Tìm hiểu công nghệ phòng chống virus trên mạng http – anti virus

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.31 MB, 74 trang )

Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng

HỌC VIỆN KỸ THUẬT MẬT MÃ
***

ĐỒ ÁN TỐT NGHIỆP
Đề tài
Tìm hiểu công nghệ phòng chống Virus trên mạng
HTTP – Anti Virus
Ngành : Tin học (mã số 01.02.10)
Chuyên ngành : An toàn thông tin

Cán bộ hướng dẫn khoa học : Th.S Đinh Quốc Tiến
Sinh Viên thực hiện : Trần Văn Duy

HÀ NỘI
Trần Văn Duy
1
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Mục Lục
Danh mục các từ viết tắt
Danh mục các hình vẽ
Lời nói đầu
Chương 1 : Tìm hiểu chung về Virus
1.1. Lịch sử phát triển của Virus…………………………………………….3
1.2. Các loại Virus máy tính…………………………………………………3
Chương 2 : Nghiên cứu tìm hiểu một số giải pháp …………………………12
phòng chống Virus tiên tiến
2.1. Giải pháp phòng chống Virus của TrendMicro ……………………… 12
2.1.1. Thành phần bảo vệ Gateway………………………………………12
2.1.2. Thành phần chống Virus cho Mail……………………………… 17

2.2. Phòng chống Virus bằng ClamAV
sử dụng công nghệ điện toán đám mây…………………………………22
2.2.1. Công nghệ điện toán đám mây…………………………………….22
2.2.2.1. Tìm hiểu chung về công nghệ điện toán đám mây………… 22
2.2.2.2. Các mô hình điện toán đám mây…………………………….26
2.2.2. Tìm hiểu về ClamAV…………………………………………… 32
2.2.2.1. Giới thiệu về ClamAV……………………………………….32
2.2.2.2. Các hệ điều hành được hỗ trợ……………………………… 33
2.2.2.3. Các thành phần trong ClamAV………………………………34
2.2.2.4. Hoạt động của các thành phần……………………………….35
2.2.2.5. ClamAV sử dụng công nghệ điện toán đám mây
Chương 3 : Tìm hiểu về HTTP Anti Virus Proxy
và Squid Proxy Server 43
3.1. HTTP Anti Virus Proxy……………………………………………… 43
3.1.1. Giới thiệu về HAVP………………………………………………43
3.1.2. Quá trính xử lý của HAVP……………………………………… 45
3.1.3. Thiết lập mô hình HAVP………………………………………….46
3.1.3.1. Cài đặt HAVP trên Firegate………………………………….46
3.1.3.2. Các tùy chọn của HAVP…………………………………… 48
Trần Văn Duy
2
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
3.1.4. Cấu hình các chế độ cho HAVP………………………………… 52
3.1.4.1. Cấu hình HAVP ở chế độ Standard………………………….52
3.1.4.2. Cấu hình HAVP ở chế độ Standard
kết hợp xác thực của Squid………………………………… 54
3.2. Squid Proxy Server…………………………………………………… 54
3.2.1. Chức năng của Squid…………………………………………… 54
3.2.2. Cài đặt và các tùy chọn Squid trên Firegate………………………56
3.2.2.1. Cài đặt Squid…………………………………………………56

3.2.2.2. Cấu hình Squid ở chế độ xác thực………………………… 58
Kết luận…………………………………………………………………………60
Tài liệu tham khảo………………………………………………………………61
Trần Văn Duy
3
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Danh Mục Các Từ Viết Tắt
A.M : Association for Computing Machinery
USD : United Stade Dollar
DdoS : Distributed Denial Of Service
MP3 : MPEG audio layer 3
SWF : SOCWave Flash
SQL : Structured Quero Language
JPEG : Joint Photographic Experts Group
FreeBSD : Free Berkeley Software Distribution
HAVP : HTTP Anti Virus Proxy
EOF : End Of File
GPL : Gerneral Public License
ZIP : Zip file format
RAR : Roshal ARchive
TAR : Tape ARchive
OLE2 : Object Linking and Embeddinguc
CHM : Cubic Meter per Hour
SIS : Symbian OS filename Extension
MS : Microsoft
HTML : Hyper Text Markup Language
MAC OS : Macintosh Operating System
GNU : GNU’s Not Unix
NAT : Network Address Translation
TCP : Transmission Control Protocol

HTTP : Hypertext Transfer Protocol
VMWARE : Virtual Machine Ware
AV : Anti Virus
Trần Văn Duy
4
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
ELF : Executable and Linking Format
PE : Phase Encoded
LAN : Local Area Network
IP : Internet Protocol
WAN : Wide Area Network
HTTPS : Hypertext Transfer Protocol Security
FTP : File Transfer Protocol
SMTP : Simple Mail Transfer Protocol
RAM : Random Access Memory
CPU : Central Processing Unit
RFC : Request For Comments
UDP : User Datagram Protocol
VIA : Very Innovative Architeture
URL : Uniform Resourse Locator
DNS : Domain Name System
LRU : Least Recently Used
GDSF : Graphical Data Fusion System
CD : Compact Disc
LDAP : Lightweight Directory Access Protocol
TTL : Tim To Live
ACL : Access Control List
TCP : Transmission Control Protocol
TOS : Term Of Service
SSL : Secure Sockets Layer

TLS : Transport Layer Security
Trần Văn Duy
5
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
NNTP : Network News Transfer Protocol
NCSA : National Computer Security Association
IPs : Internet Protocol Security
UFS : Unix File System
AUFS : Authentication Unix File System
POSIX : Portable Operating System Interface forUnix
GDFS : Global Data File System
CIDR : Classless Inter Domain Routing
EC2 : Elastic Compute Cloud
SaaS : Software as a Service
IT : Informaion Technology
SOA : Service Oriented Architecture
SAML : Security Assertion Markup Language
ISO : Internation Organization for Standardization
IaaS : Infrastructure as a Service
PaaS : Platform as a Service
API : Application Programming Interface
ISV : Independent Software Vendor
CRM : Customer Relationship Management
CC : Cloud Computing
UPX : Ultimate Packer for Executables
SP3 : Service Pack 3
SP1 : Service pack 1
Trần Văn Duy
6
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng

Danh Mục Các Hình Vẽ
Hình 1-1 : Hình ảnh minh họa Virus
Hình 1-2 : Virus ngày càng phát triển và lây lan trên mạng
Hình 1-3 : Hình ảnh minh họa sâu internet Worm
Hình 2-1 : Mô hình InterScan security Suite
Hình 2-2 : Lọc Messaging
Hình 2-3 : Mô hình InterScan web security Suite
Hình 2-4 : Thành phần bảo vệ file server
Hình 2-5 : Bảo vệ đến tận các Client
Hình 2-6 : Thành phần quản lý tập trung
Hình 2-7 : Mô hình chung điện toán đám mây
Hình 2-8 : Mô hình các lớp dịch vụ
Hình 2-9 : Mô hình đám mây công cộng
Hình 2-10 : Mô hình đám mây doanh nghiệp
Hình 2-11 : Mô hình đám mây chung
Hình 2-12 : Mô hình đám mây lai
Hình 2-13 : Công nghệ điện toán đám mây sử dụng trong ClamAV
Hình 2-14 : Giao diện các chức năng của ClamAV
Hình 2-15 : Giao diện các tùy chọn trên ClamAV
Hình 2-16 : Cảnh báo malware
Trần Văn Duy
7
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-17 : Mô phỏng cộng đồng người dùng ClamAV
Hình 3-1 : Mô hình hoạt động của HAVP
Hình 3-2 : Quá trình xử lý của HAVP
Hình 3-3 : Giao diện quản lý gói trên Firegate
Hình 3-4 : Giao diện các gói đã được cài đặt
Hình 3-5 : Giao diện Tab HTTP Proxy
Hình 3-6 : Giao diện tab Files Scanner

Hình 3-7 : Giao diện tab Settings
Hình 3-8 : Cấu hình Havp ở chế độ Standard
Hình 3-9 : Cấu hình HAVP ở chế độ Standard kết hợp với xác thực của Squid
Hình 3-10 : Squid đặt giữa máy trạm và máy chủ
Hình 3-11 : Danh sách các gói có thể cài đặt được trong Squid
Hình 3-12 : Danh sách các gói đã được cài đặt vào trong Squid
Hình 3-13 : Dải mạng được phép sử dụng Proxy trong chế độ Authentication
Hình 3-14 : Lựa chọn phương thức xác thực
Trần Văn Duy
8
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Lời Nói Đầu
Ngày nay mạng Internet đã trở thành một nhu cầu không thể thiếu trong
cuộc sống và trong công việc. Việc truyền tải thông tin dữ liệu, gửi và nhận mail,
lướt web… ngày nay trở nên phổ biến và vô cùng quan trọng. Nhưng song song
với sự phát triển của mạng internet thì cũng xuất hiện ngày càng nhiều loại Virus
nguy hiểm gây hại cho chúng ta. Và cũng vì thế đã có rất nhiều phần mềm, công
nghệ mới ra đời nhắm chống lại và giảm thiểu tối đa sự lây lan và phá hoại của
Virus. Tuy nhiên, những phần mềm cũng như công nghệ đó chỉ có thể phát hiện
và tiêu diệt được những loại Virus đã có từ trước, còn những loại Virus mới xuất
hiện thì hầu như là không thể.
Chính vì lý do đó mà công nghệ phòng chống Virus không ngừng phát
triển và ngày càng phải phát triển hoàn thiện hơn nữa, đảm bảo sự an toàn cho
người dùng khi truy cập vào mạng internet, cũng như những dữ liệu truyền trên
đó. Cũng vì thế mà chúng ta phải có một cái nhìn cơ bản về các công nghệ, cơ
chế hoạt động và tính năng nổi bật của chúng. Từ đó chúng ta hiểu biết thêm về
tầm quan trọng trong việc phát triển công nghệ phòng chống Virus.
Đề tài : “ Tìm hiểu công nghệ phòng chống Virus trên mạng
Http – Anti Virus“
Đồ án gồm 4 chương :

Trần Văn Duy
9
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
 Chương I : Tìm hiểu chung về Virus. Chương này giúp chúng ta có cái nhìn
khái quát về Virus như lịch sử ra đời và phát triển vủa Virus, một
số loại Virus cơ bản.
 Chương II : Nghiên cứu tìm hiểu một số giải pháp phòng chống Virus tiên
tiến. Chương này tìm hiểu về hai giải pháp phòng chống Virus :
thứ nhất là phương pháp phòng chống Virus bằng ClamAV, các
thành phần trong ClamAV và giúp chúng ta có một cái nhìn khái
quát nhất về điện toán đám mây-công nghệ mới nhất đang đem
lại hiệu quả vô cùng to lớn trong công việc phòng chống Virus.
Thứ 2 là giải pháp phòng chống Virus của Trendmicro.
 Chương III : Tìm hiểu về HTTP Anti Virus Proxy và Squid Proxy Server.
Chương này cho chúng ta tập trung nghiên cứu HAVP và Squid
như : Khái niệm, quá trình xử lý như thế nào và thiết lập các mô
hình HAVP, mô hình Squid và các tùy chọn của mỗi mô hình đó.
Trong quá trình thực hiện đề tài này, ngoài những cố gắng của bản thân,
em đã nhận được sự giúp đỡ rất lớn từ thầy Đinh Quốc Tiến cùng các thầy cô
giáo trong khoa An Toàn Thông Tin – Học Viện Kỹ Thuật Mật Mã. Em xin cảm
ơn thầy đã giúp đỡ em tận tình để em hoàn thành đề tài này. Do thời gian nghiên
cứu chưa nhiều, kiến thức còn hạn chế nên không thể tránh khỏi những sai sót,
kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô.
Em xin chân thành cảm ơn !
Sinh Viên
Trần Văn Duy
Trần Văn Duy
10
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Chương 1

