Malicious TCP
2.5.4.1. Chương trình DoS điển hình:
Chương trình cịn có tên gọi Smurf attack. Nó xuất hiện vào năm 1997, với ý tưởng xử dụng mạng khuếch đại (amplifier), nhằm tăng dòng lưu lượng lên nhiều lần bằng cách lợi dụng gói tin broadcast gởi đến router để nó truyền đến tất cả các máy tính trong cùng một broadcast domain. Với địa chỉ IP nguồn (source IP) của gói tin giả mạo là máy nạn nhân (victim). Khi đó các máy tính nằm trong cùng một broadcast domain sẽ đồng loạt gửi gói tin đáp trả (reply) đến victim.
Sau đây minh họa một chương trình nguồn mở (open source) smurf attack:
Hình 2.15: Minh họa cơng cụ DoS – Smurf attack
Chương trình chỉ có một tập tin smurf.c. Sau khi biên dịch, thực thi sẽ có
các thơng số như trên:
<target>: địa chỉ mục tiêu cần tấn công, đây cũng là địa chỉ dùng để giả mạo trong gói tin ICMP ECHO_REQUEST
<bcast file>: vị trí của tập tin chứa danh sách các địa chỉ broadcast, dùng để gởi đến router
<number packets>: số gói tin ICMP ECHO_REQUEST gởi đến. 0 tức là gởi vô số
<packet delay>: khoảng thời gian tạm dừng cho mỗi gói gởi đến. <packet size>: kích thước gói ICMP
Ví dụ minh họa một dịng lệnh thực thi chương trình Smurf:
Hình 2.16: Minh họa bằng dịng lệnh
Sử dụng chương trình bắt gói tin Ethereal. Quan sát thấy hệ thống victim sẽ nhận rất nhiều gói tin ICMP ECHO_REPLY mặc dù bản thân khơng hề gởi ICMP ECHO_REQUEST.
Hình 2.17: Phân tích bằng cơng cụ bắt gói Ethereal Ph
â n tí c h g ói I CMP E C H O
Đễ dàng nhận thấy các gói tin ICMP ECHO_REPLY vào hệ thống victim với trường sequence number ln là 0x0000. Đó là điểm khác biệt với một gói tin PING thơng thường (sequence number ln thay đổi).
Để tấn cơng có hiệu quả, attacker thường tăng kích thước của gói ICMP lớn hơn gói tin PING thơng thường (gói PING chỉ có 32 bytes) nhằm nhanh chóng flood hệ thống.