹ
thuật này sử dụng để xác định các tưởng lửa, nếu có RST packet trả về chứng tỏ cổng này không
đóng, nếu không có response , cổng này đang được đóng. Kỹ thuật này chủ yếu sử dụng TTL và
Window size trên các RST packet để xác định cổng đóng hay mở.
e) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
nmap –sA –p 135 192.168.40.138
ACK Flag Probe Scanning đến port 135 (unfiltered= tắt firewall) máy 192.168.40.138
Câu 8:
a) Bot là gì?
-Bot - viết tắt của robot và còn được gọi là internet bot - là một chương trình máy tính hoạt động
như một agent cho người dùng hoặc chương trình khác hoặc để mô phỏng hoạt động của con
người. Các bot thường được sử dụng để tự động hóa một số tác vụ nhất định, nghĩa là chúng có
thể chạy mà không cần con người hướng dẫn cụ thể.
-Một tổ chức hoặc cá nhân có thể sử dụng bot để thay thế một công việc lặp đi lặp lại mà con
người nếu không sẽ phải thực hiện. Bots cũng nhanh hơn nhiều so với con người. Mặc dù bot có
thể thực hiện các chức năng hữu ích nhưng chúng cũng có thể độc hại và ở dạng phần mềm độc
hại.
b) Giải thích các toán tử RELATED, INFO trong Google Advance Search?
-RELATED: Tìm các trang web liên quan đến 1 miền nhất định
Ví dụ: tìm RELATED:express.net
-INFO: Tìm thông tin về một trang cụ thể, bao gồm bộ nhớ cache gần đây nhất, các trang tương
tự, v.v.
Ví dụ: Tìm INFO:vnexpress.net trên Google.
c) Các công cụ nào có thể thực hiện PingSweep?
-SolarWinds IP Address Manager (IPAM)
-SolarWinds Engineer’s Toolset (ETS)
-Paessler PRTG Network Monitor
-PingPlotter Pro
-IPHost Network Monitor
-ManageEngine OpManager
-Zenmap
-Pinkie
-Advanced IP Scanner
-Fping
-Angry IP Scanner
d) IDLE Scan được thực hiện như thế nào?
-IDLE Scan là một phương pháp quét cổng TCP bao gồm việc gửi các gói giả mạo đến một máy
tính để tìm ra những dịch vụ có sẵn. Điều này được thực hiện bằng cách đóng giả một máy tính
khác có lưu lượng mạng rất chậm hoặc không tồn tại (nghĩa là không truyền hoặc nhận thông
tin). Đây có thể là một máy tính không hoạt động, được gọi là "zombie".
e) Sử dụng công cụthuật IDLE Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong
câu (d).
Nmap –sI 192.168.180.154 –p 80 –Pn 192.168.235.130
192.168.180.154: địa chỉ IP máy zombie
192.168.235.130: địa chỉ IP máy bị tấn công

Câu 9:
a) Trình bày các thành phần của an ninh mạng thông tin?
An toàn mạng thông tin là trạng thái tốt của thông tin và cơ sở hạ tầng, trong đó khả năng bị
đánh cắp, giả mạo và làm gián đoạn thông tin và dịch vụ được giữ ở mức thấp hoặc có thể chấp
nhận được.
1. Confidentiality (Bảo mật)
2. Integrity (Toàn vẹn)
3. Availability (Tính đảm bảo)
4. Authenticity (Tính xác thực)
5. Non-Repudiation (Không thoái thác)
b) Giải thích các toán tử SITE, ALLINTITLE trong Google Advance Search?
-Cú pháp “site:” giới hạn Google chỉ truy vấn những từ khóa xác định trong một site hoặc tên
miền riêng biệt (Không có khoảng trống nào giữa “site:” và “tên miền”)
-Cú pháp “allintitle”: giới hạn các kết quả bao gồm tất cả các từ cụ thể trong thẻ tiêu đề mới
được trả về.
c) Giải thích dòng lệnh sau đây: hping3 -1 192.168.1.1
- Kiểm tra kết nối tới máy có địa chỉ là 192.168.1.1 bằng chế độ ICMP
- Nó sẽ sử dụng 2 thông diệp “ICMP echo request” và “ICMP echo reply” để thực hiện quy trình
ping (nhận đươc bao nhiêu ICMP echo request thì sẽ trả về bấy nhiêu gói ICMP echo reply.)
d) Kỹ thuật UDP Scanning được thực hiện như thế nào?
-Đây là kiểu scan để phát hiện một cổng UDP đang mở. Gói tin UDP sẽ được gửi tới tất cả các
cổng của mục tiêu. Hoặc ta có thể chỉ định gửi tới một cổng cụ thể.
Ví dụ: nmap -sU -p 53 192.168.1.2 (UDP Scan port 53 trên máy mục tiêu có địa chỉ 192.168.1.2)
- Nếu cổng mở:
+Không có quá trình bắt tay ba bước giống như TCP
+Mục tiêu sẽ không gửi lại gì nếu port mở (vì các port mở không phải gửi xác nhận để phản hồi
lại một đầu dò)
- Nếu cổng đóng:
+Mục tiêu sẽ gửi lại một gói tin ICMP Port Unreachable (gói ICMP lỗi).
+Các phần mềm gián điệp độc hại sẽ sử dụng cổng UDP để tấn công.
e) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
Dùng công cụ Nmap thực hiện UDP Scanning máy nạn nhân bằng câu lệnh:
nmap -sU -p 80 192.168.13.130
Ở đây ta thực hiện quét port 80 bằng UDP Scan ->Port 22 đóng.
Ta nhận lại một gói tin ICMP Port Unreachable (gói ICMP lỗi)

Câu 10:
a) Giải thích hình vẽ sau đây?

