Bài 5: Ôn tập Mạng Máy Tính – NT140 Network Security

1. Kiến trúc Internet

1.1 Góc nhìn “phần cứng/vật lý”

Internet là một “mạng của các mạng” (network of networks) – tập hợp hàng tỷ thiết bị tính toán kết nối với nhau thông qua các liên kết truyền thông và thiết bị chuyển mạch.

Các thành phần cốt lõi:

Hosts (end systems): Thiết bị đầu cuối – máy tính, điện thoại, máy chủ – nơi các ứng dụng mạng chạy trực tiếp.
Packet switches: Thiết bị chuyển tiếp gói tin, gồm:
- Routers: Hoạt động ở tầng mạng, định tuyến gói tin giữa các mạng.
- Switches: Hoạt động ở tầng liên kết, chuyển tiếp trong một mạng LAN.
Communication links: Các liên kết truyền thông vật lý – cáp quang, cáp đồng, sóng vô tuyến, vệ tinh – với tốc độ truyền gọi là bandwidth (băng thông).
Networks: Tập hợp thiết bị, routers và liên kết được quản lý bởi một tổ chức.

Các thành phần tổ chức theo cấu trúc phân lớp:

[Home network / Mobile network / Enterprise network]
        ↓
[Local / Regional ISP]
        ↓
[National / Global ISP]
        ↓
[Datacenter network / Content provider network]

1.2 Góc nhìn “dịch vụ”

Ngoài góc nhìn vật lý, Internet còn được nhìn nhận như một hạ tầng cung cấp dịch vụ cho các ứng dụng phân tán:

Web, streaming video, email, game, e-commerce, mạng xã hội, thiết bị IoT…
Cung cấp giao diện lập trình (API) cho phép ứng dụng “gắn vào” và sử dụng dịch vụ truyền tải của Internet – tương tự như dịch vụ bưu chính nhưng cho dữ liệu số.

1.3 Protocols & Chuẩn Internet

Protocol (giao thức) định nghĩa format, thứ tự của các thông điệp trao đổi giữa các thực thể mạng, cũng như hành động thực hiện khi nhận/gửi thông điệp.

Ví dụ: HTTP, TCP, IP, WiFi 802.11, Ethernet, 4G/5G…

Chuẩn hóa Internet được thực hiện qua:

RFC (Request for Comments): Tài liệu kỹ thuật định nghĩa các chuẩn.
IETF (Internet Engineering Task Force): Tổ chức quản lý việc phát triển chuẩn Internet.

2. Lịch sử Internet

1982: Định nghĩa giao thức SMTP cho email.
1983: Triển khai TCP/IP; DNS được định nghĩa để dịch tên miền sang địa chỉ IP.
1985: Định nghĩa giao thức FTP.
1988: TCP congestion control (kiểm soát tắc nghẽn).
Xuất hiện nhiều mạng quốc gia: CSnet, BITnet, NSFnet, Minitel.
Khoảng 100.000 hosts kết nối vào mạng.

Đầu 1990s: ARPAnet ngừng hoạt động; NSF bỏ hạn chế thương mại hóa NSFnet (1991).
Tim Berners-Lee phát triển HTML và HTTP → World Wide Web ra đời.
1994: Trình duyệt Mosaic, sau đó là Netscape.
Cuối 1990s: Web thương mại hóa bùng nổ.
Xuất hiện instant messaging, P2P file sharing.
Bảo mật mạng bắt đầu trở thành vấn đề trọng tâm.
~50 triệu host, 100 triệu+ người dùng; đường truyền backbone chạy ở tốc độ Gbps.

Triển khai rộng rãi băng thông rộng gia đình (10–100 Mbps).
2008: Software-Defined Networking (SDN).
4G/5G, WiFi phổ biến rộng rãi.
Google, Facebook, Microsoft xây dựng mạng riêng để kết nối trực tiếp đến người dùng.
Doanh nghiệp chuyển dịch vụ lên cloud (AWS, Azure…).
2017: Thiết bị di động vượt thiết bị cố định; ~18 tỷ thiết bị kết nối Internet.

