3.1.4.1. Cơ chế
Tấn công từ chối dịch vụ (Deny of Service – DoS) là kiểu tấn công làm cho các dịch vụ mạng bị tê liệt, không còn khả năng đáp ứng được yêu cầu
nữa. Loại tấn công này ảnh hưởng đến nhiều hệ thống, rất dễ thực hiện và lại
rất khó bảo vệ hệ thống khỏi kiểu tấn công DoS, nhất là DDoS.
Thông thường, kiểu tấn công DoS dựa trên những giao thức (protocol).
Ví dụ với giao thức là ICMP, hacker có thể sử dụng bomb e-mail để gửi hàng
ngàn thông điệp email với mục đích tiêu thụ băng thông để làm hao hụt tài nguyên hệ thống trên mail server. Hoặc có thể dùng phần mềm gửi hàng loạt
yêu cầu đến máy chủ khiến cho máy chủ không thể đáp ứng những yêu cầu
hợp lệ.
Các tài nguyên có thể bị tấn công:
- Bandwidth
Phần băng thông dành cho mỗi hệ thống là giới hạn, vì thế nếu
hacker cùng lúc gửi nhiều yêu cầu đến hệ thống thì phần băng thông không đủ đáp ứng cho một khối lượng dữ liệu lớn đó và dẫn đến hệ
thống bị phá vỡ
Hầu hết các hệ thống đều có không gian chuyển đổi (swap space)
hữu hạn để phục vụ cho những yêu cầu từ máy khách. Swap space
thuờng dùng cho các tiến trình con có thời gian ngắn nên DoS có thể được dựa trên phương pháp làm tràn đầy swap space
- RAM
Tấn công Dos chiếm 1 khoảng lớn của RAM cũng có thể gây ra
các vấn đề phá hủy hệ thống. Kiểu tấn công BufferOverflow là một ví
dụ
- Disk
Một kiểu tấn công cổ điển là làm đầy đĩa cứng. Đĩa cứng có thể bị
tràn và không thể được sử dụng nữa
3.1.4.2. Một số biện pháp phòng chống
Kiểu tấn công từ chối dịch vụ là kiểu tấn công gây nhiều khó khăn trong
vấn đề bảo vệ cũng như điều tra tìm ra thủ phạm nhất, bởi vì hầu hết hacker đã
thay đổi địa chỉ IP của máy mình nên rất khó xác định ai là thủ phạm. Để phòng chống khả năng khuyếch đại đường truyền, cần:
- Chặn/cấm broadcast tại các router biên - Tăng kích thước hàng đợi kết nối
kết quả: có thể phòng tránh khả năng tràn hàng đợi qua nhiều kết
nối, nhưng cách này sử dụng nhiều tài nguyên - Giảm thời gian thiết lập kết nối
- Dùng những phần mềm phát hiện và phá hủy kiểu tấn công DoS: Hầu
hết những hệ điều hành hiện nay đều hỗ trợ khả năng phát hiện và phòng chống kiểu tấn công lụt SYN.
Ví dụ như với Linux kernels 2.0.30 và về sau cài đặt một tùy chọn
gọi là SYN Cookie, kernel có nhiệm vụ truy tìm và lưu vết những khả năng có thể xảy ra kĩ thuật SYN. Sau đó, kernel sẽ sử dụng một giao
thức mã hoá như SYN cookie cho phép người dùng hợp lệ của hệ thống
tiếp tục kết nối đến hệ thống.
Với WindowNT 4.0 trở về sau, sử dụng kĩ thuật backlog, mỗi khi hàng đợi kết nối không đủ đáp ứng, hệ thống tự động cung cấp tài
nguyên cho hàng đợi, vì thế hàng đợi sẽ không bị phá vỡ.
- Ứng dụng chỉ cho phép mỗi một máy con chỉ được thiết lập số kết nối
tối đa theo qui định tránh trường hợp hacker gửi cùng lúc nhiều yêu cầu
gây tắc nghẽn
Kiểu tấn công từ chối dịch vụ có thể chỉ khiến cho hệ thống bị đánh sập
trong thời gian ngắn nhưng hậu quả có thể lớn, ảnh hưởng tới uy tín của tổ
chức. Đây là kĩ thuật thường được hacker sử dụng trong trường hợp không thể
chiếm quyền quản trị trên hệ thống hoặc thông tin, hoặc muốn phá hủy uy tín
của cơ quan đó.Thêm vào đó việc giả mạo địa chỉ khiến cho hacker càng dễ
dàng thực hiện viêc tấn công mà không sợ bị phát hiện. Thông thường kĩ thuật này được thực hiện kèm theo sự hỗ trợ của vài công cụ như ping of death,
teardrop…