Trong một hệ thống, mức độ bảo mật là thước đo độ mạnh yếu của việc bảo mật, chức năng và
tính khả dụng, ba điều này kết hợp tạo thành “tam giác” Security, Functionality và Usability.
Xem xét một “trái bóng” nằm trong tam giác này. Khi trái bóng nằm trong trọng tâm, điều đó có
nghĩa là cả ba yếu tố đã nêu đều mạnh mẽ hơn. Khi quả bóng này có thiên hướng di chuyển về
một góc nào đó của tam giác thì có nghĩa rằng yếu tố tương ứng với góc đó được chú trọng, tăng
cường và đồng thời 2 yếu tố còn lại sẽ bị coi nhẹ, suy giảm. Cụ thể:
-Nếu nâng cao độ bảo mật cho hệ thống (quả bóng di chuyển về góc Security) cũng đồng nghĩa
với việc người dùng phải chịu nhiều rằng buộc, trải qua nhiều bước kiểm tra an ninh khi muốn
tiếp cận và sử dụng hệ thống (tức, tính Usability bị giảm đi) và số lượng các chức năng của hệ
thống sẽ được giữ ở mức tối thiểu nhất có thể vì rõ ràng, càng nhiều chức năng thì hệ thống đó
tiềm ẩn thêm những lỗ hổng có thể bị khai thác (tức, tính Functionalitybị giảm đi).
-Nếu bổ sung thêm nhiều chức năng cho hệ thống (quả bóng di chuyển về góc Functionality)
cũng đồng nghĩa việc hệ thống đó có thể chứa đựng nhiều lỗ hổng không lường trước được, các
mối đe dọa và rủi ro tăng lên (tức, tính Security giảm đi) và rõ ràng, càng nhiều chức năng thì độ
phức tạp khi sử dụng hệ thống tăng lên (tức, tính Usability giảm đi).
-Cuối cùng, nếu muốn việc sử dụng hệ thống trở nên đơn giản, thuận tiện hơn (quả bóng di
chuyển về góc Usability) thì buộc lòng ta phải giảm tinh giản, làm gọn các chức năng trong hệ
thống (tức, tính Functionality giảm đi) và nới lỏng các biện pháp an ninh (tức, tính Security giảm
đi).

b) Giải thích các toán tử INTITLE, ALLINURL trong Google Advance Search?
-INTITLE: Tìm các trang với từ (hoặc cụm từ) cụ thể trong tiêu đề.
-ALLINURL: Tìm các trang có từ (hoặc cụm từ) cụ thể trong URL nhưng chỉ trả về các kết quả
bao gồm tất cả các từ cụ thể đó trong URL.
c) Giải thích dòng lệnh sau đây: hping3 -A 192.168.1.1 –p 80
Dòng lệnh được hiểu là ACK scan trên port số 80, trong đó:
-A đặt cờ ACK
192.168.1.1 [địa chỉ IP máy đích]
-p vị trí đích [ở đây là port 80]
d) Kỹ thuật Decoy Scan được thực hiện như thế nào?
Decoy Scan là một kỹ thuật thực hiện một IP Spoofing (giả mạo). Trong kỹ thuật này, kẻ tấn
công sẽ gửi các gói tin đến mục tiêu bằng cách sử dụng các địa chỉ IP khác nhau. Chỉ có một
trong các gói chứa địa chỉ IP của kẻ tấn công. Bằng cách này, nạn nhân sẽ không biết ai là kẻ tấn
công thực sự.
e) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (d).
nmap –sS –D 192.168.116.130,192.168.116.131 192.168.1.5
Sau tham số “-D” là các giá trị IP cụ thể, với mỗi cổng khi scan mục tiêu sẽ nhận đồng thời 3
gói tin (một từ kẻ tấn công, một từ IP 192.168.116.130, và một từ IP 192.168.116.131). Kết
quả là mục tiêu sẽ phản hồi với cả 3 địa chỉ IP và có sẽ nghĩ rằng cả 3 IP đang scan mình. Tuy
nhiên, khi ta tăng giá trị IP lên hàng trăm IP thì việc tìm ra kẻ tấn công thực sự là rất khó khăn.

Câu 11:
a) Liệt kê các mối đe dọa mạng?
- Thu thập thông tin
- Đánh hơi và nghe trộm
- Giả mạo
- Chiếm quyền điều khiển và tấn công xen giữa
- Làm hỏng DNS và ARP
- Tấn công dựa trên mã
- Tấn công từ chối dịch vụ
- Tấn công phá mã khoá
- Tấn công tường lửa và IDS
 b) Dùng tùy chọn Google Advance Search sẽ thu thập được những thông tin gì và khai báo các
thông tin nào khi cài đặt?
-Google thu thập tất cả thông tin mà người dùng thực hiện trên các dịch vụ của họ (Khi sử
dụng các dịch vụ như Google Search, Google Maps, Google Now, YouTube) nhằm cải tiến
chất lượng cũng như cung cấp các nội dung quảng cáo có liên quan.
c) Giải thích dòng lệnh sau đây: hping3 -2 192.168.1.1 –p 80
-2 là để vào UDP scanning mode
-p là để chọn port đích (mặc định là 0)
80 là port được chọn
e) Trình bày các bước thực hiện IDLE/IPID Header Scanning?
1. Cấu hình tường lửa và tập luật IDS để phát hiện và ngăn chặn thăm dò
2. Chạy công cụ port scanning chống lại các máy chủ trong mạng để xác định tường lửa phát
hiện đúng các hoạt động port scanning
3. Chắc chắn rằng cơ chế dùng cho định tuyến và lọc trong router và tường lửa tương ứng không
thể bị vượt qua bằng cách sử dụng port nguồn cụ thể hoặc các phương pháp định tuyến nguồn
4. Chắc chắn rằng router, IDS và phần lõi tường lửa được cập nhật đến phiên bản mới nhất
5. Sử dụng cài đặt quy luật tuỳ chỉnh để đóng cửa mạng và chặn các cổng không mong muốn ở
tường lửa
6. Lọc tất cả bản tin ICMP ở tường lửa và router
7. Thực hiện quét dọc TCP và UDP với đầu dò ICMP chống lại không gian địa chỉ IP của tổ
chức của bạn để kiểm tra cấu hình mạng và port khả dụng
8. Chắc chắn rằng quy luật ngăn chặn quét và giả mạo được thiết lập

Câu 12:
a) Liệt kê các mối đe dọa máy tính?
Những mối đe dọa máy tính:
-Mối đe dọa vật lý: Mối đe dọa vật lý là nguyên nhân tiềm ẩn của sự cố có thể dẫn đến mất mát
hoặc thiệt hại vật chất đối với hệ thống máy tính.
-Nội bộ: Các mối đe dọa bao gồm hỏa hoạn, nguồn điện không ổn định, độ ẩm trong các phòng
chứa phần cứng,…
-Bên ngoài: Những mối đe dọa như lũ lụt, động đất,…
-Con người: Những mối đe dọa này bao gồm hành vi trộm cắp, phá hoại cơ sở hạ tầng hoặc phần
cứng, gián đoạn, lỗi vô tình hoặc cố ý.
-Biện pháp: Để bảo vệ hệ thống máy tính khỏi các mối đe dọa vật lý nêu trên, một tổ chức phải
có các biện pháp kiểm soát an ninh vật lý.
-Nội bộ: Các mối đe dọa bên trong nên được đảm bảo và được xử lý cẩn thận. Một tổ chức có thể
thuê các công ty bên ngoài chuyên trách về các sự cố vật lý.
-Bên ngoài: Các mối đe dọa này nên được giảm thiểu tối đa vì hầu như các đe dọa bên ngoài là
có tính ngẫu nhiên, bất chợt và không đoán trước được, do vậy cần chuẩn bị mọi phương án có
thể xảy ra.
-Con người: Có thể ngăn chặn bằng cách hạn chế quyền đối với người ngoài cùng như người bên
trong tổ chức.