3. Cấu trúc chi tiết của Internet

graph TD A[Network Edge: Hosts & Servers] --> B[Access Networks: Wired/Wireless links] B --> C[Network Core: Interconnected Routers] C --> D[ISPs: Local → Regional → Global]

Network Edge: Hosts (clients & servers), máy chủ thường đặt trong data center.
Access Networks: Các liên kết truyền thông có dây và không dây kết nối host vào lõi mạng.
Network Core: Mạng lõi gồm các routers liên kết với nhau, thực hiện việc chuyển tiếp và định tuyến gói tin.

4. Hai chức năng cốt lõi của Network Core

4.1 Routing (Định tuyến)

Routing là quá trình toàn cục – xác định đường đi từ nguồn đến đích mà gói tin sẽ đi qua, dựa trên các thuật toán định tuyến (routing algorithms).

Kết quả của routing là tạo ra bảng định tuyến (forwarding table) tại mỗi router.

4.2 Forwarding (Chuyển tiếp)

Forwarding là hành động cục bộ tại mỗi router – dựa trên địa chỉ đích trong header của gói tin, tra bảng forwarding và chuyển gói tin từ cổng vào đến cổng ra thích hợp.

Ví dụ bảng forwarding:
+----------------+-------------+
| Header value   | Output link |
+----------------+-------------+
| 0100           | 3           |
| 0101           | 2           |
| 0111           | 2           |
| 1001           | 1           |
+----------------+-------------+

5. Độ trễ và mất gói tin

5.1 Nguyên nhân

Gói tin đến router phải xếp hàng trong buffer chờ được truyền đi. Khi tốc độ đến tạm thời vượt quá khả năng truyền của link đầu ra, hàng đợi dài ra. Nếu bộ nhớ đệm đầy, gói tin bị drop (mất).

5.2 Bốn nguồn gây trễ

$$d_{nodal} = d_{proc} + d_{queue} + d_{trans} + d_{prop}$$

Thành phần	Ký hiệu	Mô tả
Nodal processing	$d_{proc}$	Kiểm tra lỗi bit, xác định cổng ra. Thường < vài microsec.
Queueing delay	$d_{queue}$	Thời gian chờ trong hàng đợi. Phụ thuộc vào mức độ tắc nghẽn.
Transmission delay	$d_{trans}$	Thời gian đẩy toàn bộ gói lên đường truyền. $d_{trans} = L/R$ (L: độ dài gói bit, R: tốc độ link bps).
Propagation delay	$d_{prop}$	Thời gian tín hiệu truyền qua vật lý. $d_{prop} = d/s$ (d: chiều dài link, s: tốc độ lan truyền ~$2 \times 10^8$ m/s).

6. Protocol Stack – Mô hình phân lớp

6.1 Tại sao cần phân lớp?

Phân lớp giúp:

Xác định rõ cấu trúc của hệ thống phức tạp và mối quan hệ giữa các thành phần.
Module hóa – mỗi lớp có chức năng độc lập; thay đổi cài đặt một lớp không ảnh hưởng đến các lớp khác (miễn là interface giữ nguyên).

6.2 TCP/IP Protocol Stack (Internet Stack)

graph TD A[Application Layer\nHTTP, SMTP, DNS, IMAP] --> B[Transport Layer\nTCP, UDP] B --> C[Network Layer\nIP, Routing protocols] C --> D[Link Layer\nEthernet, WiFi 802.11, PPP] D --> E[Physical Layer\nBits on wire]

Lớp	Chức năng	Ví dụ giao thức
Application	Hỗ trợ ứng dụng mạng	HTTP, SMTP, DNS, IMAP
Transport	Truyền dữ liệu giữa các process	TCP, UDP
Network	Định tuyến datagram từ nguồn đến đích	IP, OSPF, BGP
Link	Truyền dữ liệu giữa các node kề nhau	Ethernet, 802.11 WiFi, PPP
Physical	Truyền các bit thô trên đường truyền vật lý	Cáp đồng, cáp quang, sóng vô tuyến

6.3 Mô hình OSI (ISO/OSI 7 lớp)

Mô hình OSI có 7 lớp, nhiều hơn TCP/IP hai lớp:

graph TD A[7. Application] --> B[6. Presentation] B --> C[5. Session] C --> D[4. Transport] D --> E[3. Network] E --> F[2. Link] F --> G[1. Physical]

7. Đóng gói (Encapsulation)

Khi dữ liệu đi từ tầng trên xuống tầng dưới tại máy gửi, mỗi lớp thêm header của mình vào:

graph LR A["Message (M)"] -->|Application| B["M"] B -->|Transport adds Ht| C["Ht | M (Segment)"] C -->|Network adds Hn| D["Hn | Ht | M (Datagram)"] D -->|Link adds Hl| E["Hl | Hn | Ht | M (Frame)"] style A fill:#f9f,stroke:#333 style E fill:#bbf,stroke:#333

Tên đơn vị dữ liệu	Lớp tạo ra	Thành phần
Message	Application	M
Segment	Transport	Ht + M
Datagram	Network	Hn + Ht + M
Frame	Link	Hl + Hn + Ht + M

Khi đi qua router (chỉ xử lý đến lớp Network) hoặc switch (chỉ đến lớp Link), header lớp tương ứng được đọc rồi header mới được gắn vào để tiếp tục chuyển tiếp.

8. Bảo mật Mạng (Network Security)

8.1 Bối cảnh

Internet ban đầu được thiết kế với tầm nhìn “một nhóm người dùng tin tưởng nhau kết nối vào mạng trong suốt” – không có nhiều cơ chế bảo mật. Về sau, các nhà thiết kế phải bổ sung bảo mật vào tất cả các lớp.

8.2 Các mục tiêu bảo mật mạng

Mục tiêu	Định nghĩa
Confidentiality (Bảo mật)	Chỉ người gửi và người nhận hợp lệ mới đọc được nội dung thông điệp. Thực hiện qua mã hóa/giải mã.
Authentication (Xác thực)	Người gửi và nhận có thể xác minh danh tính của nhau.
Message Integrity (Toàn vẹn thông điệp)	Đảm bảo thông điệp không bị thay đổi trong quá trình truyền hoặc sau đó mà không bị phát hiện.
Access & Availability (Truy cập & Sẵn sàng)	Dịch vụ phải luôn sẵn sàng và có thể truy cập được bởi người dùng hợp lệ.

8.3 Mô hình Alice, Bob và Trudy

Đây là cách đặt tên chuẩn trong bảo mật mạng:

Alice & Bob: Hai bên muốn giao tiếp bảo mật.
Trudy (intruder): Kẻ tấn công có thể chặn, xóa hoặc chèn thêm thông điệp.

Ví dụ thực tế của Alice và Bob: trình duyệt/server trong giao dịch trực tuyến, client/server ngân hàng, DNS servers, BGP routers trao đổi bảng định tuyến.

8.4 Các kiểu tấn công

1. Packet Sniffing (Nghe lén gói tin)

Trên các môi trường broadcast (Ethernet chia sẻ, WiFi), card mạng ở chế độ promiscuous có thể đọc tất cả các gói tin đi qua, kể cả không gửi cho mình – bao gồm cả mật khẩu plaintext.

Công cụ: Wireshark, tcpdump, scapy.

2. IP Spoofing (Giả mạo địa chỉ IP)

Kẻ tấn công tạo và gửi gói tin với địa chỉ IP nguồn giả mạo (không phải địa chỉ thật của mình), giả danh người dùng hợp lệ.

3. Denial of Service – DoS (Từ chối dịch vụ)

Kẻ tấn công làm cho tài nguyên (server, băng thông) trở nên không khả dụng với người dùng hợp lệ bằng cách làm ngập lụt với lưu lượng giả.

graph LR A[Attacker selects target] --> B[Compromises many hosts to form botnet] B --> C[Sends floods of packets to target from all compromised hosts] C --> D[Target overwhelmed, legitimate users cannot access]

8.5 Các lớp phòng thủ

Authentication: Xác minh danh tính – ví dụ SIM card trong mạng di động.
Confidentiality: Mã hóa dữ liệu.
Integrity checks: Chữ ký số để phát hiện/ngăn chặn giả mạo.
Access restrictions: VPN có mật khẩu bảo vệ.
Firewalls: Thiết bị trung gian lọc gói tin đến/đi, mặc định chặn tất cả ngoại trừ những gì được cho phép; phát hiện và phản ứng với tấn công DoS.

9. Xác thực (Authentication) – Nghiên cứu trường hợp

Protocol ap1.0

Alice chỉ gửi thông điệp “I am Alice”.

Vấn đề: Trudy có thể gửi đúng thông điệp đó vì Bob không thể nhìn thấy Alice trực tiếp trên mạng.

Protocol ap2.0

Alice gửi “I am Alice” kèm địa chỉ IP nguồn của mình.

Vấn đề: Trudy có thể spoof (giả mạo) địa chỉ IP của Alice.

Protocol ap3.0

Alice gửi “I am Alice” kèm địa chỉ IP và mật khẩu bí mật (dạng plaintext).

Vấn đề: Trudy có thể ghi lại gói tin của Alice rồi phát lại (playback attack) sau đó.

Protocol ap3.0 (sửa đổi)

Alice gửi mật khẩu đã mã hóa.

Vấn đề: Playback attack vẫn hoạt động – Trudy không cần biết nội dung, chỉ cần phát lại đúng gói tin đã mã hóa.

Protocol ap4.0 – Dùng Nonce

Để chứng minh Alice đang “sống” (live) chứ không phải replay:

Alice gửi “I am Alice”.
Bob gửi lại một nonce R (số dùng một lần duy nhất trong suốt vòng đời).
Alice trả về R đã mã hóa bằng khóa bí mật chung $K_{A-B}(R)$.

Bob biết: chỉ Alice mới biết khóa để mã hóa đúng nonce → Alice đang online.

Hạn chế: Yêu cầu cả hai bên phải có khóa đối xứng chia sẻ trước – khó phân phối khóa an toàn.

Protocol ap5.0 – Dùng Public Key

Dùng nonce kết hợp với mã hóa khóa công khai:

Alice gửi “I am Alice”.
Bob gửi nonce R.
Bob yêu cầu khóa công khai của Alice.
Alice gửi $K_A^-(R)$ (R mã hóa bằng private key của Alice).
Bob dùng $K_A^+$ để giải mã, xác nhận kết quả là R.

Vấn đề nghiêm trọng – Man-in-the-Middle (MITM) Attack:

sequenceDiagram participant Alice participant Trudy participant Bob Alice->>Trudy: I am Alice Trudy->>Bob: I am Alice Bob->>Trudy: Send me your public key Trudy->>Alice: Send me your public key Alice->>Trudy: K_A+ Trudy->>Bob: K_T+ (giả vờ là của Alice) Bob->>Trudy: R (nonce) Trudy->>Alice: R Alice->>Trudy: K_A-(R) Trudy->>Bob: K_T-(R) (dùng private key của Trudy) Bob-->>Trudy: Xác thực Trudy như thể là Alice

Trudy đứng giữa, giả là Alice với Bob và giả là Bob với Alice. Bob nghĩ đang nói chuyện với Alice, nhưng thực ra đang nói với Trudy.

Giải pháp: Certificate Authority (CA)

CA (Certification Authority) là bên thứ ba tin cậy, ràng buộc khóa công khai với một thực thể cụ thể:

Thực thể (người, website, router) đăng ký khóa công khai với CA, cung cấp bằng chứng danh tính.
CA tạo certificate (chứng chỉ) ràng buộc danh tính E với khóa công khai của E.
Certificate được ký số bằng private key của CA: CA says "this is E's public key".

Khi Alice muốn khóa công khai của Bob:

Lấy certificate của Bob.
Dùng public key của CA để giải mã chữ ký → xác minh certificate hợp lệ → lấy được khóa công khai thật của Bob.

Nhờ đó, Trudy không thể giả mạo khóa công khai của Bob vì Trudy không có private key của CA để ký certificate giả.

Câu hỏi và Trả lời

Câu hỏi Trắc nghiệm

Câu 1. Internet được mô tả chính xác nhất là gì?

A. Một mạng duy nhất được quản lý bởi một tổ chức toàn cầu
B. Một “mạng của các mạng” – tập hợp các ISP và mạng được kết nối với nhau
C. Một mạng chỉ dùng cho mục đích quân sự
D. Tập hợp các máy tính cùng chia sẻ một địa chỉ IP

Câu 2. RFC là viết tắt của?

A. Routing Frame Control
B. Request for Comments
C. Remote Function Call
D. Reliable Frame Checksum

Câu 3. Đâu là chức năng của IETF?

A. Quản lý phân bổ địa chỉ IP toàn cầu
B. Phát triển và duy trì các chuẩn Internet
C. Cung cấp dịch vụ DNS toàn cầu
D. Giám sát lưu lượng mạng Internet

Câu 4. Trong kiến trúc Internet, host (end system) là gì?

A. Chỉ các máy chủ web
B. Chỉ các router lõi mạng
C. Các thiết bị tính toán tại biên mạng – nơi ứng dụng chạy
D. Các thiết bị chuyển mạch trong mạng lõi

Câu 5. Sự khác biệt chính giữa router và switch là gì?

A. Router hoạt động ở tầng Physical, switch ở tầng Network
B. Router hoạt động ở tầng Network, switch ở tầng Link
C. Cả hai hoạt động giống nhau
D. Switch nhanh hơn router trong mọi trường hợp

Câu 6. TCP/IP được triển khai rộng rãi vào năm nào?

A. 1969
B. 1983
C. 1991
D. 1995

Câu 7. World Wide Web (WWW) ra đời dựa trên hai công nghệ nào?

A. FTP và DNS
B. SMTP và POP3
C. HTML và HTTP
D. TCP và UDP

Câu 8. Forwarding trong mạng máy tính là?

A. Quá trình tính toán đường đi tốt nhất cho toàn mạng
B. Hành động cục bộ tại router: chuyển gói tin từ cổng vào đến cổng ra dựa trên bảng forwarding
C. Quá trình mã hóa gói tin trước khi truyền
D. Quá trình phân mảnh gói tin lớn thành nhỏ hơn

Câu 9. Routing khác Forwarding ở điểm nào?

A. Routing là hành động cục bộ, forwarding là toàn cục
B. Routing xác định đường đi cho toàn mạng (toàn cục), forwarding thực thi việc chuyển tiếp cục bộ tại mỗi router
C. Chúng là hai từ khác nhau nhưng có nghĩa giống nhau
D. Forwarding chỉ áp dụng cho mạng không dây

Câu 10. Gói tin bị mất (dropped/lost) trong router xảy ra khi nào?

A. Gói tin quá lớn
B. Bộ nhớ đệm (buffer) của router đầy, không còn chỗ cho gói tin mới đến
C. Tốc độ đường truyền quá cao
D. Gói tin đến đúng lúc router đang xử lý

Câu 11. Công thức tính transmission delay là gì?

A. $d_{trans} = d/s$
B. $d_{trans} = L/R$
C. $d_{trans} = R/L$
D. $d_{trans} = L \times R$

Câu 12. Một gói tin dài 1 MB được truyền qua link 100 Mbps. Transmission delay là bao nhiêu?

A. 0.01 giây
B. 0.08 giây
C. 0.8 giây
D. 8 giây

Câu 13. Propagation delay phụ thuộc vào yếu tố nào?

A. Kích thước gói tin và tốc độ đường truyền
B. Độ dài vật lý của đường truyền và tốc độ lan truyền tín hiệu
C. Mức độ tắc nghẽn của mạng
D. Số lượng router trung gian

Câu 14. Queueing delay phụ thuộc vào điều gì?

A. Khoảng cách vật lý giữa hai router
B. Kích thước của gói tin
C. Mức độ tắc nghẽn tại router – tốc độ đến so với tốc độ phục vụ
D. Tốc độ xử lý của CPU trong router

Câu 15. Tại sao Internet cần phân lớp giao thức?

