IV. Brigde Mode
3.2DOS (Denial of Services)
3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS
3.2DOS (Denial of Services)
Giới thiệu
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Nguyên lý
Sau đây là một vài những phương pháp tấn công từ chối dịch vụ khá phổ biến, trong đó chúng tôi chọn SYN Attack để thực hiện phần mô phỏng của bài viết này.
Teardrop: Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác
Khoa Khoa Học Và Công Nghệ Trang 79 định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn.
SYN Attack: Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này sẽ trả lời các gói SYN này đồng thời lưu các request này vào bộ nhớ để xử lý. Với hàng loạt gói tin như thế được chờ xử lý sẽ làm cho hệ thống quá tải, reboot … đạt được mục đích của tấn công DOS.
Land Attack : cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó.
Attack : Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
Mô phỏng
Trước hết nhóm chúng tôi thực hiện SYN attack trang web tự tạo bằng công cụ synflood.pl trên Backtrack và trên Check Point IPS chỉ để Detect chứ không Prevent ta sẽ có được kết quả như sau.
Khoa Khoa Học Và Công Nghệ Trang 80
Hàng loạt gói tin SYN từ một địa chỉ không có thực được gửi tới Web server
Khoa Khoa Học Và Công Nghệ Trang 81
Đây là thông tin ghi nhận được trên Check Point IPS – Mode Detect
Nguyên tắc phát hiện SYN flood của IPS thường dựa trên một bộ đếm, khi số lượng gói tin SYN gửi tới server từ cùng một host trong một khoảng thời gian là bất thường thì IPS sẽ xác định đó là tấn công SYN flood. Ví dụ: 300 gói tin trong vòng 10 giây. Web server đã phải xử lý quá nhiều gói SYN được gửi tới nên không còn khả năng đáp ứng cho các yêu cầu truy cập web khác nữa. Vấn đề sẽ được giải quyết sau khi chúng ta chuyển từ Detect sang Prevent trên Check Point IPS.
Khoa Khoa Học Và Công Nghệ Trang 82
Lúc này Check Point IPS đã chuyển sang Prevent
Trang web đã có thể truy cập lại trong khi attacker vẫn đang SYN flood
Khoa Khoa Học Và Công Nghệ Trang 83 Dựa theo kêt quả ghi nhận được ta có thể thấy được nếu phát hiện SYN Attack Check Point IPS sẽ thực hiện một công việc để ngăn chặn tấn công đó là IPS sẽ tự động gửi lại gói tin RST tức Reset cho attacker hay nói cách khác mọi gói tin trong cuộc tấn công DOS này sẽ được trả về gói RST và Web Server sẽ không phải xử lý hàng loạt Request như thế nữa. Đồng thời IPS cũng sẽ gửi gói RST về cho Web Server với mục đích kết thúc những Session còn lưu của Web Server. Ta có thể nhận thấy vấn đề ngăn chặn DOS vẫn còn phụ thuộc vào khả năng xử lý của IPS nên đây chỉ là một phương pháp để giảm tới mức tối thiểu thiệt hại khi bị tấn công từ chối dịch vụ.
Khoa Khoa Học Và Công Nghệ Trang 84
Phần 5 : Giải pháp cho trường Đại học Hoa Sen
Do không nắm rõ về cấu trúc hệ thống của trường đại học Hoa Sen nên nhóm chúng tôi xin được đề xuất một vài ý kiến khái quát về việc sử dụng những tính năng của Firewall Check Point trong hệ thống mạng của Đại học Hoa Sen.
1) Sử dụng IPS để tăng cường khả năng bảo vệ cho các Server trong hệ thống trước những làn sóng tấn công của tội phạm mạng ngày càng tăng cao. Tuy chỉ là trang Web của trường học, mang tính chất giáo dục nhưng vẫn không thể không đề phòng những cuộc tấn công nhằm hạ thấp uy tín của trường cũng như lợi dụng Website của trường để phát tán mã độc. Kiến trúc IPS có thể bao gồm nhiều Module đặt trước những Server quan trọng như Web, Mail và một Module đặt ngay biên của hệ thống.
2) Sử dụng chức năng ISP Redundancy để bảo đảm tính sẵn sàng của hệ thống cũng như đảm bảo điều kiện kết nối Internet cho sinh viên nhằm tăng chất lượng dạy và học của trường.
3) Vận dụng các cơ chế Load Balancing cho các Server trường, đặc biệt là các Server đăng ký môn học để tăng năng suất hoạt động của hệ thống, tránh tình trạng tắt nghẽn hay Server hoạt động quá tải.
4) Vận dụng các Rule, Security Policy để quản lý các mạng con trong hệ thống của trường. Cụ thể là trong việc quản lý việc sử dụng mạng Wifi trường của sinh viên. Ví dụ như dùng Rule để chặn sinh viên truy cập vào những trang web không lành mạnh, giới hạn giờ truy cập Internet của sinh viên …
5) Cuối cùng và cũng không kém phần quan trọng đó là vận dụng các cơ chế bảo
mật của Firewall Check Point trong việc xác thực người dùng vào các trang Web nội bộ của trường.