Như tên gọi của nó tấn công DoS (Denial of Service) nhằm mục đích làm trì trệ hoặc thậm chí tê liệt một dịch vụ của hệ thống hoặc mạng máy tính với một cách hoặc nhiều cách khác nhau. Mục đích của tấn công DoS không phải là thâm nhập hoặc lấy cắp thông từ hệ thống mà làm cho tê liệt dịch vụ trong hệ thống hoặc trong mạng máy tính. Thực chất của tấn công DoS là Hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên máy chủ, mà tài nguyên đó có thể là băng thông, bộ nhớ, bộ vi xử lý, đĩa cứng... làm cho máy chủ không thể nào đáp ứng các yêu cầu khác từ các khách hàng là những người dùng hợp pháp. Hệ thống có thể nhanh chóng bị ngừng hoạt động, treo hoặc khởi động lại. Một số hình thức tấn công DoS hiện nay cũng đã gây nhiều khó khăn trong việc phát hiện và xử lí nó. Có thể là trong vòng vài tuần, hoặc vài tháng và rồi là những cuộc tấn công mới với kịch bản như trước sẽ xuất hiện ở nhiều nơi. Chính vì thế, khi xây dựng hệ thống dữ liệu điện tử đặc biệt là các cổng thông tin điện tử thì yêu cầu đầu tiên đối với trang thông tin phải bắt buộc có đề xuất giải pháp chống tấn công DoS, điều này không chỉ là an toàn cho cá nhân mà là sự an toàn thông tin cho cả một cộng đồng mạng.
Trong hầu hết các cuộc tấn công DoS, hacker tìm cách tận dụng sự thiếu trong tích hợp cấu trúc bảo mật của giao thức Internet phiên bản 4 (IPv4). IPv6 6 đã khắc phục được rất nhiều lỗ hổng về bảo mật, như đã chứng thực được nguồn gốc của gói tin và tính toàn vẹn của nó bằng cách sử dụng một header chứng thực. Mặc dù vậy thì nó vẫn chưa thể giải quyết được vấn đề hiện nay do IPv6 chưa được sử dụng rộng rãi.
Tấn công DoS không như hình thức nguyên thủy chỉ bắt nguồn từ những hệ thống từ xa, mà hiện nay cũng có thể tấn công từ các máy nội hạt. Tấn công DoS từ các máy nội hạt thường sẽ dễ dàng hơn trong việc xác định vị trí tấn công và sửa
Một ví dụ điển hình cho tấn công DoS từ các máy nội hạt là là dạng Bom fork, với dạng Bom này rất dễ dàng lặp lại cho quá trình đẻ trứng làm hao mòn tài nguyên hệ thống.
Mặc dù các cuộc tấn công DoS theo định nghĩa là không tạo ra một nguy cơ về bảo mật cho các dữ liệu nhạy cảm, nhưng chúng có thể hoạt động như một công cụ hiệu quả để che dấu sự xâm nhập, nhằm qua mặt các quản trị viên. Trong khi các quản trị viên cố gắng khắc phục cái mà họ cho là vấn đề chính thì việc xâm nhập có thể đang xảy ra ở một nơi khác. Trong sự hỗn loạn đó, kết quả là hệ thống bị treo và kém bảo mật, Hackers hoàn toàn có thể lẩn trốn để thực hiện mục đích riêng mà không bị phát hiện.
Các công ty phụ thuộc vào các kết nối truy cập Internet và mua bán qua mạng sẽ là những mục tiêu của tấn công DoS và DDoS. Các trang Web chính là nơi diễn ra các hoạt động thương mại điện tử, tốc độ và dữ liệu sao lưu trên nó ảnh hưởng rất nhiều đến lợi ích của khách hang và doanh nghiệp.Trong thế giới của thương mại điện tử, nếu một trang web mà không đảm bảo được tốc độ truyền tải nội dung thì chỉ cần vài cái click chuột, khách hàng sẽ tìm đến cửa hàng ảo khác ngay lập tức.Lợi dụng điều này, cách tốt nhất mà một hacker muốn gây tổn hại cho hệ thống thương mại điện tử chính là truy cập vào một đích từ nhiều nguồn khác nhau.
3 hình thức tấn công DoS được thiết kế để phá vỡ kết nối mạng. + TCP SYN flood attacks (Tấn công thông qua kết nối )
+ Land.c attacks ( Lợi dụng tài nguyên của nạn nhân để tấn công ) + Smurf attacks (Sử dụng tài nguyên khác )
a.TCP SYN Flood Attacks
Kiểu tấn công Flood TCP SYN được thiết kế để tận dụng ưu điểm của phương pháp sử dụng trong thiết lập một kết nối TCP mới. Vẫn được hiểu như là phương pháp bắt tay 3 bước TCP. Hình bên dưới mô tả phương thức làm thế nào các kết nối TCP được thiết lập.