A. Để tăng tốc độ truyền dữ liệu
B. Để cho phép mỗi lớp hoạt động độc lập, dễ bảo trì và nâng cấp
C. Để giảm chi phí phần cứng
D. Để mã hóa dữ liệu tự động

Câu 16. Trong mô hình TCP/IP, tầng nào chịu trách nhiệm định tuyến gói tin từ nguồn đến đích?

A. Application
B. Transport
C. Network
D. Link

Câu 17. Giao thức nào sau đây thuộc tầng Transport trong mô hình TCP/IP?

A. HTTP và SMTP
B. TCP và UDP
C. IP và OSPF
D. Ethernet và WiFi

Câu 18. Tầng Link trong TCP/IP có chức năng gì?

A. Định tuyến gói tin qua nhiều mạng
B. Truyền dữ liệu giữa các node kề nhau trong cùng một mạng
C. Cung cấp giao diện cho ứng dụng người dùng
D. Đảm bảo truyền tin cậy đầu cuối

Câu 19. Mô hình OSI có bao nhiêu lớp?

A. 4
B. 5
C. 6
D. 7

Câu 20. Lớp nào trong mô hình OSI không có trong mô hình TCP/IP Internet?

A. Transport và Network
B. Physical và Link
C. Presentation và Session
D. Application và Transport

Câu 21. Lớp Presentation trong OSI có chức năng gì?

A. Định tuyến gói tin
B. Xử lý mã hóa, nén và chuyển đổi định dạng dữ liệu giữa các máy khác nhau
C. Kiểm soát luồng dữ liệu
D. Phân mảnh và ghép lại gói tin

Câu 22. Quá trình đóng gói (encapsulation) xảy ra như thế nào?

A. Mỗi lớp loại bỏ header của lớp trên trước khi truyền
B. Mỗi lớp thêm header của mình vào dữ liệu nhận từ lớp trên, tạo ra đơn vị dữ liệu mới
C. Dữ liệu được mã hóa thêm ở mỗi lớp
D. Tất cả các lớp chia sẻ chung một header

Câu 23. Đơn vị dữ liệu ở tầng Transport được gọi là gì?

A. Frame
B. Datagram
C. Segment
D. Packet

Câu 24. Đơn vị dữ liệu ở tầng Network được gọi là gì?

A. Frame
B. Datagram
C. Segment
D. Bit

Câu 25. Đơn vị dữ liệu ở tầng Link được gọi là gì?

A. Packet
B. Segment
C. Datagram
D. Frame

Câu 26. Khi gói tin đi qua một router trong mạng, router xử lý đến tầng nào?

A. Tầng Application
B. Tầng Transport
C. Tầng Network
D. Tầng Physical

Câu 27. Khi gói tin đi qua một switch (Layer 2), switch xử lý đến tầng nào?

A. Tầng Network
B. Tầng Link
C. Tầng Transport
D. Tầng Application

Câu 28. Confidentiality (Bảo mật) trong an ninh mạng đề cập đến điều gì?

A. Đảm bảo dịch vụ luôn sẵn sàng
B. Xác minh danh tính người gửi
C. Chỉ người gửi và người nhận hợp lệ mới đọc được nội dung thông điệp
D. Đảm bảo thông điệp không bị thay đổi trong truyền

Câu 29. Message Integrity trong an ninh mạng có nghĩa là gì?

A. Đảm bảo thông điệp được gửi đúng giờ
B. Đảm bảo nội dung thông điệp không bị thay đổi mà không bị phát hiện
C. Đảm bảo người gửi được xác thực
D. Đảm bảo thông điệp không bị đọc trộm

Câu 30. Trong mô hình bảo mật, Trudy đại diện cho ai?

A. Người dùng hợp lệ
B. Kẻ tấn công (intruder) có thể chặn, xóa hoặc chèn thông điệp
C. Quản trị viên mạng
D. Máy chủ DNS

Câu 31. Packet Sniffing hoạt động dựa trên nguyên lý nào?