-Mối đe dọa phi vật lý: Một mối đe dọa phi vật lý là một nguyên nhân tiềm ẩn của một sự cố có
thể dẫn đến:
-Mất hoặc hỏng dữ liệu hệ thống
-Làm gián đoạn hoạt động kinh doanh dựa vào hệ thống máy tính
-Mất thông tin nhạy cảm
-Giám sát bất hợp pháp các hoạt động trên hệ thống máy tính
-Vi phạm an ninh mạng
-Một số đe dọa khác
Các mối đe dọa phi vật lý phổ biến: Vi-rút, phần mềm gián điệp, phần mềm quảng cáo, tấn công
từ chối dịch vụ, các cuộc tấn công từ chối dịch vụ phân tán, truy cập trái phép vào các tài nguyên
của hệ thống máy tính và các rủi ro bảo mật máy tính khác.
Biện pháp:
-Để bảo vệ khỏi vi-rút, một tổ chức có thể sử dụng phần mềm chống vi-rút, kiểm soát việc sử
dụng thiết bị lưu trữ bên ngoài và truy cập trang web.
-Việc truy cập trái phép vào tài nguyên hệ thống máy tính có thể bị ngăn chặn bằng cách sử dụng
các phương pháp xác thực. Các phương pháp xác thực có thể dựa trên ID người dùng, mật khẩu
hoặc sinh trắc học.
-Hệ thống phát hiện, ngăn chặn xâm nhập có thể được sử dụng để bảo vệ chống lại các cuộc tấn
công từ chối dịch vụ.
b) Khi sử dụng các dịch vụ Google Search, Google Map, Google Now, YouTube thì những
thông tin nào mà Google có thể lưu giữ của người dùng?
-Google search: hiển thị được lịch sử tìm kiếm, vị trí tìm kiếm.
-Youtube: lịch sử xem, lịch sử tìm kiếm.
-Google map: vị trí nơi mà thiết bị tìm kiếm, mốc thời gian tìm kiếm.
-Google now là chức năng ra lệnh tìm kiếm bằng giọng nói giống như google search: hiển thị
được lịch sử tìm kiếm
c) Giải thích dòng lệnh sau đây: hping3 -8 50-60 –s 192.168.1.1 –v
-8 là chế độ Scan
-s là xác định nguồn cổng
192.168.1.12 là địa chỉ IP của máy
-v thể hiện phiên bản
50-60 là scan từ port 50 đến 60
d) Giải thích vì sao trong IDLE/IPID Header Scanning khi giá trị IPID tăng lên 1 thì Port đóng
và tăng lên 2 thì Port mở?
-Kẻ tấn công sẽ gửi một gói tin SYN|ACK đến một cổng của Zombie và sẽ phản hồi một gói tin
RST chứa 1 IP ID
-Kẻ tấn công tiếp tục gửi một gói tin SYN giả mạo IP của Zombie đến cổng của mục tiêu.
-Nếu cổng đó đóng mục tiêu sẽ phản hồi đến Zombie một RST packet và zombie sẽ không tăng
giá trị IP ID, nếu cổng là mở, mục tiêu sẽ gửi một gói tin SYN|ACK đến zombie và zombie sẽ
tăng giá trị IP ID lên 1.
-Kẻ tấn công sẽ gửi một gói tin SYN|ACK khác tới Zombie và kiểm tra nếu IP ID tăng hoặc
không tăng tương ứng với cổng được mở hoặc đóng trên Mục tiêu.
e) Hãy trình bày kỹ thuật IDS Evasion?
Kỹ thuật gồm có:
1.Phân mảnh gói IP
Phân mảnh gói là phương pháp, trong đó kẻ tấn công chia các gói thăm dò thành nhiều đoạn nhỏ
hơn, trước khi gửi chúng đến mạng đích.
2.Giả IP khi tấn công
Giả mạo Địa chỉ IP là một trong những kỹ thuật chiếm quyền điều khiển, trong đó kẻ tấn công
lấy được Địa chỉ IP của máy tính sẽ thay đổi tiêu đề gói, sau đó gửi các gói yêu cầu đến máy mục
tiêu, giả vờ nó là một máy chủ hợp pháp. Các gói tin dường như đến từ một nguồn hợp pháp
nhưng thực sự được gửi từ máy của kẻ tấn công.
3.Định tuyến nguồn
Một sơ đồ dữ liệu IP chứa một số trường cũng bao gồm thông tin định tuyến nguồn và danh sách
các địa chỉ IP mà qua đó gói sẽ di chuyển đến đích của nó. Khi kẻ tấn công gửi các gói được chế
tạo độc hại đến một mục tiêu, các gói này thường đi qua các bộ định tuyến và cổng khác nhau để
đến đích của chúng, để tránh firewall và IDS những kẻ tấn công cơ chế định tuyến nghiêm ngặt
theo cách sao cho gói tin có thể đến đích thông qua một số tuyến đường khác mà không có
firewall hoặc IDS trong đường dẫn.
4.Kết nối với server proxy
Máy chủ proxy được sử dụng để thực hiện các mục đích khác nhau như trốn firewall hay IDS,
giả mạo nguồn gốc, truy cập từ xa vào mạng nội bộ. Chuỗi proxy cũng là một tùy chọn giúp kẻ
tấn công duy trì tính ẩn danh trên Internet của họ.
Câu 13:
a) Liệt kê các mối đe dọa ứng dụng (app):
- Dữ liệu đầu vào không phù hợp
- Các cuộc tấn công xác thực và ủy quyền
- Sai cấu hình bảo mật
- Công bố thông tin
- Quản lý phiên bị hỏng
- Sự cố tràn bộ đệm
- Các cuộc tấn công mật mã
- SQL injection
- Quản lý và xử lý lỗi ngoại lệ không phù hợp
b) Khi người dùng thực hiện các hoạt động sau đây: Quản lý profile, chat, chia sẻ phim ảnh, chơi
game, tham gia group, tạo ra các sự kiện trên Social Network Sites thì có thể để lộ ra những
thông tin tương ứng nào:
- Thông tin cá nhân: ngày sinh, trình độ học vấn, việc làm... và thông tin về công ty của họ:
khách hàng tiềm năng, đối tác kinh doanh, bí mật kinh doanh, tin tức sắp tới của công ty...
- Ví dụ: nếu người dùng kết bạn, trò chuyện thì kẻ tấn công có được danh sách bạn bè; người
dùng chơi game, tham gia nhóm --> kẻ tấn công biết được sở thích của người dùng.
c) Giải thích dòng lệnh sau đây: hping3 –F –P –U 192.168.1.1 –p 80
-F là thiết lập cờ FIN
-P là thiết lập cờ PUT
-U là thiết lập cờ URG
d) Hãy trình bày kỹ thuật quét SYN/FIN khi dùng IP Fragments:
- Kẻ tấn công gửi SYN/FIN được thiết lập các đoạn ip nhỏ (small ip frag) cộng với cổng, mục
tiêu của IP Fragment là để vượt qua packet fillters trong firewall. Sau đó gửi đến mục tiêu. Và sẽ
nhận lại RST nếu cổng bị đóng.
e) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật quét trong câu (d):
nmap -sS -p 80 -A -f -v <IP máy mục tiêu>
trong đó -A là thiết lập cờ ACK
-f là thiết lập
-v là version phiên bản
Câu 14:
a) Có những loại tấn công nào trên một hệ thống mạng?
- Các cuộc tấn công hệ điều hành:
+ Những kẻ tấn công tìm kiếm các lỗ hổng trong thiết kế, cài đặt hoặc cấu hình của hệ điều hành
và khai thác chúng để giành quyền truy cập vào hệ thống.
+ Các lỗ hổng hệ điều hành: lỗ hổng tràn bộ nhớ đệm, lỗi trong hệ điều hành, hệ điều hành chưa
được vá, (sửa chữa, ráp, nối)…
- Tấn công cấu hình sai web server: Các lỗ hổng định cấu hình sai ảnh hưởng đến máy chủ web,
nền tảng ứng dụng, cơ sở dữ liệu, mạng có thể dẫn đến truy cập bất hợp pháp hoặc có thể sở hữu
hệ thống.
- Các cuộc tấn công cấp độ ứng dụng:
+ Những kẻ tấn công khai thác lỗ hổng trong các ứng dụng chạy trên hệ thống thông tin của tổ
chức để truy cập trái phép và lấy cắp hoặc thao túng dữ liệu.
+ Các cuộc tấn công ở cấp độ ứng dụng: Tràn bộ nhớ đệm, lỗ hổng Cross-site script, chèn SQL,
người trung gian, chiếm quyền điều khiển phiên, từ chối dịch vụ,…
- Các cuộc tấn công cấu hình mạng: Những kẻ tấn công khai thác cấu hình và cài đặt mặc định
của thư viện và mã số,…
b) Khi một tổ chức thực hiện các hoạt động sau đây: Nghiên cứu người dùng, phát triển các sản
phẩm, hỗ trợ người dùng, tuyển dụng, thuê nhân công thì có thể để lộ những thông tin tương ứng
nào?
- Nghiên cứu người dùng: Lộ thông tin cá nhân người dùng: tên, số điện thoại, căn cước,…
- Phát triển các sản phẩm: Lộ thông tin phát triển sản phẩm: ý tưởng, nội dung,…
- Hỗ trợ người dùng: Lộ thông tin hỗ trợ người dùng: địa chỉ email, tín dụng, tên người dùng,…
- Tuyển dụng: Lộ thông tin tuyển dụng: tên doanh nghiệp, địa chỉ, mức lương, chế độ phúc lợi,…
- Thuê nhân công: Lộ thông tin thuê nhân công: danh sách nhân công =>có thể mất nguồn nhân
lực
c) Banner Grabbing là gì?
- Là phương pháp xác định hệ điều hành đang chạy trên hệ thống mục tiêu từ xa.
- Việc xác định hệ điều hành được sử dụng trên máy chủ mục tiêu cho phép kẻ tấn công tìm ra
các lỗ hổng mà hệ thống có và các cách khai thác có thể hoạt động trên hệ thống để tiếp tục thực
hiện các cuộc tấn công khác.
- Banner Grabbing có 2 loại là chủ động và thụ động.
- Chủ động:
+ Các gói được chế tạo đặc biệt được gửi đến hệ điều hành từ xa và các phản hồi được ghi nhận.
+ Các phản hồi sau đó được so sánh với cơ sở dữ liệu để xác định hệ điều hành.
+Phản hồi từ các hệ điều hành khác nhau do sự khác biệt trong triển khai ngăn xếp TCP/IP.
- Thụ động:
+ Lấy Banner từ các thông báo lỗi: thông báo lỗi cung cấp thông tin như loại máy chủ, loại hệ
điều hành và công cụ ssl được sử dụng bởi hệ thống đích từ xa.
+ Nắm bắt lưu lượng mạng: Việc nắm bắt và phân tích các gói tin từ mục tiêu cho phép kẻ tấn
công xác định hệ điều hành được sử dụng bởi hệ thống từ xa.
+ Lấy Banner Grabbing từ phần mở rộng trang: Tìm kiếm tiện ích mở rộng trong URL có thể hỗ
trợ việc xác định phiên bản ứng dụng.
d) Dùng công cụ nmap viết ra dòng lệnh Banner Grabbing một mục tiêu?
- Dùng công cụ nmap viết ra dòng lệnh Banner Grabbing một mục tiêu từ xa.
- Có thể đọc được dịch vụ và phiên bản của máy mục tiêu cho port mở được lấy bởi Nmap Script
để lấy banner cho máy mục tiêu 192.168.46.135
- Nhập lệnh nmap -Pn -p 80 -sV --script=banner vnexpress.net lấy banner cho cổng đã chọn, tức
là port 80 cho dịch vụ và phiên bản http.
- Kết quả, nó sẽ tắt http-server-header: 16377whvndd10bf7c7468e873e79ba2ad246
e) Cho biết hai công cụ thông dụng để thực hiện Banner Grabbing?
- ID Serve:
+ Serve ID được sử dụng để xác định mô hình máy chủ, mô hình và phiên bản của bất kỳ phần
mềm máy chủ nào của trang web.
+ Nó cũng được sử dụng để xác định các máy chủ Internet không phải HTTP (không phải web)
như FTP, SMTP, POP, NEWS, v.v..
- Netcraft: Netcraft báo cáo hệ điều hành, máy chủ web và chủ sở hữu netblock của trang web
cùng với, nếu có, chế độ xem đồ họa về thời gian kể từ lần khởi động lại cuối cùng cho mỗi máy
tính phục vụ trang web.
Câu 15:
a) Khi xảy ra chiến tranh thông tin những hoạt động nào là gây chiến, những hoạt động nào là
phản chiến?
*Gây chiến:
-Tấn công máy chủ web
-Tấn công ứng dụng web
-Phần mềm mã độc
-Tấn công vào hệ thống
-Hacking…
*Phản chiến:
-Phòng ngừa
-Thông báo
-Cảnh báo nghi nghờ tin độc
-Bảo vệ
-Phản ứng khi có trường hợp lạ…
b) Khi FootPrinting một website mục tiêu có thể thu thập được những loại thông tin nào?
c) Trình bày các biện pháp ngăn chặn Banner Grabbing?
-Hiển thị các biểu ngữ sai để dẫn đường cho attackers bị sai hướng tấn công
-Tắt các dịch vụ không cần thiết trên máy chủ mạng để hạn chế việc lộ thông tin
-Sử dụng các công cụ serverMask(http://www.port80software.com) để tắt hoặc thay đổi thông tin
biểu ngữ
-Apace 2.x với mod_headers module sử dụng chỉ thị trong httpd.conf file để thay đổi thông tin
biểu ngữ Header set Server “ New Server Name “
- Ngoài ra, có thể thay đổi ServerSignature thành ServerSignature Off trong httpd.conf file
-Mở rộng tệp tiết lộ thông tin về công nghệ máy chủ cơ bản mà kẻ tấn công có thể sử dụng để
khởi động các cuộc tấn công
-Ẩn phần mở rộng tệp để che giấu công nghệ web
-Thay đổi ánh xạ ứng dụng như .asp bằng .htm hoặc .foo, etc. để ngụy trang danh tính của máy
chủ
-Người dùng Apache có thể sử dụng chỉ thị mod_negotiation
-Người dùng IIS sử dụng các công cụ như PageXchanger để quản lý các phần mở rộng tệp
d) Khi thực hiện quét lỗ hỏng một hệ thống sẽ rút ra được kết luận gì?
-Có thể phát hiện các lỗ hổng cho phép tin tặc tấn công từ xa hoặc những nguy cơ tấn công xâm
nhập vào các dữ liệu, thông tin nhạy cảm trong hệ thống.
-Phát hiện ra lỗ hổng liên quan tới tấn công từ chối dịch vụ Dos.
-Phát hiện cấu hình sai (ví dụ như tính năng autoplay mở thiết bị gắn ngoài tự động khi cắm usb,
ổ cứng rời; các bản vá lỗi bị thiếu...).
-Phát hiện mức độ bảo mật của các tài khoản hệ thống (cảnh báo khi mật khẩu trống trên tài
khoản). Cũng có thể thực hiện một cuộc tấn công từ điển để phát hiện mật khẩu yếu.
-Có thể phát hiện các malware, trojan…
e) Công cụ quét lỗ hỏng Nessus xác định các lỗ hỏng theo các cấp độ nào?
-Tenable gán cho tất cả các lỗ hổng một mức độ nghiêm trọng.
-Dựa trên CVSSv2 hoặc CVSSv3. [Hệ thống chấm điểm lỗ hổng phổ biến (Common
Vulnerability Scoring System - CVSS)]
-Có 5 mức độ từ thấp nhất đến cao nhất sau đây:
Info.
Low.
Medium.
High.
Critical.
Câu 16:
a) Hacking là gì?
-Hacking đề cập đến việc khai thác các lỗ hổng hệ thống và xâm phạm các biện pháp kiểm soát
bảo mật để có được quyền truy cập trái phép hoặc không phù hợp vào tài nguyên hệ thống
-Hacking liên quan đến việc sửa đổi các tính năng của hệ thống hoặc ứng dụng để đạt được mục
tiêu ngoài mục đích ban đầu của người tạo ra.
-Hacking có thể được sử dụng để để ăn cắp và phân phối lại tài sản trí tuệ dẫn đến tổn thất kinh
doanh.
b) Liệt kê các công cụ có thể FootPrinting một website?
-Httrack Website Copier
-Supper Email Spider
-Web Data Extractor
-Burp suite
- Whois
c) Port Scanning có những kỹ thuật nào?
– TCP scanning network services
- UDP scanning network servives
d) Mô tả kỹ thuật quét TCP Connect?
- TCP connect phát hiện một port đang mở bằng cách hoàn thành bắt tay 3 bước
- TCP connect thiết lập một kết nối đầy đủ và loại bỏ nó bằng cách gửi gói RST
- Nó không yêu cầu quyền quản lý người dung
e) Trình bày tóm tắt Scanning Pen Testing?
B1: Thực hiện khám phá máy chủ ( sử dụng các tools Nmap, Angry IP scanner, etc
B2: Thực hiện quét cổng ( sử dụng các công cụ như Nmap, netscan tools pro,
B3: Thực hiện lấy biểu ngữ/ vân tay của hệ điều hành ( Sử dụng tools Telnet, Netcraft, ID serve )
B4: Quét tìm lỗ hổng bảo mật ( sử dụng các tools: Nessus, Saint, GFI LANGuard,...)
B5: Vẽ sơ đồ mạng của các máy chủ dễ bị tấn công bằng các công cụ như NetWork Topology
Mapper, OpManager,….
B6:Chuẩn bị Proxy bằng các công cụ như Proxy Workbench, Proxifier,….
=> Tài liệu của những thông tin phát hiện được

