3.2. Tấn công từ chối dịch vụ phân tán (DDoS)
3.2.3.2. Tấn công làm cạn kiệt tài nguyên
Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack): là kiểu tấn công trong đó kẻ tấn công gửi những gói tin dùng các giao thức sai chức năng thiết kế, hay gửi những gói tin với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ được người dùng thông thường khác. Tấn công làm cạn kiệt tài nguyên có hai dạng: Khai thác lỗ hổng trên các giao thức (Protocol Exploit Attack) và gửi các gói tin không đúng chuẩn (Malformed Packet Attack).
Tấn công khai thác lỗ hổng trên các giao thức (Protocol Exploit Attack):
- Tấn công TCP SYN: Giao thức TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay ba bước giữa bên gởi và bên nhận trước khi truyền dữ liệu. Bước đầu tiên, bên gửi gởi một gói tin SYN REQUEST. Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng gói tin SYN/ACK REPLY. Bước cuối cùng, bên gửi sẽ truyền gói tin cuối cùng ACK và bắt đầu truyền dữ liệu.
Hình 3.6: Kiểu tấn công TCP SYN
Nếu bên máy chủ đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được gói tin ACK cuối cùng sau một khoảng thời gian quy định thì nó sẽ gửi lại SYN/ACK REPLY cho đến hết thời gian chờ. Toàn bộ tài nguyên hệ thống “dự
TCP Client ClientPort 1024-65535 TCP Server ACK SYN SYN/ACK 80
trữ” để xử lý phiên giao tiếp nếu nhận được gói tin ACK cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian chờ. Nắm được điểm yếu này, kẻ tấn công gởi một gói tin SYN đến nạn nhân giả mạo địa chỉ bên gửi, kết quả là nạn nhân gởi gói tin SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận được gói tin ACK cuối cùng, cho đến hết thời gian chờ nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng gói tin SYN giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
Hình 3.7: Giả mạo địa chỉ ip để tấn công TCP SYN
- Tấn công PUSH + ACK: Trong giao thức TCP, các gói tin được chứa trong bộ đệm, khi bộ đệm đầy thì các gói tin này sẽ được chuyển đến nơi cần thiết. Tuy nhiên, bên gửi có thể yêu cầu hệ thống để không tải nội dung bộ đệm trước khi bộ đệm đầy bằng cách gửi một gói tin với PUSH và ACK mang giá trị là 1. Những gói tin này làm cho hệ thống của nạn nhân không tải tất cả dữ liệu trong bộ đệm TCP ngay lập tức và gửi một gói tin ACK trở về khi thực hiện xong điều này, nếu quá trình được diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý được lượng lớn gói tin gửi đến và sẽ bị treo.
Tấn công gửi gói tin không đúng định dạng (Malformed Packet Attack): là cách tấn công dùng các Agent để gởi các gói tin có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo. Có hai loại tấn công gửi gói tin không đúng định dạng:
- Tấn công địa chỉ IP: dùng gói tin có địa chỉ gửi và nhận giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.
Tấn công vùng option trong gói tin ip: ngẫu nhiên hóa vùng option trong gói tin ip và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý.