BeforeNavigate: Sựkiện do trình duyệt phát ra khi người dùng chuẩn bị
duyệt đến 1 trang web mới nào đó (khác với trang hiện hành). Ví dụ: Khi
click chuột vào 1 link, 1 nút trên trang web và chuyển sang 1 trang web mới,
khi gõ địa chỉvào thanh address bar đểchuẩn bịduyệt,
- Bộlọc 1:Nhận vào địa chỉtrang web không đáng tin cậy và tiến hành kiểm
tra. Bộlọc sẽtruy xuất vào cơsởdữliệu đểduyệt xem trang web này có
nằm sẵn trong danh sách các trang bịcấm hay không. Nếu có thì bộlọc sẽ
lưu địa chỉnày vào cơsởdữliệu và chuyển hướng đến trang thông báo cấm
cho người dùng. Nếu không thì sẽchuyển đến bộlọc tiếp theo.
- Bộlọc 2:Nhận vào địa chỉtrang web không đáng tin cậy và tiến hành kiểm
tra. Nếu địa chỉnày chứa thêm 1 địa chỉtrang web khác thì được xem nhưvi
phạm (đã trình bày ởtrên). Bộlọc sẽlưu địa chỉvi phạm này vào cơsởdữ
liệu
Bạn đang xem trước 20 trang tài liệu Đề tài Các phương pháp lập trình vượt firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
đề cập đến vượt firewall từ bên trong ra, do đó chúng
ta có thể tóm gọn lại có 3 hình thức vượt firewall: HTTP proxy, web-
based proxy, http tunneling.
3.2 Phương pháp thứ nhất: HTTP Proxy
• Là phương pháp mà server sử dụng một cổng nào đó để trung chuyển các
yêu cầu, các server này thường được gọi là web proxy server hay http
proxy server
• Khi các yêu cầu của client bị từ chối bởi người quản trị (hay nói chính
xác hơn là các chương trình quản lý trong mạng LAN), thì người sử dụng
có thể sử dụng các proxy server để chuyển tiếp các yêu cầu mà trong đó,
proxy server là một địa chỉ được cho phép kết nối đến.
• Các proxy server này thường không cố định, nó thường có thời gian sống
rất ngắn.
• Sử dụng proxy này, bạn chỉ cần cấu hình mục proxy mà trong hầu hết các
Web browser đều có hỗ trợ
• Phương pháp này sẽ được tìm hiểu sâu ở phần 2
Phan Trung Hiếu - Trang 50 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
3.3 Phương pháp thứ hai: Web-Based Proxy
• Phương pháp này cho phép người sử dụng truy cập vào các trang bị cấm
dưới hình thức 1 truy cập vào 1 trang web trung gian.
• Đầu tiên người dùng truy cập vào trang web này
• Sau đó, người sử dụng cung cấp thông tin về trang web mà mình muốn
đến (chủ yếu dưới hình thức url)
• Sau đó Web-base proxy này sẽ kết nối đến trang mà người dùng yêu cầu,
lấy thông tin, đinh dạng lại thông tin, rồi gửi lại cho người dùng một cách
hợp pháp
• Tất nhiên, web-based proxy này phải là một trang web mà chưa bị người
quản trị cấm
• Phương pháp này sẽ được tìm hiểu sâu ở phần 2
3.4 Phương pháp thứ ba: Http Tunneling
• Cũng như các phương pháp trên, htttp tunneling cho phép người dùng
truy cập vào những trang bị cấm
• Bao gồm một chương trình client ở phía người dùng và một chương trình
ở phía server
• Đầu tiên, chương trình ở phía client sẽ tạo ra một đường hầm kết nối máy
của bạn đến chương trình server đặt trên mạng, đường hầm này đi ngang
qua firewall của bạn mà không hề hấn gì, vì địa chỉ server không bị filter.
Khi đường hầm đã thiết lập xong mọi yêu cầu truy cập đến trang web sẽ
thôn qua server, rồi đưa vào đường hầm và đến máy bạn mà firewall
không hề hay biết. Do 1 số ứng dụng http-tunneling được viết theo mô
hình client-server, cơ chế hoạt động dựa trên kịch bản làm việc dựng sẵn,
ta có thể chủ động qua mặt các firewall bằng cách mã hóa các gói tin trao
Phan Trung Hiếu - Trang 51 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Do giới hạn của đề tài và giới hạn về mặt thời gian mà phương pháp này
sẽ không được tìm hiểu kĩ trong luận văn.
•
Phan Trung Hiếu - Trang 52 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
PHẦN THỨ HAI
VƯỢT FIREWALL
Chương 4: VƯỢT FIREWALL BẰNG HTTP
PROXY
4.1 Khi các HTTP Proxy Server trở nên hữu ích:
• Nhiệm vụ chính của HTTP proxy server là cho phép những client bên
trong truy cập ra internet mà không bị ngăn trở bởi Firewall (firewall).
Lúc này tất cả các client phía sau Firewall đểu có thể truy cập ra ngoài
Internet chỉ với một chút công sức và không bị ngăn trở bởi các dịch vụ
bảo mật
• Proxy server lắng nghe các yêu cầu từ các client và chuyển tiếp
(forward) những yêu cầu này đến các server bên ngoài Internet. Proxy
server đọc phản hồi (response) từ các server bên ngoài rồi gửi trả chúng
cho các client bên trong.
• Thông thường, những client mà cùng subnet thì dùng cùng một proxy
server. Do đó, proxy server có thể cache các document để phục vụ cho
các client có cùng nhu cầu (cùng truy cập đến một trang chẳng hạn).
• Người dùng khi sử dụng proxy cảm thấy họ đang nhận các phản hồi
một cách trực tiếp từ bên ngoài. Nhưng thực sự thì họ đang ra ngoài
Internet một cách gián tiếp thông qua proxy.
• Các client mà không sử dụng DNS vẫn có thể duyệt web vì họ chỉ cần
một thông tin duy nhất, đó là địa chỉ IP của proxy server. Tương tự, các
cơ quan, doanh nghiệp… sử dụng các địa chỉ ảo (10.x.x.x, 192.168.x.x,
Phan Trung Hiếu - Trang 53 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
172.16.x.x ? 172.32.x.x) vẫn có thể ra ngoài Internet một cách bình
thường thông qua proxy server.
• Các proxy server có thể cho phép hay từ chối các yêu cầu dựa trên giao
thức của các kết nối. Ví dụ như: một proxy server có thể cho phép các
kết nối HTTP trong khi từ chối các kết nối FTP
• Khi bạn dùng proxy server như một cổng ra ngoài Internet từ mạng
LAN, bạn có thể chọn lựa các tùy chọn như sau:
- Cho phép hay ngăn chặn client truy cập Internet dựa trên nền tảng địa chỉ
IP
- Caching document: lưu giữ lại các trang web phục vụ cho các nhu cầu
giống nhau
- Sàng lọc kết nối
- Cung cấp dịch vụ Internet cho các công ty dùng mạng riêng (nền tảng IP
ảo)
- Chuyển đổi dữ liệu sang dạng HTML để có thể xem bằng trình duyệt
Phan Trung Hiếu - Trang 54 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Hình 15 Mô hình hoạt động chung của các proxy
Phan Trung Hiếu - Trang 55 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
4.2 Chức năng chính:
4.2.1 Truy cập Internet:
• Các máy trong mạng LAN có thể không thể truy cập đến các tài nguyên
trên Internet một cách trực tiếp vì chúng đang hoạt động phía sau một
bức Firewall. Trong trường hợp này, proxy server có thể giúp chúng thực
hiện điều này một cách dễ dàng.
Hình 16 Một số protocol được hỗ trợ
• Ở hình trên, proxy server đang chạy trên một firewall host và thiếp lập
các kết nối ra thế giới bên ngoài. Chúng ta cũng có thể sử dụng một máy
tính khác để làm proxy server, máy này phải có đầy đủ các quyến truy
cập Internet.
Phan Trung Hiếu - Trang 56 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
• Proxy nhận các yêu cầu từ trình duyệt, proxy truy vấn đến các thông tin
được yêu cầu, chuyển đổi sang dạng HTML rồi gửi trả lại cho browser
phía bên trong firewall. Proxy server có thể quản lý tất cả các kết nối ra
ngoài Internet nếu nó là máy tính duy nhất có kết nối trực tiếp ra ngoài
Internet.
4.2.2 Caching documents:
• Thông thường, các client của cùng một subnet truy cập đến một Web
proxy server. Một vài proxy server cho phép bạn cache (lưu trữ tạm thời)
các tài liệu này trên máy để phục vụ cho các máy khác có cùng nhu cầu.
Giả sử: máy A vừa truy cập vào trang , sau đó máy
B lại yêu cầu đến trang này, trong trường hợp này, proxy server sử dụng
lại documents này có sẵn trong máy mà không phải lên tận server lấy về.
Điều này khiến cho tốc độ cải thiện rõ rệt
Phan Trung Hiếu - Trang 57 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Hình 17 Caching
• Caching trên proxy server hiệu quả hơn trên máy đơn, nó sẽ tiết
kiệm được không gian lưu trữ bởi vì bạn chỉ phải lưu lại một lần.
Caching trên proxy server để cho hiệu quả hơn, chúng ta nên
caching lại những trang mà thường xuyên được tham chiếu đến
(được truy cập đến)
• Thông qua caching, chúng ta còn có thể truy cập đến trang đó ngay
cả trong trường hợp server đó bị down
Một số loại proxy cho phép cache ở nhiều nơi để đề phòng khi
cache bị down hay bị lỗi
•
Phan Trung Hiếu - Trang 58 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Caching bị lỗi (failure) Hình 18
4.2.3 Điều khiển truy cập Internet một cách có chọn lọc:
• Khi sử dụng proxy server bạn có thể lọc các transaction của các
client. Một vài proxy server cho phép bạn:
o Yêu cầu nào được chấp nhận, yêu cầu nào không
o Ngăn chặn các trang mà bạn không muốn cho user truy cập
đến
Phan Trung Hiếu - Trang 59 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
o Giới hạn các dịch vụ mà bạn muốn, ví dụ: bạn có thể cho phép
user sử dụng dịch vụ HTTP nhưng lại không muốn cho họ sử
dụng dịch vụ FTP
4.2.4 Cung cấp dịch vụ Internet cho các cơ quan sử dụng IP ảo:
Các tổ chức mà sử dụng một hay nhiều không gian địa chỉ ảo có thể sử
dụng Internet, điều này hoàn toàn có thể. Bằng cách thông qua proxy
server và proxy server sẽ giữ địa chỉ thật.
4.3 Một phiên giao dịch (transaction) thông qua proxy :
Hình 19 Một transaction qua proxy
• Các client đều có các địa chỉ IP của nó cũng như một kết nối trực tiếp đến các
server trên Internet. Khi trình duyệt tạo ra một yêu cầu HTTP thì HTTP server
chỉ lấy đường dẫn và phần từ khóa của URL được yêu cầu, những phần khác
như phần giao thức, hostname của máy đang chạy HTTP server đều đã rõ ràng
đối với server.
• Ví dụ: khi bạn gõ: thì trình duyệt sẽ chuyển sang
là: GET /class/th01.htm. Trình duyệt kết nối đến abc.com server, đưa ra lệnh
và đợi phản hồi. Trong ví dụ này, trình duyệt tạo ra một yêu cầu đến HTTP
server và chỉ rõ tài nguyên resource nào cần được tải về, không có giao thức
cũng như không có bất kì hostname nào trong URL
Phan Trung Hiếu - Trang 60 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
4.4 Kết nối thông qua proxy server:
• Proxy server hoạt động với cả 2 vai trò là client và server, nó đóng vai trò
server trong trường hợp nó tiếp nhận các yêu cầu HTTP từ các trình duyệt và
hoạt động như một client khi nó kết nối đến server ở xa để truy vấn các tài
nguyên
• Proxy sử dụng lại tất cả các thông tin mà trình duyệt đã gửi cho nó để gửi yêu
cầu đến server ở xa nên sẽ không sợ bị mất mát hay thiếu hụt thông tin
• Một proxy server hoàn chỉnh có thể hỗ trợ hết tất cả các giao thức như: HTTP,
FTP, Gopher, WAIS. Một proxy cũng có thể chỉ hỗ trợ một giao thức như
HTTP nhưng điều đó thật bất tiện khi bạn có nhu cầu kết nối đến FTP trong
quá trình bạn duyệt Web
4.5 HTTP proxy:
• Khi proxy server đóng vai trò client, nó hoạt động như một trình duyệt nhận
các resource.
• Một ví dụ về quá trình trao đổi thông tin:
o Khi bạn gõ:
o Trình duyệt chuyển URL này thành: GET
o Yêu cầu này được đưa đến cho proxy server. Proxy server sẽ dựa vào
URL tách lấy phần abc.com để kết nối đến remote server, sau đó
chuyển URL thành: GET /class/th01.com , chuyển lệnh đến server rồi
đợi phản hồi như hình bên dưới.
Phan Trung Hiếu - Trang 61 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Hình 20 Truy xuất thông tin thông qua HTTP proxy
4.6 FTP proxy:
Hình 21 Truy xuất thông tin thông qua FTP proxy
Hình trên cho thấy quá trình một yêu cầu FTP thông qua proxy. Proxy
server thông qua URL biết được đây là một yêu cầu FTP, do đó nó sẽ thực hiện
một kết nối FTP đến server ở xa. Proxy server tạo một kết nối và truy vấn file
đến FTP ở xa, lấy file về rồi gửi trả lại cho client.
Phan Trung Hiếu - Trang 62 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
4.7 Tiện lợi và bất tiện khi cache các trang Web:
• Caching có nghĩa là lưu trữ tài liệu trên máy cục bộ, vì vậy mà các user không
phải kết nối đến server đế lấy các file về. Khi một trình duyệt cục bộ yêu cầu
một file nào đó, proxy xem xét xem có có cache file đó lại không. Nếu có, nó
sẽ gửi file về cho trình duyệt. Nếu bạn sử dụng tính năng này, bạn cần phải
quyết định về:
o Các trang nào cần được cache lại (tần số được truy cập nhiều)
o Thời gian bao lâu phải cập nhật lại các trang này.
• Những thuận lợi của tính năng caching:
o Caching tiết kiệm được một lượng lớn thời gian cho các user khi
thường xuyên truy cập đến một trang nào đó. Proxy server sẽ đáp ứng
các yêu cầu này một cách nhanh chóng vì chỉ phải truy vấn đến các file
được lưu trữ cục bộ
o Tiết kiệm được không gian lưu thông mạng
o Tiết kiệm được không gian đĩa dùng để lưu trữ vì tất cả các máy cục bộ
đều dùng chung một file thay vì các máy phải cache lại trên máy mình
o Vẫn có thể cung cấp nhu cầu Internet ở một mức nào đó ngay cả khi
không có kết nối Internet
4.8 Những bất cập do proxy:
• Tuy proxy như nói ở trên đem lại rất nhiều điều hữu ích. Tuy nhiên các gì
cũng có 2 mặt và proxy cũng không ngoại lệ. Lợi dụng ý tưởng về proxy, hàng
loạt các máy tính trên mạng tự biến mình thành những proxy server để cho các
client có thể truy cập vào những trang có nội dung xấu mà nhà cung cấp dịch
vụ đã ngăn chặn bằng firewall.
