“Các loại tấn công mạng” là một chủ đề quan trọng trong lĩnh vực an ninh mạng. Trên thực tế, với sự phát triển của công nghệ thông tin và internet, tấn công mạng đã trở thành một nguy cơ đáng lo ngại đối với cá nhân, tổ chức và doanh nghiệp.
Chúng ta đang sống trong kỷ nguyên kỹ thuật số. Bây giờ một ngày, hầu hết mọi người sử dụng máy tính và internet. Do sự phụ thuộc vào những thứ kỹ thuật số, hoạt động máy tính bất hợp pháp ngày càng phát triển và thay đổi như bất kỳ loại tội phạm nào.
Bài viết này tập trung vào giới thiệu và giải thích các loại tấn công mạng phổ biến mà người dùng và hệ thống mạng có thể gặp phải. Dưới đây là một số loại tấn công mạng thường gặp được đề cập trong bài viết.
Các bài viết liên quan:
Các cuộc tấn công mạng có thể được phân thành các loại sau:
Các cuộc tấn công dựa trên web
Đây là những cuộc tấn công xảy ra trên một trang web hoặc các ứng dụng web. Một số cuộc tấn công dựa trên web quan trọng như sau-
Injection attacks
Injection attacks là một loại tấn công mạng phổ biến nhằm khai thác lỗ hổng trong ứng dụng web hoặc hệ thống cơ sở dữ liệu. Các loại tấn công injection thường tìm cách chèn các đoạn mã độc hoặc dữ liệu độc hại vào các trường dữ liệu nhập của ứng dụng, nhằm lợi dụng việc xử lý không an toàn của ứng dụng để thực hiện các hành động không được phép.
Dưới đây là một số loại tấn công injection phổ biến:
- SQL Injection: Đây là một loại tấn công mà kẻ tấn công chèn các đoạn mã SQL độc hại vào trường dữ liệu nhập của ứng dụng web. Nếu ứng dụng không kiểm tra và xử lý đầu vào đúng cách, đoạn mã SQL độc hại có thể được thực thi, cho phép kẻ tấn công truy cập, sửa đổi hoặc xóa dữ liệu trong cơ sở dữ liệu.
- XSS (Cross-Site Scripting): XSS là loại tấn công mà kẻ tấn công chèn đoạn mã JavaScript độc hại vào trang web hoặc ứng dụng web. Khi người dùng truy cập vào trang bị tấn công, mã JavaScript này sẽ được thực thi trên trình duyệt của người dùng, cho phép kẻ tấn công lấy thông tin đăng nhập, thay đổi nội dung trang web hoặc thực hiện các hành động khác thay mặt người dùng.
- Command Injection: Đây là loại tấn công mà kẻ tấn công chèn các đoạn mã độc hoặc các lệnh hệ thống vào các trường dữ liệu nhập của ứng dụng. Nếu ứng dụng không kiểm tra và xử lý đầu vào đúng cách, lệnh hệ thống này có thể được thực thi, cho phép kẻ tấn công kiểm soát hệ thống và thực hiện các hành động không được phép.
- LDAP Injection: Đây là loại tấn công liên quan đến việc chèn các truy vấn LDAP (Lightweight Directory Access Protocol) độc hại vào trường dữ liệu nhập của ứng dụng. Nếu ứng dụng không xử lý đầu vào đúng cách, tấn công LDAP Injection có thể lợi dụng để thu thập thông tin đăng nhập hoặc thực hiện các hành động không được phép trong hệ thống LDAP.
Ví dụ- SQL Injection, code Injection, log Injection, XML Injection, v.v.
DNS Spoofing
DNS Spoofing, còn được gọi là DNS cache poisoning, là một loại tấn công mạng mà kẻ tấn công thay đổi hoặc làm giả dữ liệu DNS (Domain Name System) trên hệ thống mạng, để định tuyến người dùng đến các địa chỉ IP sai mà kẻ tấn công kiểm soát. Điều này cho phép kẻ tấn công chuyển hướng lưu lượng mạng đến các máy chủ giả mạo, tiềm ẩn rủi ro bảo mật nghiêm trọng.
Quá trình tấn công DNS Spoofing thường diễn ra như sau:
- Kẻ tấn công quét và tìm lỗ hổng trong hệ thống DNS hoặc các máy tính được sử dụng làm máy chủ DNS.
- Khi tìm thấy một lỗ hổng, kẻ tấn công sẽ thực hiện việc chèn các thông điệp DNS giả mạo vào giao thức DNS.
- Các thông điệp DNS giả mạo này được thiết kế để gửi đến máy chủ DNS hoặc các máy chủ DNS trung gian, với mục tiêu lấy quyền kiểm soát của các bản ghi DNS hoặc gửi bản ghi DNS sai lệch cho máy khách yêu cầu dịch vụ DNS.
- Khi máy khách yêu cầu dịch vụ DNS, nếu bị tấn công, nó sẽ nhận được các bản ghi DNS giả mạo từ máy chủ DNS, và do đó sẽ được định tuyến đến địa chỉ IP sai.
Kết quả là, người dùng sẽ bị chuyển hướng đến các trang web giả mạo hoặc các máy chủ giả mạo được điều khiển bởi kẻ tấn công. Điều này có thể dẫn đến việc lừa đảo, đánh cắp thông tin cá nhân, đánh cắp thông tin đăng nhập và thậm chí thực hiện các hành động độc hại khác.
Session Hijacking
Session hijacking, còn được gọi là session hijack, là một loại tấn công mạng mà kẻ tấn công ăn cắp hoặc xâm nhập vào phiên làm việc (session) của một người dùng hợp pháp. Khi kẻ tấn công thành công, họ có thể lấy được quyền truy cập và kiểm soát phiên làm việc của người dùng, gây nguy hiểm đến bảo mật và quyền riêng tư.
Quá trình tấn công session hijacking thường diễn ra như sau:
- Kẻ tấn công theo dõi hoặc gián điệp trên mạng để tìm kiếm các thông tin xác thực như cookie, token hoặc phiên làm việc (session) được truyền đi qua giao thức truyền thông không an toàn như HTTP.
- Khi kẻ tấn công có được thông tin xác thực của người dùng, họ sử dụng nó để giả mạo hoặc tiếp tục phiên làm việc của người dùng mà không cần đăng nhập lại.
- Kẻ tấn công sử dụng quyền truy cập vào phiên làm việc của người dùng để thực hiện các hoạt động không được phép, như thay đổi thông tin cá nhân, thực hiện giao dịch tài chính, hoặc truy cập vào các dữ liệu nhạy cảm.
Có một số phương pháp và biện pháp bảo mật để ngăn chặn tấ
Phishing
Phishing là một loại tấn công mạng mà kẻ tấn công giả mạo hoặc làm giống các tổ chức, trang web hoặc dịch vụ đáng tin cậy, nhằm lừa đảo người dùng để thu thập thông tin cá nhân, nhạy cảm hoặc tài khoản ngân hàng. Kẻ tấn công thường gửi email, tin nhắn, hoặc tạo ra các trang web giả mạo để thuyết phục người dùng cung cấp thông tin quan trọng như tên đăng nhập, mật khẩu, số thẻ tín dụng, hoặc thông tin cá nhân khác.
Dưới đây là các phương thức phổ biến mà kẻ tấn công sử dụng trong tấn công phishing:
- Email phishing: Kẻ tấn công gửi email giả mạo từ một địa chỉ email được làm giống đến mức rất giống với một tổ chức hoặc doanh nghiệp đã biết. Email này thường có nội dung thuyết phục, yêu cầu người nhận cung cấp thông tin cá nhân hoặc thực hiện một hành động đáng ngờ, ví dụ như cập nhật tài khoản hoặc xác nhận giao dịch.
- Smishing: Đây là một hình thức phishing mà kẻ tấn công gửi tin nhắn SMS giả mạo từ một số điện thoại được làm giống với một tổ chức hoặc doanh nghiệp. Tin nhắn này có thể yêu cầu người nhận cung cấp thông tin cá nhân, truy cập vào một trang web giả mạo hoặc thực hiện một hành động đáng ngờ.
- Website giả mạo: Kẻ tấn công tạo ra các trang web giả mạo, giống hệt trang web của một tổ chức hoặc doanh nghiệp đã biết. Những trang web này thường có giao diện và địa chỉ URL rất giống với trang web chính thức, nhằm lừa đảo người dùng nhập thông tin cá nhân.
- Vishing: Loại tấn công này sử dụng điện thoại để gọi điện cho người dùng và giả mạo là một nhân viên hỗ trợ kỹ thuật, ngân hàng hoặc tổ chức quan trọng. Kẻ tấn công sẽ yêu cầu người nhận cung cấp thông tin cá nhân, số thẻ tín dụng hoặc thực hiện các hành động khác thông qua cuộc gọi điện thoại.
Brute force
Brute force là một phương pháp tấn công mật khẩu trong lĩnh vực an ninh mạng. Phương pháp này nhằm thử từng khả năng mật khẩu có thể có một cách tuần tự và liên tục cho đến khi tìm ra mật khẩu đúng. Tấn công brute force dựa trên giả thiết rằng kẻ tấn công có thể kiểm tra tất cả các khả năng mật khẩu có thể có.
Quá trình tấn công brute force thường diễn ra như sau:
- Xác định mục tiêu: Kẻ tấn công xác định mục tiêu của mình, có thể là một tài khoản người dùng, một hệ thống hoặc một ứng dụng.
- Xây dựng danh sách từ khóa: Kẻ tấn công tạo ra một danh sách từ khóa, bao gồm các khả năng mật khẩu có thể có. Danh sách này có thể bao gồm các từ điển thông thường, chuỗi số, hoặc các từ khóa được phân tích từ thông tin cá nhân của người dùng.
- Thử mật khẩu: Kẻ tấn công sử dụng danh sách từ khóa và thử từng khả năng mật khẩu cho đến khi tìm ra mật khẩu đúng. Quá trình này thường diễn ra một cách tự động và liên tục, thông qua các công cụ tấn công mạng hoặc các phần mềm đặc biệt.
Denial of Service
Denial of Service (DoS) là một loại tấn công mạng nhằm làm ngưng trệ hoặc giới hạn khả năng hoạt động của một hệ thống, dịch vụ hoặc nguồn tài nguyên mạng. Mục tiêu của tấn công này là làm cho một dịch vụ trở nên không khả dụng cho người dùng hợp lệ, gây ra sự cản trở trong việc truy cập hoặc sử dụng hệ thống.
Tấn công DoS thường làm cho một dịch vụ hoặc hệ thống quá tải hoặc quá tải đến mức nó không thể xử lý yêu cầu từ người dùng hợp lệ. Điều này có thể xảy ra bằng cách tạo ra một lượng lớn yêu cầu không hợp lệ hoặc tài nguyên đòi hỏi, làm cho hệ thống không thể đáp ứng đủ.
Dưới đây là một số loại tấn công DoS phổ biến:
- Tấn công tài nguyên: Kẻ tấn công gửi một lượng lớn yêu cầu đến một hệ thống hoặc dịch vụ, gây quá tải và làm ngừng hoạt động chính xác.
- Tấn công làm tràn băng thông: Kẻ tấn công gửi một lượng lớn dữ liệu đến một đích, chiếm hết băng thông và làm ngừng hoạt động các dịch vụ khác.
- Tấn công từ chối dịch vụ phân tán (DDoS): Kẻ tấn công tạo ra một mạng botnet bằng cách kiểm soát nhiều hệ thống đã bị xâm nhập và sử dụng chúng để gửi lưu lượng truy cập lớn đến mục tiêu, làm quá tải và gây sự cản trở trong việc truy cập dịch vụ.
- Tấn công ICMP flood: Kẻ tấn công gửi các gói tin ICMP (Internet Control Message Protocol) lớn và không hợp lệ đến hệ thống mục tiêu, gây quá tải và làm ngừng hoạt động.
Các loại DOS
- Volume-based attacks – Mục tiêu của nó là làm bão hòa băng thông của trang web bị tấn công và được đo bằng bit trên giây.
- Protocol attacks– Nó tiêu thụ tài nguyên máy chủ thực tế và được đo trong một gói tin.
- Application layer attacks– Mục tiêu của nó là làm sập máy chủ web và được đo bằng yêu cầu mỗi giây.
Xem thêm Giao thức Mạng trong TCP/IP
Dictionary attacks
Dictionary attack là một loại tấn công mật khẩu trong lĩnh vực an ninh mạng. Loại tấn công này dựa trên việc thử từng từ hoặc cụm từ từ một từ điển được xây dựng trước để tìm ra mật khẩu đúng. Dictionary attack khác với brute force attack ở việc nó chỉ thử các từ từ một danh sách đã có sẵn thay vì thử tất cả các khả năng có thể có như brute force attack.
Quá trình tấn công dictionary attack thường diễn ra như sau:
- Xây dựng danh sách từ điển: Kẻ tấn công tạo ra một danh sách từ điển, gồm các từ hoặc cụm từ có thể là mật khẩu tiềm năng. Danh sách này có thể được xây dựng từ các từ điển thông thường, từ ngôn ngữ tự nhiên, tên người dùng, thông tin cá nhân hoặc các từ khóa phổ biến khác.
- Thử mật khẩu: Kẻ tấn công sử dụng danh sách từ điển và thử từng từ hoặc cụm từ trong danh sách đó như mật khẩu. Quá trình này thường được thực hiện tự động và liên tục, thông qua các công cụ tấn công mạng hoặc phần mềm đặc biệt.
Dictionary attack có thể là một phương pháp hiệu quả để tấn công mật khẩu, đặc biệt là khi người dùng sử dụng mật khẩu yếu hoặc dễ đoán.
File Inclusion attacks
File Inclusion Attacks (tấn công chèn tệp tin) là một loại tấn công mà kẻ tấn công cố gắng chèn và thực thi mã độc hoặc tệp tin không an toàn vào ứng dụng web. Loại tấn công này xảy ra khi ứng dụng web cho phép người dùng nhập dữ liệu không kiểm tra một cách đúng đắn và sử dụng dữ liệu đó để chèn các tệp tin hoặc mã độc vào ứng dụng.
Có hai dạng phổ biến của tấn công chèn tệp tin:
- Local File Inclusion (LFI): Kẻ tấn công sử dụng lỗ hổng trong ứng dụng web để chèn và thực thi các tệp tin từ máy chủ local (cùng máy chủ với ứng dụng web) vào trang web. Điều này có thể cho phép kẻ tấn công đọc các tệp tin nhạy cảm trên máy chủ hoặc thực thi mã độc.
- Remote File Inclusion (RFI): Kẻ tấn công sử dụng lỗ hổng trong ứng dụng web để chèn và thực thi các tệp tin từ máy chủ từ xa vào trang web. Điều này cho phép kẻ tấn công thực thi mã độc từ các máy chủ từ xa và tiềm năng kiểm soát hoặc xâm phạm hệ thống.
Xem thêm Tấn công Traffic flood là gì
Man in the middle attacks
Man-in-the-Middle (MITM) Attacks (tấn công người thứ ba) là một loại tấn công mạng nơi kẻ tấn công can thiệp vào giao tiếp giữa hai bên hợp pháp để theo dõi, thay đổi hoặc đánh cắp thông tin truyền qua mạng. Trong tấn công này, kẻ tấn công đóng vai trò như một “người thứ ba” giữa người gửi và người nhận, và tiếp nhận tất cả các dữ liệu được truyền đi và đến.
Quá trình tấn công MITM thường diễn ra như sau:
- Định vị và cài đặt kẻ tấn công: Kẻ tấn công phải định vị và cài đặt mình giữa người gửi và người nhận. Điều này có thể được thực hiện thông qua các phương pháp như giả mạo địa chỉ IP, chiếm quyền truy cập vào mạng hoặc sử dụng các công cụ đặc biệt.
- Giữa thông tin truyền qua: Kẻ tấn công chặn và theo dõi thông tin truyền qua giữa hai bên hợp pháp. Điều này cho phép họ có thể đọc, sửa đổi hoặc thậm chí chặn hoàn toàn thông tin gửi đi và đến.
- Thực hiện tấn công: Kẻ tấn công có thể thực hiện các hành động khác nhau, bao gồm đánh cắp thông tin cá nhân, thay đổi nội dung, tiêm mã độc hoặc xâm nhập vào hệ thống.
Xem thêm Tìm hiểu tấn công Cross Frame Scripting
Các cuộc tấn công dựa trên hệ thống
Đây là các cuộc tấn công nhằm mục đích xâm nhập máy tính hoặc mạng máy tính. Một số cuộc tấn công dựa trên hệ thống quan trọng như sau:
Virus
Một virus là một loại phần mềm độc hại được thiết kế để tự nhân bản và lây lan từ một máy tính sang máy tính khác mà không được sự cho phép của người dùng. Virus thường được tạo ra với mục đích gây hại cho hệ thống, xóa hoặc thay đổi dữ liệu, ảnh hưởng đến hoạt động của máy tính hoặc truyền tải thông tin cá nhân của người dùng cho kẻ tấn công.
Các đặc điểm chung của virus bao gồm:
- Tự nhân bản: Virus có khả năng tự nhân bản bằng cách chèn mã độc vào các tệp tin hoặc chương trình khác, và khi chạy, nó có thể tự động sao chép và lây lan sang các máy tính khác.
- Lây nhiễm: Virus có khả năng lây nhiễm bằng cách sử dụng các phương tiện truyền thông như email, USB, tệp tin tải xuống hoặc kết nối mạng. Khi người dùng tương tác với các phương tiện này, virus sẽ được kích hoạt và bắt đầu lây nhiễm vào hệ thống.
- Gây hại: Virus thường được tạo ra để gây hại cho hệ thống và dữ liệu. Chúng có thể xóa, thay đổi hoặc mã hóa dữ liệu, làm chậm hoạt động của máy tính, hiển thị thông báo đe dọa hoặc thậm chí kiểm soát từ xa hệ thống bị nhiễm.
Worm
Một worm là một loại phần mềm độc hại tự động lây lan qua mạng và tự nhân bản mà không cần sự tương tác của người dùng. Worm có khả năng sao chép và chuyển tiếp chính nó từ máy tính này sang máy tính khác thông qua các lỗ hổng bảo mật hoặc các cơ chế truyền tải mạng.
Các đặc điểm chung của worm bao gồm:
- Tự lây lan: Worm có khả năng tự nhân bản và lây lan từ máy tính này sang máy tính khác mà không cần sự tương tác của người dùng. Chúng có thể khai thác các lỗ hổng bảo mật hoặc sử dụng các phương thức truyền tải mạng để chuyển tiếp chính nó.
- Chuyển tiếp thông tin: Worm có thể chuyển tiếp các phiên bản của chính nó thông qua email, tin nhắn tức thì, phương tiện truyền thông xã hội, hay bất kỳ phương tiện truyền tải mạng nào khác. Điều này cho phép worm lây lan rất nhanh và rộng rãi.
- Gây hại hoặc làm tắc nghẽn hệ thống: Một số worm được thiết kế để gây hại cho hệ thống bằng cách xóa hoặc thay đổi dữ liệu, tạo ra sự cố hoặc làm chậm hoạt động của mạng bằng cách tiêu thụ tài nguyên hệ thống.
