• Vào lúc 2 gi sáng ngày 11 - 1 - 2002, Trang web GRC.COM đã b đánh tung kh i Internet b ng m t ki u t n công t ch i d ch ờ ị ỏ ằ ộ ể ấ ừ ố ị
v m i. Đi u kinh ng c chính là ngu n t n công đụ ớ ề ạ ồ ấ ươ.c b t đ u b ng nh ng đắ ầ ằ ữ ường chính c a Internet, bao g m Yahoo.com và ủ ồ
c nh ng IP "gary7.nsa.gov". Chúng tôi đã b t n công b i hàng trăm server m nh nh t c a internet ... ả ữ ị ấ ở ạ ấ ủ
• Vào th i đi m chúng tôi tìm ra cách đ ngăn ch n cu c t n công này và quay l i internet, 1 072 519 399 packet b ch n đ ng ờ ể ể ặ ộ ấ ạ ị ặ ứ
trước khi cu c t n công b d ng ... ộ ấ ị ừ
• Đây chính là nh ng thông tin đữ ược Steve Gibson mô t trong bài báo v DRDoS mà ông đã g p ngày 11-1-2002... và bây gi ả ề ặ ờ
• Nhi u năm trề ước đây, s y u kém c a đự ế ủ ường truy n TCP đề ược các HĐH s d ng đã b các Internet's Hacker kháp phá ra và l i ử ụ ị ợ
d ng. ụ
• Theo s đ (ơ ồ ở slide tiếp), Client g i SYN packet cho server đ thông báo server chu n b 1 đử ể ẩ ị ường truy n. Server s giành 1 ph n ề ẽ ầ
tài nguyên h th ng nh b nh đ m đ nh n và truy n d li u. Ngoài ra các thông tin khác c a Client cũng đệ ố ư ộ ớ ệ ể ậ ề ữ ệ ủ ược ghi nh n ậ
nh đ a ch IP c a Client và C ng ( Port ). Sau đó server s send ngư ị ỉ ủ ổ ẽ ượ ạc l i SYN/ACK packet đ thông báo Client là m i th đã ể ọ ứ
chu n b và n u nh không nh n đu c ACK packt c a Client ( có th do packet đã b th t l c trên đẩ ị ế ư ậ ợ ủ ể ị ấ ạ ường truy n ), server s ề ẽ
ti p t c g i l i SYN/ACK packet cho Client. ế ụ ử ạ
• Nh ng chúng ta s ti p t c suy nghĩ ti p. Nh v y v i b t c 1 SYN packet đ n gi n nào, Server cũng ph i đ 1 ph n tài ư ẽ ế ụ ế ư ậ ớ ấ ứ ơ ả ả ể ầ
nguyên cho đường truy n đó, và tài nguyên c a Server là có h n và Hacker s tìm m i cách đ Server đ t đề ủ ạ ẽ ọ ể ạ ược cái gi i h n đó. ( ớ ạ
• B ng cách dùng Raw Sockets ( không ph i TCP hay DUP packet ), IP g c c a packet có th b ghi đè lên và làm gi m o. Khi ằ ả ố ủ ể ị ả ạ
m t SYN packet v i IP gi m o độ ớ ả ạ ượ ử ếc g i đ n Server, nó cũng nh bao packet khác, v n h p l đ i v i Server và Server s c p ư ẫ ợ ệ ố ớ ẽ ấ
vùng tài nguyên cho đường truy n này, ghi nh n toàn b thông tin và g i SYN/ACK packet ngề ậ ộ ủ ượ ạc l i cho Client. Vì đ a ch IP ị ỉ
c a Client là gi m o nên s không có Client nào nh n đủ ả ạ ẽ ậ ược SYN/ACK packet này, sau 1 th i gian không nh n đờ ậ ược ACK packet t Client, Server nghĩ r ng packet b th t l c nên l i ti p t c g i ti p SYN/ACK packet, c nh th , connection ti p t c ừ ằ ị ấ ạ ạ ế ụ ử ế ứ ư ế ế ụ
m . ở
• N u nh Hacker ti p t c g i nhi u SYN packet đ n Server và cu i cùng Server đã không th ti p nh n thêm 1 connection nào ế ư ế ụ ử ề ế ố ể ế ậ
n a : Server đã b flood. ữ ị
• Đây không ph i là ki u t n công b ng đả ể ấ ằ ường truy n cao, b i vì ch c n 1 máy tính n i internet dial up đ n gi n cũng có th t n ề ở ỉ ầ ố ơ ả ể ấ
• Đi u gì x y ra trong quá trình Bandwidth attack: ề ả
• Không gi ng nh cách t n công SYN Flood, Bandwidth attack t o 1 brute force attack t các Server m nh đ n máy c a Victim, ố ư ấ ạ ừ ạ ế ủ
nh ng packet gi t chi m h t đữ ả ồ ạ ế ế ường truy n c a Victim làm máy Victim không th nh n thêm 1 packet nào khácề ủ ể ậ
• Nh s đ (ư ở ơ ồ slide tiếp), t t c packet đi vào 1 m ng máy tính qua 1 "Big-Pipe" ( ng d n l n ), sau đó đấ ả ạ ố ẫ ớ ược router chia ra nh ng "Small Pipe" ( ng d n nh ) cho nhi u computer con tùy theo đ a ch IP c a packet. Nh ng n u toàn b "Big-Pipe" b ữ ố ẫ ỏ ề ị ỉ ủ ư ế ộ ị
flood b ng nh ng packet ch hằ ữ ỉ ướng đ n 1 computer nh t đ nh trong m ng máy tính con này, Router đành ph i ch p nh n lo i ế ấ ị ạ ả ấ ậ ạ
b ph n l n các packet đ ch còn l i s lỏ ầ ớ ể ỉ ạ ố ượng v a đ đi qua "Small Pipe" c a computer đó. Ki u t n công "cá l n nu t cá bé" ừ ủ ủ ể ấ ớ ố
• Bây gi , chúng ta hãy nh l i phờ ớ ạ ương pháp SYN attack truy n th ng c a DoS, phề ố ủ ương pháp này d a trên bự ước th nh t đ m ứ ấ ể ở
connection c a TCP đ t o các "open half" connection làm Server b ăn mòn h t tài nguyên. Các SYN packet đủ ể ạ ị ế ượ ử ực g i tr c ti p ế
đ n Server sau khi đã gi m o IP ngu n. IP gi m o s là 1 IP không có th t trên Internet đ cho Server không th nào hoàn ế ả ạ ồ ả ạ ẽ ậ ể ể
thành được connection.
• Ta có Server A và Victim, gi s ta g i 1 SYN packet đ n Server A trong đó IP ngu n đã b gi m o thành IP c a Victim, b n ả ử ử ế ồ ị ả ạ ủ ạ
nghĩ chuy n gì s x y ra ??? Đúng, Server A s m 1 connection và g i SYN/ACK packet cho Victim vì nghĩ r ng Victim mu n ệ ẽ ả ẽ ở ủ ằ ố
m connection v i mình. Và đây chính là khái ni m c a Reflection ( Ph n x ). ở ớ ệ ủ ả ạ
• Hacker s đi u khi n Spoof SYN generator, g i SYN packet đ n t t c các TCP Server l n, lúc này các TCP Server này vô tình ẽ ề ể ử ế ấ ả ớ