• Vấn đề được đặt ra là làm thế nào để cho các client truy cập Internet vẫn có
thể truy cập Internet bình thường nhưng không thể truy cập những trang bị
Phan Trung Hiếu - Trang 63 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
chặn, hay nói cách khác là cấm cản người dùng sử dụng proxy bên ngoài hệ
thống.
4.9 Kĩ thuật lập trình một HTTP Proxy cơ bản:
Lập trình một HTTP proxy cần qua các bước sau:
• Lắng nghe các kết nối đến proxy server
• Khi có kết nối đến thì tạo ra một thread để quản lý kết nối này
• Tiếp nhận và sửa đổi lại gói tin HTTP Request cho hợp lệ.
• Phân tích URL, lấy được phần tên trang Web và Port.
VD:www.yahoo.com:8080 có tên là www.yahoo.com và port là 8080 (nếu
không có giá trị port thì mặc định port=8080).
• Sử dụng phần tên này để phân giải địa chỉ lấy số IP.
• Kết nối đến remote server
• Chuyển yêu cầu đến server
• Chờ đợi thông tin phản hồi từ remote server
• Chuyển phần gói tin này về lại cho user.
Phan Trung Hiếu - Trang 64 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Chương 5: Vượt firewall bằng Web-Based Proxy
5.1 Thế nào là 1 web-based anonymous proxy ?
Web-based Anonymous Proxy là 1 dạng khác của Web Proxy Server, nhưng
được xây dựng dưới dạng 1 trang web (tạm gọi là Web-based Proxy WBP) .
Sau đây là các đặc điểm khác biệt của nó so với Web Proxy :
- Dễ dàng, thân thiện với người dùng do được Proxy tích hợp sẵn bên
trong trang Web, người dùng chỉ cần cung cấp địa chỉ trang web cần đến
(URL) cho WBP và bắt đầu duyệt web. Ngoài ra người dùng không cần
phải tinh chỉnh các thông số khác địa chỉ IP của WBP, số hiệu cổng,.. cho
trình duyệt của mình, chỉ cần biết tên hoặc IP của WBP và link đến WBP
này
- Khi được các client yêu cầu, WBP sẽ lấy các thông tin (Resource) từ web
server đích, sau đó xây dựng lại thành 1 trang web hoàn chỉnh rồi đẩy
toàn bộ nội dung trang web hoàn chỉnh này về cho trình duyệt của Client.
Thường thì trình duyệt phía Client sẽ nhận được trang web mình yêu cầu
có đính kèm theo phần tiêu đề của WBP.
- Có khả năng chọn lọc các web page components khi được yêu cầu. VD:
quyết định xem có cho phép sử dụng cookies,hình ảnh,javascript,cửa sổ
pop-up,... trong trang web hay không.
- Do bản chất là “lướt web ẩn danh” thông qua 1 trang web trung gian nên
các gói tin request của Client gần như giống hoàn toàn với các gói tin
HTTP request thông thường .Vì vậy các phần mềm lọc gói tin sẽ khó
lòng phát hiện ra đâu là gói tin “có vấn đề”.
- Địa chỉ 1 số các WBP tham khảo khác trên internet :
•
•
Phan Trung Hiếu - Trang 65 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
•
•
•
5.2 Cách thức hoạt động của 1 WBP :
Mỗi khi nhận được yêu cầu request từ phía Client,WBP sẽ :
• Phân tích URL để tiến hành tiếp nhận các resource tương ứng (links,hình
ảnh,flash,…) từ trang web được client yêu cầu
• Sau khi nhận xong,WBP sẽ cập nhật lại các URLs của trang HTML được
yêu cầu sao cho phù hợp. WBP sẽ tiến hành sàng lọc các thành phần
(web page components) dựa theo yêu cầu Client và đẩy toàn bộ trang
HTML đã được xây dựng lại này về phía Client
• Phía trình duyệt Client đang lắng nghe phản hồi từ phía WBP nên khi
nhận được phản hồi, trình duyệt sẽ thể hiện trang web cho người dùng.
Phan Trung Hiếu - Trang 66 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
5.3 Giới thiệu về trang Web Based Proxy:
5.3.1 Giao diện:
Hình 22 Giao diện chính của Web Base Proxy
• Trang web có giao diện đơn giản. Phía trên có một thanh textbox, cho
phép user nhập địa chỉ trang web muốn đến
• Phía dưới là các option cho phép user lựa chọn
• Cuối cùng là 2 nút, cho phép người dùng kích hoạt cho trang web
chạy và nút reset lại default.
5.3.2 Chức năng:
• Cho phép người dùng nhập vào một địa chỉ dạng url. Người dùng chỉ
cần nhập địa chỉ, bấm Enter, trang web sẽ tải nội dung mà người
dùng muốn.
• Cho phép sử dụng các option, trong đó
o Include a mini URL – form: thêm một phần của Web base
Proxy vào đầu trang
Phan Trung Hiếu - Trang 67 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Hình 23 Mini form trên mỗi đầu trang
o Remove all scripts: Loại bỏ tất cả các script
o Accept HTTP cookies: cho phép sử dụng cookies để cải thiện
tốc độ
o Show images: Tải nội dung trang web về trong đó có cả hình
(lấy luôn hình, không loại bỏ)
o For future: Để dành cho tương lại
o New window: cho phép browse trong một cửa sổ mới.
Phan Trung Hiếu - Trang 68 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
5.3.3 Thuật toán:
5.3.3.1 Giới thiệu mô hình hoạt động:
Không
Khởi động
trang web
Kiểm tra
cookies
Load trang
web default
Có
Load trang dựa
theo cookies
Nhập thông tin
Kiểm tra
hợp lệ url
Không
hợp lệ
Hợp lệ
Chỉnh
sửa url
Kiểm tra
các option
Duyệt trang web
theo yêu cầu
Nếu thất bại:
thông báo lỗi
Nếu thành công Chỉnh sửa
theo option
Gửi kết quả
cho client
Hình 24 Sơ đồ hoạt động của 1 trang Web-Based Proxy
Phan Trung Hiếu - Trang 69 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
5.3.3.2 Diễn giải mô hình:
• Khởi động trang web: Bao gồm việc load các form, các đề mục,
giao diện trang web
• Kiểm tra cookies:Kiểm tra xem trên máy hiện có sử dụng cookies
của trang hay không
• Load trang web default:Nếu kiểm tra cookies không có, trình
duyệt sẽ load trang mặc định, tức là url sẽ trống, các option mặc
định sẽ được check…
• Load trang dựa theo cookies:Nếu kiểm tra cookies có, thì sẽ load
theo cookies, bao gồm các url đã được sử dụng, các trạng thái của
các option.
• Nhập thông tin:Client nhập các thông tin như url của trang web
cần đến, check hay bỏ check các option tùy theo người dùng.
• Kiểm tra hợp lệ url:Kiểm tra về hình thức nhập như có thiếu http
hay không, có thiếu www hay không, nếu thiếu sẽ tự động add
thêm vào cho hợp lệ.
• Kiểm tra các option:Kiểm tra các option xem option nào được
check, option nào không được check để thực hiện đúng theo yêu
cầu của client.
• Duyệt trang web theo yêu cầu:Gửi yêu cầu đến webserver tương
ứng: phân giải tên miền, gửi yêu cầu http đến server
• Thất bại, thông báo lỗi:Nếu không có trang web, địa chỉ sai do
người dùng đánh sai hay bất cứ nguyên nhân nào làm cho việc gửi
http request không được đáp ứng thì đều thông báo lỗi
• Thành công, chỉnh sửa theo option:Nếu thành công thì sẽ chỉnh
sửa lại trang: dựa theo các option, xem có phải add thêm phần phụ
Phan Trung Hiếu - Trang 70 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
vào đầu trang hay không, lấy hay loại bỏ hình ảnh, lấy hay loại bỏ
các script…(các mục này được thực hiện khi gửi http request).
• Gửi kết quả cho client:Gửi kết quả cuối cùng đến cho client là một
trang web đã được tinh chỉnh lại, được chỉnh sửa lại cho phù hợp.
5.3.3.3 Diễn giải một số hàm quan trọng :
• Hàm submit_form():Gửi yêu cầu đến server
• File url_form.inc:Phần header của trang gửi cho client.
• File style:Chứa các thông tin về giao diện: màu sắc, kích thước…
• Hàm set_response(): cấu trúc hóa lại trang web
• Hàm set_url(): Kiểm tra và tinh chỉnh url lại cho hợp lệ
• Hàm open_socket():Mở sock
• Hàm encode_url(): Mã hóa url
• Hàm decode_url(): Giả mã url
• Hàm set_flags(): Set các option
• Hàm set_cookies(): Ghi vào cookies
• Hàm get_cookies(): Lấy các thông tin từ cookies
• Hàm delete_cookies(): Xóa cookies
• Hàm include_form(): thêm form của web-base proxy vào phần
đầu của trang (tùy thuộc vào option có được check)
• Hàm remove_scripts(): loại bỏ các script (tùy thuộc vào option có
được check)
• Hàm send_response_headers(): gửi phần header cho client
• Hàm return_response():Gửi các phần còn lại cho client.
• Hàm remove_images():Loại bỏ các hình ảnh ra khỏi trang (tùy
thuộc vào option có được check)
Phan Trung Hiếu - Trang 71 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
PHẦN THỨ BA
MODULE CHỐNG VƯỢT FIREWALL
Nội dung :
Do mục đích của luận văn là nghiên cứu các phương pháp lập trình vượt
firewall nhằm tìm hiểu các cách thức mà người dùng có thể sử dụng để vượt qua
firewal. Từ đó mở rộng ra xây dựng các module chống vượt firewall. Sau thời gian tìm
hiểu, chúng em đã xây dựng được 2 module ứng dụng trên Windows nhằm ngăn chặn
người dùng vượt firewall bằng 2 phương pháp đã trình bày bên trên :
- Module ứng dụng tích hợp vào trình duyệt Internet Explorer, nhằm
phát hiện và ngăn chặn người dùng vượt firewall thông qua Web based
Proxy. Module hoạt động dựa trên việc phân tích cách thức hoạt động của các
trang Web-Based Proxy và đưa ra 3 chính sách để hình thành bộ lọc cho
Module. Khi người dùng duyệt bất kỳ 1 trang web nào, bộ lọc của module sẽ
tiến hành kiểm tra dựa trên các chính sách đã được quy định sẵn, nếu vi phạm
bất kỳ chính sách nào, trang web đó sẽ bị chặn lại và lưu thông tin (địa chỉ)
vào cơ sở dữ liệu của module.
- Module ứng dụng dưới dạng 1 service trong hệ thống, nhằm phát hiện
và ngăn chặn người dùng vượt firewall thông qua 1 HTTP Proxy server.
Module bao gồm 2 phần chính: Lọc gói tin và chặn gói tin. Module hoạt động
dựa trên việc lọc và kiểm tra nội dung các gói tin HTTP. Theo tài liệu RFC về
HTTP, các gói tin HTTP request thông qua 1 HTTP Proxy Server sẽ có nội
dung khác với các gói tin HTTP Request thông thường. Dựa trên đặc điểm
này, module sẽ xây dựng chính sách lọc và kiểm tra các gói tin gửi đi trên
Mạng. Khi 1 gói tin nào đó vi phạm, địa chỉ đích của gói tin đó (trường hợp
này chính là địa chỉ IP của HTTP Proxy Server) sẽ được đưa vào bộ lọc và
lưu vào cơ sở dữ liệu.
Phan Trung Hiếu - Trang 72 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Chương 6: Plug-in chống vượt firewall cho trình
duyệt Internet Explorer
Chương này chúng em xin phép được trình bày về module thứ nhất: Plug-in
chống vượt firewall cho trình duyêt Internet Explorer
6.1 Giới thiệu sơ lược :
Plugin là 1 ứng dụng được viết tích hợp trong trình duyệt web Internet
Explorer, có nhiệm vụ kiểm soát người dùng khi duyệt web. Nếu phát hiện
người dùng có ý định muốn vượt qua firewall thông qua 1 trang Web Based
Proxy nào đó, plugin sẽ tiến hành ngăn chặn và lưu thông tin về trang web
này (địa chỉ trang web) vào cơ sở dữ liệu để làm cơ sở lọc về sau. Ứng dụng
được viết trên môi trường Visual C 6.0 dưới dạng ATL, chạy tốt trên các
phiên bản trình duyệt IE5 trở lên và các phiên bản từ Windows 2000 trở lên.
Do nhu cầu lưu trữ thông tin về danh sách các Proxy Server, Web-based
proxy làm cơ sở cho bộ lọc nên các thông tin này được module lưu trữ vào
cơ sở dữ liệu Microsoft Access.
Giao diện chính của plugin
Giao diện chính của plug-inHình 25
Phan Trung Hiếu - Trang 73 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Hình 26 Trang thông báo mỗi khi người dùng duyệt những trang web vi phạm
6.2 Các tính năng chính:
6.2.1 Lọc các trang web dựa trên việc duyệt danh sách các trang web có
sẵn trong cơ sở dữ liệu:
Nếu người dùng có ý định muốn duyệt 1 trang web có địa chỉ đã được lưu trong cơ sở
dữ liệu, plugin sẽ hiện ra trang thông báo người dùng đã bị cấm.
6.2.2 Lọc các trang web dựa trên cơ chế kiểm tra địa chỉ (URL):
Khi người dùng duyệt đến 1 trang web mới, nếu trang web này có thể
giúp người dùng qua mặt được firewall (hay còn gọi là “vi phạm”), plugin sẽ
hiện ra trang thông báo cho người dùng và lưu lại địa chỉ trang web này vào cơ
sở dữ liệu. Do đại đa số các trang Web-based Proxy khi hoạt động thì thể hiện
địa chỉ của mình dưới dạng của WebProxy/địa chỉ thật của
trang web muốn duyệt nên dựa vào cơ chế này, ta có thể xác định các “địa chỉ
Phan Trung Hiếu - Trang 74 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Ví dụ: giả sử trang web www.abc.com là 1 trang vi phạm
Khi người dùng thông qua trang này lướt vào nhưng trang mình muốn đến
www.yahoo.com thì kết quả URL của trang này sẽ thê hiện như sau:
hay
.....
Ta có thể dễ dàng tách địa chỉ trên ra làm 2 địa chỉ riêng biệt. Nếu gặp
những địa chỉ quá rõ ràng như thế này thì bộ lọc chắc chắn sẽ phát hiện ra được
và lưu địa chỉ mới này vào cơ sở dữ liệu cho những lần duyệt tiếp theo.
6.2.3 Lọc dựa trên nội dung của các Input Form trong trang web:
Trong trường hợp các trang tiến hành mã hóa địa chỉ hay thậm chí
không thể hiện địa chỉ ra trình duyệt thì sao ???
Lúc này chức năng thứ 3 của bộ lọc lại trở nên hữu ích. Đây là 1 chức
năng bổ sung cho trường hợp 2 nêu trên. Khi người dùng truy cập vào các trang
Web-Proxy để truy cập vào các trang web khác thì gần như luôn luôn phải nhập
địa chỉ trang web mình muốn đến vào 1 textbox, sau đó tiến hành submit cho
webserver xử lí.
VD: 1 trang web-based proxy thường có cách trình bày như sau
Hình 27 Cách trình bày thông thường của một trang web base proxy
Phan Trung Hiếu - Trang 75 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Có thể thấy được khi người dùng gõ đầy đủ tên trang web và click vào
nút Go.Trang web sẽ submit nội dung text field vừa được nhập
( lên cho server và server tiến hành duyệt
Dựa trên hành động này, bộ lọc sẽ tiến hành lọc các Input tag của trang
web và kiểm tra xem có Input tag nào vi phạm hay không. Nếu vi phạm tức là
gần như người dùng đang có ý định muốn submit 1 URL đến cho server và
muốn truy cập đến trang này.
6.2.4 Cập nhật các trang web based proxy:
Cho phép người dùng có thẩm quyền được cập nhật (thêm xóa) danh
sách các trang web based proxy trong cơ sở dữ liệu.
6.2.5 Vô hiệu hóa/kích hoạt plugin:
Cho phép người dùng có thẩm quyền được vô hiệu hóa/kích hoạt
plugin.
6.3 Một số vấn đề cần lưu ý khi viết plugin cho trình duyệt IE :
6.3.1 Khái niệm Browser Helper Objects (BHO):
Browser Helper Objects (BHO), tạm dịch là đối tượng trợ giúp cho
trình duyệt, là 1 khái niệm do Microsoft đưa ra. Đây là 1 dạng ứng dụng được
phát triển dựa trên môi trường COM (Component Object Model). Dòng đời của
đối tượng này gắn liền với dòng đời của trình duyệt Internet Explorer, tức là khi
khởi động sẽ sử dụng chung vùng nhớ cùng với trình duyệt web Internet
Explorer và chỉ được hủy khi trình duyệt bị đóng. Khi chạy, đối tượng sẽ có thể
tương tác với tất cả mọi thành phần cũng như đối tượng khác của trình duyệt (ví
dụ: cửa sổ, toolbar, textfield,…),có thể nhận được các thông điệp, sự kiện do
trình duyệt phát ra như các sự kiện trở về trang trước đó (GoBack), trang sau
Phan Trung Hiếu - Trang 76 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
(GoForward), hay sự kiện Download thành công (DocumentComplete),… Các
BHO khi được khởi tạo thì trước hết phải trải qua quá trình đăng kí vào Registry
cho hệ thống thông qua giá trị của CLSID. Giá trị này đóng vai trò như 1 giá trị
định danh (Identifier) cho duy nhất BHO.
Hình dưới đây minh họa quá trình trình duyệt khởi động và nạp các BHO
vào bộ nhớ để xử lí:
Hình 28 Quá trình trình duyệt khởi động và nạp các BHO
Quá trình hoạt động như sau :
- Khởi động trình duyệt.
- Trình duyệt sẽ tìm trong Registry các giá trị CLSID của các BHO
tương ứng và load các module ứng dụng của các BHO này vào bộ
nhớ
- Mỗi BHO được khởi tạo sẽ có 1 Interface (tạm dịch là đối tượng giao
tiếp) riêng biệt. Khi tìm thấy các Interface này của BHO, trình duyệt
sẽ chuyển con trỏ trỏ đến Interface của chính mình (Interface
IUnkown) cho các BHO. Chính việc chuyển IUnkown cho các BHO
mà các BHO này mới có thể can thiệp được vào các đối tượng cũng
như các sự kiện của trình duyệt.
Phan Trung Hiếu - Trang 77 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
6.3.2 Một số hàm xử lí quan trọng:
- HRESULT SetSite(IUnknown* pUnkSite)
• Đây chính là hàm khởi tạo đối tượng BHO. Nhiệm vụ chính của hàm này
là nhận con trỏ đối tượng IUnkown và 1 số đối tượng quan trọng khác
(IWebBrowser2, IConnectionPointContainer) từ trình duyệt và lưu lại để
xử lí.
- HRESULT Connect(void)
• Báo cho trình duyệt biết rằng BHO có ý định muốn bắt các sự kiện và xử
lí trước khi gửi trả lại cho trình duyệt.
- HRESULT Invoke()
• Bắt các sự kiện do trình duyệt phát ra và chuyển đến hàm xử lí sự kiện
tương ứng.
- HRESULT Disconnect(void)
• Khi đối tượng bị hủy hay chủ động kết thúc, cần gọi sự kiện này để thông
báo chấm dứt việc xử lí các sự kiện cho trình duyệt
- Các hàm xử lí sự kiện: Tùy theo loại sự kiện mà BHO sẽ có các xử lí
tương ứng, các sự kiện được xử lí trong Module này lần lượt là:
• DISPID_BEFORENAVIGATE2: Sự kiện chuẩn bị duyệt đến 1 trang
web khác trang hiện hành.
• DISPID_ONQUIT : Sự kiện đóng trình duyệt
- Nói thêm về việc đăng kí BHO vào registry cho trình duyệt
• Mặc dù khi tạo 1 ứng dụng dạng COM Plugin cho Internet Explorer,
Visual C++ 6.0 sẽ tự tạo các dòng lệnh khởi tạo các thông số cho ứng
dụng trong regsitry trong tập tin có đuôi là rgs. Tuy nhiên các dòng lệnh
đăng kí ứng dụng vào Registry thì người dùng phải tự thêm vào. Nội
dung cần thêm vào như sau :
Phan Trung Hiếu - Trang 78 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
HKLM{SOFTWARE{Microsoft{ Windows {CurrentVersion
{Explorer{'Browser Helper Objects'{ForceRemove {Số ID đã được VC
tạo sẵn} = s 'Tên đối tượng BHO muốn thể hiện'}}}}}}}
6.4 Chi tiết lưu trữ dữ liệu :
6.4.1 Bảng Forbidden
Tên trường Kiểu Chú thích
URL Text Địa chỉ trang web based proxy bị cấm
6.4.2 Bảng Trusted
Tên trường Kiểu Chú thích
URL Text Địa chỉ trang web tin cậy
6.5 Thuật toán chính của ứng dụng :
6.5.1 Mô hình hoạt động của Plugin :
Phan Trung Hiếu - Trang 79 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
sự kiện
Phát
Trình duyệt IE
Khởi động
Plugin
Hàm xử lí sự kiện
Khởi
động
chuyển
Đây là sự kiện
BeforeNavigate
Đúng
Bộ lọc 1
Không vi phạm
Bộ lọc 2
Bộ lọc 3
Không vi phạm
Không vi phạm
Lưu vào
CSDL
Vi phạm
Vi phạm
Vi phạm
Trang web
này tin cậy ?
Không
chuyển
1
2
3
4
6
Sai
Đúng
5
8
Trang
thông báo
7
Hình 29 Mô hình hoạt động của Plugin
Phan Trung Hiếu - Trang 80 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
6.5.2 Diễn giải mô hình :
- BeforeNavigate: Sự kiện do trình duyệt phát ra khi người dùng chuẩn bị
duyệt đến 1 trang web mới nào đó (khác với trang hiện hành). Ví dụ: Khi
click chuột vào 1 link, 1 nút trên trang web và chuyển sang 1 trang web mới,
khi gõ địa chỉ vào thanh address bar để chuẩn bị duyệt,…
- Bộ lọc 1: Nhận vào địa chỉ trang web không đáng tin cậy và tiến hành kiểm
tra. Bộ lọc sẽ truy xuất vào cơ sở dữ liệu để duyệt xem trang web này có
nằm sẵn trong danh sách các trang bị cấm hay không. Nếu có thì bộ lọc sẽ
lưu địa chỉ này vào cơ sở dữ liệu và chuyển hướng đến trang thông báo cấm
cho người dùng. Nếu không thì sẽ chuyển đến bộ lọc tiếp theo.
- Bộ lọc 2: Nhận vào địa chỉ trang web không đáng tin cậy và tiến hành kiểm
tra. Nếu địa chỉ này chứa thêm 1 địa chỉ trang web khác thì được xem như vi
phạm (đã trình bày ở trên). Bộ lọc sẽ lưu địa chỉ vi phạm này vào cơ sở dữ
liệu.
- Bộ lọc 3: Nhận vào con trỏ đối tượng IWebBrowser2 để xử lí. Con trỏ này
đại diện cho trang web hiện hành cần kiểm tra. Dựa vào con trỏ đối tượng
này, ta có thể lấy được toàn bộ nội dung trang web (các thẻ HTML, các
script,….). Như đã trình bày ở trên, bộ lọc 3 hoạt động dựa trên việc kiểm tra
nội dung các INPUT FIELD của trang web. Do đó bộ lọc chỉ chú trọng đến
việc lọc các thẻ INPUT của trang HTML. 1 trang web được bộ lọc xem là 1
trang Web Based Proxy khi và chỉ khi nó chứa không quá 4 thẻ INPUT
dạng text, và ít nhất 1 trong các thẻ Input này có nội dung là địa chỉ 1
trang web nào đó. Nếu trang web nào thỏa điều kiện nêu trên thì sẽ được
xem là vi phạm và lưu lại vào cơ sở dữ liệu.
Phan Trung Hiếu - Trang 81 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
6.6 Những ưu điểm và hạn chế:
Plugin áp dụng 1 số thuật giải Heuristic nhằm phát hiện các trang Web-proxy mới
hoặc chưa có trong cơ sở dữ liệu, khiến bộ lọc thông minh hơn do có khả năng tự học
các địa chỉ trang web mới muốn qua mặt Firewall. Khi chạy thử các trang web-proxy
mới, bộ lọc hoạt động khá hiệu quả và chính xác.
Đa số các thuật giải này được xây dựng dựa trên việc quan sát quá trình vận hành
của các trang Web-based Proxy và tìm ra những điểm chung đặc trưng và khác biệt so
với các trang web khác làm cơ chế hoạt động cho bộ lọc. Do thuật giải không đảm bảo
tính chính xác 100% nên có 1 số trường hợp thiếu sót hay thậm chí sai sót ngoài ý
muốn. Đa số những sai sót đều rơi váo trường hợp khi người dùng sử dụng search
engine (như google,yahoo,…) để tiến hành tìm kiếm 1 địa chỉ nào đó trên internet.
Trong những trường hợp này, plugin sẽ tự cho rằng các trang web tìm kiếm này là các
Web-Based Proxy và tiến hành ngăn chặn. Lỗi trên có thể khắc phục được bằng cách
thêm vào danh sách các trang web tin cậy và buộc bộ lọc kiểm tra các “trang web tin
cậy này” trước khi lọc. Tuy nhiên cách này cũng không thể khắc phục hoàn toàn.
Quá trình hoạt động của Plugin phụ thuộc khá nhiều vào “sự tồn tại” của tập tin
cơ sở dữ liệu lưu trữ các trang Web-Based Proxy. Nên khi tập tin trên không tồn tại
hay bị lỗi, tính năng lọc của Plugin chắc chắn không thể hoạt động chính xác được.
Trong quá trình chạy thử và kiểm lỗi, chúng em đã cố gắng sửa chữa hầu hết các
sai sót này.Chúng em xin cố gắng phát triển thêm để bộ lọc ngày càng hoàn thiện hơn.
Phan Trung Hiếu - Trang 82 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Chương 7: SERVICE CHỐNG VƯỢT FIREWALL
Chương này chúng em xin phép được trình bày về module thứ hai: Service
chống vượt firewall cho hệ điều hành Windows.
7.1 Giới thiệu sơ lược :
Service chống vượt Firewall là 1 ứng dụng được viết dựa trên mô hình Service
truyền thống của Windows. Service là 1 ứng dụng chạy nền trong hệ thống, hoàn toàn
tuân thủ theo các yêu cầu và tính năng bảo mật do Windows quy định (Chỉ có người
chủ Service – trường hợp module này là admin hệ thống – mới có quyền tắt/mở/xóa
serive mà thôi). Service chịu trách nhiệm lọc và bắt các gói tin gửi ra mạng ngoài
(Internet) nhằm phát hiện và ngăn chặn các gói tin gửi đến các HTTP Proxy Server
và lưu lại địa chỉ các HTTP Proxy Server này để làm cơ sở hoạt động cho bộ lọc.
Service bao gồm 2 module nhỏ: module bắt gói tin và module chặn địa chỉ IP.
7.2 Các tính năng chính của module:
Theo như đã giới thiệu, module này được chia ra làm 2 module nhỏ riêng biệt, hỗ
trợ nhau trong quá trình Service hoạt động: Đó là module bắt gói tin và module chặn
địa chỉ IP.
- Module bắt gói tin: module được viết dựa trên thư viện Winsock2.0 của
Windows, nhiệm vụ bắt các gói tin lưu thông ra/vào card mạng của hệ thống.
- Module chặn địa chỉ IP: module được viết dựa trên mô hình Filter-Hook
Driver được Microsoft giới thiệu trong tài liệu Windows 2000 DDK. Ứng
dụng viết dựa trên mô hình này có thể lọc các gói tin ra vào card mạng của
hệ thống (theo tài Windows 2000 DDK). Theo tài liệu RFC về HTTP
Protocol, các gói tin gửi đến HTTP Proxy Server đều có điểm đặc trưng
riêng so với các gói tin khác. Service dựa vào đặc điểm này làm cơ sở hoạt
động cho bộ lọc của mình.
Phan Trung Hiếu - Trang 83 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
7.3 Module bắt gói tin :
Module chịu trách nhiệm bắt và kiểm tra nội dung gói tin ra/vào card mạng.
7.3.1 Đặc điểm của gói tin HTTP request đến HTTP Proxy Server:
Theo tài liệu RFC về HTTP Protocol, gói tin HTTP request đến Proxy
server sẽ có định dạng như sau :
Hình 30 Định dạng của gói tin gửi đến proxy server
Trong hình minh họa trên, ta thấy nội dung 1 gói tin HTTP Request
(câu lệnh HTTP ở đây chính là lệnh GET) được bổ sung thêm trường Proxy-
Connection: Keep-Alive. Đây chính là đặc điểm mấu chốt để phận biệt gói tin
HTTP Request đến 1 Proxy Server so với các gói tin thông thường khác.
7.3.2 Tóm tắt các bước cần lưu ý khi xây dựng module;
- Khởi tạo các thông tin cần thiết (địa chỉ,port,..) cho 1 SOCK_RAW
Socket.
- Chuyển chế độ hoạt động của Socket sang chế độ SIO_RCVALL (bắt
tất cả các gói tin ra/vào hệ thống).
- Bắt đầu nhận và xử lí gói tin. Lưu ý: Do mục tiêu đề ra ban đầu của
module là bắt và xử lí các gói tin HTTP (TCP) nên cần phải gỡ bỏ các
Header của gói tin nhận được (đây là các gói IP) rồi mới bắt đầu xử lí.
- Tham khảo thêm tài liệu về cấu trúc gói tin TCP/IP và HTTP Protocol
trong quá trình xử lí các gói TCP.
Phan Trung Hiếu - Trang 84 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
7.3.3 Chi tiết các đối tượng, hàm xử lí chính của module :
- socket(AF_INET, SOCK_RAW, IPPROTO_IP)
• Hàm tạo Socket. Lưu ý phải khởi tạo socket dạng SOCK_RAW thì
mới có thể bắt được gói tin tầng IP.
- WSAIoctl(SOCKET s,DWORD dwIoControlCode, , , , , , ,)
• Hàm thiết lập chế độ hoạt động cho socket. Chỉ cần lưu ý đến 2
tham số đầu tiên: SOCKET cần thiết lập và chế độ hoạt động. Ở đây
dwIoControlCode phải bằng SIO_RCVALL thì module mới có thể
bắt được các gói tin ra/vào card mạng
- Một số hàm liên quan khác: recv, WSAStartup, …
7.4 Module chặn địa chỉ IP:
Module chịu trách nhiệm lọc và chặn các gói tin ra/vào card mạng dựa trên địa chỉ
IP. Module được xây dựng dựa trên mô hình Filter-Hook Driver của Windows 2000
DDK.
7.4.1 Giới thiệu về Filter-Hook Driver :
Filter-Hook Driver là khái niệm được Microsoft đưa ra trong tài liệu về
Windows 2000 DDK. Đây là Driver mở rộng các tính năng của IP Filter Driver
(Có sẵn trong hệ diều hành Windows 2000 trở về sau).
Thực chất Filter-Hook Driver không phải là 1 trình điều khiển dành cho
môi trường mạng, nó được xem như 1 trình điều khiển dành cho nhân của hệ
thống (Kernel Mode Driver). Bên trong trình điều khiển này, chúng ta chỉ cần
định nghĩa 1 hàm CALLBACK (1 dạng hàm bắt sự kiện) và đăng kí hàm
CALLBACK này cho trình điều khiển bộ lọc địa chỉ IP của hệ thống (IP Filter
Phan Trung Hiếu - Trang 85 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Driver). Khi đăng kí thành công, bộ lọc địa chỉ sẽ gọi lại hàm CALLBACK khi
1 gói tin được gửi ra hay nhận vào hệ thống để xử lí.
7.4.2 Tóm tắt các bước xây dựng Filter-Hook Driver để bắt gói tin:
- Khởi tạo Filter-Hook Driver. Cung cấp tên và các thông số cơ bản cho
Driver như sau:
LoadDriver("IpFilterDriver","System32\\Drivers\\IpFltDrv.sys", null, true)
- Lấy con trỏ địa chỉ của Ip Filter Driver đã khởi tạo ở bước 1 để khởi tạo
và đăng kí hàm CALLBACK.
- Khởi tạo và đăng kí hàm CALLBACK bằng cách gửi con trỏ hàm
CALLBACK đã định nghĩa sẵn cho IP Filter Driver.
- Bắt đầu lọc gói tin. Gọi hàm StartFilter.
- Khi muốn kết thúc, không lọc gói tin nữa thì ta phải gỡ bỏ thông tin đăng
kí khỏi IP Filter Driver. Lúc này, ta chỉ cần đăng kí lại với Driver với con
trỏ hàm CALLBACK là Null.
7.5 Chi tiết lưu trữ dữ liệu :
7.5.1 Bảng ForbiddenProxy
Tên trường Kiểu Chú thích
ProxyIP Text Địa chỉ IP của proxy bị cấm (do
service lưu lại được trong quá trình
hoạt động)
7.5.2 Bảng TrustedProxy:
Tên
trườn
g
Kiểu Chú thích
Phan Trung Hiếu - Trang 86 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
ProxyIP
Text Địa chỉ IP của các Proxy server tin cậy (thường là
địa chỉ Proxy Server trong mạng LAN)
7.6 Sơ đồ hoạt động của Module chặn địa chỉ IP :
Service
Khởi động
Module chặn IP
1
Module bắt gói tin
Khởi động
2
Card mạng
Gói tin IP
Request đến
Proxy Server?
Phát/Nhận
Đ
Bắt đầu lọc
Thêm IP
vào bộ lọc
4
3 56 7
8
Hình 31 Sơ đồ hoạt động của module chặn địa chỉ IP
7.7 Diễn giải mô hình :
Khi khởi động, service sẽ kích hoạt 2 module con là module bắt gói tin và
module chặn địa chỉ IP tương úng. Module chặn địa chỉ IP khi được khởi động sẽ
truy xuất vào cơ sở dữ liệu và thêm các địa chỉ IP của các Proxy Server bị cấm sẵn vào
bộ lọc IP Filter Driver và bắt đầu lọc địa chỉ. Khi Card mạng nhận/phát các gói tin,
module bắt gói tin sẽ nhận các gói tin này và tiến hành phân tích. Module sẽ kiểm tra
Phan Trung Hiếu - Trang 87 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
xem các gói tin này có phải là gói tin HTTP Request đến Proxy Server hay không. Nếu
phải thì địa chỉ IP của Proxy Server sẽ được truyền tiếp cho Module lọc địa chỉ IP xử
lí. Địa chỉ mới này sẽ được thêm vào bộ lọc địa chỉ và lưu vào cơ sở dữ liệu.
7.8 Nhận xét – đánh giá :
7.8.1 Ưu điểm:
đặt ra ban đầu của Module là tìm cách chặn phương pháp
vượt Fir
ên
a
Trong quá trình chạy thử nghiệm, module có thể hoạt động tốt trên các
loại CAR
ắt gói tin, Module có thể “phát hiện và học” được
các địa c
Do yêu cầu
ewall thông qua HTTP Proxy Server, nên chúng em đã cố gắng phát
triển module dưới dạng 1 ứng dụng Mini Firewall. Trong suốt quá trình nghi
cứu và tìm hiểu, chúng em đã thống nhất chọn mô hình Service ứng dụng trên
Windows làm cơ sở xây dựng và triển khai Module. Ưu điểm của mô hình này
là nó kế thừa được những yêu cầu về tính an toàn và bảo mật do chính hệ điều
hành qui định. Khi khởi động vào môi trường Windows, các Services hệ thống
cũng như của người dùng sẽ lần lượt được nạp và chạy nền trên hệ thống, chỉ
duy nhất người quản trị hay chủ Service mới có quyền tắt/mở/xóa service.
Module đã nhường hẳn chức năng điều khiển Service cho hệ điều hành, nên
Module ứng dụng chỉ tập trung vào hai tính năng chính là bắt gói tin và lọc đị
chỉ IP.
D mạng, MODEM trên Windows. Do các module con của ứng dụng
được viết hoàn toàn dựa trên môi trường Winsock của Windows (bộ thư viện
dùng để phát triển ứng dụng mạng TCP/IP trên môi trường Windows), nên bảo
đảm tính tương thích rất cao.
