Đang tải... (xem toàn văn)
Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải lắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.
Mục Lục 1. DOS………………………………………………………………………………………… 2 a. Định nghĩa về tấn công DoS…………………………………………………………… 2 b. Các mục đích của tấn công DoS………………………………………………………… 2 c. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS………………………………….2 d. Các dạng tấn công…………………………………………………………………………3 2. Tấn công DOS dạng SYN Flood……………………………………………………….…… 3 a.Tấn công kiểu SYN Flood………………………………………………………………….3 b. Khắc phục……………………………………………………………………………… .5 3. Tấn công DOS dạng smurf…………………………………………………………………… 5 a. Tấn công Smurf……………………………………………………………………………6 b. Cách phòng chống…………………………………………………………………………6 4. SSH…………………………………………………………………………………….……….7 a. Khái niệm SSH…………………………………………………………………………… 7 b. Cách thức làm việc của SSH…………………………………………………….…………7 b. 1 .Định danh host…………………………………………………………………….…7 b. 2.Mã hoá……………………………………………………………………….……….8 b. 3.Chứng thực………………………………………………………………………… .8 5. Nguyên lý làm việc của cơ chế chuyển đổi Tunneling…………………………………….….10 a. Đặc điểm chung………………………………………………………………………… 10 b. Lựa chọn giá trị MTU và phân đoạn…………………………………………………… 12 c. Giới hạn các Node trên đường đi (Hop Limit)……………………………………………15 d. Nắm bắt lỗi có nguồn gốc từ IPv4 ICMP…………………………………… …… .15 e. Cơ chế mở gói khi thực hiện Tunneling IPv6-over-IPv4…………………………….… 15 f. IPv6 Manual Configured Tunnel…………………………………………………………16 g. IPv6 Automatic Configured Tunnel…… ………………….……………………….16 Đào Thị Lan Tú 1 1.DOS a. Định nghĩa về tấn công DoS Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải lắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS. - Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. - Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS). Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công DoS: b. Các mục đích của tấn công DoS - Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. - Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. - Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó - Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. - Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: + Disable Network - Tắt mạng + Disable Organization - Tổ chức không hoạt động + Financial Loss – Tài chính bị mất c. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS Đào Thị Lan Tú 2 Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì: - Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên - Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS. - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không. - Phá hoại hoặc thay đổi các thông tin cấu hình. - Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà… d. Các dạng tấn công Tấn công Denial of Service chia ra làm hai loại tấn công - Tấn công DoS: Tấn công từ một cá thể, hay tập hợp các cá thể. - Tấn công DDoS: Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó. Các dạng tấn công DoS - Smurf - Buffer Overflow Attack - Ping of Death - Teardrop - SYN Attack 2. Tấn công DOS dạng SYN Flood a.Tấn công kiểu SYN Flood: SYN flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện tại, dù tác hại của nó không giảm. Điểm căn bản để phòng ngừa việc tấn công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng. Kiểu tấn công SYN: Đào Thị Lan Tú 3 - Attacker gởi packet SYN để tạo kết nối - Máy bên trong mạng (Victim) gởi SYN-ACK và tạo buffer để chờ Attacker gởi dữ liệu - Attacker không trả lời nữa, mà mở 1 kết nối SYN Cứ như vậy Attacker sẽ mở rất nhiều kết nối với chỉ 1 packet SYN, làm cho Victim hết bộ nhớ và treo. Chi tiết hơn để hiểu về cách tấn công này, bạn phải hiểu tiến trình tạo một kết nối TCP/IP giữa hai hệ thống và cách mà các tin tặc lợi dụng để tạo nên một cuộc tấn công SYN flooding. Khi một hệ thống - gọi là hệ thống A - muốn tạo một kết nối tới hệ thống thứ hai - gọi là hệ thống B, hệ thống A sẽ gửi một gói tin SYN (cờ SYN trong phần header của gói tin TCP được bật) tới hệ thống B, hệ thống B nếu chấp nhận kết nối này thì nó sẽ gửi trả một gói SYN-ACK báo cho hệ thống A là nó chấp nhận kết nối, đến lúc này quá trình bắt tay đã hoàn tất một nửa (half open). Hệ thống A sau khi nhận được SYN-ACK thì trả lời bằng một gói ACK và kết nối đã được thiết lập. Tin tặc tấn công hệ thống B bằng cách gửi rất nhiều các gói SYN từ một địa chỉ IP thật hoặc địa chỉ IP giả yêu cầu thiết lập kết nối với hệ thống B nhưng không gửi gói ACK để hoàn tất kết nối, hệ thống B nếu không nhận được ACK của gói SYN-ACK thì sau một khoảng thời gian nhất định nó sẽ gửi lại gói SYN-ACK, tổng cộng có 5 lần gửi, khoảng thời gian chờ gói ACK từ hệ thống A trước khi gửi lại SYN-ACK được hệ thống B tăng lên, hành động này giúp cho các hệ thống có thể truyền tin qua một mạng chậm. Sau 5 lần gửi SYN-ACK, hệ thống B sẽ huỷ bỏ kết nối dang dở đó. Khoảng thời gian cần thiết để huỷ bỏ một kết nối như thế mất khoảng 3-4 phút, sau khi kết nối được huỷ bỏ, TCP chờ giải phóng cổng sẵn sàng cho kết nối mới mất thêm 3-5 phút nữa, tổng cộng hệ thống B mất 8 hoặc 9 phút cho một kết nối dang dở như thế. Do vậy nếu tin tặc gửi hàng loạt gói tin SYN mà không có gói tin ACK để hoàn thành kết nối, hệ thống B sẽ dễ dàng bị quá tải và không thể tiếp nhận được các kết nối TCP khác. Windows 2000 kiểm soát nguy cơ bị tấn công SYN flooding bằng cách kiểm tra ba bộ đếm số cổng của TCP/IP, bao gồm số cổng đang kết nối dở dang (half open ports), số cổng đã hết thời gian chờ, số cổng đang thử gửi SYN-ACK. Khi ba giá trị này đến một ngưỡng nhất định, Win2k cho rằng nó bị tấn công DoS theo kiểu SYN flooding, và nó giảm thời gian chờ và số lần cố gắng gửi gói SYN-ACK nhằm mục đích giảm tải cho hệ thống. Cách xử sự của Win2k đối với tấn công SYN flooding tuỳ thuộc vào một giá trị có tên là SynAttackProtect: REG_DWORD, nằm trong khoá Tcpip\Parameters. Các giá trị mà SynAttackProtect nhận được là 0, 1, 2. Giá trị 0 (mặc định) chỉ định rằng TCP sẽ hoạt động bình thường. Giá trị 1 tăng mức độ bảo vệ cao hơn (giảm số lần cố Đào Thị Lan Tú 4 gắng gửi lại gói SYN-ACK). Giá trị 2 là mức độ bảo vệ cao nhất, kết nối TCP sẽ kết thúc rất nhanh vì thời gian chờ cũng sẽ bị giảm đi. Lưu ý rằng với giá trị là 2 thì tuỳ chọn scalable windows và các tham số của TCP trên mỗi adapter (Initial RTT, window size) sẽ bị bỏ qua. Chống lại sự chuyển hướng tới các gateway chết (Dead Gateway Redirect). Khi thiết lập cấu hình cho card giao tiếp mạng (network adapter) bằng tay, bạn phải nhập địa chỉ TCP/IP, mặt nạ subnet, và gateway mặc định. TCP/IP sẽ gửi tất cả các gói có đích đến không cùng mạng con tới gateway này. Gateway có trách nhiệm dẫn đường các gói tin tới địa chỉ đích. Khi TCP/IP gửi gói tin đến gateway, gateway sẽ trả lời rằng nó đã tiếp nhận gói tin này. Nếu như gateway không hoạt động, nó sẽ không trả lời. Nếu TCP/IP không nhận được thông báo đã nhận từ 25% gói tin nó đã gửi, nó sẽ cho rằng gateway đã chết. Để tránh trường hợp này, thường người ta thiết lập nhiều gateway, khi TCP/IP xác định rằng một gateway đã chết, nó sẽ chuyển sang sử dụng gateway tiếp theo trong danh sách. Cách cư xử của Win2k với gateway chết được quy định bởi một tham số là EnableDeadGWDetect:REG_DWORD nằm trong khoá Tcpip\Parameters với các giá trị là 0 (cấm) và 1 (cho phép). Microsoft khuyến cáo nên cấm Win2k nhận biết gateway chết, vì nó sẽ ngăn không cho TCP/IP gửi một gói tin đến một gateway không mong muốn khác mà tin tặc có thể lợi dụng để chặn các gói tin gửi ra ngoài mạng từ máy của bạn. b. khắc phục: Ta có thể sử dụng chức năng TCP Intercept để tránh tình trạng này. TCP Intercept có 2 mode: - Intercept mode: nếu Attacker gởi packet SYN thì router rìa sẽ giữ packet này lại trả lời hộ. Nếu Attacker trả lời thì đây không phải là attacker, lúc này router gởi packet SYN cho máy bên trong vẫn chưa muộn, và dĩ nhiên cần giữ lại packet đầu tiên mà bên trong trả lời. Còn ngược lại, Attacker không nói không rằng thì rõ ràng không nên tiếp tục kết nối với nó nữa, ghi nhớ IP này để deny nó. - Monitor mode: nếu Attacker gởi packet SYN thì router rìa vẫn chuyển cho Victim, nhưng theo dõi kết nối này. Nếu nhận thấy Attacker không trả lời mà lại có nhiều kết nối khác được mở giống như vậy nữa thì router biết rằng máy bên trong đang bị tấn công DoS SYN Attack, nó sẽ ngừng ngay các packet tiếp theo. 3.Tấn công DOS dạng smurf a. Tấn công Smurf Đào Thị Lan Tú 5 - Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công. * Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf. Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công),mạng khuếch đại (sẽ lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại.Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính làđịa chỉ ip của nạn nhân. Khi các packets đó đến được địa chỉ broadcast củamạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máytính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởitrả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Kết quả là hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổnglồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot,không có khả năng đáp ứng các dịch vụ khác. Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng đượckết nối với nhau (mạng BOT). Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệthống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lêngấp bội. Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếchđại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạnghoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcastkhông qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin. Có được các hệthống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cầntấn công. b.cách phòng chống Từng cá nhân, công ty, tổ chức phải biết config máy tính hệ thống của mình đểkhông bị biến thành mạng khuếch đại. Khi bị tấn công các công ty,cá nhân cần phải phối hợp với ISP nhằm giới hạn lưu lựong ICMP, tăng cường biện phápđối phó Theo rõi cuộc tấn công như kiểu này là rất khó nhưng không phải làkhông được Để không bị biến thành mang khuếch đại bạn nên vô hiệu Đào Thị Lan Tú 6 hóachức năng directed broadcast tại bộ định tuyến:Đối với bộ định tuyến củaCisco: vô hiệu hóa bằng lênh no ip directed-broadcast+ Đối với thiết bị khác bạn nên tham khảo tài liệu+Solaris: bổ sung thêm dòng sauvào:/etc/rc2.d/S69inetndd -set /dev/ipip_respond_to_echo_broadcast 0+Linux :Áp dụng bức tường lửa ở cấp độ nhận thông qua ipfw .Nhớ biên dịch bức tường lửa sangnhân rồi thi hành các lênh sau: ipfwadm -I -a deny -P icmp -D10.10.10.0 -S 0/0 0 8 ipfwadm -I -a deny -P icmp –D 10.10.10.255- S 0/0 0 8 4. SSH SSH (Secure Shell là một giao thức mạng dùng để thiết lập kết nối mạng một cách bảo mật. SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP. Các công cụ SSH (như là Open SSH .) cung cấp cho người dùng cách thức để thiết lập kết nối mạng được mã hoá để tạo một kênh kết nối riêng tư. Hơn nữa tính năng tunneling của các công cụ này cho phép chuyển tải các giao vận theo các giao thức khác. Do vậy có thể thấy khi xây dựng một hệ thống mạng dựa trên SSH, chúng ta sẽ có một hệ thống mạng riêng ảo VPN đơn giản. a. Khái niệm SSH SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền. Các chương trình trước đây: telnet, rlogin không sử dụng phương pháp mã hoá. Vì thế bất cứ ai cũng có thể nghe trộm thậm chí đọc được toàn bộ nội dung của phiên làm việc bằng cách sử dụng một số công cụ đơn giản. Sử dụng SSH là biện pháp hữu hiệu bảo mật dữ liệu trên đường truyền từ hệ thống này đến hệ thống khác. b. Cách thức làm việc của SSH SSH làm việc thông qua 3 bước đơn giản: * Định danh host - xác định định danh của hệ thống tham gia phiên làm việc SSH. * Mã hoá - thiết lập kênh làm việc mã hoá. * Chứng thực - xác thực người sử dụng có quyền đăng nhập hệ thống. b. 1 .Định danh host Việc định danh host được thực hiện qua việc trao đổi khoá. Mỗi máy tính có hỗ trợ kiểu truyền thông SSH có một khoá định danh duy nhất. Khoá này gồm hai thành phần: khoá riêng và khoá Đào Thị Lan Tú 7 công cộng. Khoá công cộng được sử dụng khi cần trao đổi giữa các máy chủ với nhau trong phiên làm việc SSH, dữ liệu sẽ được mã hoá bằng khoá công khai và chỉ có thể giải mã bằng khoá riêng. Khi có sự thay đổi về cấu hình trên máy chủ: thay đổi chương trình SSH, thay đổi cơ bản trong hệ điều hành, khoá định danh cũng sẽ thay đổi. Khi đó mọi người sử dụng SSH để đăng nhập vào máy chủ này đều được cảnh báo về sự thay đổi này. Khi hai hệ thống bắt đầu một phiên làm việc SSH, máy chủ sẽ gửi khoá công cộng của nó cho máy khách. Máy khách sinh ra một khoá phiên ngẫu nhiên và mã hoá khoá này bằng khoá công cộng của máy chủ, sau đó gửi lại cho máy chủ. Máy chủ sẽ giải mã khoá phiên này bằng khoá riêng của mình và nhận được khoá phiên. Khoá phiên này sẽ là khoá sử dụng để trao đổi dữ liệu giữa hai máy. Quá trình này được xem như các bước nhận diện máy chủ và máy khách. b. 2.Mã hoá Sau khi hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi khoá, định danh), quá trình trao đổi dữ liệu diễn ra thông qua một bước trung gian đó là mã hoá/giải mã. Điều đó có nghĩa là dữ liệu gửi/nhận trên đường truyền đều được mã hoá và giải mã theo cơ chế đã thoả thuận trước giữa máy chủ và máy khách. Việc lựa chọn cơ chế mã hoá thường do máy khách quyết định. Các cơ chế mã hoá thường được chọn bao gồm: 3DES, IDEA, và Blowfish. Khi cơ chế mã hoá được lựa chọn, máy chủ và máy khách trao đổi khoá mã hoá cho nhau. Việc trao đổi này cũng được bảo mật dựa trên đinh danh bí mật của các máy. Kẻ tấn công khó có thể nghe