MỞ ĐẦU
.7 Tấn công từ chối dịch vụ(Denial Of Service):
dụng) của máy tính bị tấn công. Chúng ta có hai kiểu tấn công từ chối dịch vụ, thứ nhất, khai thác các lỗi của ứng dụng. Thứ hai, khai thác các lỗi cài đặt cảu giao thức hoặc các điểm yếu của giao thức.
Tấn công từ chối dịch vụ mức ứng dụng(Application Denial Of Server):
Những chỗ yếu của ứng dụng có thể làm cho kẻ tấn công có khả năng lấy được quyền điều khiển máy tính, chúng cũng có thể là nguyên nhân cho kẻ tấn công sử dụng kỹ thuật tấn công từ chối dịch vụ để vô hiệu hoá khả năng của ứng dụng. Ứng dụng sẽ vô dụng bởi không được cấp phát nguồn tài nguyên hoặc bị đổ vỡ.
Tấn công từ chối dịch vụ mạng(Network Denial Of Server):
Đây là một kiểu khác của tấn công từ chối dịch vụ sử dụng đặc trưng của giao thức TCP/IP.
a) Tấn công tràn SYN(SYN Flooding):
Như chúng ta đã biết, khi một máy tính muấn tạo ra một kết nối TCP, nó sẽ gửi một gói tin có cờ SYN tới Server, khi đó, Server sẽ đáp ứng lại bằng một gói tin có cờ SYN|ACK. Kể từ lúc này, yêu cầu kết nối sẽ được đặt vào bộ đệm TCP/IP cho tới khi nó nhận được gói tin có cờ ACK cuối cùng từ Client. Tuy nhiên, trong trường hợp, nó không bao giờ nhận được gói tin cuối cùng có cờ ACK từ Client, như vậy sẽ có rất nhiều kết nối tồn tại trong bộ nhớ của TCP/IP. Đây chính là điểm yếu trong thiết kế của TCP/IP. Rõ ràng là kết nối không được sử dụng, tuy nhiên, điều này lại là nguyên nhân gây ra bão hoà nguần tài nguyên của một máy tính.
Sau đây chúng ta sẽ xem xét chi tiết hơn về cách tấn công tràn SYN. Một máy tính Client nào đó sẽ gửi một gói tin có cờ SYN tới máy Server, để yêu cầu tạo kết nối, với một địa chỉ nguồn đã được giả mạo. Máy tính Server sau đó sẽ đáp ứng lại bằng một gói tin có cờ SYN|ACK được thiết lập, cho biết đã sẵn sàng tạo lập kết nối với địa chỉ nguồn giả mạo. Đồng thời yêu cầu kết nối sẽ được đặt vào bộ đệm cho đến khi nhận được gói tin cuối cùng có cờ ACK. Nhưng do địa chỉ nguần là giả mạo, do vậy, máy Server sẽ không bao giờ nhận được gói tin có cờ ACK. Trong kỹ thuật tấn công tràn SYN, kẻ tấn công sẽ có thể gửi đi hàng trăm, thậm chí hàng ngàn gói tin trong một phút. Và như vậy, sẽ có hàng ngàn kết nối tồn tại trong bộ đệm của Server. Máy tính sẽ không thể xử lý các yêu cầu kết nối tiếp theo. Đây là một cách tấn công phổ biến, hiệu quả và rất dễ xây dựng chỉ với một chút kiến thức về mạng máy tính và bộ giao thức TCP/IP.
b) Tấn công tràn UDP(UDP Flooding):
Kiểu tấn công này khai thác chế độ không kết nối của giao thức UDP. Nó tạo ra một “cơn bão” các gói tin UDP hoặc là tới một máy tính hoặc là giữa hai máy tính. Giống như sự tấn công hai máy tính trên mạng gây sự tắc nghẽn hoặc bão hoà tài nguyên giữa hai máy tính. Sự tắc nghẽn là nguy hiểm hơn bởi gói tin UDP có chu kỳ lớn hơn gói tin TCP. Giao thức TCP có kỹ thuật điều khiển tắc nghẽn, nó thể biết được các gói tin đến sau một khoảng thời gian dài. Phương thức này đáp ứng với tần số gửi gói tin TCP. Giao thức UDP thì không có kỹ thuật này. Giao thức UDP sử dụng toàn bộ băng thông, chỉ dành một lượng rất nhỏ cho TCP.
Một kiểu tấn công rất nổi tiếng của UDP Flooding là Chargen Denial
Of Server Attack. Kỹ thuật này đơn giản như sau: Thiết lập một kênh kết
nối giữa một máy chủ dịch vụ chargen với dịch vụ echo của một máy tính khác. Dịch vụ chargen có đặc tính là nó tạo ra các ký tự trong khi dịch vụ
tin UDP tới cổng 19(chargen) của máy tính bị tấn công, đồng thời giả mạo địa chỉ IP của máy tính khác và cổng nguồn là UDP 17(echo). UDP Flooding sẽ làm bão hoà băng thông giữa hai máy tính. Một mạng máy tính có thể là nạn nhân của kỹ thuật tấn công UDP Flooding.
c) Phân mảnh gói tin(Packet Fragment):
Kiểu tấn công này dựa vào điểm yếu của giao thức TCP/IP liên quan đến quá trình phân mảnh và đóng gói lại gói tin IP, như đã đề cập phần trên.
d) Smurfing:
Kỹ thuật tấn công này sử dụng giao thức UDP. Khi một thông điệp ICMP ECHO được gửi đi tới địa chỉ quảng bá, nó được gửi tới tất cả các máy tính trong mạng. Nguyên tắc của kỹ thuật tấn công này là giả mạo các gói tin ICMP ECHO REQUEST gửi tới máy đích. Kẻ tấn công sẽ gửi liên tục chuỗi ICMP tới địa chỉ quảng bá trên mạng và tất cả các máy tính sẽ gửi câu trả lời tới máy đích với thông điệp ICMP ECHO REPLY. Chuỗi thông tin ICMP này sẽ được nhân lên nhiều lần bởi số lượng các host trong mạng. Trường hợp này, toàn bộ cả mạng máy tính sẽ bị giả mạo bởi kiểu tấn công từ chối dịch vụ.
CHƯƠNG :IV XÂY DỰNG CHƯƠNG TRÌNH HỖ TRỢ QUẢN TRỊ MẠNG