Tổng Quan Về Virus
1.1. Lịch sử phát triển của virus
Có thể nói virus có một quá trình phát triển khá dài, và nó luôn song hành
cùng người bạn đồng hành của nó là những chiếc "máy tính", (và tất nhiên là
người bạn máy tính của nó chẳng thích thú gì ). Khi mà Công nghệ phần mềm
cũng như phần cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay
đổi thì virus máy tính cũng tự thay đổi mình để phù hợp với hệ điều hành đó và
để có thể ăn bám ký sinh. Tất nhiên là virus không tự sinh ra
Trần Văn Duy
11
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 1-1 . Hình ảnh minh họa Virus
Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản
chỉ là một thú đùa vui ác ý. Nhưng chỉ có điều những cái đầu thông minh này
khiến chúng ta phải đau đầu đối phó và cuộc chiến này gần như không chấm dứt
và nó vẫn tiếp diễn.
Có nhiều tài liệu nói khác nhau nói về xuất xứ của virus máy tính, đó cũng
là điều dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một
"xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng
có nghĩa là không mấy người quan tâm tới chúng. Chỉ khi chúng gây ra những
hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy
vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít
nhiều liên quan tới những sự kiện sau:
 1983 - Để lộ nguyên lý của trò chơi "Core War"
"Core War" là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2
lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo
gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố
gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ
thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.
Trần Văn Duy

12
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson
người đã viết phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận
một trong những giải thưởng danh dự của giới điện toán - Giải thưởng A.M
Turing. Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về virus máy
tính dựa trên trò chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen đã
chứng minh được sự tồn tại của virus máy tính.
Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả
về "Core War" và cung cấp cho độc giả những thông tin hướng dẫn về trò chơi
này. Kể từ đó virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa
những người viết ra virus và những người diệt virus.
 1986 - Brain virus
Có thể được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ
bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware.
Một nơi khác trên thế giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học
Hebrew – Israel
 1987 - Lehigh virus xuất hiện
Lại một lần nữa liên quan tới một trường Đại học. Lehigh chính là tên của
virus xuất hiện năm 1987 tại trường Đại học nà y. Trong thời gian nà y cũng có 1
số virus khác xuất hiện, đặc biệt WORM virus (sâu virus), cơn ác mộng với các
hệ thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ là m cho công ty
IBM nhớ mãi với tốc độ lây lan đáng nể: 500000 nhân bản trong 1 giờ.
 1988 - Virus lây trên mạng
Trần Văn Duy
13
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 1-2. Virus ngày càng phát triển và lây lan trên mạng
Ngày 2 tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tính
quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu

nhận thức được tính nguy hại của virus máy tính.
 1989 - AIDS Trojan
Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa", chúng không
phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus. "Những chú
ngựa thành Tơ-roa" này khi đã gắn vào máy tính của bchúng thì nó sẽ lấy cắp
một số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này
muốn nó vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của
chúng ta
 1991 - Tequila virus
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó
đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ
thống máy tính.
Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả
thật không dễ dàng gì để diệt chúng. Chúng có khả năng tự thay hình đổi dạng
sau lần lây nhiễm, làm cho việc phát hiện ra chúng quả thật là khó.
 1992 - Michelangelo virus
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm 92 này
tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực
kỳ phức tạp.
 1995 - Concept virus
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại
virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những
tiền bối của nó. Chúng gây ra một cú sốc cho những công ty diệt virus cũng như
những người tình nguyện trong lĩnh vực phòng chống virus máy tính. Cũng phải
tự hào rằng khi virus này xuất hiện, trên thế giới chưa có loại "kháng sinh" nào
thì tại Việt Nam chúng ta đã đưa ra được giải pháp rất đơn giản để loại trừ loại
virus này và đó cũng là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi
trên toàn Quốc.
Trần Văn Duy
14

Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Sau này những virus theo nguyên lý của Concept được gọi chung là virus
macro, chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel,
Powerpoint), và những nhân viên văn phòng - những người sử dụng không am
hiểu lắm về hệ thống - ắt hẳn sẽ không mấy dễ chịu với những con virus thích
chọc ngoáy vào công trình đánh máy của họ
 1996 - Boza virus
Khi hãng Microsoft chuyển sang hệ điều hànnh Windows95 và họ cho
rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện
virus lây trên hệ điều hành Windows95 (có lẽ không nên thách thức những kẻ
xấu, điều đó chỉ thêm kích động chúng
 1999 - Melissa, Bubbleboy virus
Đây thật sự là một cơn ác mộng với các máy tình trên khắp thế giới. Sâu
Melissa không những kết hợp các tính năng của sâu Internet và virus marco, mà
nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là
Microsoft Outlook Express để chống lại chính chúng ta. Khi máy tính của bạn bị
nhiễm Mellisa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết. Và
chúng ta cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.
Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm
250 ngàn máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gây
thiệt hại hàng trăm triệu USD. Một lần nữa cuộc chiến lại sang một bước ngoặt
mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương
tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng
đồng hồ.
Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính
trên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ
liệu của hang triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày
26 tháng 4.
 2000 - DDoS, Love Letter virus
Có thể coi là vụ việc virus phá hoại lớn nhất từ trước đến nay, Love Letter

có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng có 6
tiếng đồng hồ đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55
triệu máy tính, gây thiệt hại 8,7 tỷ USD.
Trần Văn Duy
15
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ở những
nơi nó lây nhiễm. Cuối cùng chúng sẽ đồng loạt tấn công theo kiểu "Từ chối dich
vụ - Denial of Service" (yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các
máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu
cầu mới -> bị vô hiệu hoá) vào các hệ thống máy chủ khi người điều hành nó
phất cờ, hoặc chúng tự định cùng một thời điểm tấn công. Và một hệ thống điện
thoại của Tây Ban Nha đã là vật thí nghiệm đầu tiên.
 2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên
các hệ điều hành Linux chứ không chỉ Windows. Chúng nguỵ trang dưới dạng
file MP3 cho download.
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng
nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy
trạm sang máy trạm ), làm cho việc phòng chống vô cùng khó khăn, cho đến
tận lúc này (tháng 9 năm 2002) ở Việt Nam vẫn còn những cơ quan với mạng
máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra
một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một
virus bao gồm nhiều virus, nhiều nguyên lý khác nhau.
 2002 - Sự ra đời của hàng loạt loại virus mới
Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này
lây những file .SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một
loại công cụ giúp làm cho các trang Web thêm phong phú). Tháng 3 đánh dấu sự
ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft.
Con sâu .Net này có tên SharpA và được viết bởi một người phụ nữ!

Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL
Tháng 6, có vài loại virus mới ra đời
Perrun lây qua Image JPEG (Có lẽ bạn nên cảnh giác với mọi thứ). Scalper tân
công các FreeBSD/Apache Web server.
1.2. Các loại virus máy tính
1.2.1. Virus Boot
Trần Văn Duy
16
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Khi chúng ta bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi
động của chúng ta sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ
điều hành mà chúng ta muốn (Windows, Linux hay Unix ).
Sau khi nạp xong hệ điều hành chúng ta mới có thể bắt đầu sử dụng máy.
Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng
được gọi là "Boot sector". Những virus lây vào Boot sector thì được gọi là virus
Boot.
Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng
ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lượng virus Boot không nhiều
như trước. Tuy nhiên, một điều rất tệ hại là chúng ta lại thường xuyên để quên
đĩa mềm trong ổ đĩa, và vô tình khi bật máy, đĩa mềm đó trở thành đĩa khởi
động.
1.2.2.Virus File
Là những virus lây vào những file chương trình như file .com, .exe, .bat,
.pif, .sys mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của
chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng
lây vào các File, nhưng không thể gọi chúng là virus File.
1.2.3. Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính
(Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft Office.
Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng,

có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là
các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được
công thao tác.
Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao
tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât.
1.2.4. Con ngựa Thành Tơ-roa - Trojan Horse
Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy
Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp
không sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng
hoà , sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được
Trần Văn Duy
17
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và
đánh chiếm thành từ bên trong.
Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng.
Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương
trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những
chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt
chảng hạn).
Tuy nhiên, song song với quá trình đó, một phần của Trojan sẽ bí mật cài
đặt lên máy nạn nhân. Đến một thời điểm định trước nào đó chương trình này có
thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên
mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet
của người sử dụng và gửi bí mật cho chủ nhân của các Trojan).
Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có
tính chất lây lan, nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn
nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan.
Thông thường các phần mềm có chứa Trojan được phân phối như là các
phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng.

