- Bước 4: Hacker đã tạo mỘt đoạn mã hay chương trình hoặc một trangWeb để ghi nhận những thơng tin đã đánh cắp vào một tập tin.
e Ấn định phiên làm việc se Đánh cắp phiên làm việc
2.2.4.1 Khái niệm tấn cơng kiểu DoS (Denial of Service)
Tấn cơng từ chối dịch vụ DoS là các cuộc tấn cơng trên hệ thống mạng nhằm ngăn cản những truy xuất tới một dịch vụ. Tấn cơng DoS làm cho các dịch vụ mạng bị tê liệt, khơng cịn khả năng đáp Ứng được yêu cầu bằng cách làm tràn ngập số lượng kết nối, quá tải server hoặc chương trình chạy trên server, tiêu tốn
tài nguyên của server, hoặc ngăn chặn người dùng hợp lỆ truy nhập tới dịch vụ
mạng. Loại tấn cơng này ảnh hưởng đến nhiều hệ thống, rất dễ thực hiện và rất khĩ bảo vệ hệ thống khỏi kiểu tấn cơng DoS.
Thơng thường, kiểu tấn cơng DoS dựa trên nhỮng giao thức (Ví dụ như tràn
ngập ICMP với Smurf, Ping of Death, khai thác điểm yếu của TCP trong hoạt động của giao thức và phân mảnh gĩi tin, hacker cĩ thể sử dụng bom email để gửi hàng loạt thơng điệp email với mục đích tiêu thụ băng thơng để làm hao hụt tài nguyên hệ thống trên mail server). Hoặc cĩ thể dùng phần mềm gửi hàng loạt yêu cầu đến máy chủ khiến cho máy chủ khơng thể đáp Ứng những yêu cầu chính đáng khác.
Những khả năng bị tấn cơng:
> Tấn cơng trên Swap space: Hầu hết các hệ thống đều cĩ vài trăm MB khơng gian chuyển đổi (Swap space) để phục vụ những yêu cầu từ máy khách.
Swap space thường dùng cho các tiến trình con cĩ thời gian ngắn, nên DoS
cĩ thể dựa trên phương thức làm tràn đầy Swap space.
> Tấn cơng trên Bandwidth: Phần băng thơng dành cho mỗi hệ thống là giới hạn, vì thế nếu hacker cùng lúc gửi nhiều yêu cầu đến hệ thống thì phần
băng thơng khơng đủ đáp ứng cho một khối lượng dữ liệu lớn đĩ và dẫn
đến hệ thống bị phá vỡ.
> Tấn cơng vào Ram: Tấn cơng Dos chiếm một khoảng lớn bộ nhớ của Ram, cũng cĩ thể gây ra các vấn đề phá hủy hệ thống. Kiểu tấn cơng Buffer Overflow là một ví dụ cho cách phá hủy này.
> Tấn cơng vào Disks: Một kiểu tấn cơng cổ điển là làm đầy đĩa cứng. Đĩa cứng cĩ thể bị tràn và khơng thể được sử dụng nữa.
2.2.4.2 Các kỹ thuật tấn cơng a. Khái niệm Tcp bắt tay ba chiều
Để nghiên cứu phương pháp tấn cơng DoS, trước tiên tìm hiểu về cơ chế làm việc “Tcp bắt tay ba chiều”. Trong đĩ:
- Gĩi dỮ liệu TCP với cờ SYN (synchoronize) dùng để bắt đầu 1 kết nối. - ACK (acknowledgemerr) là sự cơng nhận.
Cách hoạt động của gĩi TCP:
TCE IGP C.liemi
Hình 2.5 Cơ chế thiết lập kết nối trước khi truyền số liệu > Buớc 1: Máy con gửi gĩi tỉn SYN yêu cầu kết nối.
» BƯỚc 2: Nếu máy chủ chấp nhận kết nối, máy chủ sẽ gửi gĩi tin SYN/ACK. Server bắt buộc phải gửi thơng báo lại bởi vì TCP là chuẩn tin
cậy nên nếu máy con khơng nhận được thơng báo thì sẽ nghĩ rằng packet đã bị lạc và gửi lại một packet mới .
> BƯỚc 3: Máy con gửi hồi đáp bằng gĩi tin ACK, báo cho máy chủ biết rằng máy con đã nhận được SYN/ACK packet và lúc này kết nối đã được thiết
lập.
b. Lợi dụng TCP thực hiện phương pháp SYN flood truyền thống