4. Cấu trúc luận văn
3.2.1. Tấn công từ chối dịch vụ (DoS) VoIP
Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn công trực tiếp và chủ động. Người tấn công không có ý định ăn cắp một cái gì cả. Anh ta chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhưng không phải lúc nào không tiếp cận được dịch vụ cũng là nguyên nhân của tấn công DoS, ngoài ra cấu hình sai và việc sử dụng sai cũng là một nguyên nhân của tấn công DoS
Từ các nguyên nhân trên mà các dịch vụ này có thể gặp một số hậu quả khó khăn, một tấn công DoS có thể gây ra những đe dọa sau đây:
- Đe dọa vật lý hoặc hay thay đổi các thành phần mạng. - Đe dọa hay thay đổi cấu hình thông tin.
- Tiêu thụ khó khăn, giới hạn hay không thể khôi phục nguồn tài nguyên.
Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn như băng thông dành cho dịch vụ Internet. Tác động của việc tấn công sẽ lớn hơn nếu vị trí bị tấn công từ một vài host ở cùng một thời điểm. Các biến thể của tấn công DoS được gọi là tấn công từ chối phân bổ của dịch vụ DDoS. Tấn công DoS có thể ảnh hưởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của tấn công DoS có thể làm giảm chất lượng dịch vụ hoặc nặng hơn có thể làm mất dịch vụ.
DoS (Denial-of-Service): Tấn công DoS là dạng tấn công rất phổ biến và cũng rất khó ngăn chặn. Kẻ tấn công DoS làm tràn ngập các gói, dẫn đến mất liên lạc giữa các
phần trong cấu trúc mạng liên quan đến thiết bị đó. Do đó các dịch vụ bị bẻ gãy và làm giảm băng thông và tài nguyên CPU.
Hinh 3.1: Tấn công DoS
Tấn công DoS có nhiều dạng khác nhau là do kẻ tấn công sử dụng những phương pháp tấn công khac nhau như :
Tấn công Ping of Death: Đây là kiểu tấn công DoS lớp 3 bằng cách kẻ tấn công sẽ sử dụng lệnh Ping liên tục đến một địa chỉ cố định làm giảm băng thông, tràn bộ đệm… khiến cho mạng và thiết bị bị tấn công giảm tốc độ hoặc ngưng hoạt động.
Hình 3.2: tấn công Ping of Death
Tấn công SYN flood: Đây là một kiểu tấn công DoS ở lớp 4, kẻ tấn công sử dụng phương pháp “bắt tay 3 bước” của kết nối TCP. Kẻ tấn công gửi liên tục các gói yêu cầu SYN tới một địa chỉ cố định như là một VoIP server, hoặc một Web server…Server này đáp ứng lại cho các yêu cầu đó bằng SYN-ACK Tuy nhiên khi nhận được đáp ứng kẻ tấn công không gửi ACK báo nhận cho Server và khi đó các Server ở tình trạng chờ báo nhận và từ chối bất kì yều cầu nào từ người sử dụng. Hậu quả của loại tấn công này khiến các Server ngừng hoạt động và người sử dụng không sử dụng được dịch vụ.
Web Server
Web Server
Web Server
Kẻ tấn công gửi nhiều gói SYN yêu cầu tới
Web server Web Server gửi
SYN-ACK trả lời
Web Server chờ cho tới khi hoàn thành bắt tay
3 bƣớc
Web Server bị treo Ngƣời sử dụng hợp pháp
gửi yêu cầu đến Web Server
Hình 3.3: Tấn công SYN flood
Tấn công Smurf : Đây là một kiểu tấn công DoS, kẻ tấn công sẽ giả danh địa chỉ của một host trong một mạng nội bộ để gửi gói tin quảng bá ICMP yêu cầu đến tất cả các host nội mạng hoặc ngoài mạng. Khi các host nhận được yêu cầu thì tiến hành trả lời về đúng địa chỉ thật và khi đó Host bị giả dạng sẽ bị đầy bộ nhớ và CPU quá tải.
Hình 3.4: Tấn công Smurf
DDoS (Distributed Denial-of-Service): đây là kiểu tấn công DoS ở quy mô lớn kẻ tấn công sẽ điều khiển các host gần nó nhất cùng thực hiện một trong các kiểu tấn công DoS ở trên (tấn công Ping of Death, SYN flood, Smurf) cùng tấn công đến một host cố định làm tràn ngập và tê liệt mạng đích từ nhiều nguồn khác nhau bên ngoài.
