3.4.1.1. Tấn công “Từ chối dịch vụ” (Denial of Server - DoS)
Nhƣ tên gọi của nó tấn công DoS (Denial of Service) nhằm mục đích làm trì trệ hoặc thậm chí tê liệt một dịch vụ của hệ thống hoặc mạng máy tính với một cách hoặc nhiều cách khác nhau. Mục đích của tấn công DoS không phải là thâm nhập hoặc lấy cắp thông từ hệ thống mà làm cho tê liệt dịch vụ trong hệ thống hoặc trong mạng máy tính. Thực chất của tấn công DoS là Hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên máy chủ, mà tài nguyên đó có thể là băng thông, bộ nhớ, bộ vi xử lý, đĩa cứng... làm cho máy chủ không thể nào đáp ứng các yêu cầu khác từ các khách hàng là những ngƣời dùng hợp pháp. Hệ thống có thể nhanh chóng bị ngừng hoạt động, treo hoặc khởi động lại. Một số hình thức tấn công DoS hiện nay cũng đã gây nhiều khó khăn trong việc phát hiện và xử lí nó. Có thể là trong vòng vài tuần, hoặc vài tháng và rồi là những cuộc tấn công mới với kịch bản nhƣ trƣớc sẽ xuất hiện ở nhiều nơi. Chính vì thế, khi xây dựng hệ thống dữ liệu điện tử đặc biệt là các cổng thông tin điện tử thì yêu cầu đầu tiên đối với trang thông tin phải bắt buộc có đề xuất giải pháp chống tấn công DoS , điều này không chỉ là an toàn cho cá nhân mà là sự an toàn thông tin cho cả một cộng đồng mạng.
Trong hầu hết các cuộc tấn công DoS, hacker tìm cách tận dụng sự thiếu trong tích hợp cấu trúc bảo mật của giao thức Internet phiên bản 4 (IPv4). IPv6 6 đã khắc phục đƣợc rất nhiều lỗ hổng về bảo mật, nhƣ đã chứng thực đƣợc nguồn gốc của gói tin và tính toàn vẹn của nó bằng cách sử dụng một header chứng thực. Mặc dù vậy thì nó vẫn chƣa thể giải quyết đƣợc vấn đề hiện nay do IPv6 chƣa đƣợc sử dụng rộng rãi.
Tấn công DoS không nhƣ hình thức nguyên thủy chỉ bắt nguồn từ những hệ thống từ xa, mà hiện nay cũng có thể tấn công từ các máy nội hạt. Tấn công DoS từ các máy nội hạt thƣờng sẽ dễ dàng hơn trong việc xác định vị trí tấn công và sửa chữa bởi các thông số ở nơi xảy ra sự cố là đƣợc xác định rất chính xác và rõ ràng. Một ví dụ điển hình cho tấn công DoS từ các máy nội hạt là là dạng Bom fork, với dạng Bom này rất dễ dàng lặp lại cho quá trình đẻ trứng làm hao mòn tài nguyên hệ
Mặc dù các cuộc tấn công DoS theo định nghĩa là không tạo ra một nguy cơ về bảo mật cho các dữ liệu nhạy cảm, nhƣng chúng có thể hoạt động nhƣ một công cụ hiệu quả để che dấu sự xâm nhập, nhằm qua mặt các quản trị viên. Trong khi các quản trị viên cố gắng khắc phục cái mà họ cho là vấn đề chính thì việc xâm nhập có thể đang xảy ra ở một nơi khác. Trong sự hỗn loạn đó, kết quả là hệ thống bị treo và kém bảo mật, Hackers hoàn toàn có thể lẩn trốn để thực hiện mục đích riêng mà không bị phát hiện.
