Phần 4 : Intrusion Prevention System –IPS
3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS
3.2 DOS (Denial of Services)
Giới thiệu
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài ngun của một máy tính khơng thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh tốn thẻ tín dụng và thậm chí DNS root servers.
Nguyên lý
Sau đây là một vài những phương pháp tấn công từ chối dịch vụ khá phổ biến, trong đó chúng tôi chọn SYN Attack để thực hiện phần mô phỏng của bài viết này.
Teardrop: Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác
định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ khơng thể nào sắp xếp lại các packets này, nó khơng điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn.
SYN Attack: Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn khơng có thực. Hệ thống đích khi nhận được các SYN packets này sẽ trả lời các gói SYN này đồng thời lưu các request này vào bộ nhớ để xử lý. Với hàng loạt gói tin như thế được chờ xử lý sẽ làm cho hệ thống quá tải, reboot … đạt được mục đích của tấn cơng DOS.
Land Attack : cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip khơng có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vịng lặp vơ tận giữa trong chính hệ thống nạn nhân đó.
Attack : Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
Mơ phỏng
Hàng loạt gói tin SYN từ một địa chỉ khơng có thực được gửi tới Web server
Đây là thơng tin ghi nhận được trên Check Point IPS – Mode Detect
Nguyên tắc phát hiện SYN flood của IPS thường dựa trên một bộ đếm, khi số lượng gói tin SYN gửi tới server từ cùng một host trong một khoảng thời gian là bất thường thì IPS sẽ xác định đó là tấn cơng SYN flood. Ví dụ: 300 gói tin trong vịng 10 giây. Web server đã phải xử lý quá nhiều gói SYN được gửi tới nên khơng cịn khả năng đáp ứng cho các yêu cầu truy cập web khác nữa. Vấn đề sẽ được giải quyết sau khi chúng ta chuyển từ Detect sang Prevent trên Check Point IPS.
Lúc này Check Point IPS đã chuyển sang Prevent
Trang web đã có thể truy cập lại trong khi attacker vẫn đang SYN flood
Dựa theo kêt quả ghi nhận được ta có thể thấy được nếu phát hiện SYN Attack Check Point IPS sẽ thực hiện một công việc để ngăn chặn tấn cơng đó là IPS sẽ tự động gửi lại gói tin RST tức Reset cho attacker hay nói cách khác mọi gói tin trong cuộc tấn cơng DOS này sẽ được trả về gói RST và Web Server sẽ không phải xử lý hàng loạt Request như thế nữa. Đồng thời IPS cũng sẽ gửi gói RST về cho Web Server với mục đích kết thúc những Session cịn lưu của Web Server. Ta có thể nhận thấy vấn đề ngăn chặn DOS vẫn còn phụ thuộc vào khả năng xử lý của IPS nên đây chỉ là một phương pháp để giảm tới mức tối thiểu thiệt hại khi bị tấn công từ chối dịch vụ.