Tấn cụng từ chối dịch vụ

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu xây dựng giải pháp bảo mật mạng riêng ảo VPN dựa trên công nghệ mở Luận văn ThS. Công nghệ thông tin 60 48 15 (Trang 31 - 35)

CHƯƠNG 2 BẢO MẬT MẠNG RIấNG ẢO

2.1 Những vấn đề bảo mật trong mạng riờng ảo

2.1.4 Tấn cụng từ chối dịch vụ

Tấn cụng từ chối dịch vụ là một hỡnh thức khỏc của cỏc loại tấn cụng mạng. Một kẻ xõm nhập cú thể sử dụng cỏc cuộc tấn cụng mạng khỏc chẳng hạn như mạo danh, phần mềm độc hại, và virus truy cập tài nguyờn. Cuộc tấn cụng DoS được sử dụng để thực hiện tấn cụng một số dịch vụ hoặc mỏy tớnh mục tiờu khụng thể tiếp cận.

Cỏc cuộc tấn cụng DoS đang trở nờn khỏ phổ biến ngày này vỡ nú khụng yờu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiờu. Chỳng được dựa trờn khỏi niệm của sự tắc nghẽn mạng. Bất kỳ kẻ xõm nhập cú thể gõy ra tắc nghẽn mạng bằng cỏch gửi cỏc tải cỏc dữ liệu rỏc vào mạng. Điều này làm cho cỏc mỏy tớnh mục tiờu khụng thể được truy cập trong một khoảng thời gian bởi đường truyền bị quỏ tải hoặc mỏy tớnh mục tiờu khụng thể phục vụ do quỏ tải. Tỡnh trạng quỏ tải thụng tin thậm chớ cú thể dẫn đến việc sụp đổ của mỏy tớnh mục tiờu.

Hỡnh 2.4 minh họa làm thế nào tin tặc cú thể gõy ra tắc nghẽn mạng bằng cỏch gửi cỏc dữ liệu giả vào mạng.

Cỏc cuộc tấn cụng DoS cú rất nhiều lợi thế. Thứ nhất, cuộc tấn cụng DoS trong một loạt cỏc hỡnh thức và cú thể nhắm mục tiờu nhiều dịch vụ mạng. Thứ hai, một kẻ xõm nhập cú thể bắt đầu một cuộc tấn cụng DoS trong một số cỏch, chẳng hạn như gửi một số lượng lớn cỏc thư rỏc hoặc gửi một số lượng lớn cỏc gúi tin yờu cầu IP. Và thứ ba, kẻ tấn cụng DoS cú thể dễ dàng được ẩn danh. Thật khụng may, khụng cú biện phỏp duy nhất để luụn xỏc định danh tớnh của kẻ xõm nhập. Những kẻ xõm nhập sử dụng cỏc cuộc tấn cụng DoS bằng việc sử dụng một số sai sút cố hữu trong cụng nghệ truyền thụng và giao thức IP. Trong thực tế, một cuộc tấn cụng DoS thành cụng cú thể được thực hiện đơn giản là giả mạo với kớch thước của cỏc gúi tin IP được gửi đến mạng.

Một số phương phỏp thường được sử dụng để bắt đầu cuộc tấn cụng DoS như sau: + SYN Floods (lụt gúi SYN)

+ Broadcast Storm (bóo gúi tin quảng bỏ) + Smurf DoS

+ Ping of Death

+ Mail bomb (bom thư)

SYN Floods (lụt gúi SYN)

Trong một trận lụt SYN, tất cả cỏc kết nối TCP của bạn được sử dụng, do đú ngăn cản người dựng cú thẩm quyền truy cập tài nguyờn thụng qua những kết nối. Để hiểu cỏch làm việc này, bạn cần phải hiểu làm thế nào một kết nối TCP.

Để bắt đầu một phiờn, TCP sử dụng một cơ chế bắt tay ba bước. Cỏc bước liờn quan trong việc thiết lập một kết nối TCP như sau:

1.Một mỏy sẽ gửi một gúi dữ liệu đến một mỏy khỏc trờn mạng. Gúi dữ liệu này chứa cỏc ID được gọi là là số thứ tự đồng bộ húa (SYN).

2.Cỏc mỏy nhận xỏc nhận đó nhận của dữ liệu bằng cỏch gửi một gúi dữ liệu được gọi là Acknowledgement (ACK).

3.Cỏc mỏy nhận cũng sẽ gửi lại gúi SYN nhận được.

4.Khi nhận được dữ liệu từ cỏc mỏy nhận, cỏc mỏy đầu tiờn sẽ gửi lại cỏc gúi dữ liệu thứ ba hoặc ACK.

Hỡnh 2. 5: Quỏ trỡnh bắt tay 3 bước

Quỏ trỡnh hoàn tất liờn quan đến việc trao đổi chỉ cú ba gúi dữ liệu (do đú gọi là bắt tay 3 bước).

Một kết nối TCP cú thể dẫn đến tắc nghẽn mạng nếu ai đú gửi một ID giả mạo trong gúi SYN. Nếu một ID giả mạo được gửi đi, cỏc mỏy chủ nhận được sẽ khụng bao giờ nhận được acknowledgement. Cuối cựng, thời gian kết nối kết thỳc và kờnh đến trở thành rỗi để nhận được một yờu cầu khỏc. Một lũ lụt SYN gửi nhiều cỏc gúi dữ liệu với ID giả làm tất cả cỏc kờnh đến phải chờ đợi acknowledgement.