Các công ty phụ thuộc vào các kết nối truy cập Internet và mua bán qua mạng sẽ là những mục tiêu của tấn công DoS và DDoS. Các trang Web chính là nơi diễn ra các hoạt động thƣơng mại điện tử, tốc độ và dữ liệu sao lƣu trên nó ảnh hƣởng rất nhiều đến lợi ích của khách hang và doanh nghiệp.Trong thế giới của thƣơng mại điện tử, nếu một trang web mà không đảm bảo đƣợc tốc độ truyền tải nội dung thì chỉ cần vài cái click chuột, khách hàng sẽ tìm đến cửa hàng ảo khác ngay lập tức.Lợi dụng điều này, cách tốt nhất mà một hacker muốn gây tổn hại cho hệ thống thƣơng mại điện tử chính là truy cập vào một đích từ nhiều nguồn khác nhau.
3 hình thức tấn công DoS đƣợc thiết kế để phá vỡ kết nối mạng. + TCP SYN flood attacks (Tấn công thông qua kết nối )
+ Land.c attacks ( Lợi dụng tài nguyên của nạn nhân để tấn công ) + Smurf attacks (Sử dụng tài nguyên khác )
a.TCP SYN Flood Attacks
Kiểu tấn công Flood TCP SYN đƣợc thiết kế để tận dụng ƣu điểm của phƣơng pháp sử dụng trong thiết lập một kết nối TCP mới. Vẫn đƣợc hiểu nhƣ là phƣơng pháp bắt tay 3 bƣớc TCP. Hình bên dƣới mô tả phƣơng thức làm thế nào các kết nối TCP đƣợc thiết lập.
Hình2.4:Thiết lập kết nối TCP
Trong ví dụ trên client cố gắng thiết lập một kết nối TCP tới web server. Đầu tiên nó sẽ gửi đi một gói tin SYN (synchronize) tới server để đồng bộ số trình tự. Nó quy định số thứ tự ban đầu của nó ISN. Để khởi tạo một kết nối, client và server phải đồng bộ số thứ tự khác nhau của mối bên. Các trƣờng xác nhận ACK sẽ đƣợc gán cho giá trị là 0 bởi vì đây là gói tin đầu tiên của quá trình bắt tay 3 bƣớc và không có sự thừa nhận. Trong gói tin thứ 2 server gửi đi một xác nhận riêng của mình SYN tới client gọi là: SYN-ACK. Server xác nhận yêu cầu từ client nhƣng nó sẽ gửi thông tin riêng của mình cho quá trình đồng bộ hóa. Để kết thúc kết nối, client sẽ gửi một gói xác nhận ACK tới web server. Client sẽ sử dụng phƣơng pháp giống nhƣ server để cung cấp một số xác nhận.
Trong kiểu tấn công Flood TCP SYN kẻ tấn công sẽ sinh ra những gói tin giả mạo xuất hiện nhƣ yêu cầu của một kết nối mới. Các gói tin này sẽ đƣợc nhận bởi server nhƣng kết nối sẽ không bao giờ hoàn tất. Trong khi đó server thì lại cố gắng trả lời kết nối không thành công. Sau khi một số gói tin nhƣ vậy đƣợc gửi tới server thì nó có thể bỏ qua để trả lời những kết nối mới chuyển tới cho tài nguyên sẵn có xử lý yêu cầu bổ sung hoặc khi mà cuộc tấn công dừng lại.
Hình 2.5: Tấn công Flood TCP SYN
Giả mạo là công nghệ mà kẻ tấn công sử dụng để gửi các gói tin IP với địa chỉ nguồn của ngƣời khác để giấu đi danh tính của họ. Đôi khi những kẻ tấn công sử dụng ủy quyền địa chỉ IP external hoặc internal cái mà đƣợc tin tƣởng bởi firewall và các thiết bị khác, qua đó có đƣợc quyền truy cập vào tài nguyên nội bộ. Server sẽ mở và bỏ qua tất cả những phiên kết nối giả mạo cho tới khi time out. Chính là nguyên nhân làm giảm sút hiệu năng một cách đáng kể.