Câu 17:
a) Hacker là ai?
-Là các cá nhân thông minh với kỹ năng máy tính xuất sắc và khả năng tạo ra, khám phá phần
mềm và phần cứng máy tính.
-Đối với một số hacker, việc hack là một sở thích để xem chúng có thể thâm nhập bao nhiêu máy
tính hoặc mạng.
-Mục đích của các hacker có thể là để có được kiến thức hoặc để tìm kiếm làm những điều bất
hợp pháp.
b) FootPrinting website bằng Web Spider thực hiện như thế nào và thu thập được những thông
tin gì?
-Web Spider thực hiện tìm kiếm tự động trên các trang web mục tiêu và thu thập thông tin cụ thể
như tên nhân viên, địa chỉ email, ...
-Những kẻ tấn công sử dụng thông tin thu thập được để thực hiện thêm Footprinting và Social
Engineering Attacks (tấn công phi kỹ thuật).
c) Kỹ thuật TCP Connect Scan được thực hiện như thế nào?
-TCP Connect Scan phát hiện khi một port mở bằng cách hoàn thành quy trình bắt tay 3 bước.
-TCP Connect Scan thiết lập một kết nối đầy đủ và loại bỏ nó bằng cách gửi một gói tin RST
(RESET).
-Kỹ thuật này không yêu cầu đặc quyền của người dùng cấp cao.
d) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (c).
-Dòng lệnh thực hiện kỹ thuật TCP Connect Scan đến port 135 (open) của máy Target là:
“nmap –sT –p 135 192.168.1.7”
-Dòng lệnh thực hiện kỹ thuật TCP Connect Scan đến port 80 (closed) của máy Target là:
“nmap –sT –p 80 192.168.1.7”
e) Hãy vẽ ra lưu đồ Scanning Pen Testing.
Câu 18:
a) Cho biết các cấp độ Hacker?

-Hacker mũ đen: là các cá nhân có kỹ năng tính toán phi thường sử dụng các hoạt động tấn công
độc hại hoặc phá hoại, còn được gọi là kẻ bẻ khóa.
-Hacker mũ trắng: là các cá nhân sử dụng các kỹ năng của hacker cho mục đích phòng thủ, còn
được gọi là nhà phân tích bảo mật.
-Hacker mũ xám: là các cá nhân làm các công việc tấn công và phòng thủ vào các thời điểm khác
nhau.
-Suicide Hacker: là các cá nhân có mục đích phá hủy các cơ sở hạ tầng quan trọng vì một lý do
nào đó và không lo lắng về việc đối mặt với án tù hoặc bất kỳ hình phạt nào khác.
-Script Kiddies: là các hacker không có kinh nghiệm thâm nhập hệ thống bằng cách chạy các tập
lệnh, công cụ và phần mềm được phát triển bởi các hacker thật sự.
-Cyber Terrorists: là các cá nhân có nhiều kỹ năng, được thúc đẩy bởi niềm tin tôn giáo hoặc
chính trị để tạo ra nỗi sợ hãi bởi sự gián đoạn quy mô lớn của mạng máy tính.
-State Sponsored Hackers: là các cá nhân được các chính phủ thuê để thâm nhập, lấy thông tin
tối mật và làm hỏng hệ thống thông tin của người khác.
-Hacktivist: là các cá nhân quảng bá chương trình nghị sự chính trị bằng cách hacking, đặc biệt
là làm xấu hoặc vô hiệu hóa các trang web.