trộm thông tin trao đổi trên đường truyền vì không biết được khoá mã hoá. Các thuật toán mã hoá khác nhau và các ưu, nhược điểm của từng loại: * 3DES (cũng được biết như triple-DES) -- phương pháp mã hoá mặc định cho SSH. * IDEA -- Nhanh hơn 3DES, nhưng chậm hơn Arcfour và Blowfish. * Arcfour -- Nhanh, nhưng các vấn đề bảo mật đã được phát hiện. * Blowfish -- Nhanh và bảo mật, nhưng các phương pháp mã hoá đang được cải tiến. b. 3.Chứng thực Việc chứng thực là bước cuối cùng trong ba bước, và là bước đa dạng nhất. Tại thời điểm này, kênh trao đổi bản thân nó đã được bảo mật. Mỗi định danh và truy nhập của người sử dụng có thể được cung cấp theo rất nhiều cách khác nhau. Chẳng hạn, kiểu chứng thực rhosts có thể được sử dụng, nhưng không phải là mặc định; nó đơn giản chỉ kiểm tra định danh của máy khách được liệt kê trong file rhost (theo DNS và địa chỉ IP). Việc chứng thực mật khẩu là một cách rất thông dụng Đào Thị Lan Tú 8 để định danh người sử dụng, nhưng ngoài ra cũng có các cách khác: chứng thực RSA, sử dụng ssh-keygen và ssh-agent để chứng thực các cặp khoá. Đào Thị Lan Tú 9 5.Nguyên lý làm việc của cơ chế chuyển đổi Tunneling a Đặc điểm chung Cơ sở hạ tầng mạng Internet hoạt động trên nền IPv4, hoạt động khá ổn định và quy mô hết sức rộng lớn. Tận dụng khả năng này, các nhà thiết kế IPv6 đã đưa ra giải pháp thực hiện cơ chế Tunneling như sau: Automatic Tunneling và Configured Tunneling. Sau đây là một số đặc điểm của các loại Tunneling và một số khái niệm liên quan đến các kỹ thuật Tunneling: - IPv4-only Node : Là một Host hay Router hoạt động trên nền IPv4, những Host hoặc Router này không hiểu IPv6, các Host này chiếm phần lớn các thiết bị trên mạng Internet hiện nay. Các Node này còn được gọi là Node thuần IPv4. - IPv6/IPv4 Node : Là các Node có khả năng thực hiện trên nền IPv4 hoặc IPv6. Đây chính là các Dual-stack Node. - IPv6-only Node: là những Node chỉ có khả năng hoạt động trên nền IPv6, không có khả năng hoạt động trên nền IPv4. Các Node này được gọi là Node thuần IPv6. - IPv6 Node: Bao gồm những Node sau: Node thuần IPv6, Dual-stack Node IPv6/IPv4. - IPv4 Node: Bao gồm những Node sau: Node thuần IPv4, Dual-stack Node IPv6/IPv4. - IPv4-compatible IPv6 address: Là một địa chỉ IPv6, được gán cho các Node đôi IPv6/IPv4 (định dạng địa chỉ này đã mô tả ở phần trên). Dạng địa chỉ này được sử dụng trong cơ chế Tunnel IPv6 trên nền IPv4 sẽ được mô tả dưới đây. - IPv6-only address: Là những địa chỉ IPv6 còn lại. - IPv6-over-IPv4 Tunneling: Kỹ thuật này thực hiện việc đóng gói các Datagram theo cấu trúc IPv6 vào phần dữ liệu của Datagram IPv4 để có thể mang gói tin IPv6 qua mạng IPv4. Ta gọi cơ chế này là Tunnel IPv6 trên nền IPv4. Có hai phương thức Tunnel như đã nói đến ở trên: Automatic Tunneling và Configured Tunneling được định nghĩa như sau: - Automatic Tunneling: Theo phương thức này, địa chỉ cuối cùng trong Tunnel là địa chỉ IPv4- compatible IPv4. Đào Thị Lan Tú 10 [...]... đường đơn (singlehop) Do đó, Hop Limit của IPv6 sẽ giảm đi 1 khi gói tin IPv6 di chuyển qua đường hầm Mô hình single-hop ẩn đi sự tồn tại của đường hầm đối với người dùng và không bị phát hiện bởi các công cụ chẩn đoán mạng, ví dụ như traceroute Nói cách khác, đường hầm là trong suốt (transparent) đối với Network Layer Mô hình single-hop được thực hiện bằng cách các Node đóng gói và mở gói xử lý trường