Một sớ kiểu tấn cơng từ chới dịch vụ

II. BÀI TẬP TÌNH HUỐNG

5. Xĩa dấu vết

3.2.4.2. Một sớ kiểu tấn cơng từ chới dịch vụ

Cĩ nhiều kiểu tấn cơng từ chối dịch vụ như tấn cơng bom thư; tấn cơng đăng nhập liên tiếp; tấn cơng làm ngập SYN (Flooding SYN); tấn cơng Smurf; tấn cơng gây lụt UDP; tấn cơng ping of death; tấn cơng tear drop... Ngồi ra cịn chia theo kiểu tấn cơng như tấn cơng từ chối dịch vụ phân tán; tấn cơng từ chối phản xạ...

 SYN Attack: Được xem là một trong những kiểu tấn cơng DoS kinh

điển nhất. Lợi dụng sơ hở của giao thức TCP trong “bắt tay ba bước” (mỗi khi client kết nối với server được thực hiện việc bắt tay ba bước thơng qua các gĩi tin (packet):

(1) Client sẽ gửi gĩi tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối;

(2) Khi nhận được gĩi tin này, Server gửi lại gói tin SYN/ACK để thơng báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị một phần khơng gian để nhận và truyền dữ liệu. Ngồi ra, các thơng tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận;

(3) Sau cùng, Client hồn tất việc bắt tay ba bước bằng cách hồi âm lại gĩi tin chứa ACK cho server và tiến hành kết nối. Do TCP là thủ tục tin cậy trong việc giao nhận nên trong lần bắt tay thứ hai, server gửi gĩi tin SYN/ACK trả lời lại client mà khơng nhận lại được hồi âm của client để thực hiện kết nối thì nĩ vẫn bảo lưu khơng gian để chuẩn bị cho kết nối đó và lặp lại việc gửi gĩi tin SYN/ACK cho client đến khi nhận được hồi đáp của client.

Điểm mấu chốt ở đây là kiểu tấn cơng này làm cho client khơng hồi đáp được cho Server và cĩ càng nhiều, càng nhiều client như thế trong khi server vẫn lặp lại việc gửi packet đó và giành khơng gian để chờ trong lúc tài nguyên của hệ thống là cĩ giới hạn.

 Flood attack: Là một kiểu tấn cơng DoS cũng rất hay được dùng

vì tính đơn giản của nĩ và vì cĩ rất nhiều cơng cụ sẵn cĩ hỗ trợ đắc lực cho kẻ tấn cơng là Flood Attack, chủ yếu thơng qua các website. Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu tốn một lượng tài nguyên

nhất định của máy chủ. Dựa vào đặc điểm đó, những kẻ tấn cơng dùng các phần mềm như smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web đó để chiếm dụng tài nguyên.

 Smurf attack: Thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping)

tới địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn cơng. Khi ping tới một địa chỉ là quá trình hai chiều - Khi máy A ping tới máy B máy B reply lại hồn tất quá trình. Khi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại. Nhưng nếu thay đổi địa chỉ nguồn (máy C) và ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C và đó là tấn cơng Smurf.

 Tấn cơng từ chới dịch vụ phân tán (DDoS): Trong tấn cơng từ

chối dịch vụ phân tán, kẻ tấn cơng tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian (đóng vai trò Zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gĩi tin (Packet) với số lượng rất lớn, mục đích chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó.

Các kiểu DDoS phổ biến nhất hiện nay được tập hợp trong Hình 3.7.

 Tấn cơng từ chới dịch vụ phản xạ (DRDoS): Tấn cơng từ chối

dịch vụ phản xạ DRDoS là hình thức tấn cơng chỉ mới xuất hiện gần đây nhưng lại là loại nguy hiểm nhất. Nếu được thực hiện bởi các kẻ tấn cơng chuyên nghiệp, khơng một hệ thống nào cĩ thể đứng vững được trước nĩ. Trong hình thức tấn cơng này thì hệ thống các máy dùng để tấn cơng bao gồm Attacker, Master, Slave và Reflecter. Kẻ tấn cơng sẽ sử dụng máy Attacker để chiếm quyền điểu khiển của các Master, sau đó từ đây lại chiếm quyền điểu khiển của các máy Slave. Sau khi đã chiếm được quyền điều khiển của các máy Slave thì các Master sẽ yêu cầu Slave gửi các gĩi tin chứa đến các máy Reflector, trong các gói tin này khơng đóng gói địa chỉ của máy gửi tin mà sẽ chứa địa chỉ của máy nhận. Sau khi các Reflector nhận được các gĩi tin sẽ trả lời lại theo địa chỉ được đóng gói trong các gĩi tin này và vơ tình trở thành kẻ trung gian tiếp tay cho việc tấn cơng từ chối dịch vụ vào máy nạn nhân (Victim).

Ngồi ra cịn cĩ các biến thể khác như: Broadcast Storms, SYN, Finger, Ping, Flooding,... với mục tiêu chiếm dụng các tài nguyên của hệ thống như: Băng thơng (Bandwidth), Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,... làm hoạt động của hệ thống bị quá tải dẫn đến khơng đáp ứng được các yêu cầu (Request) hợp lệ nữa. Đặc biệt, biến thể đang là "mốt" hiện nay là hình thức Flood - làm "ngập lụt". Kẻ tấn cơng sử dụng các Script (đoạn mã) dạng tập tin flash, gắn vào các Web Forum có đơng người truy cập. Mỗi thành viên khi truy cập vào các Forum đó sẽ vơ tình kích hoạt tập tin flash thực hiện các cuộc tấn cơng DoS vào những mục tiêu xác định. Khơng ít kẻ tấn cơng trong nước hiện nay cịn viết các phần mềm cĩ khả năng tự động hĩa quá trình làm tràn ngập các biểu mẫu (Form) nhập liệu, tự động gửi yêu cầu (Request) liên tục đến máy chủ khiến hệ thống bị quá tải.

Hình 3.8. Tấn cơng từ chới dịch vụ phản xạ 3.2.5. Một sớ kiểu tấn cơng khác

Một sớ kiểu tấn cơng từ chới dịch vụ

Mơ hình theo cấu trúc mạng

Rủi ro cho thơng tin