Đăng ký

Tấn công từ chối dịch vụ DOS (Denial of Service)

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu xây dựng hệ thống giám sát sự thay đổi nội dung website (Trang 36 - 43)

1.5. Một số kỹ thuật tấn công Website

1.5.3. Tấn công từ chối dịch vụ DOS (Denial of Service)

1.5.3.1. Khái niệm

- Tấn công DOS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.

vụ người dùng bình thường đó là tấn cơng từ chối dịch vụ (Denial of Service - DOS). Mặc dù tấn cơng DOS khơng có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DOS khi tấn công vào một hệ thống sẽ khai thác những điểm yếu nhất của hệ thống để tấn cơng.

1.5.3.2. Mục đích của tấn cơng DOS

- Mục đích của tấn cơng DOS cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ khơng có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.

- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.

- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó. - Cố gắng ngăn chặn các dịch vụ khơng cho người khác có khả năng truy cập vào. Khi tấn công DOS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:

+ Tắt mạng (Disable Network )

+ Tổ chức không hoạt động (Disable Organization) + Tài chính bị mất (Financial Loss)

Như chúng ta biết tấn công DOS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống khơng thể đáp ứng cho người dùng bình thường được, mục đích kẻ tấn cơng là:

- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên.

cấu trúc dữ liệu đều là mục tiêu của tấn công DOS.

- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hồ, hệ thống điện, hệ thống làm mát và nhiều tài nguyên khác của doanh nghiệp.

- Phá hoại hoặc thay đổi các thơng tin cấu hình.

- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hồ…

Hình 1.4. Một mơ hình tấn cơng từ chối dịch vụ DOS

1.5.3.3. Tấn công từ chối dịch vụ DOS

Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ. Các kiểu tấn công thuộc phương thức này rất đa dạng:

+ Tấn công chiếm dụng tài nguyên (Resource Depletion):

Bằng cách lạm dụng quá trình giao tiếp của giao thức mạng hoặc những gói tin dị thường, kẻ tấn cơng sẽ chiếm dụng nguồn tài nguyên hệ thống như bộ nhớ (RAM) và bộ vi xử lý (CPU)… khiến cho người dùng chia sẻ không truy xuất được hệ thống do hệ thống không đủ khả năng xử lý.

Được xem là một trong những kiểu tấn công DOS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi “bắt tay ba chiều”, mỗi khi máy khách (client) muốn thực hiện kết nối (connection) với máy chủ (server) thì nó thực hiện việc bắt tay ba lần (three-ways-handshake) thơng qua các gói tin (packet).

- Bước 1: Máy trạm sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối.

- Bước 2: Khi nhận được gói tin này, máy chủ sẽ gửi lại gói tin SYN/ACK để thơng báo cho máy trạm biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này. Máy chủ sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận và truyền dữ liệu. Ngồi ra, các thơng tin khác của máy trạm client như địa chỉ IP và cổng (port) cũng được ghi nhận.

- Bước 3: Cuối cùng, máy trạm hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa ACK cho máy chủ và tiến hành kết nối.

Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay thứ hai, server gửi các gói tin SYN/ACK trả lời lại máy trạm mà không nhận lại được hồi âm của máy trạm để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho máy trạm đến khi nào nhận được hồi đáp của máy máy trạm.

Điểm mấu chốt là ở đây là làm cho máy trạm không hồi đáp cho máy chủ. Và có nhiều máy trạm như thế trong khi máy chủ vẫn tiếp tục lặp lại việc gửi gói tin (packet) đó và giành tài nguyên để chờ phản hồi trong lúc tài nguyên của hệ thống là có giới hạn. Kẻ tấn cơng sẽ tìm cách để đạt đến giới hạn đó.

Nếu q trình đó kéo dài, máy chủ sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng treo (crash), nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được.

Hình 1.5. Mơ hình tấn cơng SYNFlood Attack

Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu lượng tài nguyên máy chủ nhất định, nhất là lượng bộ nhớ (RAM) và bộ vi xử lý (CPU). Dựa vào việc tiêu hao đó, những kẻ tấn cơng đơn giản là dùng các phần mềm như Smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web đó để chiếm dụng tài nguyên. Cách tấn công này tuy không làm máy chủ ngừng cung cấp dịch vụ hoàn toàn nhưng sẽ làm cho tốc độ phục vụ của toàn bộ hệ thống giảm mạnh, người dùng sẽ cảm nhận rõ ràng việc phải chờ lâu hơn để trang web hiện ra trên màn hình. Nếu thực hiện tấn công ồ ạt và có sự phối hợp nhịp nhàng, phương thức tấn cơng này hồn tồn có thể làm tê liệt máy chủ trong một thời gian dài.

