2.1. Phương pháp tấn công DoS
Những kiểu tấn công chủ động rất dễ nhận biết, bởi vì những nguy hiểm đối với hệ thống mạng được thể hiện rất rõ. Những kẻ tấn công theo cách này không lắng nghe thông tin trên đường dây mà thường tìm cách phá hoại đến môi trường mạng và những dịch vụ đang hoạt động. Phương pháp tấn công chủ động có khuynh hướng rất rõ ràng, bởi vì những nguyên nhân gây ra thiệt hại thường là nhận biết được. Một trong những kiểu tấn công tiêu biểu cho dạng tấn công này đó là kiểu tấn công DoS và DDoS.
DoS (Denial of Service) là phương pháp tấn công trực diện vào trung tâm của mạng nhằm làm cho cơ sở hạ tầng của những dịch vụ mạng bị phân tán. Kiểu tấn công này thường không chú trọng đến việc đột nhập vào hệ thống mà nó định tấn công, nó thường tác động làm giảm chất lượng cung cấp dịch vụ của mạng, làm cho hệ thống không còn khả năng phân phối dịch vụ cho khách hàng nữa. Thông thường chúng ta đều nghĩ rằng mục tiêu tấn công chủ yếu của DoS chỉ là những máy chủ (server). Điều này không phải lúc nào cũng là đúng, bởi vì mục đích tấn công chủ yếu của phương pháp này chính là nó làm giảm chất lượng cung cấp dịch vụ ứng dụng tới tất cả những khách hàng của hệ thống mạng đó. Mà mọi khách hàng đều sử dụng môi trường vật
môi trường liên lạc này thường đều có giới hạn nhất định về traffic nào đó. Khi đó kẻ tấn công sẽ gửi tới mạng liên tiếp những gói tin khiến cho hệ thống, hay server không thể xử lý kịp những gói tin đó. Đây cũng chính là nguyên nhân mà ta không thể dự đoán trước được. Cách tấn công này có thể gây ra hiện tượng mạng bị treo, thậm chí nó còn làm cho mạng bị shutdown. Một số lượng lớn những vụ tấn công bởi DoS có thể sẽ gây khó khăn cho việc phát hiện và ngăn chặn hiện tượng này và nó còn có thể làm sai lệch thông tin cảnh báo mà bạn nhận được.
Phần lớn các cuộc tấn công bằng phương pháp DoS đều bắt nguồn từ nguyên nhân xảy ra những lỗ hổng trên mạng mà hacker đã dò và phát hiện ra. Phương pháp tấn công DoS không chỉ được hình thành và thực hiện từ những hệ thống ở xa mà nó còn được xuất phát từ chính bên trong của những mạng đó. Những cuộc tấn công DoS xuất phát từ mạng cục bộ thường dễ xác định được vị trí tấn công để sửa chữa vì giới hạn không gian của vấn đề đã được xác định rõ ràng.
Phương thức tấn công DoS có hai dạng cơ bản phổ biến, đó là : +Tấn công phá hoại tài nguyên.
+Tấn công vào những gói tin dị tật.
Tài nguyên của máy tính luôn là có hạn, các nhà quản trị trên toàn thế giới đều nhận thức được về vấn đề thiếu thốn này như sự khan hiếm về dải thông, sự hạn chế của CPU, RAM, và bộ nhớ phụ. Sự thiếu hụt này gây nên rất nhiều khó khăn cho việc phân phối một vài dạng dịch vụ tới những khách hàng (client). Một trong những dạng tấn công tiêu biểu cho hình thức này được gọi là network bandwidth. Một số các doanh nghiệp có vị trí thuận lợi và có dải thông dư thừa cũng nên đề phòng với loại hình tấn công này vì chính sự dư thừa đó lại tạo cơ hội nảy sinh những đợt tấn công kiểu này. Sự tàn phá nguồn tài nguyên mạng phần lớn là bắt nguồn từ bên ngoài mạng nhưng ta cũng không nên loại bỏ khả năng mình sẽ bị tấn công từ chính bên trong mạng đó. Dạng tấn công này thường được thực hiện bằng cách kẻ tấn
công gửi một lượng lớn những gói tin tới máy tính bị hại. Hình thức tấn công này được gọi là hiện tượng làm “tràn” mạng (flooding). Mạng bị tấn công có thể bị tràn ngập bởi các gói tin gửi tới, dải thông của mạng sẽ bị chiếm hết và do đó các dịnh vụ khác muốn chạy trên hệ thống đều bị nhưng trệ, hệ thống mạng coi như trở thành tê liệt.
