Cơ chế tấn công Teardrop

Một phần của tài liệu bảo mật hệ thống call center (Trang 40)

- Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng, có thể truyền đi theo nhiều con đường khác

nhau để tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu được

kết hợp lại như ban đầụ

- Lợi dụng điều này, Attacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau hoặc chồng chéo lộn xộn và gửi đến mục tiêu muốn tấn công. - Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ này từ kẻ tấn công và

khơng hiểu được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu q trình đó liên tục xảy ra hệ thống khơng cịn tài ngun

cho các ứng dụng khác, phục vụ các user khác mà thậm chí cịn có thể bị treo máỵ

Tấn công SYN Flood

- Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi thực hiện giao thức “bắt tay ba bước”, mỗi khi client

(máy khách) muốn thực hiện kết nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba bước (three – ways handshake) thơng qua các gói tin (packet).

Bước 1:Client sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu

cầu kết nốị

Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để

thơng báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu nàỵ Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ

đệm (cache) để nhận và truyền dữ liệụNgoài ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận.

Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại

CHƯƠNG 3: CÁC NGUY CƠ TẤN CƠNG HỆ THỐNG CALL CENTER Hình 3. 6: Q trình bắt tay 3 bước

- Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay thứ hai, server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại

được hồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên

chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client.

- Vấn đề quan trọng là ở đây khi client không hồi đáp cho Server. Và có hàng nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet

đó và giành tài nguyên để chờ gói tin phản hồi trong lúc tài nguyên của hệ thống là

có giới hạn! Các Attacker tấn cơng sẽ tìm cách để đạt đến giới hạn đó.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

- Nếu q trình đó kéo dài, server sẽ nhanh chóng trở nên q tải, dẫn đến tình trạng crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối khơng thể đáp ứng được. Có thể hình dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng lúc quá nhiều chương trình cùng lúc vậy.

- Thông thường, để giả địa chỉ IP gói tin, các Attacker có thể dùng Raw Sockets (khơng phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin. Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng

như bao gói tin khác, vẫn hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client. Vì địa chỉ IP của client là giả mạo nên sẽ khơng có client nào

nhận được SYN/ACK packet này để hồi đáp cho máy chủ. Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối (connections) tiếp tục mở.

Hình 3. 8: Mơ hình tấn cơng của Attacker sử dụng SYN Flood

- Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối

cùng server đã không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết

nối hợp lệ. Việc không thể phục nữa cũng đồng nghĩa với việc máy chủ không tồn tạị Việc này cũng đồng nghĩa với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc biệt là trong các giao dịch thương mại điện tử trực tuyến.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

- Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần

một máy tính nối internet qua ngã dial-up đơn giản cũng có thể tấn cơng kiểu này (tất nhiên sẽ lâu hơn chút).

Tấn cơng LAND

Hình 3. 9: Mơ hình tấn công bằng Land Attack

Land Attack là một kiểu tấn công cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip khơng có thực, Attacker sẽ dùng chính địa chỉ ip của nạn

nhân. Điều này sẽ tạo nên một vòng lặp vơ tận trong chính hệ thống nạn nhân đó,

giữa một bên cần nhận thơng tin phản hồi cịn một bên thì chẳng bao giờ gởi thơng tin phản hồịVà nghiên cứu gần đây cho thấy, Windows XP SP2 và Windows 2003 rất dễ bị tấn công bởi phương pháp nàỵ Nhưng trên thực tế thì các hệ điều hành như Sun OS, BSD (Unix) và Macs là dễ bị tấn công bằng phương pháp nàỵ

CHƯƠNG 3: CÁC NGUY CƠ TẤN CƠNG HỆ THỐNG CALL CENTER Hình 3. 10: Mơ hình tấn cơng bằng UDP Flood

Attacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng bị tấn công UDP Flood sẽ bị quá

tải và chiếm hết băng thơng của đường truyền, vì thế nó gây ra những ảnh hưởng rất lớn đến đường truyền, tốc độ của mạng, gây khó khăn cho người dùng khi truy cập vào mạng nàỵ

UDP Flood cần có ít nhất 2 hệ thống máy tham giạ Attackers tự làm hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP bằng việc giả mạo địa chỉ IP của các gói tin là địa chỉ loopback và gởi gói tin đến máy của victim thông qua cổng UDP echo ( 7 ).Máy của victim sẽ request các gói tin do 127.0.0.1(chính nó) gởi đến,kết quả là nó sẽ đi vịng một vịng lặp vơ tận. Nhưng đó

là con dao 2 lưỡi vì hiện nay có rất nhiều hệ thống cấm sử dụng địa chỉ loopback

nên khi Attacker thực hiện tấn cơng này thì sẽ rơi vào vịng lập do chính mình tạo rạ

Tấn cơng DNS

Hình 3. 11: Mơ hình tấn công DNS

Đầu tiên,Attacker tấn công vào DNS server bằng các phương pháp khai thác

lỗ hổng hoặc lợi dụng sự kém bảo mật của hệ thống. Sau đó, Attacker có thể đổi đường dẫn vào Domain Name Server của hệ thống nạn nhân nhằm làm cho DNS

của hệ thống phân giải đến một Fake Website của Attacker. Khi máy khách yêu cầu

DNS phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS ( đã bị Attacker thay đổi cache tạm thời ) sẽ đổi thành địa chỉ IP mà Attacker đã cho chỉ đến đó. Kết

quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính Attacker tạo rạ

3.1.1.5 Các cơng cụ tấn cơng DoS

CHƯƠNG 3: CÁC NGUY CƠ TẤN CƠNG HỆ THỐNG CALL CENTER Hình 3. 12: Tấn cơng DoS bằng Jolt2

 Cho phép kẻ tấn công từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows

 Nó là nguyên nhân khiên máy chủ bị tấn cơng có CPU ln hoạt động ở mức

độ 100%, CPU không thể xử lý các dịch vụ khác.

 Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công.

Tools DoS - Bubonic

 Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000  Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ xuất hiện những lỗ hổng bảo mật.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CƠNG HỆ THỐNG CALL CENTER Hình 3. 13: Tấn công DoS bằng Bubonic.c

Tools DoS: Land and Latierra

 Giả mạo địa chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy

tính.

 Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa

thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn cơng này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nốị

 Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin khơng thể đi đến đích cần đến và đẩy mục tiêu vào một vịng lặp vơ

tận khi cố gắng thiết lập kết nối với chính nó.

Tools DoS: Targa

 Targa là một chương chình có thể sử dụng 8 dạng tấn công DoS khác nhaụ  Nó được coi như một bộ hướng dẫn tích hợp toàn bộ các ảnh hưởng của DoS

và thường là các phiên bản của Rootkit.

 Kẻ tấn công sử dụng một trong các phương thức tấn công cụ thể tới một hệ thống bao giờ đạt được mục đích thì thơị

 Targa là một chương trình đầy sức mạnh và nó có khả năng tạo ra một sự

nguy hiểm rất lớn cho hệ thống mạng của một công tỵ

Tools DoS Blast 2.0

 Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó có khả năng tạo ra một lưu lượng rất lớn gói TCP và có thể sẽ gây nguy hiểm cho một hệ thống mạng với các server yếụ

 Dưới đây là cách sử dụng để tấn công HTTP Server sử dụng Blast 2.0

+ Blast 192.168.1.219 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v  Tấn công máy chủ POP

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

Tools DoS – Nemesy

Hình 3. 14: Tấn công DoS bằng Nemesy

 Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol,

port, etc. size, …)

 Dựa vào chương trình này kẻ tấn cơng có thể chạy các đoạn mã nguy hiểm

vào máy tính khơng được bảo mật.  Tool DoS – Panther2

Hình 3. 15: Tấn cơng DoS bằng Panther2

 Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dành riêng cho kết nối 28.8 – 56 Kbps.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CƠNG HỆ THỐNG CALL CENTER

 Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví như

thực hiện q trình Ping cực nhanh và có thể gây ra tấn cơng DoS

Tool DoS – Crazy Pinger

 Công cụ này có khả năng gửi những gói ICMP lớn tới một hệ thống mạng từ xạ

Hình 3. 16: Tấn cơng DoS bằng Crazy Pinger

Tool DoS – Some Trouble

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

 SomeTrouble 1.0 là một chương trình gây nghẽn hệ thống mạng  SomeTrouble là một chương trình rất đơn giản với ba thành phần

+ Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có) + ICQ Bomb

+ Net Send Flood

DoS Tools – UDP Flood

Hình 3. 18: Tấn công DoS bằng UDP Flood

 UDP Flood là một chương trình gửi các gói tin UDP

 Nó gửi ra ngồi những gói tin UDP tới một địa chỉ IP và port không cố định  Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được

sinh ngẫu nhiên hay từ một filẹ- Được sử dụng để kiểm tra khả năng đáp ứng của Server

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

Tools DoS – FSMAX

Hình 3. 19: Tấn công DoS bằng FSMAX

 Kiểm tra hiệu năng đáp ứng của máy chủ.

 Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc.  Tác dụng của tools này là tìm cách tấn cơng làm chàn bộ nhớ đệm và tấn

công DoS tới máy chủ.

Tool DoS - DoSHTTP 2.5.1

Hình 3. 20: Giao diện phần mềm DoSHTTP 2.5.1

Đây là phần mềm làm “Flood” Website ở mức độ nhẹ và nó thực hiện bằng

cách gửi các gói tin Request đến port 80 của websitẹ

Mục đích của phần mềm là giúp các quản trị viên đánh giá được năng suất hoạt động và hiệu quả của hệ thống nhằm đưa ra phương án tốt nhất.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

Tool DoS - rDoS

Hình 3. 21: Giao diện phần mềm rDoS

- Phần mềm chạy trên nền TCP và phương pháp tấn công là làm ngập lụt SYN.

Chỉ cần nhập IP của Victim và Port muốn tấn cơng thì chương trình sẽ tự

động chạỵ

- Lưu ý: Khi sử dụng thì phải cẩn thận và thốt ra đúng cách vì nếu khơng máy tính của mình sẽ tự động tấn cơng DoS tới victim đã chỉ định khi mình bật máy

lên, dù chưa làm 1 thao tác nàọ Để kiểm tra thì chúng ta sử dụng WireShark sẽ thấy

rõ vấn đề.

3.1.2 ĐOS

3.1.2.1 Khái niệm ĐoS

ĐoS là một dạng DoS nhưng kẻ tấn công sử dụng nhiều máy để thực hiện.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

Sự khác nhau là: DoS là tấn cơng từ một nguồn cịn ĐoS là từ nhiều nguồn

khác nhau nên phương pháp chống lại cũng khác nhaụ

VD: Nếu phát hiện dấu hiệu của DoS thì chỉ cần tìm và ngắt các hoạt động

hoặc kết nối liên quan đến nguồn phát, cịn ĐoS thì rất nhiều nguồn tấn công nên

không làm như vậy được. Một điểm quan trọng là nếu bị tấn công ĐoS thi rất

khó hoặc khơng thể chống đỡ.

3.1.2.2 Mạng BOT

Khái niệm mạng BOT

 BOT từ viết tắt của từ RoBOT

 IRCbot – còn được gọi là zombie hay dronẹ

 Internet Relay Chat (IRC) là một dạng truyền dữ liệu thời gian thực trên

Internet. Nó thường được thiết kế sao cho một người có thể nhắn được cho

một group và mỗi người có thể giao tiếp với nhau với một kênh khác nhau

được gọi là – Channels.

 Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa những người với nhaụ

 Kẻ tấn cơng có thể điều khiển mạng BOT và sử dụng mạng BOT cũng như sử dụng nhằm một mục đích nào đó.

 Nhiều mạng BOT kết nối với nhau người ta gọi là BOTNET

Ý nghĩa của mạng BOT

 Khi sử dụng một tool tấn công DoS tới một máy chủ đôi khi không gây ảnh

hưởng gì cho máy chủ - Giả sử bạn sử dụng tool Ping of Death tới một máy

chủ, trong đó máy chủ kết nối với mạng tốc độ 100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps

 Vậy tấn công của bạn khơng có ý nghĩa gì.

 Nhưng bạn hãy tưởng tượng có 1000 người như bạn cùng một lúc tấn cơng

vào máy chủ kia khi đó tồn bộ băng thông của 1000 người cộng lại tối đa

đạt 3Gbps và tốc độ kết nối của máy chủ là 100 Mbps vậy kết quả sẽ ra sao

các bạn có khả năng tưởng tượng.

 Nhưng tơi đang thử hỏi làm cách nào để có 1000 máy tính kết nối với mạng tơi đi mua một nghìn chiếc và thuê 1000 thuê bao kết nối - chắc chắn tôi

không làm như vậy rồi và cũng không kẻ tân công nào sử dụng phương pháp này cả.

 Kẻ tấn cơng xây dựng một mạng gồm hàng nghìn máy tính kết Internet (có mạng BOT lên tới 400.000 máy). Vậy làm thể nào chúng có khả năng lợi

Một phần của tài liệu bảo mật hệ thống call center (Trang 40)

Tải bản đầy đủ (PDF)

(177 trang)