b) Sao chép toàn bộ một website sẽ giúp được điều gì cho người tấn công và có thể sử dụng công
cụ nào để sao chép?
-Xây dựng đệ quy tất cả các thư mục
-Lấy source code HTML của website
-Lấy hình ảnh
-Lấy các tập tin khác từ máy chủ về máy tính
* Các công cụ được sử dụng:
- BlackWidow
- NCollector Studio
- Trang web Ripper Copier
- Teleport Pro
- Portable Offline Browser
- Pagenest
- Backstreet Browser
- Offline Explorer Enterprise
- GNU Wget
- Hooeey Webprint
c) Kỹ thuật Stealth Scan được thực hiện như thế nào?
+ Stealth scan bao gồm việc đặt lại đột ngột kết nối TCP giữa máy khách và máy chủ trước khi
hoàn thành các tín hiệu bắt tay ba bước làm cho kết nối ở trạng thái half open
+ Kẻ tấn công sử dụng kỹ thuật stealth scan để vượt qua các quy tắc tường lửa, cơ chế đăng nhập
và ẩn mình như lưu lượng mạng thông thường
Quá trình:
1, Máy khách gửi một gói SYN duy nhất đến máy chủ trên một cổng thích hợp.
2, Nếu cổng mở thì máy chủ sẽ phản hồi bằng một gói tin SYN/ACK
3, Nếu máy chủ phản hồi với một gói tin RST thì cổng ở trạng thái đóng.
4, Máy khách gửi một gói RST để đóng lần khởi tạo trước khí kết nối có thể được thiết lập
d) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (c).
nmap -sS -p 80 <IP máy mục tiêu>
-sS là scan Stealth
e) Trình bày các biện pháp ngăn chặn IP Spoofing:
- Mã hóa tất cả mạng lưu lượng bằng cách sử dụng mật mã network protocols như IPsec, TLS,
SSH và HTTPS.
- Sử dụng tường lửa bội số cung cấp bội số lớp sâu bảo vệ
- Không dựa vào xác thực IP cơ bản
- Sử dụng số trình tự ban đầu ngẫu nhiên để ngăn chặn IP giả mạo tấn công dựa vào số giả mạo
ngẫu nhiên
- Lọc xâm nhập: sử dụng routers và tường lửa tại chu vi network để lọc gói tin đến khi xuất hiện
từ địa chỉ IP nội bộ
- Lọc đi ra: Lọc tất cả gói tin hướng ngoại với địa chỉ IP không hợp lệ giống địa chỉ nguồn
Câu 19:
a) Liệt kê các giai đoạn của Hacking?
- Reconnaissance (thăm dò): là thu thập thông tin về mục tiêu trước khi phát động một cuộc tấn
công
- Scanning (quét):
+ Tiền tấn công: quét để đề cập đến giai đoạn trước khi tấn công.
+ Port scanner: quét cụ thể một cổng nào đó mà nó muốn tấn công
+ Trích xuất thông tin máy mục tiêu để chuẩn bị tấn công: thời gian hoạt động, hệ điều hành,
trạng thái cổng...
- Ganning (quá trình tấn công):
+ Giành quyền truy cập, đề cập đến điểm mà kẻ tấn công có được quyền truy cập vào hệ điều
hành hoặc các ứng dụng trên máy tính hoặc mạng
+ Kẻ tấn công có thể giành quyền truy cập ở cấp hệ điều hành, cấp ứng dụng hoặc cấp mạng
+ Kẻ tấn công có thể leo thang các đặc quyền để có được quyền kiểm soát hoàn toàn hệ thống.
Trong quá trình này các hệ thống trung gian được kết nối với nó cũng được xâm nhập
+ Ví dụ như bẻ khóa mật khẩu, tràn bộ đệm, từ chối dịch vụ, chiếm quyền điều khiển phiên...
- Maintaining (duy trì):
+ Duy trì quyền truy cập, đề cập đến giai đoạn khi kẻ tấn công cố găng duy trì quyền sở hữu của
mình đối với hệ thống
+ Những kẻ tấn công có thể ngăn hệ thống thuộc quyền sở hữu của những kẻ tấn công khác bằng
cách đảm bảo quyền truy cập độc quyền của họ bằng backdoor, RootKits hoặc ngựa Trojans
+ Những kẻ tấn công có thể tải lên hoặc tải xuống hoặc thao túng dữ liệu, ứng dụng và cấu hình
trên hệ thống được sở hữu
+ Những kẻ tấn công sử dụng hệ thống bị xâm nhập để khởi chạy thêm các cuộc tấn công
- Clearing (xóa dấu vết):
+ Che dấu vết đề cập đến các hoạt động được thực hiện bởi kẻ tấn công để che giấu các hành vi
độc hại
+ Mục đích: tiếp tục truy cập vào hệ thống của nạn nhân mà không bị chú ý, xóa các bằng chứng
có thể việc truy tố việc tấn công
+ Kẻ tấn công ghi đè lên hệ thống máy chủ và ứng dụng của hệ thống để tránh bị nghi ngờ

b) Trên Header của một Email chứa những thông tin cần thiết nào cho Hacker?
- Địa chỉ tin nhắn được gửi
- Địa chỉ IP người gửi
- Máy chủ thư của người gửi
- Ngày và giờ nhận được mail bởi các máy chủ của người khởi tạo
- Hệ thống xác thực sử dụng bởi máy chủ mail người gửi
- Ngày và giờ gửi mail
- Tên đầy đủ của người gửi
- Một số duy nhất được chỉ định bởi mr.google.com để nhận dạng tin nhắn
c) Kỹ thuật Inverse TCP Flag Scan được thực hiện như thế nào?
Những kẻ tấn công gửi các gói thăm dò TCP với một TCP flag (FIN, URG, PSH) được đặt hoặc
không có cờ, không có phản hồi nghĩa là cổng đang mở và RST có nghĩa là cổng bị đóng
+ Port mở: không có phản hồi lại
+ Port đóng: phản hồi RST/ACK
Lưu ý: Quét cờ TCP ngược được biết như FIN, URG, PSH dựa trên cờ được đặt trong gói thăm
dò. Nó được gọi là quét rỗng nếu không có cờ nào

d) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (c).
Gồm Xmas scan, FIN scan và NULL scan:
nmap -sX -p 80 <IP máy mục tiêu>
nmap -sF -p 80 <IP máy mục tiêu>
nmap -sN -p 80 <IP máy mục tiêu>
e) Trình bày kỹ thuật IP Spoofing bằng IP Identification Number?
1. Gửi thăm dò đến host có lưu lượng nghi ngờ giả mạo bằng cách kích hoạt phản hồi và chia IP
ID với lưu lượng nghi ngờ.
2. Nếu những IP ID không gần với giá trị được kiểm tra, lưu lượng nghi ngờ là giả mạo.
3. Kỹ thuật này thành công thậm chí nếu máy bên tấn công cùng subnet

Câu 20:
a) Trong giao thức TCP-IP hãy liệt kê các trạng thái kết nối của 1 socket?