A. Tấn công vào router để lấy bảng định tuyến
B. Card mạng ở chế độ promiscuous đọc tất cả gói tin đi qua, kể cả không gửi cho mình
C. Chặn kết nối TCP và thay đổi nội dung
D. Gửi nhiều gói tin giả để làm tắc nghẽn mạng

Câu 32. Công cụ nào sau đây được dùng để packet sniffing?

A. nmap
B. Wireshark
C. iptables
D. traceroute

Câu 33. IP Spoofing là gì?

A. Thay đổi địa chỉ MAC của thiết bị
B. Gửi gói tin với địa chỉ IP nguồn giả mạo, không phải địa chỉ thật của kẻ tấn công
C. Giả mạo DNS để chuyển hướng traffic
D. Làm giả certificate SSL

Câu 34. Tấn công Denial of Service (DoS) nhắm đến điều gì?

A. Đánh cắp dữ liệu người dùng
B. Làm cho tài nguyên (server, băng thông) không khả dụng với người dùng hợp lệ bằng cách áp đảo bằng traffic giả
C. Giải mã dữ liệu mã hóa
D. Chiếm quyền kiểm soát router

Câu 35. Botnet trong tấn công DoS là gì?

A. Phần mềm antivirus
B. Mạng các máy tính bị xâm nhập, bị điều khiển để cùng tấn công mục tiêu
C. Một loại firewall
D. Giao thức định tuyến đặc biệt

Câu 36. Vì sao Firewall thường hoạt động theo nguyên tắc “off-by-default”?

A. Để tiết kiệm điện
B. Để chặn tất cả gói tin mặc định và chỉ cho phép những gì được cấu hình rõ ràng – giảm bề mặt tấn công
C. Để tăng tốc độ mạng
D. Vì đây là yêu cầu của chuẩn RFC

Câu 37. Lỗ hổng của Protocol ap1.0 (Alice chỉ gửi “I am Alice”) là gì?

A. Thông điệp bị mã hóa sai
B. Bất kỳ ai cũng có thể gửi đúng thông điệp đó – không có cơ chế xác minh
C. Thông điệp quá ngắn để xác thực
D. Bob không thể giải mã thông điệp

Câu 38. Tại sao ap2.0 (thêm địa chỉ IP) vẫn thất bại?

A. IP address bị mã hóa
B. Trudy có thể thực hiện IP spoofing – giả mạo địa chỉ IP của Alice
C. Bob không đọc được địa chỉ IP
D. Địa chỉ IP thay đổi mỗi lần gửi

Câu 39. Playback attack là gì?

A. Kẻ tấn công giải mã thông điệp của Alice
B. Kẻ tấn công ghi lại gói tin hợp lệ và phát lại sau đó để tái xác thực
C. Kẻ tấn công thay đổi nội dung gói tin
D. Kẻ tấn công chặn đứng kết nối giữa Alice và Bob

Câu 40. Nonce trong giao thức xác thực là gì và tại sao nó giải quyết được playback attack?

A. Một loại mã hóa đặc biệt; giải quyết vì mã hóa mạnh hơn
B. Số dùng một lần (number used once); giải quyết vì Trudy không thể phát lại gói tin cũ – nonce cũ đã hết hiệu lực
C. Địa chỉ IP tạm thời; giải quyết vì địa chỉ thay đổi mỗi phiên
D. Timestamp; giải quyết vì thời gian luôn tăng

Câu 41. Protocol ap4.0 yêu cầu gì mà ap5.0 cố khắc phục?

A. ap4.0 yêu cầu kết nối không dây; ap5.0 dùng có dây
B. ap4.0 yêu cầu khóa đối xứng chia sẻ trước – khó phân phối an toàn; ap5.0 dùng mã hóa khóa công khai thay thế
C. ap4.0 quá chậm; ap5.0 nhanh hơn
D. ap4.0 chỉ dùng được một lần; ap5.0 dùng nhiều lần

Câu 42. Trong ap5.0, Alice chứng minh danh tính bằng cách nào?

A. Gửi mật khẩu mã hóa
B. Mã hóa nonce R bằng private key của mình; Bob giải mã bằng public key của Alice để xác minh
C. Gửi địa chỉ IP và chứng chỉ số
D. Sử dụng khóa đối xứng chia sẻ

Câu 43. Man-in-the-Middle (MITM) attack trong ap5.0 hoạt động như thế nào?

A. Trudy chặn gói tin và giải mã nội dung
B. Trudy đứng giữa, giả là Alice với Bob và giả là Bob với Alice, thay thế khóa công khai thật bằng khóa của mình
C. Trudy làm giả địa chỉ IP của cả Alice và Bob
D. Trudy tấn công DoS để ngắt kết nối của Alice

Câu 44. Certificate Authority (CA) giải quyết vấn đề MITM như thế nào?

A. CA mã hóa tất cả traffic trên Internet
B. CA là bên thứ ba tin cậy, ký chứng chỉ ràng buộc khóa công khai với danh tính thật – ngăn Trudy giả mạo khóa công khai
C. CA cung cấp khóa đối xứng cho mỗi phiên kết nối
D. CA theo dõi tất cả giao tiếp trên mạng

Câu 45. Để xác minh chứng chỉ của Bob, Alice cần gì?

A. Private key của CA
B. Public key của CA
C. Private key của Bob
D. Khóa đối xứng chia sẻ với Bob

Câu 46. Điều gì xảy ra nếu Internet ban đầu được thiết kế với bảo mật là ưu tiên hàng đầu?

A. Internet sẽ không thể kết nối được
B. Nhiều giao thức bảo mật như TLS, IPSec sẽ được tích hợp sẵn thay vì thêm vào sau
C. Internet sẽ chậm hơn nhiều
D. Không có gì thay đổi vì bảo mật luôn được tích hợp

Câu 47. Giao thức DNS được định nghĩa vào năm nào và dùng để làm gì?

A. 1982, để gửi email
B. 1983, để dịch tên miền sang địa chỉ IP
C. 1985, để truyền file
D. 1988, để kiểm soát tắc nghẽn

Câu 48. Trong ap5.0, tại sao chỉ biết public key của Alice là chưa đủ để Trudy giả mạo?

A. Vì public key bị mã hóa
B. Vì để tạo $K_A^-(R)$ (response hợp lệ cho nonce), cần private key của Alice mà Trudy không có
C. Vì Bob không biết public key của Alice
D. Vì nonce R quá phức tạp để mã hóa

Câu 49. Sự kiện nào đánh dấu sự bùng nổ của thương mại hóa Internet?

A. Triển khai TCP/IP năm 1983
B. NSF bỏ hạn chế thương mại hóa NSFnet năm 1991 và sự phổ biến của Web qua Netscape
C. Ra đời của email năm 1982
D. Ra đời của WiFi năm 2000

Câu 50. Theo bài giảng, Software-Defined Networking (SDN) bắt đầu xuất hiện từ năm nào?

A. 2000
B. 2004
C. 2008
D. 2012

Câu 51. Nodal processing delay ($d_{proc}$) thường có giá trị trong khoảng nào?

A. Vài milliseconds
B. Vài microseconds
C. Vài seconds
D. Vài nanoseconds

Câu 52. Trong bối cảnh bảo mật, “hijacking” là kiểu tấn công gì?

A. Đọc lén nội dung thông điệp
B. Chiếm quyền kiểm soát kết nối đang diễn ra bằng cách loại bỏ một bên và thay thế vào vị trí đó
C. Gửi thông điệp giả với địa chỉ nguồn giả
D. Làm ngập lụt server với traffic

Câu 53. Trong kiến trúc Internet, “access network” là gì?

A. Mạng lõi kết nối các ISP với nhau
B. Mạng kết nối end system (host) vào mạng lõi – ví dụ DSL, cáp, WiFi gia đình
C. Mạng riêng của các nhà cung cấp nội dung
D. Mạng kết nối giữa các data center

Câu 54. Tại sao năm 2017 được coi là cột mốc quan trọng trong lịch sử Internet?

A. Ra đời của 5G
B. Lần đầu tiên thiết bị di động vượt qua thiết bị cố định về số lượng kết nối Internet
C. Internet đạt 1 tỷ trang web
D. Triển khai IPv6 toàn cầu