ICMP_Bomber là một phần mềm tiêu biểu cho một loạt các phần mềm mà các Hacker chuyên dùng để tấn công các hệ thống an toàn thông tin theo kiểu “từ chối dịch vụ” hay còn gọi là các phần mềm làm lụt hệ thống (flooder). Nó hoạt động dựa trên nguyên tắc là khi đ−ợc kích hoạt, nó sẽ liên tiếp gửi tới máy đích (máy bị tấn công) các gói tin ICMP và yêu cầu máy đích trả lời, trong khi tự thân nó sẽ không nhận các gói trả lời này. Khi số gói tin đ−ợc gửi tới là lớn, lúc đó máy bị tấn công sẽ phải liên tục xử lý và dẫn đến hiện t−ợng bị suy kiệt dần tài nguyên. Nếu sử dụng đồng thời nhiều máy để tấn công vào một máy chủ cung cấp dịch vụ thì dịch vụ đó sẽ bị tê liệt.
ICMP_Bomber đ−ợc viết để chạy trên các hệ thống Windows, ta chỉ cần sao chép file ICMP_Bomber.exe vào đĩa cứng hoặc đĩa mềm là có thể chạy đ−ợc ngay. Giao diện của ch−ơng trình nh− sau:
Hình 4.8: Giao diện ng−ời dùng của ICMP BOMBER
Các tham số để chạy bao gồm:
- Host: Địa chỉ IP của máy bị tấn công - Size: Độ lớn của gói tin gửi đi
- Interval: Khoảng thời gian giữa các lần gửi gói tin (Tốc độ gửi), đ−ợc tính bằng mili giây.
Các lệnh chạy:
- Start: Bắt đầu chạy ICMP_Bomber - Stop: Dừng chạy ICMP_Bomber
Hình 4.9: Kết quả khi chạy
Qua quá trình khảo sát khả năng tấn công của ICMP_bomber đối với các hệ thống an toàn thông tin, ta thu đ−ợc các kết quả sau: Khi ta sử dụng máy Windows98 (có cấu hình nh− sau: Processor Pentium Celeron 333 Mhz, 32 Mb RAM, 7.5 Gb HDD, ...) để kích hoạt phần mềm ICMP_Bomber để tấn công một máy chủ Sun Slaris (IP address: 200.1.1.3, Cấu hình phần cứng : Processor Pentium Celeron 300, 32 Mb RAM, 7.5 Gb HDD) theo các tham số sau:
- Host : 200.1.1.3 ( Đây chính là địa chỉ IP của máy chủ Sun) - Size : 1000 ( Độ lớn dữ liệu của mỗi gói là 1000 byte) - Interval:0.01 (Khoảng cách giữa 2 lần gửi là 0.01 mili giây)
Ta thấy rằng, trong cả 2 tr−ờng hợp là có chạy và không chạy phần mềm bảo vệ gói IP thì máy chủ Sun đều chịu một sự tấn công nh− nhau, hiện t−ợng nhận biết đ−ợc là tốc độ xử lí của máy chậm hẳn lại. Khi ta tiếp tục gia tăng sức tấn công bằng cách cho chạy ICMP_Bomber trên một máy Windows NT (Có cấu hình phần cứng nh− sau: Processor PII 450, 64 Mb RAM, 9.2 Gb HDD,..) để tấn công vào máy chủ Sun ở trên thì kết quả là máy chủ sun hoàn toàn bị tê liệt, không thể đáp ứng đ−ợc các dịch vụ mạng thông th−ờng nữa (ta có thể kiểm nghiệm bằng cách từ một máy ở trên mạng ftp hoặc telnet vào địa chỉ 200.1.1.3).
Nhận xét : Phần mềm IPSEC_SUN không có khả năng ngăn chặn các tấn công kiểu từ chối dịch vụ dùng phần mềm ICMP_BOMBER.