HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Vũ Hoàng Anh PHÂN TÍCH HÀNH VI VÀ MƠ HÌNH HĨA LAN TRUYỀN CỦA SÂU INTERNET Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TSKH Hoàng Đăng Hải Phản biện 1: ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Phản biện 2: ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thô 1 MỞ ĐẦU Công nghệ thông tin ngành phát triển trọng điểm nhiều Quốc gia Thế giới ứng dụng Cùng với công nghệ thông tin; mạng Internet đã, đóng góp nhiều cơng phát triển xã hội loài người Ngày hoạt động người thực qua mạng Internet Internet đem lại lợi ích cho nhiều người sử dụng, khai thác Cùng với lợi ích to lớn mà Internet đem lại; nảy sinh vấn đề phức tạp Các thông tin cá nhân, thơng tin kinh tế, trị qn quan trọng tổ chức, Quốc gia có nguy bị lộ bị đánh cắp Tài khoản ngân hàng bị đánh cắp, hệ thống lưu trữ, sở liệu quan trọng bị công, phá hoại… nhiều công tin tặc gây thiệt hại hàng tỷ đô la Một cách thức công nguy hiểm tin tặc mạng Internet dùng loại sâu máy tính - worm Sâu máy tính kết hợp với số kỹ thuật công khác tạo công cụ công mạnh tin tặc Chúng tự động len lỏi tìm đến mục tiêu (máy tính nối mạng) lấy cắp thông tin từ mục tiêu mà người sử dụng khơng biết Vậy sâu máy tính gì? Cách thức hoạt động nào? Vì gây thiệt hại? Cách thức, cơng cụ phịng chống sao? Xuất phát từ mong muốn tìm hiểu hành vi hoạt động cách thức phòng chống worm em thực đề tài: “Phân tích hành vi mơ hình hóa lan truyền sâu Internet” 2 Phần nội dung Chương 1: TỔNG QUAN VỀ SÂU INTERNET 1.1 Khái niệm sâu Internet Worm – sâu máy tính (sau gọi tắt sâu) hiểu loại virus đặc biệt hay chương trình độc hại Phương thức lây lan qua mạng khác biệt virus sâu Hơn nữa, sâu có khả lan truyền chương trình độc lập mà khơng cần lây nhiễm qua tập tin Ngồi ra, nhiều loại sâu chiếm quyền kiểm sốt hệ thống từ xa thông qua “lỗ hổng” mà không cần có “giúp sức” từ người dùng Tuy nhiên, có trường hợp ngoại lệ sâu Happy99, Melissa, LoveLetter, Nimda 1.2 Quá trình phát triển Cũng công nghệ thông tin ngày sâu phát triển với tộc độ chóng mặt, với kỹ thuật tiên tiến cơng nghệ đại sâu có bước phát triển vượt bậc Sau cách nhìn trình phát triển sâu gồm giai đoạn sau: Thế hệ thứ : (năm 1979 đến đầu năm 1990) Thế hệ thứ hai: (đầu năm 1990 đến 1998 Thế hệ thứ ba: (từ 1999 đến 2000) Thế hệ thứ tư: (từ 2001 đến nay) 1.3 Phân loại sâu Internet 1.3.1 Phân loại theo mục tiêu khám phá Một sâu muốn lây nhiễm vào máy trước tiên phải tìm hiểu xem máy cịn tồn mạng hay không Một số kỹ thuật sâu dùng để khám phá sâu là: quét chủ động quét thụ động Đây loại sâu phân loại theo mục tiêu khám phá nạn nhân Tuy sâu kết hợp kỹ thuật khác để đạt hiệu cao lan truyền thực mục đích sâu 1.3.1.1 Kỹ thuật quét chủ động Sâu Internet tự động tìm kiếm nạn nhân việc quét địa tạo cách ngẫu nhiên hay có tạo từ trước 1.3.1.2 Kỹ thuật quét thụ động Một sâu kiểu thụ động khơng tự động tìm kiếm nạn nhân Thay vào chúng chờ cho nạn nhân tiềm liên lạc với chúng lợi dụng hành vi người sử dụng để tìm đến mục tiêu 1.3.2 Phân loại theo phương tiện lan truyền chế phân phối Những phương tiện lây nhiễm ảnh hưởng tới tốc độ kỹ thuật tàng hình sâu Một sâu chủ động lây lan từ máy sang máy khác, mang theo phần giao tiếp bình thường 1.3.2.1 Tự thực 1.3.2.2 Kênh thứ hai 1.3.2.3 Nhúng 1.3.3 Phân loại theo đối tượng kích hoạt Phương tiện kích hoạt sâu host lưu trữ ảnh hưởng đáng kể tới việc lây nhiễm sâu Một vài sâu kích hoạt để lây nhiễm lập tức, có sâu phải chờ vài ngày vài tuần để kích hoạt 1.3.3.1 Kích hoạt người 1.3.3.2 Kích hoạt dựa vào hoạt động người 1.3.3.3 Quy trình kích hoạt theo lịch 1.3.3.4 Tự kích hoạt 1.3.4 Phân loại theo chức Ngồi mục đích lan truyền Internet sâu cịn thực mục đích khác phụ thuộc vào mục tiêu công hay ý định kẻ viết sâu Các loại sâu khác thực nhiệm vụ khác kẻ công 1.3.4.1 Tạo lưu lượng giả 1.3.4.2 Điều khiển từ xa qua mạng Internet 1.3.4.3 Phát tán thư rác 1.3.4.4 Chuyển hướng trang web thông qua HTML-Proxies 1.3.4.5 Tấn công từ chối dịch vụ DOS qua Internet 1.3.4.6 Thu thập thông tin 1.3.4.7 Phá hủy liệu 1.3.4.8 Điều khiển thiết bị vật lý từ xa 1.3.4.9 Tấn cơng lớp vật lý 1.3.4.10 Duy trì cập nhật phiên 1.4 Ví dụ số loại sâu điển hình 1.4.1 Sâu Morris 1988 Sâu Morris sâu phát tán qua Internet Tác giả Morris Robert Tappan Morris (hiện ông giáo sư MIT), sinh viên Đại học Cornell Sâu Morris thả lên mạng vào ngày tháng 11 năm 1988 từ học viện MIT, phát tán từ MIT để che dấu thực tế sâu bắt nguồn từ Cornell 1.4.2 Sâu Melissa 1999 * Kiến trúc, cách thức hoạt động sâu Melissa: Sâu Melissa năm 1999 đánh vào tâm lý hiếu kỳ phần đông người dùng Internet Rất nhiều kẻ tò mò download file có tên List.DOC từ diễn đàn "người lớn" tưởng file chứa thông tin giúp họ truy cập miễn phí 80 trang web khiêu dâm Họ đâu hay biết bị lây nhiễm sâu máy tính nguy hiểm thời đại 1.4.3 Virus Code Red 2001 Code Red xuất vào ngày 13/7/2001; lợi dụng lỗi tràn nhớ đệm máy chủ IIS (Internet Information Server - tính Windows cho phép người dùng tự lập máy chủ web cá nhân 1.4.4 Sâu Mydoom 2004 MyDoom xuất (2004) có 20 biến thể: Chỉ vài (26/1/2004), "làn sóng" MyDoom có mặt tồn giới phương thức phát tán truyền thông: qua email 1.4.5 Storm worm 2007 Stom worm lợi dụng lỗ hổng chương trình send mail outlook để lan truyền Internet với tốc độ lớn vào năm 2007 1.4.6 Stuxnet 2010 Stuxnet sâu máy tính sống mơi trường hệ điều hành Windows, khai thác triệt để lỗ hổng hệ điều hành để phá hoại mục tiêu vật chất cụ thể Nó tạo để hủy diệt mục tiêu cụ thể nhà máy điện, nhà máy lọc dầu nhà máy hạt nhân sau bí mật xâm nhập hệ thống điều khiển quy trình cơng nghiệp, viết lại chương trình điều khiển theo hướng tự hủy hoại 5 1.5 Tình hình sâu Internet Việt Nam Cơ sở hạ tầng máy tính mạng phát triển Việt Nam; Internet đóng vai trò quan trọng nhiều lĩnh vực đời sống xã hội phận mạng Internet toàn cầu Trong lịch sử lây lan công sâu Internet; hệ thống mạng Việt Nam ngoại lệ như: Ngày 12/8/2003 sâu W32.Blaster.Worm bắt đầu tràn vào Việt nam bắt đầu phát tán tồn cầu vào ngày 11/8/2003 Các sâu Code Red hay Slammer lây lan vào mạng Việt Nam thông qua hệ thống email 1.6 Tóm tắt chương Chương trình bày khái niệm đặc trưng sâu Internet Các loại sâu phân loại theo tiêu chí gồm: mục tiêu khám phá, phương tiện lan truyền chế phân phối, chức hay hành vi công Chương giới thiệu số sâu điển hình, tình hình phát triển sâu Internet Việt Nam 6 Chương 2: MƠ HÌNH HĨA LAN TRUYỀN CỦA SÂU INTERNET 2.1 Các chu trình sâu Internet 2.1.1 Mơ hình lan truyền theo kiểu bệnh dịch Virus máy tính worms giống virus sinh học hành vi nhân lây lan chúng Những thuật toán phát triển cho việc nghiên cứu bệnh truyền nhiễm điều chỉnh cho phù hợp với việc nghiên cứu virus máy tính lan truyền worm 2.1.1.1 Mơ hình bệnh dịch cổ diển đơn giản Trong mơ hình dịch bệnh cổ điển đơn giản [4], máy chủ hai trạng thái: dễ bị lây nhiễm truyền nhiễm Mô hình giả định máy bị virus lây nhiễm, trạng thái truyền nhiễm mãi Chính biến đổi máy từ dễ bị lây nhiễm sang trạng thái truyền nhiễm 2.1.1.2 Mơ hình bệnh dịch tổng quát Kermack-Mckendrick Trong lĩnh vực dịch tễ học, mơ hình Kermack-Mckendrick [4] xem xét q trình loại bỏ máy bị lây nhiễm Nó giả định đại dịch bệnh dịch truyền nhiễm, vài máy lây nhiễm phục hồi chết; máy phục hồi từ máy chết, miễn dịch với bệnh mãi – máy trạng thái loại bỏ sau chúng phục hồi chết bệnh dịch Do máy trạng thái thời điểm: dễ bị lây nhiễm, lây nhiễm bị loại bỏ Bất kỳ máy hệ thống chuyển từ trạng thái “dễ bị lây nhiễm  lây nhiễm  bị loại bỏ” trạng thái “dễ bị lây nhiễm” mãi 2.1.2 Mơ hình lan truyền hai thành tố Q trình lan truyền thực sâu Internet trình phức tạp Trong phần này, đề cấp tới sâu liên tục kích hoạt Theo cách này, sâu máy truyền nhiễm liên tục cố gắng tìm kiếm lây nhiễm cho máy có nguy lây nhiễm, giống cố sâu Code Red vào ngày 19 tháng năm 2011 2.1.2.1 Hai yếu tố ảnh hưởng tới lan truyền Sâu Internet (Code Red worm) Qua việc phân tích lan truyền sâu Code Red; thấy có hai yếu tố khơng xuất mơ hình theo kiểu dịch bệnh Hai yếu tố ảnh hưởng tới trình lan truyền Code Red: + Kết biện pháp đối phó người việc loại bỏ hai máy tính lây nhiễm máy dễ bị lây nhiễm Số lượng người dân nhận thức mức độ nguy hiểm Code Red ngày gia tăng họ thực biện pháp đối phó như: làm máy tính bị nhiễm, vá nâng cấp phần mềm bảo vệ cho máy dễ bị lây nhiễm, thiết lập lọc để ngăn chặn lưu lượng truy cập sâu tường lửa định tuyến biên, chí họ cịn ngắt kết nối Internet + Tỷ lệ nhiễm  (t ) giảm xuống tỷ lệ không đổi Code Red lan truyền với quy mô lớn Internet rộng lớn làm ùn tắc thiết bị định tuyến Internet bị tải, việc qt Code Red bị chậm lại 2.1.2.2 Mơ hình hai thành tố Như thấy việc lan truyền worm q trình rời rạc Tuy nhiên để mơ hình hóa lan truyền sâu Internet việc sử dụng phương trình vi phân liên tục cho kết gần Phương trình vi phân liên tục sử dụng phù hợp cho trình lan truyền diện rộng với quy mơ mạng lớn Internet 2.2 Phân tích mơ hình hai thành tố lan truyền Code Red worm Quá trình loại bỏ từ máy chủ dễ bị lây nhiễm phức tạp mơ hình KermackMcKendrick Vào lúc bắt đầu lan truyền sâu; hầu hết người chưa biết tồn Code Red worm Kết việc loại bỏ máy nhạy cảm nhỏ tăng chậm Khi có nhiều nhiều máy tính bị nhiễm bệnh, người có nhận thức Code Red worm tầm quan trọng việc chống lại Do tốc độ tiêm chủng tăng nhanh thời gian Tốc độ giảm số lượng máy nhạy cảm co lại hội tụ không khơng có máy nhạy cảm 2.3 Tóm tắt chương Chương trình bày phân tích mơ hình hóa lan truyền sâu Internet Luận văn tập trung vào phân tích hai mơ hình điển hình lan truyền kiểu bệnh dịch lan truyền hai thành tố Quá trình lan truyền thực sâu Internet trình phức tạp Mặt khác, biện pháp đối phó người đóng vai trị quan trọng việc bảo vệ chống lại sâu Internet Do vậy, việc mơ hình hóa lan truyền sâu Internet việc khó khăn Các mơ hình ngẫu nhiên xác định lĩnh vực dịch tễ học sử dụng để mơ hình hóa lan truyền sâu Internet kiểu lan truyền lây nhiễm bệnh dịch cổ điển Tuy nhiên, mơ hình khơng thể hồn tồn phù hợp cho mơ hình hóa lan truyền sâu Internet, địi hỏi phải có điều chỉnh phù hợp 8 Chương 3: MƠ HÌNH VÀ KỸ THUẬT PHỊNG CHỐNG WORM 3.1 Các kỹ thuật phát worm Cùng với phát triển kỹ thuật mơ hình sâu kỹ thuật nhằm phát phòng chống sâu Internet nghiên cứu áp dụng Sau vài kỹ thuật phát worm dựa vào việc phân tích lưu lượng truyền thơng, giám sát cổng nhạy cảm, lỗ hổng hệ thống phát dựa vào định danh Những phương pháp phương pháp quan trọng cốt lõi để phát Hacker đặc biệt sâu Internet 3.1.1 Phân tích lưu lượng Phương pháp phân tích lưu lượng phát triển để theo dõi Hacker, phương pháp áp dụng để thiết kế thực nhiều phần mềm theo dõi giám sát hoạt động sâu; đáng tin cậy 3.1.2 Giám sát hố đen mạng cổng nhạy cảm Hai phương pháp hiệu để xác định sâu mạng theo dõi hành vi chúng sử dụng hệ thống giám sát hố đen cổng nhạy cảm Các hệ thống có khả theo dõi hành vi sâu ghi lại quan sát Những phân tích liệu sau mang lại manh mối có giá trị tốc độ tăng trưởng sâu, chí diện agent xâm nhập vào mạng 3.1.2.1 Honeypots 3.1.2.2 Giám sát hố đen Phương pháp theo dõi sâu không cần sử dụng không gian IP chứng minh có hiệu việc theo dõi phát sâu 3.1.3 Phát dựa vào định danh Mô hình phát worm dựa vào định danh sử dụng sở liệu bao gồm thông tin sâu biết đến trước để đối chiếu với kẻ lạ mặt xâm nhập vào hệ thống từ đưa cảnh báo sâu Có ba loại hệ thống phát dựa vào định danh 3.1.3.1 Mơ hình truyền thống phân tích định danh Phân tích định danh phương pháp phân tích nội dung liệu bị bắt để phát diện chuỗi biết đến chữ ký lưu trữ sở liệu từ nội dung file độc hại biết đến Những file thường chương trình thực thi kết hợp với sâu 9 3.1.3.2 Phân tích định danh tải trọng mạng Bởi sâu tồn thông qua hoạt động mạng, diện chúng phát sử dụng giám sát mạng thụ động giám sát định danh tải trọng Worm thường có định danh đặc biệt chúng công máy chủ mạng Bằng cách xây dựng thư viện định danh độc hại biết đến, giám sát mạng cảnh báo cho quản trị viên biết xuất hoạt động bất thường worm mạng 3.1.3.3 Phân tích định danh logfile Nhiều sâu công tất máy chủ mà khơng có chọn lọc bị phát việc triển khai máy chủ có hệ thống an ninh tốt Khi sâu cơng máy chủ khơng bị tổn thương; ngược lại chúng cịn thu thập thơng tin sâu như: tải trọng, kích thước hay máy nguồn sâu … tất thông tin lưu file log máy chủ Việc phân tích thơng tin file log cho định danh sâu Từ cập nhật cho máy chủ khác biết chúng loại trừ hay ngăn chặn yêu cầu sâu 3.1.3.4 Phân tích định danh file Kiểm tra nội dung hệ thống file chúng sử dụng để phát có mặt sâu Bởi hầu hết sâu thực thi nhị phân nằm ổ đĩa hệ thống Đây phương pháp phổ biến sử dụng để tìm kiếm sâu, sở cho việc cài đặt phần mềm antivirus Để kiểm tra diện sâu, công cụ phát sâu thực thi để quét nhớ hệ thống 3.2 Một số mơ hình phịng chống worm Phịng chống sâu Internet công việc nhà an ninh mạng quan tâm thiệt hại sâu Internet gây lớn Đã có nhiều nghiên cứu, đề xuất mơ hình phương pháp để phịng chống sâu Phần sau giới thiệu mơ hình điển hình “Friends Model” 3.2.1 Mơ hình Friends Mơ hình (tạm dịch mơ hình bè bạn) dựa sẵn sàng hợp tác máy chủ giao thức xếp từ trước Khi sâu phát thông báo đến tất máy mạng giao thức Cảnh bảo gửi từ máy dị tồn cục hay từ máy dò tập hợp máy chủ tham gia hệ 10 thống Điều phụ thuộc vào khả máy dò Mục tiêu phương pháp tối đa hoá máy chủ bảo vệ khỏi sâu 3.3 Một số cơng cụ phịng chống worm 3.3.1 Công cụ Kuang Kuang hệ thống dựa vào quy tắc; tìm mâu thuẫn thiết lập định bảo vệ thực người sử dụng người quản trị hệ thống UNIX Nó cho phép người quản lý hệ thống thực phân tích điều xảy tương lai cấu hình bảo vệ, chế độ giúp người quản lý tạo định bảo vệ Công cụ Kuang ngầm định truy cập vào hệ thống trở thành chủ nhân hệ thống Với tập đặc quyền ban đầu mục tiêu cuối cùng, thệ thống phân tích cấu hình bảo vệ đưa thứ tự bước thực công việc để đạt mục tiêu cuối 3.3.2 Công cụ NetKuang NetKuang [7] phần mở rộng Kuang Nó chạy mạng máy tính sử dụng UNIX tìm thấy lỗ hổng tạo cấu hình hệ thống yếu mức độ mạng cho phép kẻ cơng có nhảu từ hệ thống sang hệ thống khác Lỗ hổng phát cách tìm kiếm dựa mục tiêu ban đầu; host song song nhiều hosts kiểm tra 3.3.3 Công cụ NOOSE NOOSE (Networked Object-Oriented Security Examiner) [7] hệ thống phân tích lỗ hổng phân tán dựa mơ hình đối tượng Nó kết hợp máy quét host mạng, lưu trữ kết vào mốt số lớp đối tượng Nó thu thập lỗ hổng bảo mật từ nhiều nguồn khác nhau, bao gồm kết đầu chương trình phân tích khác NOOSE trình bày thơng tin lỗ hổng sở liệu tích hợp, dễ dàng cho việc tích hợp vào chuỗi kết từ nhiều tài khoản hệ thống khác 3.3.4 Các công cụ khác Có nhiều biện pháp, cơng cụ nhiều hãng khác nhằm bảo mật hệ thống cách tốt Một vài hệ thống bảo mật tốt PC World Mỹ phối hợp AVTest.org thực đợt “sát hạch”, đánh giá vào năm 2012 hệ thống sau: G-DATA InternetSecurity 2012, Norton Internet Security 2012, Bitdefender Internet Security 2012, Kaspersky Internet Security 2012, Trend Micro Maximum Security 2012 11 3.4 Tóm tắt chương Trên sở phân tích chương hành vi, mơ hình hóa đặc trưng lan truyền sâu Internet, Chương luận văn trình bày mơ hình kỹ thuật phòng chống sâu Internet Nội dung chương tập trung vào kỹ thuật phát sâu Internet phân tích lưu lượng, giám sát hố đen địa IP; số mơ hình cơng cụ phịng chống sâu Internet điển hình có tới 12 Chương 4: MỘT SỐ KẾT QUẢ MÔ PHỎNG THỬ NGHIỆM Chương luận văn nghiên cứu tổng quan sâu Internet, phân tích hành vi chế lan truyền sâu Internet Mơ hình hóa q trình lan truyền sâu Internet trình bày phân tích chương Chương trình bày kỹ thuật phát số mô hình, cơng cụ phịng chống sâu Internet Nội dung chương trình bày số kết mơ thử nghiệm khả phát sâu Internet thông qua công cụ mô NeSSi2 Trong phần tiếp theo, luận văn giới thiệu công cụ, khả sử dụng để mô công mạng, trình bày mơ hình kịch mơ phát sâu Internet với NeSSi2 4.1 Công cụ sử dụng cho mô sâu Internet 4.1.1 Giới thiệu công cụ mô NeSSi2 NeSSi2 công cụ mô công mạng phát triển Trường Đại học TU Berlin (CHLB Đức) từ vài năm Luận văn sử dụng công cụ để thực mô khả mô hiệu 4.1.2 Các thành phần công cụ NeSSi2 4.1.2.1 Giao diện người dùng 4.1.2.2 Thành phần cốt lõi công cụ mô (Simulation Backend) 4.2.1.3 Cơ sở liệu (Database) 4.2 Quy trình tạo thực kịch mơ sâu Internet 4.2.1 Thiết lập mạng 4.2.2 Thiết lập Profile 4.2.3 Thiết lập kịch mô 4.2.4 Thiết lập phiên kịch 4.2.5 Thực mơ 4.3 Mơ hình kịch mô sâu Internet với NeSSi2 4.3.1 Sơ đồ mạng mô phỏng, chức thành phần * Sơ đồ mạng bản: Với mô trình quét tìm kiếm host sâu Code Red; sử dụng mơ hình mạng với số lượng host hạn chế Trọng tâm việc mô theo dõi lưu lượng mạng, số lượng gói tin gửi tới host server trình quét sâu Inetetnet 13 Hình 4.10: Sơ đồ mạng dùng mô * Các thành phần mạng mô phỏng: - worm: host truyền nhiễm - AccessRouter2: Router biên nhà cung cấp dịch vụ - CoreRouter1, 2: Các định tuyến mạng - AccessRouter1: Router biên mạng - Firewall: Tường lửa mạng - Host1, Host2, Host3: Các host online mạng - Server, Webserver, MailServer: Các server dịch vụ - Các đường nối hai thiết bị bất kỳ: Các kết nối thiết bị mạng 4.3.2 Tạo nguồn lưu lượng Để tạo nguồn lưu lượng cho việc mô phỏng; cần thiết lập profile tham số chúng thực chức năng, nhiệm vụ thành phần mạng Trong sử dụng Profile cho sâu có thông số giống sâu Code Red 4.3.3 Kịch mô Kịch 1: Đo lưu lượng mạng gia tăng mạng chưa xuất sâu Code Red Kịch 2: Mơ q trình qt, thu thập vẽ biểu đồ lưu lượng gia tăng mạng sâu Code Red bắt đầu quét 14 4.3.4 Các kết mô 4.3.4.1 Kịch 1: Mạng chưa bị lây nhiễm sâu Code Red Để đo lưu lượng mạng gia tăng mạng chưa xuất sâu Code Red; mạng thiết lập bình thường chưa có ứng dụng profile cho worm thành phần khác mạng Hình 4.11: Trạng thái lưu lượng mạng chưa xuất sâu Code Red 4.3.4.2 Kịch 2: Sâu bắt đầu quét mạng - Hình 4.12 mơ tả hình ảnh gói tin gửi worm tới host Hình 4.12: Các gói tin gửi worm tới host Hình 4.12 thực sử dụng phần mềm Advanced Structured Graphical Agent Realm Display (ASGARD) truy xuất liệu mơ từ phần mềm NeSSi2 Hình 15 thể đối tượng mạng trình gửi nhận gói tin thành phần mạng Ở gói tin gửi từ worm tới host server cách liên tục ngày gia tăng - Dưới biểu đồ thể số lượng gói tin mà sâu Code Red gửi qua AccessRouter2 Hình 4.13: Các gói tin gửi tới Host Trong hình 4.13: có hai loại gói tin IP4 packet packet gửi worm Tại thời điểm t = 90 (tick) gói tin bắt đầu gửi Lúc sâu khởi tạo thiết lập gải địa IP để thực q trình qt Số gói tin gửi tăng nhanh Mỗi host nhận gói tin sâu host lại gửi phản hồi lại ngược trở lại Mỗi host bị sâu phát lây nhiễm lại trở thành sâu bắt đầu thực trình quét lây nhiễm mạng - Theo dõi lưu lượng host thấy số lượng gói tin mà host phải nhận từ trình quét sâu tăng đột biến kể từ sâu tìm thấy host online mạng 16 4.4 Nhận xét, đánh giá Việc mô sâu vấn đề khó nhiều yếu tố môi trường mạng thực tế biến đổi hệ thống bảo mật host server cập nhật phần mềm bảo vệ, sâu ln trì cập nhật phiên mới… Luận văn sử dụng công cụ NeSSi2 để mơ q trình qt sâu Code Red Do đặc điểm bổ công cụ nên sâu Code Red, thiết đặt thành phần mạng cập nhật thực tế Chính mơ phần đánh giá mức độ lây lan sâu khơng có độ xác tuyệt đối so với thực tế 17 KẾT LUẬN Sâu Internet loại hình cơng nguy hiểm lan truyền nhanh chóng, sức tàn phá rộng khắp hậu nặng nề mang lại cho cộng đồng mạng Kỹ thuật sản sinh sâu, lây lan công… ngày tinh vi, phức tạp với phát triển công nghệ Do đó, việc nghiên cứu, phân tích hành vi, mơ hình hóa lan truyền sâu Internet điều khó khăn, có nhiều thách thức Mong muốn luận văn nghiên cứu tìm hiểu chất sâu, cách thức hoạt động, khả phương thức lây lan, hành vi hoạt động chúng để mơ hình hóa, đưa biện pháp phịng chống, ngăn chặn có hiệu Luận văn đạt mục tiêu nghiên cứu đề ra, cụ thể gồm: + Nghiên cứu chất sâu Internet, phân loại, phân tích hành vi chế lan truyền chúng, trình bày số loại sâu điển hình + Mơ hình hóa q trình lan truyền sâu Internet dựa theo mơ hình lây nhiễm cổ điển mơ hình sâu hai thành tố + Nghiên cứu mơ hình kỹ thuật phát hiện, phòng chống ngăn chặn sâu Internet dựa kỹ thuật phân tích lưu lượng, sử dụng bẫy Honeypot/Honeynet, kỹ thuật giám sát hố đen địa IP, số mơ hình cơng cụ phát hiện, phịng chống sâu + Đề xuất mơ hình mơ thử nghiệm sâu Internet với công cụ mô NeSSi2 Xây dựng mạng mô phỏng, kịch mô thử nghiệm công phát sâu Internet 18 DANH MỤC CÁC TÀI LIỆU THAMKHẢO Tiếng Việt [1] Nguyễn Xn Hồi (1999), Tập giảng mơn học Virus máy tính, Học viện kỹ thuật Qn [2] Ngơ Anh Vũ (2005), Virus huyền thoại hay thực tế, NXB Tổng hợp TP Hồ Chí Minh Tiếng Anh [3] Markus Kern Re: Codegreen beta release, http://online.securityfocus.com/archive/82/211462 [4] C C Zou, W Gong, and D Towsley (2002), Code Red Worm Propagation Modeling and Analysis, in 9th ACM Conference on Computer and Communication Security [5] K Eichman Mailist (2001); Possible CodeRed Connection Attempts http://lists.jammed.com/incidents/2001/07/0159.html [6] Jose Nazario (2004), Defense and Detection Strategies against Internet Worms, Artech house, inc [7] SG Cheetancheri (2004), Modelling a Computer Worm Defense System , seclab.cs.ucdavis.edu ... KẾT QUẢ MÔ PHỎNG THỬ NGHIỆM Chương luận văn nghiên cứu tổng quan sâu Internet, phân tích hành vi chế lan truyền sâu Internet Mô hình hóa q trình lan truyền sâu Internet trình bày phân tích chương... chất sâu Internet, phân loại, phân tích hành vi chế lan truyền chúng, trình bày số loại sâu điển hình + Mơ hình hóa trình lan truyền sâu Internet dựa theo mơ hình lây nhiễm cổ điển mơ hình sâu. .. trọng vi? ??c bảo vệ chống lại sâu Internet Do vậy, vi? ??c mơ hình hóa lan truyền sâu Internet vi? ??c khó khăn Các mơ hình ngẫu nhiên xác định lĩnh vực dịch tễ học sử dụng để mơ hình hóa lan truyền sâu Internet