Tấn công chủ động

Một phần của tài liệu báo cáo tìm hiểu về mạng lan (Trang 29 - 34)

I. Một số phƣơng thức tấn công chủ yếu

3. Tấn công chủ động

3.1. Phƣơng pháp tấn công DoS

Những kiểu tấn công chủ động rất dễ nhận biết, bởi vì những nguy hiểm đối với hệ thống mạng đƣợc thể hiện rất rõ. Những kẻ tấn công theo cách này không lắng nghe thông tin trên đƣờng dây mà thƣờng tìm cách phá hoại đến môi trƣờng mạng và những dịch vụ đang hoạt động. Phƣơng pháp tấn cơng chủ động có khuynh hƣớng rất rõ ràng, bởi vì những ngun nhân gây ra thiệt hại thƣờng là nhận biết đƣợc. Một trong những kiểu tấn công tiêu biểu cho dạng tấn cơng này đó là kiểu tấn cơng DoS và DDoS.

Do (Denial of ervice) là phƣơng pháp tấn công trực diện vào trung tâm của mạng nhằm làm cho cơ sở hạ tầng của những dịch vụ mạng bị phân tán. Kiểu tấn công này thƣờng không chú trọng đến việc đột nhập vào hệ thống mà nó định tấn cơng, nó thƣờng tác động làm giảm chất lƣợng cung cấp dịch vụ của mạng, làm cho hệ thống khơng cịn khả năng phân phối dịch vụ cho khách hàng nữa. Thông thƣờng chúng ta đều nghĩ rằng mục tiêu tấn công chủ yếu của DoS chỉ là những máy chủ (server). Điều này không phải lúc nào cũng là đúng, bởi vì mục đích tấn cơng chủ yếu của phƣơng pháp này chính là nó làm giảm chất lƣợng cung cấp dịch vụ ứng dụng tới tất cả những khách hàng của hệ thống mạng đó. Mà mọi khách

30

hàng đều sử dụng môi trƣờng vật lý hay những thực thể logic để liên kết với các hệ thống máy tính khác, những mơi trƣờng liên lạc này thƣờng đều có giới hạn nhất định về traffic nào đó. Khi đó kẻ tấn cơng sẽ gửi tới mạng liên tiếp những gói tin khiến cho hệ thống, hay server không thể xử lý kịp những gói tin đó. Đây cũng chính là nguyên nhân mà ta khơng thể dự đốn trƣớc đƣợc. Cách tấn cơng này có thể gây ra hiện tƣợng mạng bị treo, thậm chí nó cịn làm cho mạng bị shutdown. Một số lƣợng lớn những vụ tấn cơng bởi DoS có thể sẽ gây khó khăn cho việc phát hiện và ngăn chặn hiện tƣợng này và nó cịn có thể làm sai lệch thơng tin cảnh báo mà bạn nhận đƣợc.

Phần lớn các cuộc tấn công bằng phƣơng pháp Do đều bắt nguồn từ nguyên nhân xảy ra những lỗ hổng trên mạng mà hacker đã dò và phát hiện ra. Phƣơng pháp tấn công DoS không chỉ đƣợc hình thành và thực hiện từ những hệ thống ở xa mà nó cịn đƣợc xuất phát từ chính bên trong của những mạng đó. Những cuộc tấn cơng DoS xuất phát từ mạng cục bộ thƣờng dễ xác định đƣợc vị trí tấn cơng để sửa chữa vì giới hạn khơng gian của vấn đề đã đƣợc xác định rõ ràng.

Phƣơng thức tấn cơng DoS có hai dạng cơ bản phổ biến, đó là : +Tấn cơng phá hoại tài nguyên.

+Tấn cơng vào những gói tin dị tật.

Tài ngun của máy tính ln là có hạn, các nhà quản trị trên tồn thế giới đều nhận thức đƣợc về vấn đề thiếu thốn này nhƣ sự khan hiếm về dải thông, sự hạn chế của CPU, RAM, và bộ nhớ phụ. Sự thiếu hụt này gây nên rất nhiều khó khăn cho việc phân phối một vài dạng dịch vụ tới những khách hàng (client). Một trong những dạng tấn cơng tiêu biểu cho hình thức này đƣợc gọi là network bandwidth. Một số các doanh nghiệp có vị trí thuận lợi và có dải thơng dƣ thừa cũng nên đề phịng với loại hình tấn cơng này vì chính sự dƣ thừa đó lại tạo cơ hội nảy sinh những đợt tấn công kiểu này. Sự tàn phá nguồn tài nguyên mạng phần lớn là bắt nguồn từ bên ngồi mạng nhƣng ta cũng khơng nên loại bỏ khả năng mình sẽ bị tấn cơng từ chính bên trong mạng đó. Dạng tấn cơng này thƣờng đƣợc thực hiện bằng

31

cách kẻ tấn cơng gửi một lƣợng lớn những gói tin tới máy tính bị hại. Hình thức tấn cơng này đƣợc gọi là hiện tƣợng làm “tràn” mạng (flooding). Mạng bị tấn cơng có thể bị tràn ngập bởi các gói tin gửi tới, dải thơng của mạng sẽ bị chiếm hết và do đó các dịnh vụ khác muốn chạy trên hệ thống đều bị nhƣng trệ, hệ thống mạng coi nhƣ trở thành tê liệt.

Một cách phá huỷ hệ thống khác cũng hay đƣợc sử dụng là nhờ vào sự cấu hình mạng một cách lỏng lẻo, hacker sẽ tìm cách điều khiển traffic của kẻ bị hại, bằng cách này hacker có thể lừa bịp sự kiểm soát của mạng và dễ dàng làm cho mạng đó bị tràn ngập. Kiểu tấn cơng mạng nhƣ vậy đƣợc gọi là tấn công vào ứng dụng (Application attacks).

Nhìn chung DoS là một dạng tấn cơng mạng hoạt động trong một phạm vi rất rộng, vì thế nó thƣờng xuất hiện trong rất nhiều hồn cảnh khác nhau. Đây là một dạng tấn cơng nhằm mục đích phá hoại những tài nguyên trên mạng, làm giảm khả năng kết nối của hệ thống để hợp pháp hoá tƣ cách sử dụng tài nguyên mạng của những kẻ phá hoại, từ đó làm tê liệt hệ thống hay hệ điều hành mạng.

3.2. Phƣơng pháp tấn công DDoS

DDoS (Distributed Denial of Service) là cách thức tấn công đƣợc phát triển dựa trên những gì mà Do đã sẵn có. Đây là một trong những phƣơng pháp tấn cơng phổ biến hiện nay, nó gắn liền với tất cả các mạng và phân phối trên rất nhiều mạng máy tính trên thế giới. Cách thức tấn công DDo đƣợc chia làm hai pha khác biệt.

+Trong suốt thời gian của pha một DDoS, kẻ làm hại mạng máy tính này sẽ hoạt động trên khắp mạng Internet và tiến hành cài đặt những phần mềm đặc biệt trên các host nhằm mục đích giúp đỡ cho sự tấn cơng sau này.

+Trong pha thứ hai, những host đã bị hại (đƣợc gọi là zombies) sẽ cung cấp thông tin cho giai đoạn trung gian (master) để bắt đầu cho một cuộc tấn công. Hàng trăm, thậm chí có thể là hàng nghìn zombies có thể đƣợc kết nạp vào cuộc tấn công này bởi những kẻ hacker chuyên cần. Bằng cách sử dụng những phần mềm đã cài

32

đặt từ trƣớc để điều khiển, mỗi zombies sẽ đƣợc sử dụng sao cho chính bản thân nó sẽ có thể tấn cơng vào mục tiêu. Những kết quả tấn cơng bằng zombies sẽ đƣợc tích luỹ lại và nó làm cho một lƣợng lớn traffic trên mạng sẽ bị rỗng cạn tài nguyên và các liên lạc sẽ bị chồng chất lên nhau.

3.3. Tấn công SYN

Bản chất của phƣơng pháp tấn công SYN attacks là dựa vào những yếu điểm của giao thức TCP/IP. Phƣơng pháp này lợi dụng quá trình bắt tay ba bƣớc (3-way handshake) để làm cho thiết bị đích gửi ACK về cho địa chỉ nguồn và khơng kết thúc quá trình bắt tay đƣợc.

Trƣớc hết chúng ta tìm hiểu về quá trình bắt tay ba bƣớc.

Hình 2.1. Quá tr nh ắt t y 3 ướ (3- way handshake)

Quá trình này đƣợc bắt đầu khi một host gửi đi một gói SYN (synchronization). Trong gói syn này sẽ có địa chỉ IP của nguồn và đích, nó sẽ giúp máy đích gửi gói tin SYN/ACK cho máy nguồn. Khi máy nguồn nhận đƣợc gói tin này nó sẽ gửi gói tin ACK xác nhận thiết lập kết nối.

33

Trong kiểu tấn cơng SYN, hacker sẽ gửi những gói tin YN nhƣng giả mạo địa chỉ IP nguồn. Khi đó máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, không đến đƣợc và chờ nhận ACK từ máy đó. Trong trạng thái chờ nhƣ vậy, yêu cầu thiết lập kết nối đƣợc lƣu trong hàng đợi hoặc trong bộ nhớ. Trong suốt trạng thái chờ, hệ thống bị tấn công sẽ phải dành hẳn một phần tài nguyên cho đến khi thời gian chờ hết hạn.

Hiình 2.2. SYN attack

Với rất nhiều gói tin SYN gửi đi, hacker sẽ làm tràn ngập thiết bị khiến cho thiết bị này bị tràn ngập tài nguyên khi trả lời và chờ các kết nối giả tạo và nó khơng cịn khả năng trả lời cho các yêu cầu kết nối thật khác.

Để chống lại phƣơng pháp này có thể dùng cách giảm thời gian chờ cho một kết nối và tăng kích thƣớc hàng đợi lên. Tuy nhiên đây chỉ là cách bị động để giải

34

quyết. Phƣơng pháp tốt nhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệu của các đợt tấn công này để ngăn chặn từ trƣớc.

Một phần của tài liệu báo cáo tìm hiểu về mạng lan (Trang 29 - 34)

Tải bản đầy đủ (PDF)

(69 trang)