Đây là một dạng tấn công rất phổ biến và rất khó đối phó. Thường thì khi những kẻ tấn công không thâm nhập được vào hệ thống mục tiêu, kẻ tấn công có thể sử
dụng phương thức tấn công này để làm tê liệt hệ thống mục tiêu(victim).
Để làm cho victim không thể sử dụng được các dịch vụ hợp pháp của mình, kẻ
tấn công gửi một số gói tin có thời gian xử lý lâu hoặc với số lượng lớn để máy chủ mất thời gian xử lý chúng. Kiểu tấn công này là khó chống nhất, nó mang tính chất là kiểu tấn công chiếm giữ tài nguyên, chiếm dụng băng thông.
Các loại hình tấn công của DoS là rất đa dạng tương ứng với các dịch vụ khác nhau. Tuy nhiên chúng ta có thể tổng hợp thành 3 kiểu tấn công cơ bản:
1)Tiêu thụ tài nguyên khan hiếm, giới hạn của hệ thống
Các máy tính và hệ thống mạng cần các yếu tốđể hoạt động như: băng thông, bộ
nhớ, không gian đĩa, thời gian xử lý của CPU, cấu trúc dữ liệu và các tài nguyên về môi trường như nguồn cung cấp, điều kiện môi trường xung quanh. Với mục
48
vào kết nối mạng ( SYN flood) làm tiêu tốn thời gian xử lý của máy chủ, sử
dụng tài nguyên của chính Victim để chống lại họ(UDP flood), tiêu thụ băng thông của mạng(ICMP flood), hoặc một số kiểu tấn công khác nhằm tiêu tốn dung lượng đĩa lưu trữ như tấn công bom thư.
2)Phá huỷ hoặc thay đổi các thông tin cấu hình
Đây cũng là một kiểu tấn công DoS, attacker làm thay đổi thông tin về cấu hình của máy như thông tin định tuyến, thanh ghi trong WinNT làm cho máy chủ
không thể hoạt động để phục vụ dịch vụ của mình.
3)Phá huỷ vật lý, thay đổi các thành phần mạng
Đây là kiểu tấn công DoS liên quan đến vấn đề bảo mật vật lý các thành phần mạng như truy cập đến các thiết bịđịnh tuyến, máy tính, cáp mạng. Những thay
đổi đó làm cho mạng của bạn không thể hoạt động được.
Một vài loại tấn công DoS có thể được giải quyết bằng việc sử dụng các bản vá lỗi của các nhà sản xuất phần mềm. Ví dụ, nhiều nhà sản xuất đã vá lỗi thực thi của chồng giao thức TCP/IP để ngăn cản những kẻ tấn công sử dụng các lỗi về
phân mảnh và hợp nhất các mảnh của gói IP. Một vài loại tấn công DoS không thể bị loại bỏ hoàn toàn mà chỉ có thể làm giảm phạm vi ảnh hưởng của nó. Sau đây là một số loại tấn công DoS phổ biến:
– TCP SYN Attack:
Khi một kết nối TCP bình thường bắt đầu, host đích nhận được một gói SYN(synchronize/start) từ host nguồn, nó giữ lại một gói SYN/ACK(báo nhận cho gói đồng bộ). Host nguồn sau khi nhận được gói SYN/ACK sẽ giữ lại một gói thông báo nhận ACK và một kết nối TCP được tạo ra. Đây là quá trình bắt tay ba bước nhưđã mô tảở trước.
Trong khi đợi gói báo nhận ACK cho gói tin SYN/ACK từ host nguồn, một queue kết nối với kích thước xác định trên host đích được tạo ra để lưu giữ các yêu cầu kết nối của phía nguồn. Cho đến khi nhận được gói tin ACK thì queue sẽ được giải phóng và tiếp tục được sử dụng cho các yêu cầu kết nối khác.