Hình2.4 Thiết lập kết nối TCP
Trong ví dụ trên client cố gắng thiết lập một kết nối TCP tới web server. Đầu tiên nó sẽ gửi đi một gói tin SYN (synchronize) tới server để đồng bộ số trình tự. Nó quy định số thứ tự ban đầu của nó ISN. Để khởi tạo một kết nối, client và server phải đồng bộ số thứ tự khác nhau của mối bên. Các trường xác nhận ACK sẽ được gán cho giá trị là 0 bởi vì đây là gói tin đầu tiên của quá trình bắt tay 3 bước và không có sự thừa nhận. Trong gói tin thứ 2 server gửi đi một xác nhận riêng của mình SYN tới client gọi là: SYN-ACK. Server xác nhận yêu cầu từ client nhưng nó sẽ gửi thông tin riêng của mình cho quá trình đồng bộ hóa. Để kết thúc kết nối, client sẽ gửi một gói xác nhận ACK tới web server. Client sẽ sử dụng phương pháp giống như server để cung cấp một số xác nhận.
Trong kiểu tấn công Flood TCP SYN kẻ tấn công sẽ sinh ra những gói tin giả mạo xuất hiện như yêu cầu của một kết nối mới. Các gói tin này sẽ được nhận bởi server nhưng kết nối sẽ không bao giờ hoàn tất. Trong khi đó server thì lại cố gắng trả lời kết nối không thành công. Sau khi một số gói tin như vậy được gửi tới server thì nó có thể bỏ qua để trả lời những kết nối mới chuyển tới cho tài nguyên sẵn có xử lý yêu cầu bổ sung hoặc khi mà cuộc tấn công dừng lại.
Hình 2.5: Tấn công Flood TCP SYN
Giả mạo là công nghệ mà kẻ tấn công sử dụng để gửi các gói tin IP với địa chỉ nguồn của người khác để giấu đi danh tính của họ. Đôi khi những kẻ tấn công sử dụng ủy quyền địa chỉ IP external hoặc internal cái mà được tin tưởng bởi firewall và các thiết bị khác, qua đó có được quyền truy cập vào tài nguyên nội bộ. Server sẽ mở và bỏ qua tất cả những phiên kết nối giả mạo cho tới khi time out. Chính là nguyên nhân làm giảm sút hiệu năng một cách đáng kể.
b. Land.c attack
Một hình thức tấn công nguyên thủy của tấn công DoS là tấn công kiểu Land.c. Trong kiểu tấn công này thì kẻ tấn công sẽ gửi nhiều gói tin SYN với cùng một địa chỉ nguồn và địa chỉ đích và giống hệt port nguồn và port đích tới nạn nhân. Mục đích của kiểu tấn công này là buộc cho nạn nhân gửi các gói tin trả lời cho chính nó. Bởi vì kẻ tấn công liên tục gửi các gói tin, nạn nhân có thể giải phóng tài nguyên bằng cách gửi gói tin đến chính nó. Về mặt kỹ thuật, kẻ tấn công sử dụng tài nguyên riêng của máy chủ để chống lại chính nó.
c.Smurf Attacks
Kẻ tấn công cũng có thể tiêu tốn băng thông bằng cách chuyển những giao thông không cần thiết tới mạng của nạn nhân. Một ví dụ cổ điển của kiểu tấn công này là tấn công kiểu Smurf. Có 2 thành phần chính trong kiểu tấn công Smurf như sau:
+Sử dụng không có thật (bogus) gói tin echo request ICMP (Internet Control Message Protocol).
+Định tuyến các gói tin với địa chỉ IP broadcast.
Thông thường, ICMP xử lý lỗi và kiểm soát thông điệp. Ví dụ, công cụ phổ biến nhất sử dụng ICMP là Ping. Nó được sử dụng để kiểm tra đặc tính hệ thống trên mạng bằng những thông tin phản hồi. Nó thực hiện bằng cách gửi đi các gói ICMP echo request tới hệ thống. Do đó nó sẽ nhận được các gói ICMP echo reply. Trong kiểu tấn công Smurf, gói ICMP echo request được gửi tới địa chỉ IP broadcast trên mạng để làm giảm hiệu năng hệ thống mạng. Hình bên dưới sẽ mô tả những yếu tố cần thiết cho cuộc tấn công Smurf. Trong kiểu tấn công Smurf, thông thường sẽ có kẻ tấn công, trung gian và nạn nhân. If dải địa chỉ mạng là 192.168.1.0 và subnet mask 255.255.255.0 thì địa chỉ broadcast là 192.168.1.255. Nếu giao thông ICMP được gửi tới địa chỉ broadcast thì tất cả hệ thống hoặc nhứng node ở trên mạng sẽ nhận gói echo request ICMP này. Do đó sẽ gửi gói echo reply trở lại. Ngoài ra, bên trung gian cũng có thể trở thành nạn nhân, bởi vì nó cũng nhận gói echo request gửi tới địa chỉ IP broadcast của mạng. Kẻ tấn công thực hiện thành công công nghệ này bởi sử dụng gói tin giả mạo. Bằng cách này thì nạn nhân sẽ trả lời với các gói tin echo reply và tiêu tốn băng thông có sẵn.
Hình 2.6: Tấn công kiểu Smurf