1.2.5. Sâu Internet Worm
Sâu Internet -Worm quả là một bước tiến đáng kể và đáng sợ nữa của
virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết
là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một
kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây
lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc
đường truyền.
Trần Văn Duy
18
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 1-3. Hình ảnh minh họa sâu internet Worm
Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address
book) của máy mà nó đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người
thân, khách hàng của chủ máy.
Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên
với địa chỉ người gửi là chính chúng ta, chủ sở hữu của chiếc máy. Điều nguy
hiểm là những việc này diễn ra mà chúng không hề hay biết, chỉ khi chúng ta
nhận được thông báo la đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ
rằng máy tính của mình bị nhiễm virus (mà chưa chắc chúng ta đã tin như
thế!!?).
Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể
nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ
trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới
hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm hay "Sâu Internet"
cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy
tính khác trên các "cành cây" Internet.
Trần Văn Duy
19
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra

chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng
một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào
một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng
lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ. Ngoài ra,
chúng còn có thể cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân
và có thể làm đủ mọi thứ như ngồi trên máy dó một cách bất hợp pháp.
 Do sự phát triển không ngửng của Virus như thế, các loại Virus ngày
một tinh vi hơn, ngày một nguy hiểm hơn. Vậy thì làm thế nào để có thể phòng
chống và ngăn chặn sự lây lân và phá hoại của Virus? Câu hỏi này luôn đặt ra
cho mỗi chúng ta phải tìm cách xây dựng các phần mềm, các công nghệ phòng
chống Virus một cách hiệu quả nhất. Và ngay từ khi Virus xuất hiện, các công
nghệ đó cũng được phát triển theo, như công nghệ nhận diện theo mẫu truyền
thống, hoặc công nghệ Heuristic và Behavior…; Nhưng ở chương sau em xin
giới thiệu về công nghệ phòng chống Virus được ứng dụng trong ClamAV , và
ClamAV sử dụng công nghệ điện toán đám mây. Đây là công nghệ mới nhất và
đem lại sự đột phá trong công nghệ phòng chống Virus. Qua các chương sau đó
chúng ta sẽ tìm hiểu xây dựng nhúng ClamAV trong HAVP kết hợp Squid để
phòng chống Virus trên mạng .
Chương 2
Nghiên Cứu Tìm Tiểu Một Số Giải Pháp
Phòng Chống Virus Tiên Tiến
2.1. Giải pháp phòng chống Virus của TrendMicro
Hiện nay, việc lây nhiễm và phát tán virus là điều làm đau đầu các nhà
quản trị mạng trên toàn thế giới, chúng ảnh hưởng rất lớn đến toàn bộ hệ thống
mạng. Thiệt hại do virus gây ra là cực kì lớn. Do đó, việc xây dựng hệ thống
phòng chống virus là yêu cầu hàng đầu của bất kì hệ thống thông tin nào.
Trần Văn Duy
20
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Virus hoạt động qua các dịch vụ công cộng như Web, Mail … có nghĩa là

