3. Nội dung thuyết minh và tính toán
5.3. TCP-SYN Flood
SYN Flood là một dạng tấn công từ chối dịch vụ dựa vào đ ặc tính hướng kết nối của giao thức TCP. Thông thường trước khi giao tiếp với máy chủ, giao thức TCP sẽ yêu cầu thiết lập một kênh đáng tin cậy thông qua giao thức bắt tay ba bước.
alert tcp $HOME_NET any -> $EXTERNAL_NET [25,587] msg:"MALWARE-CNC Win.Trojan.Ibabyfa.dldr runtime
detection"; flow:to_server,established; content:"- f i r s t - l o g f i l e"; content:"Username-"; within:32;
distance:55; content:"Computer Name-"; distance:0; content:"Files Copied to"; distance:0;
reference:url,www.virustotal.com/latest-
report.html?resource=bf25f7588c58cd4b7cc5ac04ebfd00c5; classtype:trojan-activity; sid:23938; rev:3;
66
Hình 5.1: Giao thức bắt tay ba bước. B1: Client sẽ gửi một gói tin với cờ SYN tới server.
B2: Nếu server nhận được gói tin với cờ SYN thì server sẽ trả về một gói tin với cờ SYN-ACK để xác nhận.
B3: Client gửi một gói tin với cờ ACK tới server để xác nhận đã nhận gói tin SYN-ACK và quá trình truyền dữ liệu được bắt đầu.
Đối với SYN Flood attacker sẽ gửi hàng loạt các gói tin với cờ SYN được thiết lập. Attacker sẽ không trả lời gói tin SYN-ACK bằng gói tin ACK để hoàn thành quá trình bắt tay ba bước mà thay vào đó tiếp tục gửi các gói tin với cờ SYN. Server lúc nãy sẽ ở trạng thái “chờ” và do số lượng gói tin gửi tới quá lớn dẫn đến hao tốn tài nguyên và bộ nhớ cho các kết nối này. Và dẫn tới server bị lỗi tràn bộ đệm hoặc bị treo, khởi động lại hoặc không thể cung cấp dịch vụ cho người dùng thông thường.
67
Luật dưới đây được cung cấp bởi Bleeding Edge Threat nhằm phát hiện loại tấn công SYN Flood trên dịch vụ NETBIOS (139) trên hệ điều hành Windows.
alert tcp $EXTERNAL_NET any -> $HOME_NET 139: Một cảng báo sẽ được tạo ra đối với một kết nối từ mạng phía bên ngoài ở port bất kỳ tới mạng nội bộ ở port 139 (NETBIOS) của giao thức TCP.
msg:"EXTERNAL NETBIOS TCP-SYN"; Xuất hiện thông báo về loại tấn công TCP-SYN ở dịch vụ NETBIOS.
flags: S;Chỉ áp dụng với các gói tin được thiết lập cờ SYN.
threshold: type threshold, track by_dst, count 1000, seconds 180; Thiết lập một ngưỡng cảnh báo, và theo dõi ở phía đích (mạng HOME_NET). Các tùy chọn này có ý nghĩa là nếu trong khoảng thời gian 180s nếu có 1000 gói tin được thiết lập cờ SYN gửi tới thì luật này sẽ được ứng động.