Victim Client/ Attacker Handler s Agents/ Zombies Hình 3.5: Tấn công DDoS
Đối với VoIP tấn công DoS có thể làm cho các dịch vụ VoIP mất đi một phần hoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc gọi, ngắt các cuộc gọi hoặc ngăn chặn các dịch vụ tương tự như là voice mail. Dưới đây là một vài ví dụ tấn công DoS đối với dịch vụ VoIP.
Tấn công chuyển tiếp các gói VoIP (VoIP packet relay Attack): bắt và gửi lại các gói VoIP đến điểm cuối, cộng thêm việc trì hoãn tiến trình cuộc gọi sẽ làm giảm chất lượng cuộc gọi.
Tấn công thay đổi chất lượng dịch vụ (QoS Modification Attack): thay đổi các trường thông tin điều khiển các giao thức VoIP riêng biệt trong gói dữ liệu VoIP và từ điểm cuối làm giảm hoặc từ chối dịch vụ thoại. Ví dụ, nếu một người tấn công đổi thẻ 802.1Q VLAN hoặc bit To Strong trong gói IP, cũng giống như là người đứng giữa (man-in-the-middle) hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối, người tấn công có thể sẽ phá vỡ chất lượng dịch vụ của mạng VoIP. Do lưu lượng thoại phụ thuộc vào lưu lượng dữ liệu nên về căn bản, kẻ tấn công có thể trì hoãn việc phân phát các gói thoại.
Tấn công bằng các gói VoIP giả mạo (VoIP packet Injection): tức là gửi các gói VoIP giả mạo đến điểm cuối, thêm vào đoạn thoại hay nhiễu hay khoảng lặng vào hoạt động thoại. Ví dụ khi RTP được dùng mà không có sự xác thực của gói RTCP (và cả không có sự lấy mẫu của SSRC), kẻ tấn công có thể tiêm thêm các gói RTCP vào nhóm multicast với SSCR khác, mà điều này có thể làm tăng số lượng nhóm theo hàm mũ.
Tấn công DoS vào các dịch vụ bổ xung (DoS against supplementary services): khởi đầu tấn công DoS là chống lại các dịch vụ mạng khác mà dịch vụ VoIP có mối liên hệ (ví dụ: DHCP, DNS, BOOTP). Ví dụ trong mạng mà đầu cuối VoIP dựa vào địa chỉ
đăng ký DHCP, làm mất khả năng của DHCP server ngăn chặn điểm cuối lấy được địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch vụ VoIP.
Thông điệp giả (Bogus Message DoS): Kẻ giả mạo gửi đến VoIP server và các điểm
cuối các giao thức VoIP giả mạo nhằm hủy kết nối hoặc tình trạng bận ở đầu cuối. Kiểu tấn công này làm cho các phone phải xử lý các message giả và các đầu cuối phải thiết lập những kết nối ảo hoặc làm cho người tham gia cuộc gọi lầm rằng đường dây đang bận.
Tràn ngập các gói điều khiển: (Control Packet Flood): Kẻ tấn công làm tràn ngập VoIP server hoặc đầu cuối với những gói điều khiển cuộc gọi không rõ nguồn gốc (ví dụ trong H.323, các gói GRQ, RRQ, URQ sẽ được gửi đến UDP/1719). Mục đích của kẻ tấn công là làm suy yếu thiết bị hệ thống hoặc tài nguyên mạng. Do đó không thể dung các dịch vụ VoIP. Bất kể các port mở trong tiến trình cuộc gọi và VoIP server liên quan có thể trở thành mục tiêu của kiểu tấn công DoS này.
Sự thực thi giao thức VoIP (VoIP Protocol Implementation): Kẻ tấn công gửi đến server VoIP hoặc đầu cuối những gói tin không hợp lệ để có thể khai thác những điểm yếu trong sự thực thi giao thức VoIP và tạo nên tấn công DoS. Ví dụ, CVE-2001- 00546 đề cập đến việc sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA của Window. CAN-2004-0056 sử dụng các gói H.323 như trên để khai thác điểm yếu của Nortel BCM. Nếu như không thường xuyên cập nhập phần mềm một cách hợp lý thì sẽ tăng rủi ro cho hệ thống
Gói tin không hợp lệ (Invalid Packet DoS): Kẻ tấn công gửi đến VoIP server và đầu cuối những gói không hợp lệ để khai thác hệ điều hành thiết bị và TCP/IP để thực hiện từ chối dịch vụ CVEs. Theo sự mô tả của CAN-2002-0880, dùng jolt có thể bẻ gãy Cisco IP phone và sự phân đoạn thong thường dựa trên các phương thức DoS khác.