49
Thường thì các gói tin báo nhận ACK sẽ chỉ đến trong một vài phần triệu giây do đó các hàng đợi này luôn luôn ở trong trạng thái đủ bộ nhớ để tiếp nhận các yêu cầu kết nối khác.
Lợi dụng điều này, các kẻ tấn công tạo ra các gói tin với địa chỉ nguồn ngẫu nhiên với cờ SYN được bật lên để yêu cầu thiết lập kết nối với các host của victim. Theo nguyên tắc hoạt động, host victim sẽ gửi gói báo nhận đồng bộ
SYN/ACK cho địa chỉ nguồn ngẫu nhiên đó, lưu các yêu cầu kết nối trong hàng
đợi và đợi gói báo nhận từ host nguồn. Bởi vì gói tin SYN/ACK được gửi đến một host không thực sự yêu cầu kết nối hoặc không tồn tại do đó nó sẽ không bao giờ nhận được gói tin ACK báo nhận còn lại để thiết lập một kết nối. Tuy nhiên các thực thể yêu cầu kết nối ở trong bộ nhớ vẫn chưa bị xoá đi ngay lập tức mà tồn tại ởđó cho đến khi hết một khoảng thời gian nhất định.
Do đó, bằng việc phát ra nhiều gói tin yêu cầu kết nối với các địa chỉ nguồn ngẫu nhiên trong một khoảng thời gian nhỏ, kẻ tấn công có thể dễ dàng làm tràn ngập bộ nhớ để chứa các yêu cầu kết nối vì vậy mà tất cả các yêu cầu kết nối TCP sau này sẽ bị từ chối.
Giải pháp đối phó:
Không có cách nào dễ dàng để biết được điểm xuất phát của kẻ tấn công bởi vì
địa chỉ IP của phía nguồn là bị giả mạo. Tuy nhiên, trong một vùng mạng, các cuộc tấn công có thể bị giới hạn bởi Firewall và proxy.
Để biết được một host có bị tấn công DoS SYN Attack hay không, trong các hệ
thống Window hay Unix... có thể dùng lệnh sau:
c:\>Netstat -a
Nếu đầu ra có nhiều trạng thái kết nối đang trong tình trạng SYN_RECV thì có thể host đó đang bị tấn công từ chối dịch vụ theo kiểu SYN Attack.
Để hạn chế ảnh hưởng của các cuộc tấn công này người ta có thể tăng kích thước hàng đợi, giảm khoảng thời gian thiết lập kết nối...và dùng các hệ thống Firewall.
50
– Ping of Death:
Ping of Death là một loại tấn công dựa trên sự khai thác lỗi phân mảnh của các gói ICMP echo request có kích thức lớn.
Các gói ICMP echo request bao gồm 8 byte thông tin ICMP header và sau đó là các byte data. Kích thước tối đa cho phép của vùng dữ liệu vì vậy sẽ là: (65.535- 20-8)=65.507 byte
Vấn đề ở chỗ có thể gửi một gói ICMP echo request không hợp lệ với kích thước lớn hơn 65.507 byte dữ liệu. Việc phân mảnh dựa trên một giá trị offset trong mỗi mảnh để xác định vị trí của mảnh khi các mảnh được tập hợp lại. Vì vậy trên mảnh cuối cùng có thể kết hợp một giá trị offset với một kích thước mảnh phù hợp.
Bởi vì máy nhận sẽ không xử lý gói tin này cho đến khi nó nhận được tất cả các mảnh và sau đó tập hợp chúng lại, vì vậy có khả năng làm vượt quá giá trị các biến 16 bit ở bên trong hệ thống nhận do đó làm cho tê liệt hệ thống.
Điểm yếu trong việc phân mảnh này không chỉ giới hạn việc tấn công sử dụng lệnh ping mà còn có thểđược khai thác bởi bất kỳ kẻ tấn công nào mà tạo ra các gói tin có kích thước lớn hơn quy định.