Chương 2 ĐỊNH HƯỚNG LUỒNG VÀ CÁC MƠ HÌNH LUỒNG PHỔ BIẾN
5.2. Phân tích luồng lưu lượng bằng NetFlow trong hệ thống an ninh mạng và giả
5.2.1. Tấn cơng từ chối dịch vụ (DoS) là gì?
Tấn công từ chối dịch vụ (DoS) là một kỹ thuật để làm quá tải máy hoặc mạng khiến nó khơng khả dụng. Những kẻ tấn công đạt được điều này bằng cách gửi nhiều lưu lượng truy cập hơn mức mà mục tiêu có thể xử lý, khiến nó bị lỗi - khiến nó khơng thể cung cấp dịch vụ cho người dùng bình thường. Ví dụ về các mục tiêu có thể bao gồm email, ngân hàng trực tuyến, trang web hoặc bất kỳ dịch vụ nào khác dựa trên mạng hoặc máy tính được nhắm mục tiêu.
Router# sh ip cache flow
IP packet size distribution (45 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .444 .111 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .111 .333 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes
0 active, 4096 inactive, 3 added 47 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes
0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Frag 1 0.0 15 1204 0.0 4.3 15.5 TCP-other 1 0.0 25 343 0.0 4.4 1.4 ICMP 1 0.0 5 84 0.0 5.0 15.1 Total: 3 0.0 15 601 0.0 4.6 10.7 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Có nhiều kiểu tấn cơng DoS khác nhau như tấn công cạn kiệt tài nguyên và tấn công lũ lụt. Các cuộc tấn công cạn kiệt tài nguyên khiến cơ sở hạ tầng được nhắm mục tiêu sử dụng tất cả bộ nhớ hoặc tài nguyên lưu trữ có sẵn của nó, làm chậm hiệu suất của dịch vụ hoặc dừng nó hồn tồn. Các cuộc tấn cơng lũ lụt gửi một số lượng lớn các gói vượt quá dung lượng máy chủ.
Từ chối dịch vụ phân tán (DDoS) là một kiểu tấn cơng DoS trong đó lưu lượng được sử dụng để áp đảo mục tiêu đến từ nhiều nguồn phân tán. Phương pháp này có nghĩa là không thể dừng cuộc tấn công chỉ bằng cách chặn nguồn lưu lượng truy cập.
Botnet thường được sử dụng cho các cuộc tấn công DDoS.