+ Tấn công chiếm dụng băng thơng (Bandwidth Depletion): Có 2 loại tấn cơng chính:

- Thứ nhất là làm ngập bằng cách gửi liên tục các gói tin có kích thước lớn đến hệ thống nạn nhân, làm nghẽn băng thông nạn nhân.

- Thứ hai là sử dụng mạng khuếch đại, kẻ tấn công gửi thông tin đến một địa chỉ phát quảng bá (broadcast), tất cả hệ thống trong mạng con nạn nhân (victim) trong phạm vi bởi địa chỉ quảng bá sẽ gửi lại hệ thống nạn nhân một

thông điệp phản hồi cho máy nạn nhân chấp nhận trao đổi dữ liệu. Phương pháp này khuếch đại dòng lưu lượng làm cho hệ thống nạn nhân giảm băng thông đáng kể.

1.5.3.4. Phịng chống tấn cơng DOS

Có ba giai đoạn chính trong q trình phịng chống tấn công DOS:

- Giai đoạn ngăn ngừa: Tối thiểu hóa lượng Agent, tìm và vơ hiệu hóa các Handler.

- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.

- Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm. Các giai đoạn chi tiết trong phòng chống DOS:

Tối thiểu hóa số lượng Agent:

- Từ phía người dùng (user): một phương pháp rất tốt để năng ngừa tấn công DOS là từng người dùng mạng sẽ tự đề phịng khơng để bị lợi dụng tấn công hệ thống khác. Muốn đạt được điều này thì ý thức và kỹ thuật phịng chống phải được phổ biến rộng rãi cho các người dùng mạng. Các người dùng mạng phải liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình. Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt đoạn mã (code) nguy hiểm v ào p h ầ n c ứ n g ( hardware) và phần mềm ( software) của từng hệ thống. Về phía người dùng mạng họ nên cài đặt và cập nhật liên tục các phần mềm phòng chống virus, các bản sửa lỗi của hệ điều hành.

Tìm và vơ hiệu hóa các bộ xử lý (handler):

Một nhân tố vô cùng quan trọng trong t ấ n c ô n g m ạ n g ( attack- network) là bộ xử lý ( h andler), nếu có thể phát hiện và vơ hiệu hóa bộ xử lý thì khả năng phịng chống tấn công DOS thành công là rất cao.

Làm suy giảm hay dừng cuộc tấn công: Dùng các kỹ thuật sau:

- Thiết lập kiến trúc cân bằng tải trọng điểm cho các máy chủ (Load balancing): sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DOS. Tuy nhiên, điều này khơng có ý nghĩa lắm về mặt thực tiễn vì quy mơ của cuộc tấn cơng là khơng có giới hạn.

- Thiết lập cơ chế điều tiết trên bộ định tuyến (Throttling): quy định một khoảng tải hợp lý mà máy chủ bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DOS không cho người dùng truy cập dịch vụ.

- Thiết lập cơ chế huỷ yêu cầu (drop request): nếu nó vi phạm một số quy định như: thời gian trễ (delay) kéo dài, tốn nhiều tài nguyên để xử lý, gây ra sự tắc nghẽn (deadlock). Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.

Chuyển hướng của cuộc tấn công:

Honeypots: Một kỹ thuật đang được nghiên cứu là Honeypots. Honeypots là một hệ thống được thiết kế nhằm đánh lừa kẻ tấn công (attacker) tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự.

Honeypots rất hiệu quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeypots đã thiết lập sẵn các cơ chế giám sát và báo động.

Ngồi ra Honeypots cịn có giá trị trong việc học hỏi và rút kinh nghiệm từ kẻ tấn công, do Honeypots ghi nhận khá chi tiết mọi động thái của kẻ tấn công trên hệ thống. Nếu kẻ tấn công bị đánh lừa và cài đặt Agent hay Handler lên Honeypots thì khả năng bị triệt tiêu tồn bộ sự tấn công là rất cao.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu xây dựng hệ thống giám sát sự thay đổi nội dung website (Trang 36 - 43)

Tải bản đầy đủ (PDF)

(88 trang)