Xem thêm Tấn công Password Spraying
Trojan horse
Một Trojan horse (con ngựa Troya) là một loại phần mềm độc hại mà trong ngoại hình của nó là một phần mềm hoặc tệp tin hữu ích hoặc không đáng ngờ. Tuy nhiên, khi người dùng chạy hoặc cài đặt Trojan horse, nó sẽ thực hiện các hành động gây hại mà không được người dùng biết.
Các đặc điểm chung của Trojan horse bao gồm:
- Ngụy trang: Trojan horse thường giấu mình dưới hình thức của các phần mềm hữu ích, ví dụ như trò chơi, phần mềm bảo mật, tiện ích, hoặc email đính kèm. Điều này làm cho nó trông giống như một phần mềm hợp pháp và dễ dàng lừa người dùng.
- Gây hại và/hoặc thu thập thông tin: Trojan horse thực hiện các hành động gây hại như xóa hoặc thay đổi dữ liệu, cài đặt phần mềm độc hại khác, hoặc thậm chí cung cấp quyền truy cập từ xa cho kẻ tấn công. Ngoài ra, nó có thể thu thập thông tin nhạy cảm từ máy tính của người dùng và gửi về cho kẻ tấn công.
- Mở cửa sau: Một Trojan horse cũng có thể mở cửa sau (backdoor) trên hệ thống bị nhiễm để cho phép kẻ tấn công từ xa tiếp cận và kiểm soát máy tính mà không được phát hiện.
Backdoors
Backdoors (cửa sau) là các cơ chế bí mật được tạo ra trong một hệ thống hoặc phần mềm để cho phép truy cập không được ủy quyền hoặc không được phát hiện. Các backdoor có thể được sử dụng với các mục đích hợp pháp, chẳng hạn như quản lý từ xa hoặc khôi phục mật khẩu, nhưng cũng có thể bị lợi dụng bởi kẻ tấn công để xâm nhập vào hệ thống, đánh cắp thông tin hoặc thực hiện các hoạt động bất hợp pháp.
Các đặc điểm của backdoor bao gồm:
- Truy cập không ủy quyền: Backdoor cho phép người sử dụng không được phép hoặc kẻ tấn công truy cập vào hệ thống hoặc ứng dụng mà không cần thông qua quy trình xác thực thông thường.
- Ẩn dấu: Backdoor thường được thiết kế để không bị phát hiện, giấu kín hoặc kỹ thuật cao để tránh sự phát hiện từ các biện pháp bảo mật.
- Cung cấp quyền truy cập từ xa: Một backdoor có thể mở cửa sau cho phép kẻ tấn công truy cập từ xa vào hệ thống mục tiêu, thường thông qua mạng Internet, và kiểm soát hoặc thực hiện các hoạt động bất hợp pháp.
Bots
Bots (tên đầy đủ là robots) là các chương trình máy tính tự động thực hiện các nhiệm vụ hoặc tương tác với người dùng thông qua mạng. Bots có thể được lập trình để thực hiện các tác vụ đơn giản hoặc phức tạp và thường hoạt động một cách tự động, không cần sự can thiệp của con người.
Có hai loại bot chính:
- Bot hữu ích (Utility bots): Đây là các bot được tạo ra với mục đích hỗ trợ và cung cấp các dịch vụ hữu ích cho người dùng. Ví dụ, chatbot trên trang web có thể trả lời các câu hỏi của người dùng, hoặc bot mua hàng tự động có thể thực hiện giao dịch mua bán trực tuyến.
- Bot độc hại (Malicious bots): Đây là các bot được tạo ra với mục đích gây hại hoặc thực hiện các hoạt động không đáng tin cậy. Các bot độc hại có thể bao gồm botnet, tức là một mạng lưới các máy tính bị nhiễm malware và kiểm soát từ xa bởi kẻ tấn công. Botnet có thể được sử dụng để thực hiện tấn công phủ nhận dịch vụ (DDoS), spam email, đánh cắp thông tin cá nhân hoặc tiến hành các hoạt động lừa đảo trực tuyến.
Xem thêm Kiểm tra lỗ hổng bảo mật Cross-Site Request Forgery (CSRF)