b. Land.c attack
Một hình thức tấn công nguyên thủy của tấn công DoS là tấn công kiểu Land.c. Trong kiểu tấn công này thì kẻ tấn công sẽ gửi nhiều gói tin SYN với cùng một địa chỉ nguồn và địa chỉ đích và giống hệt port nguồn và port đích tới nạn nhân. Mục đích của kiểu tấn công này là buộc cho nạn nhân gửi các gói tin trả lời cho chính nó. Bởi vì kẻ tấn công liên tục gửi các gói tin, nạn nhân có thể giải phóng tài nguyên bằng cách gửi gói tin đến chính nó. Về mặt kỹ thuật, kẻ tấn công sử dụng tài nguyên riêng của máy chủ để chống lại chính nó.
c.Smurf Attacks
Kẻ tấn công cũng có thể tiêu tốn băng thông bằng cách chuyển những giao thông không cần thiết tới mạng của nạn nhân. Một ví dụ cổ điển của kiểu tấn công này là tấn công kiểu Smurf. Có 2 thành phần chính trong kiểu tấn công Smurf nhƣ sau:
+Sử dụng không có thật (bogus) gói tin echo request ICMP (Internet Control Message Protocol).
+Định tuyến các gói tin với địa chỉ IP broadcast.
Thông thƣờng, ICMP xử lý lỗi và kiểm soát thông điệp. Ví dụ, công cụ phổ biến nhất sử dụng ICMP là Ping. Nó đƣợc sử dụng để kiểm tra đặc tính hệ thống trên mạng bằng những thông tin phản hồi. Nó thực hiện bằng cách gửi đi các gói ICMP echo request tới hệ thống. Do đó nó sẽ nhận đƣợc các gói ICMP echo reply. Trong kiểu tấn công Smurf, gói ICMP echo request đƣợc gửi tới địa chỉ IP broadcast trên mạng để làm giảm hiệu năng hệ thống mạng. Hình bên dƣới sẽ mô tả những yếu tố cần thiết cho cuộc tấn công Smurf. Trong kiểu tấn công Smurf, thông thƣờng sẽ có kẻ tấn công, trung gian và nạn nhân. If dải địa chỉ mạng là 192.168.1.0 và subnet mask 255.255.255.0 thì địa chỉ broadcast là 192.168.1.255. Nếu giao thông ICMP đƣợc gửi tới địa chỉ broadcast thì tất cả hệ thống hoặc nhứng node ở trên mạng sẽ nhận gói echo request ICMP này. Do đó sẽ gửi gói echo reply trở lại. Ngoài ra, bên trung gian cũng có thể trở thành nạn nhân, bởi vì nó cũng nhận gói echo request gửi tới địa chỉ IP broadcast của mạng. Kẻ tấn công thực hiện thành công công nghệ này bởi sử dụng gói tin giả mạo. Bằng cách này thì nạn nhân sẽ trả lời với các gói tin echo reply và tiêu tốn băng thông có sẵn.
Hình 2.6: Tấn công kiểu Smurf
2.4.1.2 Tấn công DDoS
Mặc dù một số dạng tấn công DoS có thể đƣợc khuếch đại bởi nhiều trung gian, nhƣng xuất phát của DoS vẫn là bắt nguồn từ một máy tính đơn lẻ. Tuy nhiên
DoS đã đƣợc phát triển xa hơn ngoài cuộc tấn công một tầng (lũ SYN) và hai tầng (Smurf). Tấn công DDoS ra đời là bƣớc tiếp theo của DoS, khắc phục đƣợc nhiều thiếu xót mà DoS chƣa đáp ứng đƣợc. Đây là phƣơng pháp tấn công hiện đại có sự kết hợp của nhiều tầng tính toán phân tán. Khác biệt đáng chú ý trong phƣơng pháp tấn công này là nó bao gồm hai giai đoạn khác nhau. Giai đoạn đầu tiên, thủ phạm bố trí các máy tính phân tán trên Internet và cài đặt các phần mềm chuyên dụng trên các máy chủ để hỗ trợ tấn công. Giai đoạn thứ hai, máy tính bị xâm nhập (đƣợc gọi là Zombie) sẽ cung cấp thông tin qua kẻ trung gian (đƣợc gọi là Master) để bắt đầu cuộc tấn công.
