2.3.9.1 Kỹ thuật tấn công
Tấn công DOS truyền thống SYN Flood
Trước khi tìm hiểu về tấn DOS truyền thống ta cần phải nắm rõ nguyên lý hoạt động của gói tin với giao thức TCP. Giao thức TCP là giao thức hướng kết nối, để bắt đầu kết nối thì sẽ có quá trình bắt tay 3 bước, trong lúc trao đổi dữ liệu sẽ có các gói tin ACK để thông báo gói tin thành công hay không và trước khi ngắt kết nối giữa bên gởi và nhận thì có quá trình 4 bước kết thúc. Vậy giờ ta sẽ tìm hiểu về bắt tay 3 bước vì phần này có liên quan đến DOS.
Hình 2.12 Bắt tay 3 bước trong giao thức TCP.
Ví dụ: Giả sử có máy chủ web B và máy khách A. Máy khách A vào trình duyệt gõ http://www.viethanit.edu.vn khi vừa gõ xong và nhấn enter (bỏ qua các bước đi hỏi DNS) thì lúc này máy khách A và máy chủ B đang thực hiện bắt tay 3 bước trước khi kết nối truyền dữ liệu với nhau. Máy khách A sẽ yêu cầu kết nối đến máy chủ B với giao thức là HTTP và port mặc đinh là 80, nếu máy chủ B có dịch vụ web thì trả lời gói SYN và ACK lại và thông báo khả năng bên máy chủ như thế nào, tại máy khách A nhận được gói SYN từ máy chủ B thì nó liền gởi gói ACK cho máy chủ B để chuẩn bị sẵn sàng trao đổi dữ liệu với nhau.
Hacker đã dựa trên lỗ hổng của bắt tay 3 bước này. Giả sử Hacker gởi gói SYN lên cho máy chủ và máy chủ hồi đáp cho Hacker bằng gói SYN và ACK nhưng Hacker lại không nhận gói SYN và ACK từ máy chủ dẫn đến là máy chủ chờ đợi gói tin ACK từ Hacker gởi đến. Như vậy là máy chủ phải lưu quá trình đó lại vào bộ nhớ đệm và thử nghĩ rất nhiều yêu cầu SYN từ Hacker rồi máy chủ lại đưa các quá trình
đấy vào bộ nhớ đệm. Đến một lúc nào đấy bộ nhớ đệm đầy dẫn đến tình trạng máy chủ không thể tiếp tục phục vụ cho các máy khách hay ta nói là rơi vào tình trạng từ chối dịch vụ.
Hình 2.13 Tấn công từ chối dịch vụ truyền thống.
Tấn công DDOS vào băng thông
DDOS có nghĩa là nhiều Hacker cùng đánh vào một máy chủ hay một hệ thống mạng nào đấy. Tuy mạng của mỗi thằng Hacker không có băng thông lớn như máy chủ nhưng số lượng gói tin gởi đến máy chủ thì lại bị tắt nghẽn chỗ tiếp xúc giữa mạng Internet và mạng cục bộ của máy chủ đẫn đến tình trạng nghẽn mạng và hệ thống mạng sụp hoàn toàn.
Không giống tấn công DOS, kiểu DDOS này tấn công rất khó chịu và đã đánh thì chắn chắn nạn nhân chỉ có chết. Điển hình là 28/11/2010 trang Wikileaks.org bị tấn công DDOS và hệ thống bị tê liệt hoàn toàn. Ngày 14/02/2012 mới đây một nhóm Hacker đã tấn công DDOS vào bkav.com.vn làm hệ thống ngưng hoạt động trong một ngày và cũng bị nhóm Hacker này lấy toàn bộ cơ sở dữ liệu hơn 100 ngàn tài khoản gồm tài khoản, mật khẩu đăng nhập forum, email và các thông tin cá nhân khác. Chỉ riêng với với con số email này cũng đã làm cho công ty an ninh mạng bkav gặp nhiều rắc rối rồi. Hacker hoặc spam mail gởi các thông tin sai lệnh đến email của người dùng và dẫn đến công ty sẽ mất uy tín.
Tấn công vào tài nguyên hệ thống
Đây là kiểu tấn công nhằm vào tài nguyên hệ thống như CPU, bộ nhớ, tập tin hệ thống, tiến trình,... Hacker là một tập hợp người dùng hợp lệ và được một lượng tài nguyên giới hạn trên hệ thống. Tuy nhiên, Hacker sẽ lạm dụng quyền truy cập này để yêu cầu cấp thêm tài nguyên. Như vậy, hệ thống hay những người dùng hợp lệ sẽ bị từ chối sử dụng tài nguyên. Kiểu tấn công sẽ khiến cho hệ thống không thể sử dụng được tài nguyên vì tài nguyên đã bị dùng hết.
2.3.9.2 Một số biện pháp bảo mật khắc phục
Giảm thời gian thiết lập kết nối và chờ kết nối. (đặc biệt với tấn công DOS truyền thống)
Dùng những phần mềm phát hiện DDOS.
Dùng firewall và IDS, IPS để có thể hiệu quả hơn.