Do hỗ trợ tính năng b
hỉ Proxy Server mới (chưa có trong cơ sở dữ liệu). Sau đó lưu lại các
địa chỉ này làm cơ sở cho bộ lọc hoạt động
Phan Trung Hiếu - Trang 88 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
7.8.2 Khuyết điểm:
Trong quá trình chạy thử nghiệm, module chặn được gần như hầu hết
các địa chỉ HTTP Proxy Server. Tuy nhiên đối với các Proxy Server mới (chưa
có trong cơ sở dữ liệu), bộ lọc phải “học” được địa chỉ mới này thì mới ngăn
chặn được. Do đó trong phiên làm việc đầu tiên, bộ lọc vẫn chưa chặn được các
địa chỉ mới này. Đối với những phiên làm việc sau thì bộ lọc đảm bảo chạy tốt.
Trong quá trình thử nghiệm, việc bộ lọc học được quá nhiều địa chỉ
mới và lưu vào cơ sở dữ liệu tốn khá nhiều tài nguyên hệ thống (CPU,RAM)
nên Service chạy chậm hẳn (đôi lúc Serive có thể bị treo). Đáng tiếc là đến lúc
này chúng em vẫn chưa khắc phục được vấn đề này
Quá trình hoạt động của Service phụ thuộc khá nhiều vào “sự tồn tại”
của tập tin cơ sở dữ liệu lưu trữ các Proxy Server. Nên khi tập tin trên không tồn
tại hay bị lỗi, tính năng lọc của Service chắc chắn không thể hoạt động chính
xác được.
Phan Trung Hiếu - Trang 89 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
PHẦN THỨ 4
TỔNG KẾT
Chương 8: KẾT LUẬN
Sau hơn sáu tháng làm luận văn, ít nhiều chúng em cũng đã tìm hiểu tương đối
thành công các phương pháp lập trình vượt firewall cũng như những chương trình kèm
theo: Http proxy, Web based Proxy, Plug-in chống vượt firewall, service chống vượt
firewall. Qua những gì tìm hiểu được, chúng em cảm thấy vẫn còn nhiều điều phải làm
để có thể hoàn thiện hơn chương trình cũng như cần có sự hướng dẫn nhiều hơn nữa
của các thầy cô, bạn bè…
Kết quả cuối cùng là kết quả của những tháng ngày cố gắng, nỗ lực của bản thân,
sự giúp đỡ của gia đình, nhà trường, bạn bè và đặc biệt là sự hướng dẫn tận tình của
thầy Đỗ Hoàng Cường để chúng em có thể hoàn tất một cách tốt đẹp luận văn so với
những gì đã đặt ra.
Cuối cùng, một lần nữa, chúng em xin cảm ơn tất cả đã giúp đỡ để chúng em có
thể hoàn thành tốt khóa luận này. Xin chân thành cảm ơn.
8.1 Những kết quả đạt được:
Theo yêu cầu đặt ra ban đầu là “Nghiên cứu các phương pháp lập trình vượt
firewall. Từ đó làm cơ sở xây dựng các module chống vượt Firewall và bảo mật
Web”, cho đến thời điểm hiện tại luận văn đã đạt được các nội dung sau:
- Phần yêu cầu:
• Tìm hiểu và triển khai thành công 2 phương pháp: HTTP Proxy Server
và Web-based Proxy.
- Phần mở rộng:
• Tìm hiểu và triển khai thành công 2 module chống vượt Firewall: Plugin
chống vượt Firewall dành cho trình duyệt Internet Explorer và
Service chống vượt Firewall trên hệ điều hành Windows.
Ngoài ra, trong quá trình nghiên cứu và hoàn thành đề tài, chúng em đã tiếp thu
thêm được một số kết quả sau:
Phan Trung Hiếu - Trang 90 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
• Tìm hiểu sâu thêm về các phương pháp lập trình ứng dụng mạng dựa trên
bộ thư viện Winsock của Windows.
• Tìm hiểu được phương pháp xây dựng và triển khai Service ứng dụng
trên Windows
• Tìm hiểu cách xây dựng và triển khai ứng dụng Plugin cho trình duyệt
Internet Explorer.
• Được hiểu được cách xây dựng và phát triển ứng dụng dựa trên môi
trường COM (Component Object Model).
• Ngày nay, Internet ngày càng phát triển mạnh mẽ, là nguồn tài nguyên
bao la vô tận, nên nhu cầu sử dụng Internet để tìm kiếm thông tin cũng
như giao dịch, thương mại là điều tất yếu. Yêu cầu an toàn và bảo mật
thông tin (tùy theo mục đích của cá nhân hay doanh nghiệp) đã làm nảy
sinh thêm vấn đề khá đau đầu cho các nhà quản trị mạng là: Kiểm soát và
quản lý quá trình sử dụng Internet của người dùng. Với việc nghiên cứu
và đưa ra được các giải pháp khả thi về yêu cầu mở rộng của đề tài: Xây
dựng các module chống vượt Firewall, chúng em thiết nghĩ có thể đóng
góp 1 phần vào việc giải quyết vấn đề nan giải trên.
8.2 Hướng phát triển :
Trong quá trình nghiên cứu và tìm hiểu về đề tài, chúng em đã thống nhất và đề
xuất ra được 3 phương pháp chủ yếu để vượt Firewall: HTTP Proxy Server, Web
Based Proxy và HTTP Tunneling. Tất cả 3 phương pháp trên đều được phát triển dựa
trên mô hình ứng dụng mạng Client-Server truyền thống. Trong 3 phương pháp nêu
trên thì phương pháp thứ 3: HTTP Tunneling là phương pháp cao cấp và khó phát
hiện nhất. Quá trình nghiên cứu và triển khai phương pháp này cũng tốn khá nhiều
thời gian và công sức. Mặc dù chúng em đã rất cố gắng triển khai, ý tưởng trên vẫn
chưa mang tính khả thi cao và có thể áp dụng được vào thực tế. Sau đây chúng em xin
Phan Trung Hiếu - Trang 91 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
đề ra 1 số hướng phát triển về sau nhằm mở rộng thêm ý nghĩa khoa học cũng như thực
tiễn của đề tài:
• Cải thiện vấn đề tốc độ truy xuất bộ lọc cho module thứ 2: Service chống
vượt Firewall.
• Nghiên cứu tiếp phương pháp http tunneling
• Triển khai ứng dụng minh họa cho phương pháp http tunneling
• Hoàn thiện hơn nữa Plug-in và Service để đạt hiệu quả tối ưu
• Triển khai thành công module chống vượt Firewall bằng phương pháp
HTTP Tunneling
• Triển khai đề tài thành sản phẩm hoàn chỉnh để áp dụng vào thực tiễn.
Phan Trung Hiếu - Trang 92 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
PHẦN THỨ 5
PHỤ LỤC
DANH SÁCH CÁC TÀI LIỆU THAM KHÀO
- Website:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
- Danh sách các tài liệu, sách, giáo trình tham khảo
• Tài liệu điện tử MSDN của Microsoft.
• Anthony Jones và Jim Ohlund, Network Programming for Microsoft
Windows, 1999 (ebooks)
• O'Reilly, Learning PHP 5,June-2004
• Addision Wesley, The C++ Programming Language,June-97
Phan Trung Hiếu - Trang 93 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
• Wrox Press,Beginning PHP 4,2001
• Sams Publishing ,Teach Yourself PHP, MySQL and Apache in 24h,12-2002
• Addision Wesley,C/C++ Network Programming I & II,10-2001
Phan Trung Hiếu - Trang 94 - Trần Lê Quân
Mssv: 0112463 Mssv:0112319
Các file đính kèm theo tài liệu này:
- CNTT1028.pdf