Hàng trăm, có thể hàng ngàn, các zombie có thể đƣợc chọn đồng thời tham gia vào các cuộc tấn công của Hacker. Với việc sử dụng phần mềm điều khiển, các Zombie này sẽ thực thi cuộc tấn công DDoS hƣớng vào mục tiêu. Hiệu quả cộng dồn của tấn công Zombie làm hủy hoại nạn nhân với sự ồ ạt của một lƣợng lớn tin truyền tải làm tắc nghẽn thông tin hoặc làm cạn kiệt nguồn tài nguyên.
Ngoài ra, với kiểu tấn công nhƣ vậy sẽ giấu đi thông tin của kể tấn công thực sự: chính là kẻ đƣa ra các lệnh điều khiển cho các Zombie .Mô hình đa cấp của các cuộc tấn công DDoS cộng với khả năng giả mạo của các gói tin và mã hóa thông tin đã gây nhiều khó khăn cho quá trình tìm kiếm, phát hiện kẻ tấn công thực sự.Các cấu trúc lệnh hỗ trợ một cuộc tấn công DDoS khá phức tạp (hình 2.7) và khó có thể đƣa ra một thuật ngữ để mô tả chính xác. Dƣới đây là những cái tên quy ƣớc cho dễ hiểu hơn của cấu trúc và các thành phần tham gia trong cuộc tấn công DDoS:
Hình2.7: Tổng quan về một sơ đồ hình cây của tấn công DDoS.
- Client: Phần mềm khách đƣợc Hacker sử dụng để bắt đầu cuộc tấn công. Phần mềm khách sẽ gửi các chuỗi lệnh đến các máy chủ dƣới quyền.
- Daemon: Các chƣơng trình đang chạy trên một Zombie sẽ nhận chuỗi lệnh đến từ Client và thực thi các lệnh đó. Daemon sẽ chịu trách nhiệm thực thi chi tiết cuộc tấn công từ các dòng lệnh. (adsbygoogle = window.adsbygoogle || []).push({});
Các máy chủ tham gia vào cuộc tấn công DDoS bao gồm: - Master: Một máy tính chạy các phần mềm khách.
- Zombie: Một máy tính cấp dƣới chạy quá trình Daemon. - Target: Mục tiêu của cuộc tấn công.
Trên sơ đồ hình 2.7 nhận thấy rằng, để bắt đầu cho cuộc tấn công, tin tặc sẽ tìm kiếm mục tiêu trên Internet là những máy tính lỏng lẻo trong bảo mật. Tin tặc sử dụng cả hai kỹ thuật kiểm tra tự động và bằng tay để lần ra lỗ hổng của hệ thống mạng và máy chủ. Tin tặc sử dụng các tập lệnh để rà quét tự động các máy không an toàn, từ đó có thể đƣợc phát hiện đƣợc một cách chính xác cơ sở hạ tầng bảo mật
những khó khăn cho việc tìm kiếm và xác định danh tính của kẻ tấn công bởi kể tấn công sẽ tím cách thích ứng với cách tiếp cận của mình, việc chiếm quyền điều khiển một máy tính cúng tốn khá nhiều thời gian.
Sau khi các máy tính bảo mật kém đã đƣợc xác định, kẻ tấn công tìm cách xâm nhập hệ thống. Hacker có thể truy cập đƣợc vào máy chủ bằng nhiều cách (thƣờng thông qua các tài khoản máy chủ hoặc tài khoản quản trị), hầu hết các phƣơng pháp xâm nhập này đều có thể phòng ngừa đƣợc. Nhiệm vụ đầu tiên là Hacker sẽ phải đảm bảo việc xóa sạch bằng chứng cho thấy hệ thống đã bị xâm nhập và cũng đảm bảo rằng các máy chủ bị xâm nhập sẽ thông qua đƣợc các công cụ kiểm tra. Công cụ sử dụng để đảm bảo các nhiệm vụ này sẽ thành công đƣợc gọi chung là các rootkits.
Những máy chủ đã bị chiếm trở thành Master, còn các máy khác sẽ đóng vai trò Zombie. Master đƣợc cài đặt với một bản sao của phần mềm khách và đƣợc sử dụng làm trung gian giữa những kẻ tấn công và các Zombie. Các Master nhận thông tin rồi chuyển qua các Zombie mà chúng phụ trách.
Băng thông mạng cho các máy master không phải là một tham số ƣu tiên hàng đầu, bởi các máy master chỉ chịu trách nhiệm gửi và nhận các đoạn tin điều khiển ngắn nên có thể tiến hành trong cả mạng có băng thông thấp. Trên máy tính không đƣợc chỉ định làm Master, Hacker cài đặt các phần mềm Daemon để gửi ra các luồng tấn công, và các máy tính này đƣợc gọi là Zombie. Chƣơng trình daemon chạy trên nền của zombie, đợi một thông báo để kích hoạt và phát động cuộc tấn công nhắm vào nạn nhân đã đƣợc chỉ định. Một chƣơng trình daemon có thể khởi động nhiều loại tấn công, chẳng hạn nhƣ UDP hoặc lũ SYN. Kết hợp với khả năng sử dụng sự giả mạo, các daemon có thể chứng minh là một công cụ tấn công rất linh hoạt và mạnh mẽ.
Sau khi kẻ tấn công đã chuẩn bị đƣợc đầy đủ số Zombie cần thiết, cũng nhƣ đã xác định đƣợc nạn nhân của mình, kẻ tấn công có thể liên hệ với các master (hoặc thông qua các phƣơng pháp riêng hoặc với một chƣơng trình đặc biệt giành riêng cho DDoS) và chỉ thị chúng để khởi động cuộc tấn công. Các Zombie sẽ bắt đầu tấn
công sau khi nhận lệnh từ master. Chỉ mất vài giây để khởi động và phân tán rộng cuộc tấn công . với tốc độ nhƣ vậy, thì hacker có thể ngƣng cuộc tấn công.
Việc sử dụng và phát triển các phƣơng pháp tấn công DoS và DDoS đã tạo đƣợc sự quan tâm của chính phủ, các doanh nghiệp, và các chuyên gia bảo mật, do nó đƣa ra một phƣơng thức tấn công mới cực kỳ hiệu quả , trong khi rất khó trong việc tìm kiếm thông tin kẻ tấn công thực sự.
Chƣa dừng lại ở đó, phƣơng pháp này còn phát triển mạnh hơn trong họ DoS. Xuất hiện vào đầu năm 2002 và có thể tấn công bất cứ hệ thống nào trên thế giới, đó là kiểu tấn công từ chối dịch vụ phản xạ phân tán DRDoS (Distributed Reflection Denial of Service).
Hình 2.8: Tấn công kiểu DRDoS
Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của của máy chủ, tức là làm tắc nghẽn hoàn toàn đƣờng kết nối từ máy chủ vào xƣơng sống của internet và tiêu hao tài nguyên máy chủ. Trong suốt quá trình máy chủ bị tấn công bằng DRDoS không một máy khách nào có thể kết nối đƣợc vào máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP nhƣ DNS, HTTP, FTP, POP3,.. đều bị vô hiệu hóa. Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS.
SYN/ACK đến các máy đích mục tiêu. Các Server lớm, đƣờng truyền đó đã vô tình