Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)

Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

LỜI CAM ĐOAN

Tôi là: Nguyễn Mạnh Khởi, học viên cao học lớp M16CQTE01-B khóa

2016-2018

Giáo viên hướng dẫn là: TS Nguyễn Quý Sỹ

Tôi xin cam đoan toàn bộ nội dung được trình bày trong bản luận văn này là kết quả tìm hiểu và nghiên cứu của riêng tôi, trong quá trình nghiên cứu đề tài

“Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT” Các số liệu và kết quả nêu trong luận văn là hoàn toàn trung thực và chưa

từng được ai công bố trong bất kỳ công trình nào khác Mọi thông tin trích dẫn đều được tuân theo luật sở hữu trí tuệ, liệt kê rõ ràng các tài liệu tham khảo Tôi xin chịu hoàn toàn trách nhiệm với những nội dung được viết trong luận văn này

Hà Nội, ngày tháng 11 năm 2017

Người viết luận văn

NGUYỄN MẠNH KHỞI

LỜI CẢM ƠN

Đầu tiên, người thực hiện đề tài xin gửi lời cảm ơn chân thành đến tất cả các thầy cô trong Khoa Đào tạo sau đại học Học Viện Bưu Chính Viễn Thông đã luôn nhiệt tình hướng dẫn, truyền đạt kiến thức trong suốt thời gian học tập tại trường, là nền tảng giúp người thực hiện có thể thực hiện đề tài tốt nghiệp này

Người thực hiện đề tài xin gửi lời cảm ơn sâu sắc đến thầy Nguyễn Quý Sỹ, người đã hết lòng hướng dẫn, chỉ bảo trong suốt thời gian làm luận văn, giúp người thực hiện có những hướng đi đúng đắn để có thể hoàn thành luận văn

Xin gửi lời cảm ơn đặc biệt đến những người bạn đã luôn hết lòng giúp đỡ người thực hiện trong thời gian vừa qua

Một lần nữa xin chân thành cảm ơn!

Người thực hiện đề tài

NGUYỄN MẠNH KHỞI

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v

DANH SÁCH HÌNH VẼ vii

DANH MỤC BẢNG BIỂU ix

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ SPAM EMAIL 4

1.1 Giới thiệu tổng quan an toàn bảo mật hệ thống thông tin 4

1.1.1 Một số hình thức tấn công hệ thống thông tin phổ biến 5

1.1.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống thông tin 7

1.2 Tổng quan về thư rác, blacklist 9

1.2.1 Định nghĩa về thư rác 9

1.2.2 Định nghĩa blacklist 9

1.2.3 Các đặc trưng của thư rác 10

1.2.4 Phương pháp và hệ thống phát tán thư rác 12

1.2.5 Các nguyên nhân IP gây spam và bị list trong danh sách blacklist 17

1.3 Tổng kết chương 1 23

CHƯƠNG 2: CÁC GIẢI PHÁP CHỐNG SPAM 24

2.1 Giải pháp DNS Blacklist/Whitelist 24

2.1.1 DNS Blacklist 24

2.1.2 DNS Whitelist 31

2.2 Kỹ thuật chứng thực thư điện tử 33

2.2.1 Kỹ thuật Sender Policy Framework (SPF) 35

2.2.2 Sender ID Framework 39

2.2.3 DomainKeys Identified Mail (DKIM) 41

2.3 Kỹ thuật Challenge-Response 46

2.4 Kỹ thuật lọc thống kê Bayesian 49

2.5 Phương pháp kiểm tra email người nhận 53

2.6 Biện pháp phòng chống cho người dùng 53

2.7 Tổng kết chương 2 54

CHƯƠNG 3: GIẢI PHÁP CHỐNG SPAM ÁP DỤNG TẠI VNPT 55

3.1 Thống kê tình hình spam, blacklist trên mạng VNPT 55

3.2 Phân tích, lựa chọn giải pháp 57

3.3 Giải pháp của hãng Cybonet thử nghiệm trên mạng băng rộng VNPT 58

3.4 Tổng kết chương 3 71

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI 73

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

ASN Autonomous System Number Số hiệu mạng

BRAS Broadband Remote Access

Server

Thiết bị cung cấp dịch vụ internet băng rộng

Botnet Tập hợp máy tính đã bị tấn công

và bị điều khiển CAPTCHA Completely Automated Public

Turing test to tell Computers and Humans Apart

Dạng kiểm định hỏi đáp giữa máy tính và người dùng

C&C Command and Control server Server điều khiển các rô bốt

phần mềmC/R Challenge/response Giao thức chống thư rác dựa

trên cơ chế hỏi đáp DDoS Distributed Denial of Service Từ chối dịch vụ phân tán

DKIM DomainKeys Identified Mail Giao thức chứng thực thư điện

tử dựa trên sự kết hợp giữa IIM

và DomainKeys DNS Domain Name System Hệ thống tên miền

DNSBL DNS-based Blackhole list Danh sách đen

DNSWL DNS-based whitelist Danh sách trắng

DoS Denial of Service Từ chối dịch vụ

ESP Email Service Provider Nhà cung cấp dịch vụ email FQDN Fully Qualified Domain Name Địa chỉ tên miền đầy đủ

http hypertext transfer protocol Giao thức truyền tải siêu văn

bản https hypertext transfer protocol

IPS Intrusion Prevention System Hệ thống ngăn ngừa xâm nhập ISP Internet Service Provider Nhà cung cấp dịch vụ internet MTA Mail Tranfer Agent Máy chủ thư điện tử

SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử

SPF Sender Policy Framework Hệ thống kiểm soát email giả

mạo PBR Policy Based Routing Định tuyến theo chính sách PTR Point Record Bản ghi ngược ánh xạ 1 địa chỉ

IP đến 1 tên miền

DANH SÁCH HÌNH VẼ

Hình 1.1: Đặc điểm nhận diện thư rác qua header, lời chào hỏi, qua URL 11

Hình 1.2: Gửi thư rác qua open relay 14

Hình 1.3: Mô hình open proxy 14

Hình 1.4: Hệ thống phát tán thư rác 15

Hình 1.5: Hoạt động gửi thư rác qua mạng botnet 16

Hình 1.6: Kiểm tra IP trên trang http://mxtoolbox.com 17

Hình 1.7: Kiểm tra trỏ PTR trên trang http://www.intodns.com 18

Hình 1.8: Kiểm tra trỏ TXT SPF trên trang http://mxtoolbox.com 19

Hình 1.9: Kiểm tra cấu hình DKIM 20

Hình 1.10: Cảnh báo email spam 20

Hình 1.11: Dải IP bị blacklist 21

Hình 1.12: Cảnh báo email có nội dung spam 22

Hình 2.1: Hoạt động của Blacklist 25

Hình 2.2: Quy trình làm việc của DNSBL 26

Hình 2.3: Hệ thống DNSBL của tổ chức Spamhaus 30

Hình 2.4: Chu trình xử lý tin của SBL 31

Hình 2.5: Hệ thống SPF 34

Hình 2.6: Hệ thống DKIM 34

Hình 2.7: Mô hình làm việc của SPF 35

Hình 2.8: Khai báo bản ghi SPF 36

Hình 2.9: Công cụ tạo bản ghi SPF của Microsoft 38

Hình 2.10: Mô hình làm việc của SIDF 40

Hình 2.11: Mô hình làm việc của DKIM 42

Hình 2.12: Mô hình làm việc của hệ thống C/R 46

Hình 2.13: Giả mạo trên hệ thống C/R 47

Hình 2.14: Mẫu thư điện tử yêu cầu xác nhận 48

Hình 2.15: Sử dụng mã CAPCHA 49

Hình 2.16: Thư mục chứa thư chưa xác nhận 49

Hình 2.17: Hoạt động của bộ lọc thư rác Bayesian 50

Hình 3.1: Thống kê tỷ lệ phát tán spam trên thế giới 55

Hình 3.2: Thống kê các ASN có tỷ lệ spam và botnet cao nhất thế giới 57

Hình 3.3: Mô hình hệ thống OSG 59

Hình 3.4: Mô hình thử nghiệm hệ thống OSG trên mạng VNPT 60

Hình 3.5: Mô hình thử nghiệm hệ thống OSG tại một Tỉnh/Tp 61

Hình 3.6: Đăng nhập hệ thống OSG 64

Hình 3.7: Cấu hình IP rate limit 65

Hình 3.8: Cấu hình RBL 65

Hình 3.9: Cấu hình IP reputation 66

Hình 3.10: Cấu hình DHA attack 66

Hình 3.11: Cấu hình DoS attack 67

Hình 3.12: Giám sát online hệ thống OSG 67

Hình 3.13: Báo cáo thống kê dữ liệu đầu vào dạng bảng 68

Hình 3.14: Báo cáo thống kê dữ liệu đầu vào dạng đồ thị 68

Hình 3.15: Lưu lượng SMTP trước khi triển khai OSG 69

Hình 3.16: Lưu lượng SMTP sau khi triển khai OSG 69

Hình 3.17: Mô tả giao diện UCEPROTECT 70

DANH MỤC BẢNG BIỂU

Bảng 1.1: Những giải pháp bảo mật hệ thống mạng 8Bảng 3.1: Danh sách IP thử nghiệm 62Bảng 3.2: Báo cáo thống kê trạng thái các dải IP sau khi đưa qua OSG 70

là botnets Botnets hoạt động bên trong mạng, sử dụng cơ sở hạ tầng của nhà cung cấp dịch vụ để phân phối một số lượng lớn thư rác Botnets phân phối lên tới 90% lượng thư rác trên toàn thế giới và đang hoạt động bên trong mạng của nhà cung cấp dịch vụ, sử dụng các địa chỉ IP và băng thông của nhà cung cấp Các mạng botnets hoạt động bằng cách lây nhiễm malware vào các máy tính và sau đó sử dụng các máy tính đó để gửi spam Hậu quả của việc gửi spam nhiều, đó là các tổ chức chống spam trên thế giới đã đưa các dải địa chỉ IP của nhà cung cấp dịch vụ vào danh sách blacklist của họ Nguy hiểm hơn là nguy cơ toàn bộ AS number của nhà cung cấp dịch vụ cũng bị blacklist

Các nhà cung cấp dịch vụ đang tìm kiếm các giải pháp để kiểm soát tình trạng blacklist do botnet phá hoại bên trong mạng của họ Việc lợi dụng hạ tầng mạng của nhà cung cấp dịch vụ để phát tán khối lượng lớn email spam đang ảnh hưởng tới chất lượng dịch vụ cung cấp cho khách hàng Cụ thể, khách hàng gặp rất nhiều khó khăn trong việc gửi/nhận mail, thường xuyên nhận được thư rác, thư kèm link nhiễm mã độc, phishing… Các nhà cung cấp dịch vụ cũng không còn nhiều tài nguyên IP sạch để cung cấp cho các khách hàng lớn Việc bóc gỡ các dải IP ra khỏi danh sách blacklist của các tổ chức chống spam quốc tế vẫn bằng phương pháp nhân công, hiệu quả không cao và khách hàng sau khi được đưa ra khỏi blacklist nếu không quản trị tốt sẽ bị đưa lại vào blacklist

Vấn đề đặt ra là cần có giải pháp chống spam hiệu quả, phát hiện và giảm lượng spam đi ra khỏi mạng của nhà cung cấp dịch vụ, vô hiệu hóa hoạt động của botnet, giảm số lượng các địa chỉ IP bị blacklist và giảm được lượng băng thông không mong muốn

Đã có rất nhều phương pháp kỹ thuật đưa ra để giảm số lượng thư rác Như việc đưa ra các luật lệ để hạn chế việc gửi thư rác, đưa ra các phương pháp kỹ thuật lọc thư rác như: lọc dựa trên địa chỉ IP (whitelist, blacklist), lọc dựa trên danh tính người gửi, lọc dựa trên chuỗi hỏi đáp, phương pháp lọc dựa trên mạng xã hội và phương pháp lọc nội dung…Mỗi phương pháp đều có ưu nhược điểm riêng không có phương pháp nào là hoàn hảo vì vậy để có bộ lọc thư rác tốt cần phải kết hợp các

phương pháp với nhau.Trong quá trình nghiên cứu học viên lựa chọn đề tài “Nghiên

cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT” là

đề tài của luận văn

Luận văn sẽ bao gồm các nội dung chính như sau:

Chương 1: Giới thiệu tổng quan về spam email

Chương 1 trình bày khái quát về an toàn bảo mật hệ thống thông tin giúp ta có cái nhìn tổng quát về khái niệm, phương thức đánh giá và giải pháp bảo mật hệ thống mạng Chương này cũng giới thiệu về một số phương thức tấn công mạng phổ biến

và tổng quan về phương thức tấn công spam email

Chương 2: Các giải pháp chống spam email

Chương 2 giới thiệu về các giải pháp chống spam phổ biến trên thế giới Giới thiệu và đi sâu chi tiết về các kỹ thuật chống spam như DNS Blacklist/Whitelist, các

kỹ thuật chứng thực thư điện tử (SPF, DKIM…), lọc nội dung email ; đánh giá ưu, nhược điểm của mỗi giải pháp và là tiền đề để lựa chọn một giải pháp kỹ thuật chống spam trong chương 3

Chương 3: Lựa chọn giải pháp chống spam email áp dụng tại VNPT

Chương 3 giới thiệu khái quát về tình hình spam, blacklist tại VNPT; trình bày giải pháp chống spam của hãng Cybonet OSG bằng phương pháp chặn lọc lưu lượng SMTP chiều đi quốc tế từ danh sách IP nguồn gửi và tham chiếu danh sách blacklist của tổ chức UCEPROTECT; Đánh giá tính hiệu quả của giải pháp sau khi thử nghiệm triển khai tại một VNPT-Tỉnh/TP

Do khả năng còn hạn chế nên quyển luận văn này chắc chắn không tránh khỏi những thiếu sót Học viên mong nhận được sự chỉ bảo góp ý của các thầy, cô giáo để đề tài được hoàn thiện hơn

CHƯƠNG 1: TỔNG QUAN VỀ SPAM EMAIL

1.1 Giới thiệu tổng quan an toàn bảo mật hệ thống thông tin

Hệ thống thông tin (IS-Information System) là một hệ thống tích hợp các thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý thông tin và chuyển giao thông tin, tri thức và các sản phẩm số

Một hệ thống thông tin bảo mật (Secure Information System) là một hệ thống

mà thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng sau đây (theo mô hình C.I.A):

- Tính bí mật của thông tin (Confidentiality)

- Tính toàn vẹn của thông tin (Integrity)

- Tính khả dụng của thông tin (Availability)

Tính bí mật

Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng, chỉ người dùng có thẩm quyền mới được truy nhập thông tin Các thông tin bí mật có thể gồm:

- Dữ liệu riêng của cá nhân

- Các thông tin thuộc quyền sở hữu trí tuệ của các doanh nghiệp hay các cơ quan/tổ chức

- Các thông tin liên quan đến an ninh quốc gia

Tính bí mật của thông tin là mức độ bảo mật cần thiết nhằm đảm bảo những dữ liệu quan trọng không bị rò rỉ hay lộ thông tin Kẻ tấn công có thể thực hiện nhiều phương thức nhằm đạt được mục đích là lấy những thông tin mong muốn

Thông tin có thể bị lộ do không sử dụng các phương thức mã hóa đủ mạnh khi truyền hay lưu trữ thông tin

Tính toàn vẹn

Đảm bảo tính toàn vẹn của thông tin, tức là thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi Thông tin không bị thay đổi hay chỉ được chỉnh sửa bởi người có thẩm quyền Dữ liệu là toàn vẹn nếu:

- Dữ liệu không bị thay đổi

- Dữ liệu hợp lệ

- Dữ liệu chính xác

Kẻ tấn công có thể thực hiện nhiều phương thức nhằm thay đổi những thông tin mong muốn Những phương thức đó có thể là đột nhập vượt qua các quá trình xác thực hoặc tấn công khai thác lỗ hổng bảo mật của hệ thống

Tính sẵn sàng

Tính sẵn sàng của thông tin là khả năng đáp ứng của thông tin thể hiện tính sẵn sàng phục vụ của các dịch vụ Thông tin có thể truy nhập bởi người dùng hợp pháp bất cứ khi nào họ có yêu cầu Tính sẵn sàng có thể được đo bằng các yếu tố:

- Thời gian cung cấp dịch vụ (Uptime)

- Thời gian ngừng cung cấp dịch vụ (Downtime)

- Tỷ lệ phục vụ: A = (Uptime)/(Uptime + Downtime)

- Thời gian trung bình giữa các sự cố

- Thời gian trung bình ngừng để sửa chữa

- Thời gian khôi phục sau sự cố

Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy của thông tin, cũng như đảm nhiệm chức năng là thước đo, xác định phạm vi tới hạn của an toàn một hệ thống thông tin

1.1.1 Một số hình thức tấn công hệ thống thông tin phổ biến

Sau đây là một số phương thức, hành vi được đánh giá là những nguy cơ gây ảnh hưởng đến an toàn bảo mật hệ thống thông tin:

 Nghe lén (snooping): là một trong những phương thức truy xuất thông tin trái phép Các hành vi thuộc phương thức này có thể đơn giản như việc nghe lén một cuộc đàm thoại, mở một tập tin trên máy tính của người khác, hoặc phức tạp hơn như xen vào một kết nối mạng (wire-tapping) để ăn cắp dữ liệu, hoặc cài các chương trình ghi bàn phím (key-logger) để ghi lại những thông tin quan trọng được nhập từ bàn phím

 Tấn công xen giữa Man-in-the-middle (MITM): là một trong những kiểu tấn công thường thấy nhất Kiểu tấn công này thì kẻ tấn công như một kẻ nghe trộm MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn

 Giả danh (spoofing): là dạng tấn công mà một cá nhân, một hệ thống thực hiện hành vi giả mạo Ví dụ như một người giả mạo địa chỉ mail gửi đi mà không cần phải xác thực

 Phủ nhận hành vi (repudiation): cũng là một phương thức gây sai lệch thông tin Bằng phương thức này, một thực thể thực hiện hành vi phát ra thông tin, nhưng sau đó lại chối bỏ hành vi này, tức không công nhận nguồn gốc của thông tin và do đó vi phạm yêu cầu về tính toàn vẹn của thông tin

 Tấn công từ chối dịch vụ (DoS/DDoS): là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp

 Chiếm quyền điều khiển hệ thống: gây ra nhiều mức độ thiệt hại khác nhau

từ việc lấy cắp và thay đổi dữ liệu đến việc thay đổi các chính sách bảo mật và vô hiệu hoá các cơ chế bảo mật đã được thiết lập

Đích của các dạng tấn công:

- Hệ điều hành (operating system): đích tấn công là các hệ điều hành Ngày nay các hệ điều hành rất phức tạp với nhiều service, port, nhiều chế độ truy cập Việc cập nhật vá các lỗ hổng bảo mật ngày càng phức tạp và đôi khi không được thực hiện gây ra các lỗ hổng bảo mật để hacker khai thác

- Ứng dụng (application): Các ứng dụng được phát triển bởi các hãng phần mềm độc lập và đôi khi chỉ quan tâm tới đáp ứng nhu cầu công việc của ứng dụng mà quên đi việc phải bảo mật cho ứng dụng Rất nhiều ứng dụng có lỗ hổng bảo mật cho phép hacker khai thác

- Shrink Wrap: Các chương trình, ứng dụng đôi khi bị lỗi mã code và việc này cũng là lỗ hổng bảo mật rất lớn

- Misconfiguration: các thiết lập sai trên hệ thống đôi khi tạo kẽ hở cho kẻ tấn công thực hiện khai thác

1.1.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống thông tin

Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần phải có lộ trình xây dựng hợp lý giữa yêu cầu và chi phí có thể chi trả để từ đó lựa chọn những giải pháp Giải pháp phù hợp nhất phải cân bằng được các yếu tố:

- Tính năng yêu cầu

- Giá thành giải pháp

- Hiệu năng của hệ thống

Bất kỳ doanh nghiệp hay tổ chức nào cũng không thể cùng một lúc có thể triển khai toàn bộ các giải pháp bảo mật, điều này đặt ra cần phải có lộ trình xây dựng rõ ràng Dưới đây là lộ trình các bước cũng như giải pháp để xây dựng một hệ thống mạng đảm bảo tính bảo mật cao:

Bảng 1.1: Những giải pháp bảo mật hệ thống mạng

1 Xây dựng tường lửa (firewall)

Layer 3-4 Layer 4-7 Xây dựng HA cho firewall

2

Giải pháp Enpoint security và chống Malware tập

trung cho toàn bộ hệ thống với tính năng:

Security cho Internet Gateway

3

Giải pháp, thiết bị phục vụ hỗ trợ phòng chống tấn

công mạng và các thâm nhập bất hợp pháp

(IDS/IPS)

Vùng DMZ Vùng Server Farm Vùng Internal

4

Giải pháp, thiết bị phục vụ hỗ trợ kiểm tra đánh giá

định kỳ, tìm kiếm và quản lý lỗ hổng bảo mật cho

toàn bộ hệ thống mạng, hệ điều hành, ứng dụng,

6 Giải pháp chống thất thoát dữ liệu

7 Giải pháp quản lý truy cập mạng Network Access

8

Giải pháp cân bằng tải, tối ưu hóa băng thông,

chống tấn công DdoS và tăng tính bảo mật sử dụng

Proxy

Vùng DMZ

9 Giải pháp mã hóa thông tin (Xây dựng hệ thống

10 Giải pháp an toàn dữ liệu (backup/restore) tập trung Giải pháp backup/restore tập trung, đặt lịch, lưu trữ tập trung

11 Xây dựng hệ thống mạng đáp ứng chuẩn ISO 27001 Xây dựng chuẩn ISO 27001

1.2 Tổng quan về thư rác, blacklist

1.2.1 Định nghĩa về thư rác

Thư rác (spam) được từ điển bách khoa toàn thư Wikipedia định nghĩa như sau: Thư rác (spam) là một trong những loại hình sử dụng các phương tiện điện tử để phát tán thông điệp hàng loạt Thư rác được gửi đi có nội dung giống nhau hoặc gần giống nhau tới hàng nghìn (hoặc hàng triệu) người dùng thư điện tử Thư rác được gửi đến mà không được sự mong đợi của người nhận

Spam là một trong các hình thức tấn công mạng phổ biến hiện nay Theo mô hình C.I.A, tấn công bằng phương thức spam email tác động đến tính bí mật (lừa đảo, trộm cắp thông tin cá nhân trên email), tính toàn vẹn (nội dung email bị thay đổi) và tính sẵn sàng (lưu lượng SMTP lớn gây tắc nghẽn băng thông)

Spam thường là các thư điện tử có nội dung vô bổ, quảng cáo về một nội dung, sản phẩm, hoặc website nào đó, đôi khi là kèm theo lừa đảo và trộm cắp thông tin

cá nhân Spam có trên các môi trường khác như dịch vụ nhắn tin (pages), tin nhắn SMS, Voice, dịch vụ nhắn tin đa phương tiện di động (MMS) và các dịch vụ tin nhắn tức thời (IM)

1.2.2 Định nghĩa blacklist

Blacklist là một danh sách các địa chỉ mail, IP, domain được lập ra để có các

cơ chế kiểm soát khi người dùng sử dụng dịch vụ mail Khi một địa chỉ người dùng nằm trong danh sách blacklist thì có thể sẽ không sử dụng hoặc gửi/nhận email

Trên thế giới một số tổ chức quốc tế xây dựng hệ thống cơ sở dữ liệu trong đó họ thu thập và theo dõi tất cả các địa chỉ IP, domain cần ngăn chặn Họ dùng nhiều biện pháp để bắt được IP, đơn giản như:

- Nhận thông tin từ các nhà cung cấp dịch vụ (ISP/HP)

- Các phản hồi từ người sử dụng đã từng nhận email rác từ máy chủ (đánh dấu trong Spam/Junk trong Yahoo/Gmail/Hotmail)

- Giăng bẫy (spam traps) bằng cách sử dụng nhiều địa chỉ ngẫu nhiên, nếu máy chủ email gửi email vào những địa chỉ này thì được xem là thư rác

Danh sách blacklist được cập nhật thường xuyên và là cơ sở dữ liệu tham chiếu cho các nhà cung cấp mạng hoặc khách hàng Mỗi tổ chức đưa ra các danh sách khác nhau nên có thể giữa các danh sách này không hoàn toàn giống nhau được Có một

số tổ chức không được các ISP/HP đánh giá cao, dữ liệu của họ không đáng tin cậy Một số tổ chức yêu cầu phải trả tiền để gỡ ra, những tổ chức này không đáng tin Đa

số còn lại đều có website gửi yêu cầu gỡ hoặc sẽ tự động gỡ sau vài ngày nếu nhận thấy IP không tiếp tục gửi thư rác

Một số tổ chức đưa ra danh sách blacklist:

- Tổ chức UCEPROTECT (http://www.uceprotect.net/)

- Tổ chức BARRACUDA (http://www.barracudacentral.org/)

- Tổ chức MEGARBL (https://www.megarbl.net/)

- …

1.2.3 Các đặc trưng của thư rác

Một số đặc điểm của thư rác khác với thư hợp lệ:

- Trường To trong tiêu đề (header) của thư điện tử, nếu không thấy tên của mình hoặc địa chỉ thư điện tử, thì đây chính là thư điện tử giả mạo

- Để ý lời chào hỏi, không thấy câu chào hỏi nào thì đây cũng là một nghi vấn để xem nó là một thư điện tử giả mạo Bởi vì những kẻ giả mạo thư điện tử thường không biết chính xác tên của người nhận Khi không thấy lời chào hoặc thấy một lời chào mang tính chung chung thì đây cũng là một nghi vấn Không phải tất cả các thư điện tử như vậy là giả mạo, nhưng đây cũng là một dấu hiệu khá quan trọng để chúng

ta nhận biết thư điện tử giả mạo

- Xem các URL xuất hiện trong thư điện tử và so với thanh trạng thái của trình duyệt, khi di chuột trên URL không cần kích vào chúng, sau đó quan sát thanh trạng thái bên dưới và so sánh hai liên kết Để ý giao thức an toàn hiển thị trong URL

là https:// thay vì http:// Nếu phát hiện thấy URL chỉ hiện thị http:// thì có thể là một thư điện tử giả mạo

Hình 1.1: Đặc điểm nhận diện thư rác qua header, lời chào hỏi, qua URL

- Mang nội dung mà người nhận không mong muốn nhận hoặc phát tán bởi người gửi vì mục đích quảng cáo, có nội dung không lành mạnh

- Số lượng thư điện tử lớn có cùng một nội dung được gửi đi từ một địa chỉ

IP trong vòng 24h (thông thường vượt quá 500 thư)

- Các thư rác gửi cho nạn nhân thường có nội dung giống hoặc gần giống nhau vì nó được tạo ra tự động để gửi cho rất nhiều khách hàng

- Lời giới thiệu thư (subject) thường không giới thiệu nội dung thư để vượt qua sự kiểm duyệt của người đọc (thường các trình duyệt và các trang web chỉ hiện phần này khi kiểm tra thư mới trước khi chính thức xem thư) và cả các bộ lọc

- Các thư rác thường chứa các đoạn mã ẩn Các bức thư này thường dưới dạng HTML và chứa các đoạn mã Javascript và nó tự chạy khi mở thư tạo ra các cửa

sổ quảng cáo

1.2.4 Phương pháp và hệ thống phát tán thư rác

Để thực hiện quá trình gửi thư rác với số lượng lớn các spammer phải thực hiện theo các bước:

 Tạo tài khoản để gửi thư

Thường các spammer sẽ sử dụng các tài khoản miễn phí để gửi thư rác Đối với các dịch vụ thư điện tử có tính năng ngăn chặn gửi đồng thời nhiều thư điện tử thì các spammer sử dụng các công cụ tự động hoặc các đoạn mã để tạo ra nhiều tài khoản cùng một lúc và sử dụng đồng thời các tài khoản này để gửi thư rác

 Thu thập địa chỉ mail

Thu thập địa chỉ là quá trình spammer xây dựng danh sách người nhận thư rác Danh sách thư điện tử càng nhiều thì xác suất đạt được mục đích càng lớn Việc thu thập địa chỉ thư điện tử có thể thông qua nhiều cách:

- Sử dụng các phần mềm thu thập địa chỉ từ các nguồn khác nhau trên Internet: các chatroom, newsgroups, diễn đàn, từ các website Các chatroom, diễn đàn, website là nơi lưu trữ rất nhiều địa chỉ thư điện tử Các phần mềm này sẽ quét các phòng chat, các diễn đàn, các website, xem có các từ, cụm từ nào có cấu trúc giống cấu trúc thư điện tử và lưu vào danh sách

- Sử dụng các công cụ tự động sinh, xác thực các địa chỉ thư điện tử Dựa vào cấu trúc của địa chỉ thư điện tử, các spammer sử dụng phần mềm tự động tạo ngẫu nhiên các địa chỉ thư điện tử bằng cách kết hợp các ký tự lại đồng thời gửi thư điện

tử xác nhận tới các địa chỉ đó, nếu không thấy thông báo lỗi chứng tỏ địa chỉ thư điện

tử đó tồn tại Spammer sẽ thêm các địa chỉ đó vào danh sách

- Xây dựng các website để thu thập địa chỉ Đây là một thủ thuật của các spammer, bằng cách xây dựng các website và đưa các thông tin không chính xác lên website đó, spammer có thể dụ dỗ người dùng điền thông tin cá nhân cũng như địa chỉ thư điện tử lên website và các địa chỉ này sẽ được đưa vào danh sách người nhận thư rác

- Trao đổi giữa các spammer và người dùng thiếu thận trọng Bằng cách lợi dụng sự thiếu kinh nghiệm của người dùng internet, spammer có thể thông qua thư điện tử, điện thoại, website, chatroom, để lấy địa chỉ thư điện tử của họ

- Tấn công vào các hệ thống lưu trữ địa chỉ thư điện tử Các hệ thống lưu trữ địa chỉ thư điện tử của người dùng như hệ thống thư điện tử (của nhà cung cấp dịch

vụ thư điện tử), hệ thống lưu trữ thông tin cá nhân của các website (đặc biệt là các website thương mại điện tử) là nơi chứa số lượng lớn địa chỉ thư điện tử Các spammer

có thể tấn công vào các hệ thống đó để đánh cắp danh sách địa chỉ thư điện tử

- Mua danh sách địa chỉ thư điện tử Hiện nay rất nhiều tổ chức, cá nhân rao bán danh sách địa chỉ thư điện tử với giá rất rẻ Đây là một cách nhanh và tiện lợi đối với các spammer Chỉ cần bỏ ra một số tiền rất nhỏ họ đã có trong tay danh sách với hàng triệu địa chỉ thư điện tử

- Lấy theo kiểu từ điển Cách làm này thường là tìm cơ cấu trộn tên và họ để có địa chỉ hòm thư Hoặc có địa chỉ hòm thư của một người ở máy chủ này họ sẽ giữ nguyên tên hòm thư và thay đổi tên máy chủ Ví dụ: vietict@yahoo.com, vietict@gmail.com

 Phương pháp phát tán thư rác

- Sử dụng Open Mail Relay: Open Mail Relay là máy chủ thư điện tử chấp nhận làm trung gian chuyển tiếp thư điện tử, có nghĩa là bất cứ thư điện tử nào gửi đến open relay thì sẽ được open relay chuyến tiếp tới đích Open relay hoàn toàn không quan tâm tới nguồn gốc thư gửi từ đâu cũng như thư được gửi tới đâu Các spammer đã lợi dụng đặc điểm này của các máy chủ thư điện tử để gửi thư rác Và để che dấu tung tích, spammer có thể gửi thư rác thông qua nhiều open relay Open relay là một chức năng mặc định của các máy chủ thư điện tử Trước đây việc sử dụng open relay rất phổ biến, tuy nhiên gần đây vì lý do thư rác phát tán quá nhiều nên đa số nhà cung cấp dịch vụ thư điện tử tắt chức năng open relay trên máy chủ thư điện tử của mình

Hình 1.2: Gửi thư rác qua open relay

- Sử dụng Open Web Proxy: Một cách khác để che dấu nguồn gốc phát tán thư rác là sử dụng open proxy Open proxy cũng tương tự như open mail relay nhưng khác với open mail relay chỉ sử dụng cho thư điện tử, open proxy có thể sử dụng với bất cứ ứng dụng Internet nào sử dụng TCP/IP

Hình 1.3: Mô hình open proxy

- Các máy chủ proxy là máy chủ thực hiện việc nhận các yêu cầu của máy khách và chuyển tiếp các yêu cầu đó tới các máy chủ bên ngoài, còn open proxy là một máy chủ proxy có thể truy cập bởi bất cứ người dùng Internet nào Các open proxy rất phổ biến trên internet hiện nay Thông qua các công cụ tìm kiếm như google hoặc yahoo, các spammer có thể dễ dàng tìm được các open proxy để phát tán thư rác Các open proxy sẽ nối máy khách vào một máy chủ bất kì mà không cần kiểm lại quyền sử dụng cũng như không giới hạn các quyền hạn truy cập khác Các spammer có thể kết nối với open proxy và thông qua open proxy đó kết nối vào một máy chủ gửi thư điện tử và gửi thư rác qua đó, việc này sẽ che dấu được nguồn gốc của thư điện tử

- Sử dụng tài khoản Webmail: Hiện nay các tài khoản Webmail miễn phí rất phổ biến như yahoo, google, hotmail Các hệ thống này cho phép người dùng tự do đăng ký tài khoản mà không cần cung cấp bất cứ thông tin chứng thực nào Các Spammer sử dụng công cụ đăng ký nhiều tài khoản webmail miễn phí và thực hiện việc phát tán thư rác thông qua các tài khoản đó Thông thường spammer sẽ không

sử dụng lại các tài khoản đã sử dụng để gửi thư rác

 Hệ thống phát tán thư rác

Hình 1.4: Hệ thống phát tán thư rác

Botnet thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và bị điều khiển và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan dưới cùng một hạ tầng cơ sở lệnh và điều khiển Một chương trình chỉ huy botnet có thể điều khiển cả nhóm bot từ xa Phương tiện chính được sử dụng hiện nay là IRC

Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu

Các spammer thường tìm cách cài lên máy tính các phần mềm độc hại (trojan, virus, ) các phần mềm này khi kết nối vào Internet sẽ tự động thực thi việc phát tán thư rác Đối với các thư rác này, việc truy tìm ra người gửi thật sự là cực kỳ khó khăn Botnet thường được các hacker sử dụng để thực thi các mục đích xấu như: tấn công DDoS, phát tán thư rác, virus, thu thập thông tin cá nhân

 Cách spammer sử dụng botnet để gửi thư rác:

Hình 1.5: Hoạt động gửi thư rác qua mạng botnet

- Kẻ lập botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy tính cá nhân chạy Windows của những người dùng bình thường, dữ liệu của virus hay sâu đó là một ứng dụng trojan - con bot

- Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay

là một web server) Server đó được coi là command-and-control server (C&C)

- Spammer mua quyền truy nhập botnet từ kẻ lập botnet

- Spammer gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thư điện tử

1.2.5 Các nguyên nhân IP gây spam và bị list trong danh sách blacklist

 IP của mail server trong danh sách Blacklist của tổ chức chống SPAM

Để kiểm tra IP của mail server đang dùng có bị SPAM hay không, truy cập

trang http://mxtoolbox.com/blacklists.aspx

Hình 1.6: Kiểm tra IP trên trang http://mxtoolbox.com

Phần LISTED : có nghĩa IP đã bị liệt vào danh sách blacklist, đồng nghĩa với việc gửi mail sẽ bị rơi vào SPAM của các mail server như gmail, yahoo…nếu không

gỡ những IP trên ra khỏi danh sách thì mail sẽ không gửi được

 Chưa trỏ PTR record

PTR Record (viết tắt của Point Record) còn được gọi là bản ghi ngược Một bản ghi PTR thực hiện việc ánh xạ một địa chỉ IP đến một tên miền

Ví dụ về dạng thức một bản ghi PTR đối với IPv4 như sau:

x.x.27.103.in-addr.arpa IIN PTR mail.nguyenhoang.com

Việc trỏ PTR record cho domain của nhằm tăng độ tin cậy của mail server khi gửi đến các mail server khác như gmail, yahoo…giúp mail không bị vào SPAM

Để kiểm tra domain đã trỏ PTR record chưa truy cập trang

http://www.intodns.com/

Hình 1.7: Kiểm tra trỏ PTR trên trang http://www.intodns.com

Dấu ! có nghĩa chưa trỏ PTR record cho mail server

Cách khắc phục: Trỏ PTR record trên domain về IP của mail server

 Chưa cấu hình SPF record

Sender Policy Framework (SPF) là một kỹ thuật nhằm phát hiện, đánh giá email nguồn gửi có giả mạo hay không Kỹ thuật này thực hiện kiểm tra email được gửi từ domain nào và domain này có thuộc quyền của người quản trị domain đó hay không Bản ghi TXT SPF được sử dụng nhằm tăng độ tin cậy cho email khi gửi đi

Để kiểm tra domain đã trỏ TXT SPF hay chưa, truy cập trang http://mxtoolbox.com/

Trong hình sau mô tả công cụ không tìm thấy được TXT SPF nào

Hình 1.8: Kiểm tra trỏ TXT SPF trên trang http://mxtoolbox.com

Cách khắc phục: Login vào mail server để tạo một record TXT SPF cho IP của mail server Ví dụ : “v=spf1 a mx ip4:103.27.x.x ~all”

 Chưa cấu hình DKIM

DKIM (DomainKeys Identified Mail) là một phương pháp xác thực email bằng chữ ký số của domain gửi thư Người gửi bổ sung chữ ký điện tử DKIM vào tiêu đề thư điện tử, người nhận thông qua truy vấn DNS để lấy khóa công khai và xác thực chữ ký trong thư điện tử Khóa công khai thường được công bố trên DNS dưới dạng một TXT record, còn khóa còn lại được cấu hình trong mail server

Để kiểm tra có cấu hình DKIM hay không bằng cách xem header mail gửi.

Hình 1.9: Kiểm tra cấu hình DKIM

 Mail bị đánh dấu SPAM

Vì một số lý do gì đó mà người nhận mail cảm thấy phiền phức và không muốn mail người gửi nào đó vào inbox thì họ sẽ đánh dấu mail là SPAM Như vậy khi mail người gửi sẽ bị đánh dấu và gửi vào SPAM.Nếu có quá nhiều người cùng đánh dấu mail của một người thì IP đó sẽ được đưa vào danh sách blacklist của mail server đó

Hình 1.10: Cảnh báo email spam

 Mail bị chiếm quyền

Nếu một trong các user của mail server bị mất mật khẩu và bị các hacker chiếm quyền, gửi hàng loạt mail spam thì IP của mail server sẽ bị đưa vào blacklist

Vấn đề đặt ra là cần cấu hình bảo mật cho mail server cũng như các client, như là cài đặt các module hỗ trợ cho mail server, webmail để hạn chế việc gửi và nhận mail đảm bảo mail không bị chiếm dụng

Cách khắc phục: Cấu hình firewall, cấu hình phần mềm diệt virus, cấu hình lọc mail, các luật trên mail server, giới hạn việc gửi mail…

 IP vô tình bị blacklist vì các IP trong cùng dải thực hiện spam

Đây là một thực trạng mà các nhà cung cấp dịch vụ gặp nhiều nhất Mặc dù IP không bị blacklist nhưng các IP khác trong cùng dải (ví dụ /24) thực hiện spam mail với số lượng lớn thì các tổ chức SPAM có uy tín sẽ block luôn một dải IP vào blacklist

Hình sau mô tả IP nằm trong dải bị blacklist Trường hợp này các nhà cung cấp dịch vụ thường đổi IP của khách hàng sang một dải IP khác

Hình 1.11: Dải IP bị blacklist

 Nội dung mail bị liệt vào nội dung spam

Các mail có nội dung vi phạm chính sách về hành vi và nội dung của người dùng:

- Bắt nạt, đe dọa hoặc quấy rối người khác

- Lời nói kích động thù địch

- Giả mạo người khác

- Nội dung đồi trụy hoặc khiêu dâm

- Chia sẻ thông tin cá nhân của người khác

- Nội dung bạo lực

- Nội dung bất hợp pháp

- Bán hàng hóa được quản lý

- Làm hại hoặc lợi dụng trẻ vị thành niên

Hình 1.12: Cảnh báo email có nội dung spam

1.3 Tổng kết chương 1

Chương 1 trình bày khái quát về an toàn bảo mật hệ thống thông tin giúp ta có cái nhìn tổng quát về khái niệm, phương thức đánh giá và giải pháp bảo mật hệ thống mạng Chương này cũng giới thiệu về một số phương thức tấn công mạng phổ biến

và tổng quan về phương thức tấn công spam email

CHƯƠNG 2: CÁC GIẢI PHÁP CHỐNG SPAM

Trên thế giới có nhiều tổ chức chuyên về lĩnh vực thu thập và cung cấp blacklist của các máy chủ mail được kẻ phát tán thư rác sử dụng Một số danh sách blacklist được cung cấp miễn phí còn một số khác thì phải mua Các cơ sở dữ liệu blacklist được phần lớn các nhà cung cấp dịch vụ Internet (ISPs) và các nhà cung cấp dịch vụ băng thông rộng sử dụng để lọc thư rác được gửi vào mạng của họ hay những người dùng dịch vụ của họ

Có nhiều loại danh sách blacklist khác nhau (IP blacklist, DNS blacklist, thư điện tử blacklist) đưa đến nhiều mức độ lọc khác nhau trong cộng đồng mạng, cho các ISP tự do lựa chọn chính sách lọc thư rác phù hợp với mình Các blacklist có thể

do cá nhân, các ESP, ISP hoặc một tổ chức cung cấp dịch vụ xây dựng Dữ liệu trong blacklist có thể được cung cấp công khai hoặc có thu phí tùy từng trường hợp cụ thể Mỗi blacklist có một tập luật và điều kiện khác nhau để xác định thư rác Một vài danh sách quá khắt khe và quá nhiều điều kiện dẫn đến rủi ro các thư điện tử hợp lệ bị mất rất cao (chỉ nên dùng cho những địa chỉ biết chắc là nơi phát tán thư rác) Các danh sách blacklist có 2 yếu điểm quan trọng:

- Đầu tiên là thời gian lan truyền Các danh sách blacklist sẽ thêm các địa chỉ mạng vào danh sách của nó chỉ khi mạng đó được dùng để phát tán thư rác Trước

đây việc thêm các mạng đó vào danh sách làm việc tốt do kẻ phát tán thư rác khá bị động Nhưng ngày nay kẻ phát tán thư rác có thể đánh cắp tài khoản dialup, sử dụng các open relays (máy trung gian giúp gửi mail) tạo ra các host mới để gửi thư rác trước khi chúng được thêm vào danh sách blacklist Nhiều danh sách đã bắt đầu blacklist không gian địa chỉ người dùng dialup và ISDN để chống lại các host phát tán thư rác mới này Tuy nhiên nỗ lực này gặp phải vấn đề lớn là không gian địa chỉ này thường xuyên thay đổi

- Thứ hai là chất lượng duy trì các danh sách blacklist Ngày nay nhiều danh sách blacklist được duy trì kém Kết quả là một vài mạng hợp lệ bị thêm vào blacklist không bao giờ bị xóa, hay chậm xóa Những vấn đề này làm cho một số blacklist rất không được tin cậy do chúng khóa cả những thư điện tử hợp lệ

Ưu, nhược điểm

- Ưu điểm: Dễ cài đặt, dễ dành chia sẻ danh sách này cho người khác sử dụng

- Nhược điểm: Cần thời gian lan truyền để cập nhật danh sách nên có thể để lọt các thư rác từ những host sử dụng tài khoản dialup bị đánh cắp, open relays hay proxy server; Tốn nhiều công sức để duy trì danh sách blacklist

Hoạt động

Hình 2.1: Hoạt động của Blacklist

Cơ chế làm việc của hệ thống blacklist hết sức đơn giản Dữ liệu blacklist sẽ được cập nhật thường xuyên từ nhiều nguồn khác nhau như ISP, ESP, thậm chí cả người sử dụng Dữ liệu blacklist sẽ được sử dụng để đánh giá nguồn gửi của các thư điện tử

Trước khi máy chủ thư điện tử nhận thư, máy chủ thư điện tử sẽ kiểm tra thông tin liên quan tới nguồn gửi của thư điện tử bằng cách gửi yêu cầu truy vấn địa chỉ IP máy chủ gửi thư điện tử tới hệ thống DNSBL để kiểm tra xem IP đó có trong danh sách không Nếu hệ thống DNSBL trả về kết quả là IP đó nằm trong danh sách blacklist, thư điện tử đó sẽ bị máy chủ nhận thư điện tử coi là thư rác và hủy bỏ Trường hợp ngược lại thư điện tử sẽ được gửi tới hòm thư của người nhận Máy chủ nhận thư điện tử có thể thực hiện nhiều truy vấn tới nhiều hệ thống DNSBL khác nhau

Để vận hành một DNSBL cần 3 yếu tố: domain đặt DNSBL, tên miền và danh sách địa chỉ được công khai

 DNSBL dựa vào địa chỉ IP

Loại DNSBL này làm việc như sau:

Hình 2.2: Quy trình làm việc của DNSBL

- Máy chủ thư điện tử nhận thư điện tử và đưa vào phần mềm lọc thư rác

- Phần mềm lọc thư rác xác nhận địa chỉ IP máy gửi, ví dụ 192.168.42.6

- Phần mềm lọc thư rác thực hiện việc đổi ngược thứ tự địa chỉ IP nhận được

và gắn kèm FQDN của máy chủ DNSBL được sử dụng Ví dụ nếu FQDN của DNSBL được sử dụng là relays.greatdnsbl.tld, khi đó kết quả tên thu được sẽ là 6.42.168.192.relays.greatdnsbl.tld

- Phần mềm lọc thư rác thực hiện tìm kiếm tên thu được trong hệ thống tên miền Nếu địa chỉ IP được trả về, máy chủ nằm trong blacklist, trái lại sẽ cho biết

IP đó không tồn tại hoặc DNSBL có sự cố

- Phần mềm lọc thư rác căn cứ vào kết quả trả về từ DNSBL để xử lý thư điện

tử nhận được

 DNSBL dựa vào địa chỉ tên miền

DNSBL dựa vào tên miền còn gọi là RHSBL và chỉ được áp dụng cho tên miền cấp 1 và 2 Hoạt động của RHSBL thực hiện như sau:

- Máy chủ thư điện tử nhận thư điện tử và đưa vào phần mềm lọc thư rác

- Phần mềm lọc thư rác xác định tên miền bên phải ký tự @, ví dụ:

abc@spammer.tld sẽ xác định được spammer.tld, hoặc

abc@spamserver.spammer.tld cũng sẽ chỉ xác định được spammer.tld

- Phần mềm lọc thư rác thực hiện gắn kèm FQDN của máy chủ DNSBL vào phía trước Ví dụ FQDN của DNSBL là relays.greatdnsbl.tld thì kết quả tên thu được

sẽ là spammer.tld.relays.greatdnsbl.tld

- Phần mềm lọc thư rác thực hiện tìm kiếm tên thu được trong hệ thống tên miền Nếu địa chỉ tên miền được trả về, máy chủ nằm trong blacklist, trái lại sẽ cho biết địa chỉ tên miền đó không tồn tại hoặc DNSBL có sự cố

- Phần mềm lọc thư rác căn cứ vào kết quả trả về từ RHBL để xử lý thư điện

tử nhận được

- Danh sách các máy chủ proxy

- Danh sách các địa chỉ IP, tên miền phát tán thư rác

- Danh sách người dùng IP động (DUL)

Một số hệ thống blacklist

 MAPS (Mail Abuse Prevent System)

MAPS là một trong những hệ thống DNSBL đầu tiên và là một tổ chức phi lợi nhuận của Mỹ Hệ thống này cung cấp 5 blacklist bao gồm:

- Realtime Blackhole List (RBL) là danh sách các máy chủ có đặc điểm: + Bị thông báo về việc gửi thư rác

+ Là open-relay

+ Là open-proxy

+ Cung cấp các dịch vụ, công cụ cho các đối tượng phát tán thư rác

- Dialup User List là danh sách các địa chỉ IP người dùng của ISP bị thông báo về việc gửi thư rác

- Relay Spam Stoper là danh sách các địa chỉ IP bị thông báo là đã gửi thư điện tử với số lượng lớn, đây thường là các open-relay

- Non Confirming Mailing List là danh sách các địa chỉ IP bị thông báo là đã gửi các thư điện tử nhóm (mailing list) mà không có sự đồng ý trước của người nhận

 SpamCop

Đây là hệ thống DNSBL rất phổ biến Khác với MAPS, SpamCop chỉ có duy nhất một danh sách blacklist SpamCop không quan tâm tới cấu hình hệ thống của IP, và địa chỉ IP được đưa vào blacklist chỉ khi có một người dùng nào đó thông báo với

Spamcop về việc phát tán thư rác từ IP đó Bất cứ ai cũng có thể đăng ký một tài khoản trên SpamCop để thực hiện việc thông báo thư rác

SpamCop sử dụng hệ thống đánh giá điểm để xác định thời gian một địa chỉ

IP nằm trong blacklist Điểm đưa ra dựa trên nhiều yếu tố như: mức độ trong sạch của nguồn phát tán, thời gian IP đó đã nằm trong blacklist, IP đó được thông báo tới Spamcop như thế nào Tiến trình dưới đây cho thấy cách thức mà SpamCop bổ sung

và loại bỏ một IP ra khỏi blacklist:

- Người dùng chuyển tiếp thư điện tử rác cho SpamCop thông qua giao diện của hệ thống

- SpamCop xác định máy chủ thư điện tử gửi, nếu máy chủ này được thông báo lần đầu, SpamCop sẽ chưa đưa vào blacklist Nếu được thông báo lần 2, Spamcop

sẽ đưa vào blacklist trong vòng 24h, trừ khi có thêm các thông báo thư điện tử rác khác

- Các máy chủ bị nghi ngờ là phát tán thư rác sẽ được đánh trọng số tùy vào thời điểm thông báo mới nhất Thư rác càng mới thì trọng số càng cao Thư mới có điểm là 4, sau 48h thì còn lại 1 Các thư quá 1 tuần sẽ không được tính điểm

- SpamCop sử dụng một số địa chỉ để đánh bẫy thư rác Các thư rác được cung cấp từ các địa chỉ này sẽ có điểm là 5 Ví dụ nếu một IP mà có 2 thông báo từ địa chỉ bẫy sẽ có điểm là 2x5=10

- Để tránh việc ngăn chặn nhầm có thể ảnh hướng lớn đến các nhà cung cấp dịch vụ, các thông báo thư rác sẽ được cân bằng so với các thư hợp lệ SpamCop thực hiện việc này bằng cách giám sát một số IP bên ngoài tùy chọn Mỗi khi thực hiện kiểm tra các IP này mà không thấy xuất hiện trong blacklist, IP đó sẽ được cho điểm không phải là thư rác Ví dụ nếu một IP được nhận được 3000 điểm không phải thư rác, sau 1000 thông báo thư rác (5000 điểm) IP đó chỉ còn 2000 điểm thư rác

- Nếu không có thông báo thư rác nào trong vòng 48h, IP đó sẽ được loại khỏi danh sách blacklist

 Hệ thống Spamhaus

Spamhaus là một trong những hệ thống DNSBL lớn nhất trên thế giới và được rất nhiều các ISP, các tập đoàn, trường đại học, chính phủ, tổ chức quân sự…sử dụng Spamhaus có một hệ thống hạ tầng DNS thuộc loại lớn nhất thế giới bao gồm 60 máy chủ DNSBL nằm trên 18 quốc gia với hàng tỉ truy vấn mỗi ngày và hoàn toàn miễn phí Khoảng 1.4 tỉ hòm thư điện tử trên thế giới được Spamhaus bảo vệ

Spamhaus quản lý 4 danh sách đen: Spamhaus Block List (SBL), Exploits Block List (XBL), Policy Block List (PBL) và Domain Block List (DBL)

- SBL liệt kê danh sách các nguồn thư rác có liên quan tới hoạt động của spammer như dải IP, IP gây spam, domain của ISP

- XBL: danh sách các open proxy, virut/sâu/trojan được tích hợp trong các phần mềm spam XBL liệt kê danh sách từng IP gây spam

- PBL danh sách địa chỉ IP của người dùng cuối gửi thư điện tử từ các máy chủ SMTP không được xác thực

- DBL gồm các tên miền hoặc địa chỉ URL phát tán thư rác hoặc nằm trong các thư rác

Hình 2.3: Hệ thống DNSBL của Tổ chức Spamhaus