Tấn công làm cạn kiệt băng thông được thiết kế nhằm làm tràn ngập mạng mục tiêu với những lưu lượng không cần thiết, với mục đích ngăn chặn các lưu lượng hợp lệ đến được với hệ thống cung cấp dịch vụ của mục tiêu. Tấn công làm cạn kiệt băng thông hệ thống có thể chia thành hai loại: Tấn công làm lụt hệ thống (Flood attack) và tấn công khuếch đại (Amplification attack).
Tấn công lụt (Flood attack): Điều khiển các tác nhân gởi một lượng lớn lưu lượng đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông. Trong phương pháp này, các tác nhân sẽ gửi một lượng lớn lưu lượng ip làm hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa. Làm cho những người dùng thực sự của hệ thống không sử dụng được dịch vụ.Flood Attack có thể thành hai loại UDP flood attack và ICMP flood attack:
- Tấn công lụt các gói tin UDP (UDP Flood Attack): do tính chất không cần thiết lập các kết nối trước (connectionless có gói tin là đẩy ngay vào đường truyền) của UDP, hệ thống nhận thông điệp UDP chỉ đơn giản nhận vào tất cả các gói tin mình cần phải xử lý. Một lượng lớn các gói tin UDP được gởi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn.
Tấn công DDoS
Random Port Attack
Malformed Paclket attack
IP Packet Options Spoof Source ip address Spoof source Attack
Tấn công làm cạn kiệt băng thông Tấn công làm cạn kiệt tài nguyên
Flood Attack Amplification Attack
UDP Smuft
attack
Protocol Exploit Attack
Static Port Attack ICMP Spoof Source Attack Flaggle Attack Direct Attack Loop Attack TCP SYN Attack Spoof source Attack PUSH +ACK SYN IP address Attack Spoof source Attack Spoof source Attack Spoof source Attack
55
Các gói tin UDP này có thể được gửi đến nhiều cổng tùy ý hay chỉ duy nhất một cổng. Thông thường là sẽ gửi đến nhiều cổng làm cho hệ thống mục tiêu phải căng ra để xử lý phân hướng cho các gói tin này. Nếu cổng bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một gói tin ICMP loại “destination port unreachable” (không thể tới cổng đích). Thông thường các phần mềm độc hại (Agent software) sẽ dùng địa chỉ IP giả để che giấu hành tung, cho nên các thông điệp trả về do không có cổng xử lý sẽ dẫn đến một đại chỉ IP khác. Tấn công UDP Flood cũng có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của các gói tin diễn ra rất mạnh.
- Tấn công lụt các gói tin ICMP (ICMP Flood Attack): Được thiết kế nhằm mục đích quản lý mạng cũng như định vị thiết bị mạng. Khi các tác nhân gởi một lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải trả lời một lượng tương ứng gói tin để trả lời, sẽ dẫn đến nghẽn đường truyền. Tương tự trường hợp trên, địa chỉ IP của cá tác nhân có thể bị giả mạo.
Tấn công khuếch đại giao tiếp (Amplification Attack): Nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ ip broadcast của các bộ định tuyến nhằm khuyếch đại và hồi chuyển cuộc tấn công. Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn mạng con bên nhận thay vì nhiều địa chỉ. Bộ định tuyến sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong mạng con đó gói tin broadcast mà nó nhận được. Kẻ tấn công có thể gửi thông điệp broadcast trực tiếp hay thông qua một số tác nhân nhằm làm gia tăng cường độ của cuộc tấn công. Nếu kẻ tấn công trực tiếp gửi thông điệp, thì có thể lợi dụng các hệ thống bên trong mạng broadcast như một tác nhân (xem hình 3.5).
Hình 3.5: Tấn công khuếch đại giao tiếp
Có thể chia tấn công khuếch đại thành hai loại là Smuft và Fraggle attack. Kẻ tấn công/Agent
Nạn nhân
Bộ khuếch đại
Hệ thống mạng khuếch đại
56
- Smuft attack: Trong kiểu tấn công này kẻ tấn công gởi gói tin đến mạng khuếch đại (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn nhân. Thông thường những gói tin được dùng là ICMP ECHO REQUEST, các gói tin này yêu cầu bên nhận phải trả lời bằng một gói ICMP ECHO REPLY. Network amplifier sẽ gửi đến ICMP ECHO REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet về địa chỉ IP của mục tiêu tấn công Smuft Attack. - Fraggle Attack: Tương tự như Smuft attack nhưng thay vì dùng gói tin ICMP ECHO REQUEST thì sẽ dùng gói tin UDP ECHO gởi đếm mục tiêu. Kẻ tấn công phát động cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến cổng ECHO của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ broadcast, quá trình cứ thế tiếp diễn. Đây chính là nguyên nhân Flaggle Attack nguy hiểm hơn Smuft Attack rất nhiều.