Một cách phá huỷ hệ thống khác cũng hay được sử dụng là nhờ vào sự cấu hình mạng một cách lỏng lẻo, hacker sẽ tìm cách điều khiển traffic của kẻ bị hại, bằng cách này hacker có thể lừa bịp sự kiểm soát của mạng và dễ dàng làm cho mạng đó bị tràn ngập. Kiểu tấn công mạng như vậy được gọi là tấn công vào ứng dụng (Application attacks).
Nhìn chung DoS là một dạng tấn công mạng hoạt động trong một phạm vi rất rộng, vì thế nó thường xuất hiện trong rất nhiều hoàn cảnh khác nhau. Đây là một dạng tấn công nhằm mục đích phá hoại những tài nguyên trên mạng, làm giảm khả năng kết nối của hệ thống để hợp pháp hoá tư cách sử dụng tài nguyên mạng của những kẻ phá hoại, từ đó làm tê liệt hệ thống hay hệ điều hành mạng.
2.2. Phương pháp tấn công DDoS
DDoS (Distributed Denial of Service) là cách thức tấn công được phát triển dựa trên những gì mà DoS đã sẵn có. Đây là một trong những phương pháp tấn công phổ biến hiện nay, nó gắn liền với tất cả các mạng và phân phối trên rất nhiều mạng máy tính trên thế giới. Cách thức tấn công DDoS được chia làm hai pha khác biệt.
+Trong suốt thời gian của pha một DDoS, kẻ làm hại mạng máy tính này sẽ hoạt động trên khắp mạng Internet và tiến hành cài đặt những phần mềm đặc biệt trên các host nhằm mục đích giúp đỡ cho sự tấn công sau này.
+Trong pha thứ hai, những host đã bị hại (được gọi là zombies) sẽ cung cấp thông tin cho giai đoạn trung gian (master) để bắt đầu cho một cuộc tấn
công. Hàng trăm, thậm chí có thể là hàng nghìn zombies có thể được kết nạp vào cuộc tấn công này bởi những kẻ hacker chuyên cần. Bằng cách sử dụng những phần mềm đã cài đặt từ trước để điều khiển, mỗi zombies sẽ được sử dụng sao cho chính bản thân nó sẽ có thể tấn công vào mục tiêu. Những kết quả tấn công bằng zombies sẽ được tích luỹ lại và nó làm cho một lượng lớn traffic trên mạng sẽ bị rỗng cạn tài nguyên và các liên lạc sẽ bị chồng chất lên nhau.
2.3. Tấn công SYN
Bản chất của phương pháp tấn công SYN attacks là dựa vào những yếu điểm của giao thức TCP/IP. Phương pháp này lợi dụng quá trình bắt tay ba bước (3-way handshake) để làm cho thiết bị đích gửi ACK về cho địa chỉ nguồn và không kết thúc quá trình bắt tay được.
Trước hết chúng ta tìm hiểu về quá trình bắt tay ba bước.
Hình 3.1.1: Quá trình bắt tay 3 bước (3- way handshake)
Quá trình này được bắt đầu khi một host gửi đi một gói SYN (synchronization). Trong gói syn này sẽ có địa chỉ IP của nguồn và đích, nó sẽ
giúp máy đích gửi gói tin SYN/ACK cho máy nguồn. Khi máy nguồn nhận được gói tin này nó sẽ gửi gói tin ACK xác nhận thiết lập kết nối.
Trong kiểu tấn công SYN, hacker sẽ gửi những gói tin SYN nhưng giả mạo địa chỉ IP nguồn. Khi đó máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, không đến được và chờ nhận ACK từ máy đó. Trong trạng thái chờ như vậy, yêu cầu thiết lập kết nối được lưu trong hàng đợi hoặc trong bộ nhớ. Trong suốt trạng thái chờ, hệ thống bị tấn công sẽ phải dành hẳn một phần tài nguyên cho đến khi thời gian chờ hết hạn.
Hiình 3.1.2: SYN attack
Với rất nhiều gói tin SYN gửi đi, hacker sẽ làm tràn ngập thiết bị khiến cho thiết bị này bị tràn ngập tài nguyên khi trả lời và chờ các kết nối giả tạo và nó không còn khả năng trả lời cho các yêu cầu kết nối thật khác.
Để chống lại phương pháp này có thể dùng cách giảm thời gian chờ cho một kết nối và tăng kích thước hàng đợi lên. Tuy nhiên đây chỉ là cách bị
động để giải quyết. Phương pháp tốt nhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệu của các đợt tấn công này để ngăn chặn từ trước.