một virus mới sẽ dễ dàng đi qua một firewall chưa cập nhật kịp thời. Khả năng
đó có thể dễ dàng tạo ra các backdoor, chuyển các thông tin nhạy cảm ra bên
ngoài mà không gặp sự cản trở nào.
Xây dựng hệ thống phòng chống virus phải được thực hiện đồng bộ và
nhất quán trên tất cả các vị trí từ trên xuống dưới, từ gateway cho đến tất cả các
trạm làm việc. Chương trình chống virus phải có khả năng bảo vệ được các dịch
vụ khác như: web, e-mail, file sharing …
Yêu cầu đặt ra cho giải pháp chống virus là phải bảo vệ toàn diện hệ thống
mạng trung tâm từ Internet Gateway, các Server cho đến từng Client khỏi sự tấn
công của virus. Hệ thống chống virus phải được cập nhật kịp thời, nhanh chóng,
có dịch vụ tốt từ nhà cung cấp. Đồng thời phải có giải pháp quản trị hệ thống
chống virus một cách tập trung, đồng bộ tại tất cả các điểm trong hệ thống mạng
tại hội sở, tuy nhiên vẫn có các quản trị viên cấp dưới có một số quyền hạn nhất
định để kiểm tra, kiểm soát tính toàn vẹn của cả hệ thống.
2.1.1. Thành phần bảo vệ Internet Gateway
Internet gateway là điểm kết nối hệ thống mạng với môi trường Internet.
Tại đây có thể xem như là một cánh cửa rộng nhất để virus và các đoạn mã có
dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn
chặn từ cổng mạng này là thiết yếu, bao gồm các thành phần:
 InterScan Messaging Security Suite (IMSS)
Giải pháp toàn diện này sẽ khoá các mã có dụng ý nguy hiểm, spam, và
nội dung không mong muốn ngay tại mức messaging gateway - điểm vào quan
trọng nhất của mạng.
Trần Văn Duy
21
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
Hình 2-1. Mô hình InterScan Messaging Security Suite
• Khả năng bảo vệ toàn diện Messaging : IMSS cung cấp khả năng
bảo vệ toàn diện messaging tại mức gateway bằng cách quét các
luồng giao thông SMTP và POP3 với sự tích hợp công nghệ chống

virus, lọc nội dung, và khả năng chống spam. Khi engine quét phát
hiện một gói tin chứa virus, nó triển khai kỹ thuật Active Action tự
động delete virus. Nó cũng đánh giá email nhiễm các loại virus khác
nhau và xác định hoặc là xoá, cách ly, hoặc làm sạch rồi sau đó mới
phân phát message. Công ty có thể khoá các luồng email không xác
thực với điều khiển đường truyền SMTP, như là anti-relay và hạn
chế kết nối – bảo vệ các lớp khác nhau chống lại tấn công.
• Bảo vệ tránh bị tấn công từ chối dịch vụ (DoS) : Bằng việc làm tràn
ngập một mail server với những file đính kèm có kích thước lớn
hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ
thống mail của một doanh nghiệp, tổ chức. IMSS for SMTP bao
gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm
của những mail không được phép vào mạng nội bộ, chúng sẽ bị
chặn ngay ở mức gateway.
• Khả năng lọc nội dung cao cấp : Công nghệ lọc nội dung của IMSS
cho phép công ty hạn chế nội dung email vào/ra bằng cách khoá
Trần Văn Duy
22
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
messages không thích hợp trên cơ sở các từ khoá, loại file, tên đính
kèm, kích cỡ đính kèm, và những quy luật khác. Giảm thiểu các
email mang tính tiêu khiển, công ty có thể tiết kiệm được tài nguyên
mạng, nâng cao năng suất của nhân viên, và bảo vệ các thông tin
quan trọng.
• Tính năng lọc Spam thông minh : Module chống spam tích hợp với
IMSS để tạo ra khả năng lọc spam trên cơ sở heuristic với hiệu suất
cao. Engine định danh và khoá spam với tỷ lệ bắt gặp cao và lỗi
thấp. Nhà quản trị có thể chọn lựa thiết đặt mức độ spam và tạo ra
danh sách người gởi được phép hoặc bị khoá, hành động lọc, hoặc
những luật khác nhau cho các cá nhân hoặc nhóm.

Hình 2-2. Lọc Messaging
IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend
Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine
sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi
qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định
nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus
trong file), quarantine (cách ly các file bị nhiễm), delete (xóa file bị nhiễm)…
Trần Văn Duy
23
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả
năng phát hiện virus dựa trên hành vi.
 InterScan Web Security Suite (IWSS)
Hình 2-3 . Mô hình InterScan Web Security Suite
• Khả năng chống virus và bảo mật nội dung tại Web Gateway : IWSS
thực hiện bảo mật với hiệu suất cao cho các luồng giao thông HTTP
và FTP tại gateway Internet. Gói tích hợp các công nghệ antivirus,
anti-phishing, anti-spyware, và có thể tuỳ chọn thêm công nghệ lọc
URL. Đây là giải pháp bao hàm toàn diện được thiết kế để quét nội
dung Web và chặn đứng các mối đe doạ nguy hiểm – không làm
giảm hiệu suất Web. Nó cũng có khả năng uyển chuyển và linh
động cao, cho cả các mạng lớn và phức tạp. Với trình quản lí tập
trung, nhà quản trị IT có thể triển khai nhanh chóng, kết hợp phòng
thủ chống lại các mối đe doạ xuất hiện.
• IWSS tích hợp toàn bộ giải pháp được thiết kế để khoá các mối đe
doạ trên nền Web bao gồm virus, Trojans, worm, tấn công phishing
Trần Văn Duy
24
Đồ án tố nghiệp Tìm hiểu công nghệ phòng chống Virus trên mạng
và spyware. Các mối đe doạ này có thể tấn công vào hệ thống mạng

thông qua email trên nền Web và các trang Web chứa đựng mã nguy
hiểm ẩn ở trong. IWSS bảo vệ chống lại các mối đe doạ này bằng
cách quét các luồng giao thông HTTP và FTP.
• Anti-phishing : Công nghệ anti-phishing của Trend Micro được tích
hợp trong IWSS được thiết kế để khoá các luồng dữ liệu hướng ra
được biết ảnh hưởng xấu đến Web sites. Công nghệ này cung cấp
một lớp bảo vệ mới bổ sung cho IMSS và sản phẩm anti-spam lọc
mail khác theo luồng giao thông SMTP hướng vào. Kết quả, IWSS
giúp ngăn chặn kẻ trộm lấy cắp các thông tin bí mật của công ty và
cá nhân, như là credit card, tài khoản ngân hàng, số bảo mật quan
trọng khác, gồm cả user name và password.
• Anti-spyware : Công nghệ anti-spyware của Trend Micro được thiết
kế để khoá spyware và adware, các công cụ thêm vào giúp truy xuất
từ xa và hỗ trợ hacking gây thiệt hại cho mạng. Công nghệ này tăng
thêm khả năng bảo mật giúp ngăn chặn tội phạm mạng, những kẻ
bất lương, và các quảng cáo lấy thông tin cá nhân, thông tin của tập
đoàn, password, địa chỉ email, và thông tin khác. Nó cũng giải thoát
tài nguyên hệ thống và tăng tính sẵn sàng của băng thông, cải thiện
hiệu suất mạng và giảm sự sụp đổ liên quan đến spyware.
• Khả năng uyển chuyển và linh động : IWSS hỗ trợ cấu hình
standalone hay kết hợp với proxy servers và Appliance – có nhiều
tuỳ chọn hơn bất kỳ giải pháp bảo mật Web nào khác. IWSS cũng
hỗ trợ LDAP và Active Directory, cho phép nhà quản trị IT dễ dàng
thiết đặt chính sách gán các luật cho PCs và Groups. Cơ sở bảo mật
linh động này cho phép nhà quản trị IT thiết đặt chính sách và gán
các luật đến các nhóm và cá nhân sử dụng phù hợp. Nó cũng cung
cấp hành động lọc linh động như lưu trữ, trì hoãn, phân phát, và
message nhắc nhở. Tính uyển chuyển cao cho phép tích hợp với các
sản phẩm hàng đầu khác như Check Point, Cisco, NetScreen
• Quản lý tập trung : Khi Suite được triển khai với TMCM, nhà quản

trị có thể quản lý tập trung tất cả các sản phẩm bảo mật Trend Micro
Trần Văn Duy
25

Tìm hiểu công nghệ phòng chống virus trên mạng http – anti virus

Trích đoạn

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về