Bằng cỏch này, tất cả cỏc kờnh đến phải đợi nhận được acknowledgement. Để khắc phục lũ lụt SYN, cú một số cụng cụ cú sẵn, chẳng hạn như phần mềm Cisco IOS và Cisco PIX Firewall.

Broadcast Storm

Broadcast Storm cú thể được sử dụng khi kẻ xõm nhập dựng chương trỡnh phỏt một số lượng lớn cỏc gúi tin cú chứa địa chỉ đớch giả vào mạng của bạn. Mỗi mỏy tớnh sẽ cố gắng để chuyển tiếp cỏc gúi tin đến địa chỉ đớch giả . Bởi vỡ địa chỉ khụng tồn tại, cỏc gúi dữ liệu vẫn cũn trong mạng, di chuyển từ nỳt này sang nỳt khỏc, cho đến khi họ hoàn toàn nghẽn mạng. Cỏc cụng cụ như asping và sendmail cú thể được sử dụng để bắt đầu phỏt. Broadcast Storm cú thể được ngăn chặn cú hiệu quả bằng cỏch ngăn chặn cỏc tin nhắn quảng bỏ bất hợp phỏp trong mạng .

Smurf DoS

Cỏc cuộc tấn cụng Smurf được đặt tờn sau khi chương trỡnh được sử dụng để kớch động cỏc cuộc tấn cụng. Những cuộc tấn cụng đụi khi cũng được gọi là cỏc cuộc tấn cụng đột biến gúi ICMP.

Trong cỏc cuộc tấn cụng, kẻ xõm nhập sử dụng một địa chỉ IP giả mạo và gửi một số lượng lớn ICMP (ping - echo requests) đến địa chỉ quảng bỏ IP. Cỏc mỏy tớnh mạng khỏc gửi tin nhắn ICMP echo reply tới IP nguồn giả mạo để đỏp quảng bỏ IP echo request. Điều này dẫn đến một số lượng lớn lưu lượng truy cập dẫn đến tắc nghẽn mạng.

Ping of Death

Ping of Death đề cập đến một cuộc tấn cụng DoS, gửi cỏc gúi tin IP kớch thước lớn hơn 65.535 byte. Cỏc gúi tin được gửi đến mỏy tớnh mục tiờu. Những mỏy tớnh khụng thể xử lý sự tấn cụng của cỏc gúi tin lớn như vậy và thường khởi động lại hoặc treo. Một số lượng lớn cỏc gúi tin trong mạng cũng cú thể dẫn đến tắc nghẽn mạng.

Mail bomb (bom thư)

Tấn cụng bom thư nhắm mục tiờu vào mỏy chủ mail. Trong tấn cụng này, cỏc bản sao giống hệt nhau của một e-mail được gửi đến cỏc mỏy chủ mục tiờu. Ngoài ra, đụi khi thư được gửi cú khả năng tự sao chộp nú vào mỏy chủ cuối. Cỏc mỏy chủ thư cú thể khụng cú khả năng xử lý một lượng lớn lưu lượng truy cập do băng thụng thấp, khụng gian đĩa thấp, hoặc hạn chế khỏc. Điều này đặt mỏy chủ mail trong một quỏ trỡnh vũng lặp và cú thể dẫn đến dừng dịch vụ.

Cỏc cuộc tấn cụng DoS nhanh chúng trở thành vũ khớ của sự lựa chọn cho cỏc tin tặc. Tuy nhiờn, bạn cú thể tiến hành cỏc biện phỏp sau để chống lại cỏc cuộc tấn cụng:

+ Vụ hiệu hoỏ cỏc dịch vụ mạng khụng sử dụng hoặc khụng cần thiết. + Duy trỡ thường xuyờn sao lưu.

+ Tạo, duy trỡ, và theo dừi cỏc log hàng ngày. + Tạo chớnh sỏch mật khẩu thớch hợp.

+ Thực hiện một hệ thống phỏt hiện xõm phạm.

+ Thực hiện bộ lọc định tuyến để lọc cỏc gúi tin ICMP bị phõn mảnh. + Bảo mật nghiờm ngặt cỏc tài nguyờn vật lý của mạng.

+ Cấu hỡnh cỏc bộ lọc cho cỏc gúi tin giả mạo IP.

+ Cài đặt bản vỏ lỗi và bản sửa lỗi cho cỏc cuộc tấn cụng TCP SYN.

+ Phõn vựng tập tin hệ thống riờng biệt cỏc tập tin ứng dụng cụ thể từ dữ liệu thường xuyờn.

+ Triển khai cỏc cụng cụ như Tripwire phỏt hiện những thay đổi trong thụng tin cấu hỡnh hoặc cỏc tập tin khỏc.

2.2 Cụng nghệ bảo mật mạng riờng ảo 2.2.1 Tớnh xỏc thực

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu xây dựng giải pháp bảo mật mạng riêng ảo VPN dựa trên công nghệ mở Luận văn ThS. Công nghệ thông tin 60 48 15 (Trang 31 - 35)

Tải bản đầy đủ (PDF)

(107 trang)