IV. PHỤ LỤC
1 CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG
a. Phương pháp tấn công:
Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng
dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ
thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ thống là nạn nhân bị tấn công.
Mô hình tổng quát cuộc tấn công D.o.S của Hacker
Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ thống email ,
broadcast echo request …
Các công cụ thường dùng của tin tặc:
Công cụ Thời điểm xuất hiện tấn công
Phương thức sử dụng để tấn công
Trinoo Oct 21 1999 UDP
Agent
Victim Attacker
Handlers
http://kinhte24h.org
Tribe Flood Network Oct 21 1999 UDP, ICMP, SYN, Smurf
Stacheldracht Dec 31 1999 UDP, ICMP, SYN , Smurf
TFN 2K Feb 10 2000 UDP, ICMP, SYN, Smurf
Shaft March 13 2000 UDP, ICMP, SYN, combo
Mstream May 1 2000 Stream (ACK)
Trinity Sep 5 2000 UDP, Fragment, SYN, RST,
RandomFlag, ACK, Establish, NULL
Khả năng tấn công có thể xảy ra từ các hướng cổng Internet, PSTN, WAN và nội bộ.
Đối với cổng PSTN và Internet đều đi qua Router do đó khả năng phát sinh các cuốc tấn công
D.o.S vào địa điểm này là rất lớn.
b. Phương pháp phòng chống
Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các cuộc tấn làm
Overload trên các Interface như sau:
Explicitly permit flood traffic in access list:
access-list 110 permit icmp any any echo access-list 110 permit icmp any any echo-reply
View access list "hit counts" to determine flood type:
permit icmp any any echo (2 matches)
permit icmp any any echo-reply (21374 matches)
Log information about flood packets:
access-list 110 permit icmp any any echo
access-list 110 permit icmp any any echo-reply log-input
Anti-Spoofing Packet Filters
Block inbound traffic sourced from your own address space:
access-list 110 deny ip 192.200.0.0 0.0.255.255 any
Block outbound traffic not sourced from your own address space:
access-list 111 permit ip 192.200.0.0 0.0.255.255 any
Block inbound traffic sourced from unroutable IP addresses:
access-list 110 deny ip 10.0.0.0 0.255.255.255 any access-list 110 deny ip 172.16.0.0 0.15.255.255 any access-list 110 deny ip 192.168.0.0 0.0.255.255 any
http://kinhte24h.org
access-list 110 deny ip 1.0.0.0 0.255.255.255 any ... more ...
http://kinhte24h.org