II. BÀI TẬP TÌNH HUỐNG
5. Xĩa dấu vết
3.2.4.2. Một sớ kiểu tấn cơng từ chới dịch vụ
Cĩ nhiều kiểu tấn cơng từ chối dịch vụ như tấn cơng bom thư; tấn cơng đăng nhập liên tiếp; tấn cơng làm ngập SYN (Flooding SYN); tấn cơng Smurf; tấn cơng gây lụt UDP; tấn cơng ping of death; tấn cơng tear drop... Ngồi ra cịn chia theo kiểu tấn cơng như tấn cơng từ chối dịch vụ phân tán; tấn cơng từ chối phản xạ...
SYN Attack: Được xem là một trong những kiểu tấn cơng DoS kinh
điển nhất. Lợi dụng sơ hở của giao thức TCP trong “bắt tay ba bước” (mỗi khi client kết nối với server được thực hiện việc bắt tay ba bước thơng qua các gĩi tin (packet):
(1) Client sẽ gửi gĩi tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối;
(2) Khi nhận được gĩi tin này, Server gửi lại gói tin SYN/ACK để thơng báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị một phần khơng gian để nhận và truyền dữ liệu. Ngồi ra, các thơng tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận;
(3) Sau cùng, Client hồn tất việc bắt tay ba bước bằng cách hồi âm lại gĩi tin chứa ACK cho server và tiến hành kết nối. Do TCP là thủ tục tin cậy trong việc giao nhận nên trong lần bắt tay thứ hai, server gửi gĩi tin SYN/ACK trả lời lại client mà khơng nhận lại được hồi âm của client để thực hiện kết nối thì nĩ vẫn bảo lưu khơng gian để chuẩn bị cho kết nối đó và lặp lại việc gửi gĩi tin SYN/ACK cho client đến khi nhận được hồi đáp của client.
Điểm mấu chốt ở đây là kiểu tấn cơng này làm cho client khơng hồi đáp được cho Server và cĩ càng nhiều, càng nhiều client như thế trong khi server vẫn lặp lại việc gửi packet đó và giành khơng gian để chờ trong lúc tài nguyên của hệ thống là cĩ giới hạn.
Flood attack: Là một kiểu tấn cơng DoS cũng rất hay được dùng
vì tính đơn giản của nĩ và vì cĩ rất nhiều cơng cụ sẵn cĩ hỗ trợ đắc lực cho kẻ tấn cơng là Flood Attack, chủ yếu thơng qua các website. Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu tốn một lượng tài nguyên
nhất định của máy chủ. Dựa vào đặc điểm đó, những kẻ tấn cơng dùng các phần mềm như smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web đó để chiếm dụng tài nguyên.
Smurf attack: Thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping)
tới địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn cơng. Khi ping tới một địa chỉ là quá trình hai chiều - Khi máy A ping tới máy B máy B reply lại hồn tất quá trình. Khi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại. Nhưng nếu thay đổi địa chỉ nguồn (máy C) và ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C và đó là tấn cơng Smurf.
Tấn cơng từ chới dịch vụ phân tán (DDoS): Trong tấn cơng từ
chối dịch vụ phân tán, kẻ tấn cơng tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian (đóng vai trò Zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gĩi tin (Packet) với số lượng rất lớn, mục đích chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó.
Các kiểu DDoS phổ biến nhất hiện nay được tập hợp trong Hình 3.7.
Tấn cơng từ chới dịch vụ phản xạ (DRDoS): Tấn cơng từ chối
dịch vụ phản xạ DRDoS là hình thức tấn cơng chỉ mới xuất hiện gần đây nhưng lại là loại nguy hiểm nhất. Nếu được thực hiện bởi các kẻ tấn cơng chuyên nghiệp, khơng một hệ thống nào cĩ thể đứng vững được trước nĩ. Trong hình thức tấn cơng này thì hệ thống các máy dùng để tấn cơng bao gồm Attacker, Master, Slave và Reflecter. Kẻ tấn cơng sẽ sử dụng máy Attacker để chiếm quyền điểu khiển của các Master, sau đó từ đây lại chiếm quyền điểu khiển của các máy Slave. Sau khi đã chiếm được quyền điều khiển của các máy Slave thì các Master sẽ yêu cầu Slave gửi các gĩi tin chứa đến các máy Reflector, trong các gói tin này khơng đóng gói địa chỉ của máy gửi tin mà sẽ chứa địa chỉ của máy nhận. Sau khi các Reflector nhận được các gĩi tin sẽ trả lời lại theo địa chỉ được đóng gói trong các gĩi tin này và vơ tình trở thành kẻ trung gian tiếp tay cho việc tấn cơng từ chối dịch vụ vào máy nạn nhân (Victim).
Ngồi ra cịn cĩ các biến thể khác như: Broadcast Storms, SYN, Finger, Ping, Flooding,... với mục tiêu chiếm dụng các tài nguyên của hệ thống như: Băng thơng (Bandwidth), Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,... làm hoạt động của hệ thống bị quá tải dẫn đến khơng đáp ứng được các yêu cầu (Request) hợp lệ nữa. Đặc biệt, biến thể đang là "mốt" hiện nay là hình thức Flood - làm "ngập lụt". Kẻ tấn cơng sử dụng các Script (đoạn mã) dạng tập tin flash, gắn vào các Web Forum có đơng người truy cập. Mỗi thành viên khi truy cập vào các Forum đó sẽ vơ tình kích hoạt tập tin flash thực hiện các cuộc tấn cơng DoS vào những mục tiêu xác định. Khơng ít kẻ tấn cơng trong nước hiện nay cịn viết các phần mềm cĩ khả năng tự động hĩa quá trình làm tràn ngập các biểu mẫu (Form) nhập liệu, tự động gửi yêu cầu (Request) liên tục đến máy chủ khiến hệ thống bị quá tải.
Hình 3.8. Tấn cơng từ chới dịch vụ phản xạ 3.2.5. Một sớ kiểu tấn cơng khác