-Trang108- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
CHƯƠNG 9: TỪ CHỐI DỊCH VỤ (DoS)
I. KHÁI NIỆM
Tấn côngkiểu DoS là kiểutấn công làmcho các dịchvụ mạng bị tê liệt,không còn khả năng đáp ứng được yêu cầu nữa. Loại tấn công này ảnh hưởng đến nhiều hệ thống,rấtdễthựchiệnvàlạirấtkhóbảovệhệthốngkhỏikiểutấncôngDoS.
Thông thường, kiểu tấn công DoS dựa trên những giao thức (protocol). Ví dụ với giaothức làICMP, hackercó thểsử dụngbombe-mail đểgửi hàngngàn thôngđiệp emailvớimụcđích tiêuthụbăngthôngđểlàmhaohụttàinguyênhệ thốngtrênmail server. Hoặc có thể dùng phần mềm gửi hàng loạt yêu cầu đến máy chủ khiến cho máychủkhôngthểđápứngnhữngyêucầuchínhđángkhác.
II. NHỮNGKHẢ NĂNG BỊ TẤN CÔNG BẰNGDOS
• TẤNCÔNGTRÊNSWAPSPACE:
HầuhếtcáchệthốngđềucóvàitrămMBkhônggianchuyểnđổi(swapspace)để phục vụ chonhững yêucầu từmáy khách.Swapspace thuờngdùngcho cáctiến trình con có thời gian ngắnnên DoS có thể được dựa trên phương thức làm tràn
đầyswapspace.
• TẤNCÔNGTRÊNBANDWIDTH:
Phần băng thông dành cho mỗi hệ thống là giới hạn, vì thế nếu hacker cùng lúc gửi nhiều yêu cầu đến hệ thống thì phần băng thông không đủ đáp ứng cho một khốilượngdữliệulớnđóvàdẫnđếnhệthốngbịphávỡ.
-Trang109- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
• TẤNCÔNGVÀORAM:
Tấn công Dos chiếm 1 khoảnglớn của RAM cũng có thể gây ra các vấn đề phá hủy hệ thống.Kiểu tấn công BufferOverflowlà một ví dụcho cách phá hủy này (xemkĩhơntrongnộidungchương..)
• TẤNCÔNGVÀODISKS:
Một kiểutấn côngcổđiển là làmđầyđĩa cứng. Đĩacứngcó thểbị trànvàkhông thểđượcsửdụngnữa.
III. CÁC KĨ THUẬTTẤN CÔNG:
III.1. Khái niệm về Tcpbắt tayba chiều:
Đầu tiên, để tìm hiểu phương pháp tấn công DoS , luận văn sẽ trình bày cơ chế làmviệc“tcpbắttaybachiều”.
Gói dữ liệu TCP chứa flag bits (cờ) để mô tả nội dung và mục đích của gói dữ liệu.
• GóidữliệuTCPvớicờSYN(synchoronize)dùngđểbắtđầu1kếtnối • ACK(acknowledgement)
• FIN(finish)dùngđểcắt1kếtnối
CáchhoạtđộngcủagóiTCP:
-Trang110- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
Hình9.III.1-1:Cơchếthiếtlậpkếtnốitrướckhitruyềnsốliệu
Buớc1:MáycongửigóitinSYNyêucầukếtnối
Bước2:Nếumáychủchấpnhậnkếtnối,máychủsẽgửigóitin SYN/ACK
Server bắt buộc phải gửithông báo lại bởi vì TCP là chuẩn tincậy nên nếu máy con không nhận được thông báo thì sẽ nghĩ rằng packet đã bị lạc và gửi lại một packetmới.
Bước3:MáycongửihồiđápbằnggóitinACK
Báo cho máy chủ biết rằng máy con đã nhận được SYN/ACK packet và lúcnày kếtnốiđãđượcthiếtlập.
-Trang111- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
III.2. Lợidụng TCP thực hiện phương pháp SYN flood
truyềnthống:
Hình9.III.2-1:TấncôngDoStruyềnthống
Nhưđãđềcậpvềvấnđềthiếtlậpkếtnốitrongphần1,bấtcứ1góitinSYN, máy chủ cũng phải để 1 phần tài nguyên của hệ thống như bộ nhớ đệm để nhận và truyềndữliệuchođường truyềnđó.Tuynhiên, tàinguyêncủahệthống làcóhạn vàhackersẽtìmmọicáchđểhệthốngtrànquagiớihạnđó.(Đâycònđượcgọilà half-openconnectionvìmáykháchmởkếtnốigiữachừng)
Theohình 9.III.2-1:Nếumáychủ saukhigửitrảmột góitinSYN/ACKđể thông báochấpnhậnkếtnốichomáyyêucầunhưngnếuđịachỉIPcủamáyyêucầunày là giả mạo thì gói tin không thể đến được đích, nên máy chủ vẫn phải dành tài nguyên cho yêu cầu đó. Sau một thời gian không nhận được phản hồi từ máy khách, máy chủlạitiếp tụcgửi mộtgói tinSYN/ACKđể xácnhận lầnnữavà cứ nhưvậy,kếtnốivẫntiếptụcmở.
Nếu nhưhackergửinhiều góitinSYN đếnmáychủ đếnkhi máychủ khôngthể tiếpnhậnthêm1kếtnốinàonữathìlúcnàyhệthốngđãbịphávỡ.
-Trang112- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
Kếtluận:
Chỉvớimộtđườngtruyềnbăngthôngnhỏ,hackerđãcóthểphávỡmộthệthống. Thêmvàođó,địachỉIPcủahackercóthểđượcsửađổinênviệcxácđịnhthủ phạmlàmộtvấnđềhếtsứckhókhăn.
III.3. Tấn công vào băng thông III.3.1. Kiểu tấncông thứ1
Hacker hoàn toàn có khả năng làm ngập hệ thống vì băng thông của hacker lớn hơn băng thông của máy đích. Kiểu tấn công này không bị hạn chế bởi tốc độ truyềnmạng.
Vídụ 9.III.3.1-1: Hackercómộtđường truyềntốc độcaoT1 (1.544-Mbps )hay lớnhơncóthểdễdàngphávỡ mộthệthốngcóđườngtruyền56Kbps.
Kiểutấncôngnàyđượcsửdụngkhiđườngtruyềnmạngcủahackerlàquáthấpso vớiđườngtruyềncủamáyđích.
Không giống như kiểu tấn công DoS truyền thống ( phần 2 ), kiểu tấn công vào băng thônglớnhơn sẽlợi dụng nhữnggóitin từnhững hệ thống khácnhau cùng một lúc tiến đến hệ thống đích khiến cho đường truyền của hệ thống đích không cònkhảnăngđápứng,máychủkhôngcònkhảnăngnhậnmộtgóitinnàonữa.
-Trang113- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
Hình9.III.3.2-1:KiểutấncôngDoSvàobăngthông
ống dẫnlớn), sauđóđược routerchiaranhững"Small Pipe"( ốngdẫnnhỏ)cho nhiềumáytínhcontùytheođịachỉIPcủagóitin.
Nhưng nếu toàn bộ "Big-Pipe" bị làm ngập bằng những gói tin chỉ hướng đến 1 máy nhấtđịnhtrong mạngmáy tínhconnày, routerđànhphải chấpnhận loạibỏ phần lớncác packetđể chỉ còn lại sốlượng vừa đủđi qua "Small Pipe" của máy tínhđó.KiểutấncôngnàysẽloạimáyđíchrakhỏiInternet.
Đây làphươngpháptấncôngkiểutừchốidịchvụnhưngkhônglàDoSmàgọilà DDoS( kiểutừchối dịchvụphântán), nghĩalàcùngmộtlúcnhiều máysẽđược phátđộngđểgửigóitinđếnmáyđích(mặcdùđườngtruyềncủamỗimáykhông cao nhưng nhiều đường truyền lại hợp thànhmột ống dẫn“ Big Pipe”), làm cho máyđíchkhôngcònkhảnăngtiếpnhậngóitinvàbịloạikhỏimạngInternet,như sơ đồminhhọasau:ợcrouterchiaranhững"Sm
-Trang114- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
Hình9.III.3.2-2:TấncôngDDoS
DRDoS (Distributed Reflection Denial of Service) - Thế hệ tiếp theo của DDoS:
Đâycũngchínhlànguyênnhânkhiếnchotranggrc.combịphávỡ. HìnhsausẽminhhọakiểutấncôngDRDoSnày.
-Trang115- KhoaCNTT
Hình9.III.3.2-3.TấncôngkiểuDRDoS
Bằng cách giả địa chỉ IP của máy đích, hacker sẽ cùng lúc gửi nhiều gói tin đếncáchệthốngmáymạnhtrênmạng,cáchệthốngnàykhinhậngóitinSYN giả này, chấpnhận kếtnối và gửitrả mộtgói tin SYN/ACKđể thôngbáo. Vì địa chỉ IP của gói tin SYN bị hacker sửa đổi thành địa chỉ IP máy đích nên những gói tin SYN/ACK sẽ được gửi về cho máy đích. Cùng một lúc nhận đượcnhiềugóitin,đườngtruyềncủamáyđíchkhôngđủkhảnăngđápứng,hệ thống máy đíchtừ chối nhận bất kì gói tinnào và lúc này hệ thốngmáy đích đãbịsụpđổ.
-Trang116- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
III.4. Kiểu tấncông vàotàinguyên hệ thống
Đây là kiểu tấncông nhằm vàotài nguyênhệ thống hơn là tài nguyênmạng như CPU, bộnhớ,file hệthống, tiếntrình…..Hackerlàmộtngười dùnghợp lệcủahệ thống, vàđượcmộtlượngtàinguyêngiớihạntrênhệthống.Tuy nhiên,hackersẽ lạm dụngquyềntruycậpnàyđể yêucầuthêmtàinguyên. Nhưvậy, hệthốnghay nhữngngườidùnghợplệsẽbịtừchốisửdụngtàinguyênchiasẻ.
Kiểu tấn côngsẽ khiếncho hệthống khôngthể sửdụngđược vì tàinguyên đãbị sửdụnghết,khôngcòntiếntrìnhđểthựcthinữa.
IV. BIỆN PHÁPPHÒNG CHỐNG
Kiểutấn công từchốidịch vụlà kiểutấn cônggây nhiềukhókhăn trongvấn đềbảo vệ cũngnhư điềutra tìm rathủ phạm nhất,bởivì hầuhết hackerđã thay đổiđịa chỉ IPcủamáymìnhnênrấtkhóxácđịnhailàthủphạm.
Đểphòngchốngkhảnăngkhuyếchđạiđườngtruyền,cần: • Huỷkhảnăngbroadcasttạirouterbiên
• Tăngkíchthướchàngđợikếtnối
-> kết quả: có thể phòng tránh khả năng tràn hàng đợi qua nhiềukết nối, nhưng cáchnàysửdụngnhiềutàinguyên
• Giảmthờigianthiếtlậpkếtnối
• DùngnhữngphầnmềmpháthiệnvàpháhủykiểutấncôngDoS:
Hầuhết nhữnghệđiềuhành hiệnnayđềuhỗ trợkhảnăngpháthiện vàphòngchống kiểutấncônglụtSYN.
-Trang117- KhoaCNTT
Chương 9: Từ chối dịch vụ (Dos)
Tuy nhiên cũng đã có những phần mềm được cókhả năng tránh kiểu tấn công này. VídụnhưvớiLinuxkernels2.0.30vàvềsaucàiđặtmộttùychọngọilàSYNCookie, kernel có nhiệmvụ truy tìm và lưuvết những khả năng cóthể xảy ra kĩ thuật SYN. Sau đó, kernel sẽ sử dụng một giao thức mã hoá như SYN cookie cho phép người dùnghợplệcủahệthốngtiếptụckếtnốiđếnhệthống
Với WindowNT 4.0trở về sau, sử dụng kĩ thuật backlog, mỗi khi hàng đợi kết nối không đủ đáp ứng, hệ thống tự độngcung cấp tài nguyên cho hàng đợi, vì thế hàng đợisẽkhôngbịphávỡ.
• Ứngdụngchỉ chophépmỗimộtmáyconchỉđược thiếtlậpsốkếtnốitối đatheo quiđịnhtránhtrườnghợphackergửicùnglúcnhiềuyêucâugâytắcnghẽn.
Nh
ậ n xét:
Kiểu tấn công từ chối dịch vụ tuy chỉ khiến cho hệ thống bị phá vỡ trong vài phút nhưnghậuquảthìkhátolớn(ảnhhưởngtrênphạmvitiền vàuytín).Đâylàkĩ thuật thường được hacker sử dụng trong trường hợp không thể chiếm quyền quản trị trên hệthốnghoặcthôngtin, hoặcmuốnpháhủyuytíncủacơ quanđó.Thêmvàođóviệc giảmạo địachỉkhiến chohackercàng dễdàngthực hiệnviêc tấncông màkhôngsợ bị phát hiện. Thông thường kĩ thuật này được thực hiện kèm theo sự hỗ trợ của vài công cụ như ping of death, teardrop…Những công cụ này được liệt kê thêm trong chương8tiếptheo.
-Trang118- KhoaCNTT
Chương 10: Một số kĩ thuật tấn công khác
MỘT SỐ KĨ THUẬT TẤN CÔNG KHÁC
Nộidung: