CHƢƠNG 1 : TỔNG QUAN VỀ MẠNG MANET
3.3 Đặc tả giao thức SCTP
3.3.6 Vấn đề an toàn dữ liệu
Với mục tiêu ban đầu khi thiết kế giao thức SCTP để khắc phục những khó khăn mà các giao thức hiện tại đang gặp phải đồng thời phải kế thừa đƣợc những đặc tính cốt lõi của các giao thức truyền thống nền tảng. SCTP đƣợc thiết kế để vận chuyển tin cậy các dữ liệu nhạy cảm với độ trễ của ngƣời sử dụng giữa 2 điểm đầu cuối. Do vậy, SCTP cần phải có các khả năng sau:
- Sẵn sàng cung cấp các dịch vụ truyền dữ liệu tin cậy và kịp thời
- Đảm bảo tính toàn vẹn thông tin của ngƣời sử dụng giữa các điểm đầu cuối.
Trong luận văn này tôi xin tập trung vào trình bày một phƣơng pháp tấn công chủ yếu và dễ dàng nhất mà giao thức truyền thống TCP đang gặp phải và chƣa có phƣơng án khắc phục triệt để đó là tấn công từ chối dịch vụ - DoS (Deny of Service).
Các phƣơng pháp tấn công DoS xảy ra khi những kẻ tấn công không thể can thiệp, thay đổi hay xem nội dung dữ liệu SCTP. Các tấn công này bao gồm "làm lụt mạng"(flooding), "giả trang" (Masquerate)… Để bảo vệ mạng trƣớc các cuộc tấn công loại này, SCTP sử dụng cơ chế bắt tay 4 bƣớc trong quá trình khới tạo kết nối. Kiến trúc cookie đã đƣợc kết hợp để tránh tấn công DoS (Denial of Service). Một SCTP client sẽ gửi một bản tin int với SCTP server. Phía server sẽ phản hồi với một bản tin khởi tạo int ack mà nó bao gồm một cookie (một TCB (Transmission Control Block), một thời gian hiệu lực (validity period), và một chữ kí chứng thực (signature for authentication)). Bản
tin int ack đƣợc đánh địa chỉ IP nguồn là địa chỉ bản tin int gửi đến, một kẻ tấn công không thể lấy đƣợc cookie này. Phía Client không phải giả mạo sẽ lấy cookie và gửi trả lại cho phía server một thông điệp cookie echo. Khi bản tin này đƣợc phía server nhận, server sẽ bắt đầu cấp pháp tài nguyên cho client. Quá trình này kết thúc với một cookie ack message. Chi tiết nhƣ sau:
A) Trong quá trình khởi tạo kết nối bên gửi A sẽ gửi bản tin INIT trong đó bao gồm một giá trị Verification Tag (Tag_A) nằm trong trƣờng Verification Tag của bản tin khởi tạo. Tag_A là một giá trị ngẫu nhiên trong khoảng từ 1 tới 4294967295. Sau khi gửi bản tin INIT, bên gửi ―A‖ sẽ khởi tạo một biến timer T1-init và ở trạng thái COOKIE-WAIT.
B) Bên nhận ―Z‖ sẽ phản hồi ngay lập tức với một INT ACK chunk. Địa chỉ IP đích của bản tin này là địa chỉ nguồn của bản tin INIT mà nó nhận đƣợc. Trong quá trình phản hồi, bên cạnh việc phải cung cấp các tham số khác nhau, bên nhận ―Z‖ sẽ đặt giá trị trƣờng Verification Tag tới Tag_A và cung cung cấp giá trị trƣờng Verification Tag của chính nó trong trƣờng tag khởi tạo. Ngoài ra ―Z‖ còn phải tạo và gửi kèm theo bản tin INIT ACK một Cookie. Một điều đang chú ý là sau khi gửi đi bản tin INIT ACK thì phía nhận ―Z‖ sẽ không cấp phát bất kì một tài nguyên nào hoặc lƣu giữ bất kì một trạng thái nào cho kết nối mới do vậy sẽ tránh đƣợc việc tấn công vào tài nguyên của hệ thống.
C) Sau khi nhận đƣợc bản tin INIT ACK từ ―Z‖, ―A‖ sẽ dừng biến timer T1 và sẽ chuyển trạng thái COOKIE-WAIT hiện tại. ―A‖ sau đó sẽ gửi COOKIE nhận đƣợc trong bản tin INIT ACK chunk là một COOKIE ECHO chunk sau đó sẽ khởi tạo T1- cookie timer và chuyển sang trạng thái COOKIE-ECHOED.
D) Sau khi nhận đƣợc bản tin COOKIE ECHO chunk, bên nhận ―Z‖ sẽ phản hồi lại một COOKIE ACK chunk sau khi kết hợp một TCB và chuyển sang trạng thái ESTABLISHED.
E) Sau khi nhận COOKIE ACK, bên nhận ―A‖ sẽ chuyển từ trạn thái COOKIE – ECHOED sang trạng thái ESTABLISED và dừng biến T1-cookie timer.
Nếu bên nhận không muốn tạo thêm kết nối nữa sau khi nhận đƣợc các bản tin INIT, INIT ACK thì nó sẽ gửi một bản tin phản hồi ABORT chunk.
Nhƣ vậy: Toàn bộ quá trình khởi tạo kết nối đều đƣợc bảo vệ, phía bên nhận sẽ không cấp phát tài nguyên ngay sau khi nhận đƣợc bản tin yêu cầu kết nối, việc cấp phát chỉ đƣợc thực hiện sau khi xác thực đúng đối tƣợng yêu cầu và không thể giả mạo đƣợc.