Giao thức Truyền tải (HTTP/HTTPS & FTP/SFTP)

Phân tích Wireshark Lớp 7: Cách hacker bắt mật khẩu trần trụi qua FTP, so sánh HTTP với HTTPS, và giải mã kiến trúc đường hầm an toàn của SFTP.

Chào mừng các bạn tiếp tục với Series Giải phẫu Mạng & Packet Analysis! Ở phần trước, chúng ta đã đi sâu vào hạ tầng mạng với DNS và DHCP. Khi gói tin đã có IP và tìm được đích đến, hệ thống sẽ chuyển giao nhiệm vụ cho các giao thức truyền tải văn bản và tệp tin ở Lớp Ứng dụng (Tầng 7). Hôm nay, chúng ta sẽ đặt HTTP/HTTPS và FTP/SFTP lên bàn mổ Wireshark để thấy rõ ranh giới sinh tử giữa dữ liệu trần trụi và kiến trúc đường hầm mã hóa.

1. HTTP và HTTPS: Ranh giới giữa “Trần trụi” và “Kín đáo”

HTTP (Cổng 80) là giao thức nền tảng để duyệt web, nhưng bản chất của nó là truyền văn bản thuần (Clear-text) hoàn toàn không được mã hóa. Đứng ở góc độ bảo mật, nếu bạn sử dụng mạng Wi-Fi công cộng để truy cập một trang web HTTP, bất kỳ ai có kiến thức cơ bản về mạng đang dùng Wireshark cũng có thể “nghe lén”. Họ sẽ thấy toàn bộ nội dung bạn chat, tài khoản, mật khẩu và thậm chí có thể can thiệp sửa đổi dữ liệu trên đường đi.

Để khắc phục điều này, HTTPS (Cổng 443) ra đời. Nó thực chất là giao thức HTTP được chạy trên nền của SSL/TLS ở Tầng 6 (Presentation).

Khi bạn truy cập facebook.com qua HTTPS, sau khi hoàn tất quá trình Bắt tay TCP ở Tầng 4, quy trình mã hóa sẽ diễn ra như sau:

  1. Chuẩn bị (TLS Handshake): Trình duyệt (Client Hello) và máy chủ (Server Hello) đàm phán để chọn ra một bộ công cụ mật mã (Cipher Suite) chung.
  2. Mã hóa (Application Data): Chỉ sau khi “đường hầm” TLS được thiết lập xong, dữ liệu web thực sự (phương thức GET/POST, mật khẩu, hình ảnh) mới bắt đầu được đẩy đi dưới dạng các khối Encrypted Application Data. Lúc này, hacker đứng giữa mạng sẽ hoàn toàn mù tịt.

2. FTP và Thảm họa Lộ Mật khẩu (Clear-text)

Tương tự như câu chuyện của HTTP, giao thức truyền tải tệp tin FTP (File Transfer Protocol) hoạt động ở Cổng 2021 cũng là một giao thức cực kỳ yếu kém về bảo mật.

Hãy tưởng tượng một kịch bản thực chiến: Một nhân viên dùng FTP để upload báo cáo nội bộ qua mạng Wi-Fi ở quán cà phê. Hacker ngồi góc phòng, bật Wireshark (hoặc Ettercap) để thực hiện tấn công Man-in-the-Middle (MitM). Vì FTP không hề có lớp bảo vệ mã hóa nào, hacker sẽ bắt được toàn bộ gói tin giao tiếp trần trụi giữa máy trạm và Server.

Dưới đây là bằng chứng kết xuất từ Wireshark khi hacker bắt thành công gói tin FTP:

# Gói tin FTP cho thấy thông tin đăng nhập bị lộ hoàn toàn
# IP Nạn nhân: 192.168.1.15 | IP Máy chủ FTP: 10.10.50.20

No.  Time     Source         Destination   Protocol  Info
34   100.646  192.168.1.15 -> 10.10.50.20  FTP       Request: USER roduygo
36   100.646  10.10.50.20  -> 192.168.1.15 FTP       Response: 331 Please specify the password.
38   102.659  192.168.1.15 -> 10.10.50.20  FTP       Request: PASS 7905
40   102.756  10.10.50.20  -> 192.168.1.15 FTP       Response: 230 Login successful.
42   102.756  192.168.1.15 -> 10.10.50.20  FTP       Request: SYST
[...]

Chỉ với vài giây phân tích, hacker đã lấy được chính xác tài khoản (USER roduygo) và mật khẩu (PASS 7905). Từ đây, chúng có thể đăng nhập thẳng vào Server để trích xuất dữ liệu mật hoặc xóa sạch mọi tài liệu quan trọng.

Cảnh báo SOC: FTP mặc định là một lỗ hổng chí mạng. SOC Analyst cần đưa ra cảnh báo khẩn cấp (Alert) trên hệ thống IDS/IPS nếu phát hiện bất kỳ lưu lượng FTP nào (Port 21) truyền tải dữ liệu mà không đi qua các đường hầm VPN hoặc chưa được bọc TLS (FTPS).

3. SFTP: Kiến trúc Đường hầm Bảo mật tuyệt đối

Để giải quyết vấn đề của FTP, giải pháp an toàn và phổ biến nhất hiện nay trong giới quản trị hệ thống là SFTP (SSH File Transfer Protocol).

Một sai lầm rất thường gặp là mọi người nghĩ SFTP là “FTP cộng thêm bảo mật”. Thực chất không phải vậy! SFTP là một giao thức hoàn toàn mới được xây dựng từ đầu ngay bên trong không gian của SSH (Cổng 22). Trong khi SSH cung cấp cho bạn quyền gõ lệnh Terminal từ xa, thì SFTP tận dụng chính “đường hầm” an toàn đó để truyền tải tệp tin.

Khi bạn kết nối SFTP lần đầu, hệ thống sẽ sử dụng cơ chế bảo mật cực mạnh:

  • Kiểm tra Fingerprint: Máy bạn sẽ hỏi “dấu vân tay” (thường là mã ED25519) của Server và lưu vào file known_hosts. Từ lần sau, nếu dấu vân tay này bị thay đổi (do hacker cố tình dựng Server giả mạo), SSH sẽ báo động đỏ ngay lập tức.
  • Mã hóa hoàn toàn: Toàn bộ lệnh gõ, tên file, và nội dung file đều bị băm và xáo trộn.

Nếu hacker tiếp tục dùng Wireshark để nghe lén luồng SFTP, thứ duy nhất chúng thấy chỉ là vô vọng:

# Gói tin SFTP (chạy qua SSH) hoàn toàn bị mã hóa, che giấu mọi hoạt động
# IP Nạn nhân: 192.168.1.15 | IP Máy chủ SFTP: 10.10.50.20

No.  Time     Source         Destination   Protocol  Info
14   13.1338  192.168.1.15 -> 10.10.50.20  SSHv2     Client: PQ/T Hybrid Key Exchange Init
15   13.1383  10.10.50.20  -> 192.168.1.15 SSHv2     Server: PQ/T Hybrid Key Exchange Reply, New Keys
17   18.3181  192.168.1.15 -> 10.10.50.20  SSHv2     Client: New Keys, Encrypted packet (len=68)
19   18.3509  10.10.50.20  -> 192.168.1.15 SSHv2     Client: Encrypted packet (len=52)
34   21.8629  192.168.1.15 -> 10.10.50.20  SSHv2     Client: Encrypted packet (len=128)
36   21.9083  10.10.50.20  -> 192.168.1.15 SSHv2     Server: Encrypted packet (len=628)
[...]

Thay vì thấy lệnh USER hay PASS, tất cả những gì hiển thị trên màn hình của hacker giờ đây chỉ là các khối Encrypted packet khô khan.


Hiểu rõ sự khác biệt giữa giao thức truyền văn bản thuần (HTTP, FTP) và các giao thức bọc giáp (HTTPS, SFTP) giúp SOC Analyst biết phải cấu hình giám sát ở đâu để không bị lọt lưới thông tin nhạy cảm. Dù SSH/SFTP rất kiên cố, nhưng vỏ bọc nào cũng có điểm yếu chí mạng nếu quá trình “đàm phán” ban đầu bị thao túng. Trong Bài tiếp theo, chúng ta sẽ đi sâu vào kỹ thuật quản trị từ xa (SSH) và mổ xẻ lỗ hổng Terrapin (CVE-2023-48795) — đòn tấn công tinh vi đánh thẳng vào tính toàn vẹn của quá trình bắt tay SSH. Hãy cùng chờ đón nhé!