client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client.. Điểm mấ[r]
(1)TÌM HIỂU TẤN CƠNG TỪ CHỐI DỊCH VỤ DoS, DDoS, DRDoS 1 Giới thiệu chung
- 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli
- Tháng – 1999 Trang chủ FBI ngừng họat động công (DDOS)
- Tháng – 1999 Mạng Trinoo cài đặt kiểm tra 2000 hệ thống - Cuối tháng đầu tháng năm 1999, Tribal Flood Network đầu tiiên đời,
Chương trình Mixter Phát triển
- Cuối tháng năm 1999, Công cụ Stacheldraht bắt đầu xuất hệ thống Châu âu Hoa kỳ
- Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington làm phân tích cơng cụ cơng từ chối dịch vụ
- Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K )
- 10 : 30 / – -2000 Yahoo bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với nhửng yêu cầu chuyễn vận lên đến gigabit /s
- -2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ
- Lúc tối ngày 9-2/2000 Website Excite.com đích vụ cơng từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng
Ngày 23/10/2003, hàng chục server chủ chốt trì hoạt động internet bị gián đoạn hoạt động công “từ chối dịch vụ - DDoS” hàng loạt Hai năm trước đó, hàng loạt website thương mại điện tử lớn eBays, Amazone, Yahoo,… bị nhiều thiệt hại nghiêm trọng làm gián đoạn nhiều hoạt động internet thời gian công “từ chối dịch vụ” Vậy công từ chối dịch vụ gì?
Về bản, cơng từ chối dịch vụ tên gọi chung cách cơng làm cho hệ thống bị q tải cung cấp dịch vụ, phải ngưng hoạt động Tấn công kiểu làm gián đoạn hoạt động hệ thống có khả thâm nhập hay chiếm thông tin liệu
Tùy theo phương thức thực mà biết nhiều tên gọi khác Khởi thủy lợi dụng yếu giao thức TCP (Transmision Control Protocol) để thực công từ chối dịch vụ cổ điển DoS (Denial of Service), sau cơng từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) công từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service) Theo thời gian, xuất nhiều biến thể công DoS như: Broadcast Storms, SYN, Finger, Ping, Flooding,… với mục tiêu nhằm chiếm dụng tài nguyên hệ thống (máy chủ) như: Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,…
Tấn công từ chối dịch vụ DoS, DDoS, DRDoS (Version 1.0, 2003) Ng Ng Thanh Nghị
(2)làm hoạt động hệ thống bị tải dẫn đến đáp ứng yêu cầu (request) hợp lệ
Như nói, cơng DoS nói chung không nguy hiểm kiểu công khác chỗ khơng cho phép kẻ cơng chiếm quyền truy cập hệ thống hay có quyền thay đổi hệ thống Tuy nhiên, máy chủ tồn mà cung cấp thông tin, dịch vụ cho người sử dụng, tồn khơng có ý nghĩa nên thiệt hại công DoS máy chủ bị đình trệ hoạt động vơ lớn, đặc biệt hệ thống phụ vụ giao dịch điện tử Đối với hệ thống máy chủ bảo mật tốt, khó để thâm nhập vào cơng từ chối dịch vụ hacker sử dụng “cú chót” để triệt hạ hệ thống Các loại cơng từ chối dịch vụ tiêu biểu:
2 Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service)
Là phương thức xuất đầu tiên, giản đơn kiểu công từ chối dịch vụ Các kiểu công thuộc phương thức đa dạng:
2.1 SYN Attack
Được xem kiểu công DoS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, client (máy khách) muốn thực kết nối (connection) với server (máy chủ) thực việc bắt tay ba lần (three – ways handshake) thông qua gói tin (packet)
- Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối
- Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thơng báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngoài ra, thông tin khác client địa IP cổng (port) ghi nhận
- Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối
Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà khơng nhận lại hồi âm
Tấn công từ chối dịch vụ DoS, DDoS, DRDoS (Version 1.0, 2003) Ng Ng Thanh Nghị
(3)client để thực kết nối bảo lưu nguồn tài ngun chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client Điểm mấu chốt làm cho client không hồi đáp cho Server Và có hàng nhiều, nhiều client server “ngây thơ” lặp lại việc gửi packet giành tài nguyên để chờ “người về” lúc tài nguyên hệ thống có giới hạn! Các hacker cơng tìm cách để đạt đến giới hạn
Nếu q trình kéo dài, server nhanh chóng trở nên q tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối khơng thể đáp ứng Có thể hình dung trình giống máy tính cá nhân (PC) hay bị “treo” mở lúc nhiều chương trình lúc
Thường, để giả địa IP gói tin, hacker dùng Raw Sockets (khơng phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận tồn thơng tin gửi gói SYN/ACK ngược lại cho Client Vì địa IP client giả mạo nên khơng có client nhận SYN/ACK packet để hồi đáp cho máy chủ Sau thời gian không nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối (connections) tiếp tục mở
Nếu kẻ công tiếp tục gửi nhiều gói tin SYN đến server cuối server tiếp nhận thêm kết nối nữa, dù yêu cầu kết nối hợp lệ Việc phục đồng nghĩa với việc máy chủ không tồn Việc đồng nghĩa với xảy nhiều tổn thất ngưng trệ hoạt động, đặc biệt giao dịch thương mại điện tử trực tuyến
Đây kiểu cơng đường truyền cao, cần máy tính nối internet qua ngã dial-up đơn giản cơng kiểu (tất nhiên lâu chút)
2.2 Flood Attack
Tấn công từ chối dịch vụ DoS, DDoS, DRDoS (Version 1.0, 2003) Ng Ng Thanh Nghị