1. LISTEN
2. SYN-SENT
3.SYN-RECEIVED
4. ESTABLISHED
5. FIN-WAIT-1
6. FIN-WAIT-2
7. CLOSE-WAIT
8. CLOSING
9. LAST-ACK
10. TIME-WAIT
11. CLOSE
b) Khi dùng Whois để thu thập thông tin, Hacker thu thâp được những loại thông tin nào?
-Registrar : Nhà quản lý tên miền, thường là các tổ chức, tập đoàn phân phối tên miền theo đuôi
tên miền
-Registered On : Ngày đăng kí.
-Expires On : Ngày hết hạn.
-Updated On : Ngày cập nhật mới nhất.
-Status : Tình trạng của tên miền.
-Name Servers : Địa chỉ DNS đang trỏ về của tên miền.
c) Kỹ thuật ACK Flag Probe Scan được thực hiện như thế nào?
- Người tấn công (Attackers) sẽ gửi gói ACK Probe với một chuỗi số ngẫu nhiên đến Target
Host.
- Nếu bên Target Host bật firewall thì sẽ không có phản hồi nào từ Target Host trả về cho
attackers.
- Nếu ngược lại, Target Host tắt firewall, Target Host gửi phản hồi RST đến attackers.
d) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (c).
nmap -sA -p <port> <IP address>
e) Trình bày kỹ thuật IP Spoofing bằng Direct TTL Probes?
- Attacker sử dụng địa chỉ mạng giả mạo giống với địa chỉ mạng của nạn nhân để gửi gói đến
Target Host được yêu cầu sẽ trả về một phản hồi. Nếu TTL trong phản hồi không giống với gói
được kiểm tra, nó là một gói giả mạo.
- Kỹ thuật này thành công khi kẻ tấn công ở một mạng con khác với nạn nhân.
Câu 21:
a) 3-way handshare là gì trong giao thức TCP-IP?
-TCP 3-way Handshare là cách kết nối TCP được thiết lập để có thể truyền dữ liệu một cách
đáng tin.
-Quá trình kết nối này được thực hiện giữa các thiết bị trên mạng Internet theo mô hình TCP/IP
b) Liệt kê tên các công cụ Whois?
- LanWhoIs
- batch IP Converter
- CallerIp
- Who Is Lookup Multiple Addresses
- Who Is Analyzer Pro
- Hot WhoIs
- Active Who is
- Who Is This Domain
- SoftFuse Whois
c) Kỹ thuật IDLE Scan được thực hiện như thế nào?
-Máy tấn công gửi cờ SYN/ACK tới máy zombie. Máy zombie không nhận dạng được gói
SYN/ACK này nên sẽ gửi lại 1 cờ RST và tiết lộ IPID của máy zombie.
-Máy mục tiêu gửi lại cờ SYN/ACK để phản hồi lại cờ SYN mà máy tấn công giả mạo máy
zombie gửi. Máy zombie sau đó sẽ gửi lại một cờ RST và tăng IPID của nó.
-Lặp lại bước 1 và lấy IPID của máy zombie, so sánh với IPID lấy được ở đầu. Nếu số IPID tăng
2 thì port open, tăng 1 thì port closed.\
d) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (c).
nmap -Pn -p- -sI www.facebook.com

e) Proxy Server là gì, những công cụ nào có thể tạo ra Proxy Server?
- Proxy Server (Máy chủ proxy) hoạt động như một cổng nối giữa người dùng và Internet. Đây là
một server trung gian giữa người dùng cuối và trang web họ truy cập.
- Nếu đang sử dụng máy chủ proxy, lưu lượng truy cập Internet sẽ truyền qua máy chủ proxy
theo đường của nó đến địa chỉ bạn yêu cầu. Sau đó, yêu cầu này sẽ trở lại cùng một máy chủ
proxy (cũng xảy ra trường hợp ngoại lệ đối với quy tắc này) và máy chủ proxy đó sẽ chuyển tiếp
dữ liệu nhận được từ website đến người dùng.
-Tạo proxy server trên AWS với EC2 Instance và TinyProxy
-Tạo proxy server trên window với SQUID
-PHP-Proxy

Câu 22:
a) FootPrinting là gì?
- Là quá trình thu thập càng nhiều thông tin càng tốt về mạng mục tiêu để xác định nhiều cách
khác nhau để xâm nhập vào hệ thống mạng của tổ chức
- Footprinting là bước đầu tiên của bất kỳ cuộc tấn công nào vào hệ thống thông tin, kẻ tấn công
thu thập thông tin nhạy cảm có sẵn công khai, sử dụng chúng để thực hiện các cuộc tấn công
mạng xã hội, hệ thống và mạng... dẫn đến thiệt hại lớn về tài chính và mất uy tính kinh doanh
b) Nêu tên ba loại Record trong DNS FootPrinting và chức năng của nó?
- A (address): Ánh xạ hostname thành địa chỉ IP.
- NS (name server): Xác định Name Server (DNS Server) cho tên miền
- MX (mail exchange): Xác định mail server cho tên miền
- SOA (Start of Authoriy): Xác định Record ghi thông tin của DNS Server

c) Kỹ thuật UDP Scanning được thực hiện như thế nào?

Không thực hiện quy trình bắt tay ba bước cho UDP
- UDP port mở: hệ thống không phản hồi bản tin
- UDP port đóng: hệ thống không phản hồi bản tin
d) Sử dụng công cụ Zenmap, hãy viết ra dòng lệnh thực hiện kỹ thuật Scanning trong câu (c).
nmap -sU -p 80 <IP máy mục tiêu>
e) Công cụ Nessus phân loại lỗ hỏng thành những cấp độ nào?
- Lỗ hổng theo khu vực phát sinh: lỗ hổng code, lỗ hổng cấu hình, lỗ hổng kiến trúc, lỗ hổng tổ
chức.
- Lỗ hổng phát sinh do các khiếm khuyết của hệ thống thông tin.
- Lỗ hổng theo vị trí phát hiện: lỗ hổng trong phần mềm ứng dụng, lỗ hổng trong các thiết bị cầm
tay, lỗ hổng trong các thiết bị mạng cầm tay, lỗ hổng trong các thiết bị bảo vệ thông tin.

Câu 5:
a) Zero-Day Attack: Một cuộc tấn công khai thác lỗ hổng ứng dụng máy tính chưa được biết đến và chưa
được khắc phục, trước khi nhà phát triển phần mềm phát hành bản vá cho lỗ hổng đó.

b) Cần khai báo các thông tin nào khi cài đặt Google Alert:

- Nhập truy vấn tìm kiếm

- Chọn thời gian nhận thông báo

- Các nguồn cần thông báo

- Ngôn ngữ thông báo

- Quốc gia

- Chọn loại kết quả gửi thông báo

- Nhập địa chỉ mail nhận thông báo

c) Khi dùng ICMP để kiểm tra một thiết bị đang hoạt động trên mạng có thể dùng các công cụ nào:

- Ping qua Command Line (có sẵn, khỏi tải)

- Nmap qua Command Line (có sẵn, khỏi tải)

- Zenmap (ứng dụng, phải tải)

d) Kỹ thuật FIN Scan được thực hiện như thế nào:

- Kẻ tấn công gửi một gói tin FIN + URG + PUSH cho máy mục tiêu, nếu mục tiêu đóng thì không phản
hồi; nếu mục tiêu mở thì phản hồi gói tin RST.

- FIN Scan chỉ hoạt động với hệ điều hành nào có RFC-793 based TCP/IP Implementation. FIN Scan sẽ
không hoạt động trên bất cứ phiên bản hiện tại nào của Windows, điển hình như Windows XP hoặc
những phiên bản mới hơn.