- Phá hoại DNS traffic tunnelin g route mangling
Bắt tay 3 bước:
2.8. Tấn công DoS và DDoS
Từ chối dịch vụ (Denial-of-Service)
Cài đặt tấn công công
kích:
Gửi một vài tin nhắn thủ công đến ứng dụng đích dễ bị công kích.
Thông điệp độc hại được gọi là “khai thác”
Dừng điều khiển từ xa hoặc
Tấn công ngập lụt kết nối Áp đảo hàng đợi kết nối với
ngập lụt SYN.
Tấn công ngập lụt băng
thông
Áp đảo liên kết truyền thông với các gói tin
Sức mạnh trong tấn công ngập lụt nằm trong khối Ngăn chặn truy nhập bởi người dùng hợp pháp hoặc dừng các tiến trình hệ thống quan trọng.
DoS và DDoS
DoS:
Nguồn tấn công là số lượng nhỏ các nút IP nguồn điển hình bị giả mạo
DDoS
Từ hàng nghìn nút
Địa chỉ IP thường không giả mạo
75
DoS: ví dụ các tấn công lỗ hổng
Land: gửi gói tin giả mạo với địa chỉ/cổng nguồn và đích giống nhau.
Ping of death: gửi gói tin ping quá kích cỡ
Jolt2: gửi một luồng các mảnh, không mảnh nào có offset là 0. Tập hợp lai sử
Teardrop, Newtear, Bonk, Syndrop: các công cụ gửi các segment chồng nhau, nghĩa là, offset của các mảnh không đúng.
Áp đảo băng thông liên kết với các gói tin
Lưu lượng tấn công được tạo ra tương tự như lưu lượng
hợp pháp, gây trở ngại cho phát hiện.
Luồng lưu lượng phải tiêu tốn nguồn tài nguyên băng thông của mục tiêu.
Kẻ tấn công cần gắn kết với nhiều hơn một máy => DDoS
Có thể dễ dàng hơn để đạt được mục tiêu lấp đầy băng
thông upstream: truy nhập async Ví dụ: tấn công các seed của BitTorrent
77
DoS phân tán: DDos
Internet Kẻtấn công Nạn nhân bot bot bot
Kẻtấn công chiếm giữnhiều máy, gọi là “bots”. Các bots tiền năng là các máy dễbịcông kích.
Các tiến trình của bot sẽđợi lệnh từkẻtấn công đểlàm ngập lụt mục tiêu
DDoS: Tấn công phản xạ Kẻtấn công Nạn nhân DNS server DNS server DNS server DNS server request request request request reply reply reply reply IP nguồn = IP của nạn nhân 79
DDoS: Tấn công phản xạ (tiếp)
Địa chỉ IP nguồn giả mạo = IP của nạn nhân
Mục tiêu: tạo ra câu trả lời dài dòng hoặc nhiều cho các yêu cầu ngắn:khuếch đại
Nếu không có khuếch đại: nên làm gì?
Tấn công tháng 1 năm 2001: Yêu cầu bản ghi DNS lớn Tạo ra lưu lượng 60-90 Mbps
Tấn công phản xạ có thể cũng được thực hiện với Web hoặc các dịch vụ khác.
Phòng thủ tấn công DDoS
Không để cho hệ thống
của bạn trở thành bot Giữ hệ thống cập nhật bản
vá
Cung cấp lọc chống giả mạo đi ra trên router ngoài.
Lọc các gói tin nguy hiểm Các tấn công lỗ hổng
Hệ thống ngăn chặn xâm nhập
Dự phòng tài nguyên lớn Băng thông dồi dào
Tài nguyên server lớn ISP cũng cần băng thông dồi
dào Nhiều ISPs
Chữ ký, phát hiện bất
thường và lọc Giới hạn tốc độ
Giới hạn số lượng gói tin từ nguồn đến đích
81
ICMP Ping Of Death
• Flag=last fragment
• Offset*8 + Length > 65535 Ping of death:gửi gói tin ping có kích thước quá khổ
Là một kiểu tấn công DoS !
Tấn công DoS: Ping of Death (tiếp)
ICMP Echo Request (Ping) là 56 bytes
Nếu một thông điệp ping lớn hơn 65536 bytes (là kích thước lớn nhất của một gói tin IP), thì có thể làm cho một số máy bị sập khi tập hợp lại gói tin.
Các hệ thống windows cũ
83
Tấn công DoS: LAND
Local Area Network Denial Gói tin giả mạo với tập cờ SYN Gửi tới cổng mở
Địa chỉ/Cổng nguồn giống địa chỉ/cổng đích Nhiều hệ điều hành bị khóa
Tấn công ICMP LAND
85
Client gửi gói tin SYN với số thứ tự khởi đầu khi khởi tạo một kết nối
TCP trên máy server cấp phát bộ nhớ cho hàng đợi của nó để theo dõi trạng thái của kết nối half-open mới
Với mỗi kết nối half-open, server đợi ACK segment, thường sử dụng timeout > 1
Tấn công: Gửi nhiều gói tin SYN, hàng đợi kết nối đầy các kết nối half-open
Có thể giả mạo địa chỉ IP nguồn!
Khi hàng đợi kết nối bị sử dụng hết, thì sẽ không có kết nối mới nào được khởi tạo bởi người dùng hợp lệ
Ngập lụt kết nối:
Hàng đợi kết nối áp đảo w/ SYN flood
Tấn công SYN Flooding (tiếp)
87S S
SYNC1 Lắng nghe…
Tạo ra một thread mới, lưu dữ liệu của kết nối
SYNC2SYNC3