CHƯƠNG V: HACKING CLIENT
5.4 Denial-of-Service (DoS) Attacks
Tấn công DoS đã thay đổi rất nhiều theo thời gian,những kẻ tấn công đã thích ứng dần với công nghệ,giải pháp bảo mật ngày càng tân tiến.Trước đây,việc tạo ra một cuộc tấn công DoS là vô cùng dễ do phần mêm(miễn phí hay trả phí),các giao thức đều tồn tại nhiều lỗ hổng bảo mật nghiêm trọng.Theo thời gian,những lỗi,lỗ hổng đó dần được vá ,thay thế .Điều này bắt buộc kẻ tấn công phải tìm ra một ”vùng đất mới” để tiến hành tấn công từ chối dịch vụ.
Các cuộc tấn công trên mạng Internet ngày nay thường được tập trung vào việc làm tràn băng thông của một trang web bằng cách sử dụng số lượng lớn các yêu cầu dẫn đến website không có khả năng xử lý kịp dẫn đến từ chối dịch vụ. Các cuộc tấn công
này sử dụng một chân lý cơ bản của kiến trúc internet-không một hệ thống nào có thể xử lý kịp nếu tất cả người dùng internet gửi yêu cầu đến nó.
Hình thức tấn công DoS
Có thể chia tấn công DoS làm 2 loại chính
+Dựa trên lỗ hổng bảo mật:tấn công cổ điển
+Nhằm vào khả năng chịu đựng của nạn nhân:tấn công ngày nay,hầu như không thể ngăn chặn loại tấn công loại này
5.4.1 Tấn công dựa vào khai thác lỗ hổng bảo mật
Tấn công chủ yếu dựa trên những lỗ hổng trong chương trình,phần mềm,giao thức.Bao gồm một số loại
- Ping of deadth : gửi gói tin với dung lượng lớn,ví dụ ping máy tính với dung lượng lớn hơn MTU khiến cho hệ thống máy đích không xử lý được.
- Teardrop trong mạng chuyển mạch gói, dữ liệu được chia nhỏ làm nhiều gói tin, mối gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều đường để tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu. Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công. Kết quả là máy tính đích không thể sắp xếp được những gói tin này và có thể bị treo do đã dùng hết năng lực xử lý của hệ thống.
- Land sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó.
5.4.2 Tấn công vào khả năng chịu đựng của hệ thống
Ngày này hệ điều hành ngày càng thông minh hơn,các giao thức cũng được hoàn thiện và ngày càng được chuẩn hóa,điều đó khiến cho việc tìm ra lỗ hổng bảo mật khó khăn
hơn,điều đó dẫn đến việc tấn công theo phương pháp cổ điển trở nên lạc hậu và xác xuất thành công không cao
Chính điều này khiến cho hacker phải chuyến hướng tấn công sang tấn công băng thông hệ thống.Rõ ràng,đối với bất kỳ tổ chức,công ty nào du to hay nhỏ,thì hệ thống của họ bao gồm phần cứng,phần mềm..cũng chỉ có hiệu năng nhất định,đó là giới hạn mà hệ thống có thể hoạt động và cung cấp đủ dịch vụ cho người dùng.Ví dụ một trang web với một máy chủ, hỗ trợ 100 phiên đồng thời, kết nối qua đường T1 băng thông 1,544 Mbps. Nếu kẻ tấn công tạo ra 100 phiên kết nối đến máy chủ, như vậy trang web không thể cung cấp dịch vụ một người sử dụng hợp lệ tiếp theo tiếp cận với máy chủ, đó chính là từ chối dịch vụ.
Các dạng tấn công loại này
- SYN flood Lợi dụng các thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP với mục tiêu muốn tấn công nhưng sẽ phá vỡ kết nối ngay sau khi quá trình SYN và SYN ACK hoàn tất, khiến cho mục tiêu rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối . Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật. Cách thức này có thể được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker.
- UDP flood hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng với mục tiêu qua cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback) khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.
- Smuft Hacker dùng địa chỉ của máy tính cần tấn công gửi broadcast gói tin ICMP echo cho toàn bộ mạng. Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin như vậy và rất dễ bị treo.
- Distributed denial-of-service (DDoS) dạng tấn công mới và nguy hiểm nhất hiện nay,gần như không thể chống lại tấn công dạng này.Rất nhiều tổ chức,cơ quan đã từng là nạn nhân của tấn công loại này: Amazon.com, Buy.com, eBay, E*trade, Yahoo!, và mới đây nhất là vụ DDoS website của các cơ quan chính phủ Hàn Quốc năm 2009.Để tiến hành tấn công DDoS điều đầu tiên cần có là một hệ thống lớn các máy tính bị nhiễm mà độc(zombies hay bot),bằng mọi cách,gián tiếp hay trực tiếp,hacker sẽ cố gắng lây nhiễm càng nhiều máy càng tốt,thông qua virus hay worm.Các zombie hay bot liên lạc với nhau và nhận lệnh từ chủ nhân thông qua hệ thông IRC(Internet Relay Chat ),qua đó hacker có thể ra lệnh khai hỏa tấn công cùng môt lúc tới một hay nhiều mục tiêu đó