- Kẻ tấncông gửi những gói tin IPlớn hơnsố lương bytes cho phép của tin IP là65.536 bytes.
- Quá trình chia nhỏ góitin IP thành những phần nhỏ đượcthực hiện ở layerII.
- Quá trình chia nhỏ cóthể thực hiện vớigói IP lớnhơn 65.536 bytes. Nhưng hệ điều hành không thểnhận biết đượcđộ lớncủa gói tin này và sẽ bị khởiđộng lại,hay đơn giản làsẽ bị gián đoạn giao tiếp.
- Để nhận biếtkẻ tấn công gửi gói tin lớnhơngói tin cho phép thì tương đối dễ dàng.
d.T
ấn công Teardrop
- Góitin IP rất lớnkhi đến Router sẽbị chia nhỏ làm nhiều phần nhỏ. - Kẻ tấncông sử dụng sửdụng gói IP vớicác thôngsố rất khó hiểu để chia ra các phần nhỏ(fragment).
- Nếu hệđiều hành nhậnđược các gói tin đãđược chia nhỏ và khônghiểu được, hệ thống cố gắng build lại gói tin vàđiều đóchiếm một phần tài nguyên hệ thống,nếu quá trìnhđó liên tục xảy rahệ thống khôngcòn tài nguyên cho các ứngdụng khác, phục vụ các user khác.
- Kẻ tấncông gửi các yêu cầu (request ảo) TCP SYN tớimáy chủ bịtấn
công. Đểxử lý lượnggói tin SYN nàyhệ thống cần tốn một lượngbộ nhớ
cho kết nối.
- Khi córất nhiều gói SYN ảo tới máychủ và chiếm hết các yêu cầuxử lý
của máychủ. Một ngườidùng bình thường kết nối tớimáychủ banđầu
thực hiện Request TCPSYN và lúc này máy chủ khôngcòn khả năng đáp
lại - kếtnối không đượcthực hiện.
- Đây làkiểu tấn công mà kẻ tấn công lợidụng quá trình giao tiếp của
- Các đoạn mãnguy hiểm có khả năng sinh ra một sốlượng cực lớncác gói TCP SYN tớimáy chủ bị tấncông, địa chỉ IP nguồncủa gói tin đã bị thay đổi và đó chính làtấn công DoS.
- Hình bên trên thể hiện các giao tiếp bình thườngvới máy chủ vàbên dướithế hiện khi máy chủ bịtấn công gói SYN đến sẽ rất nhiều trong khi đó khả năng trả lờicủa máy chủ lạicó hạn và khi đó máychủ sẽ từ chối các truy cập hợppháp.
- Quá trình TCP Three-way handshakeđược thực hiện: Khi máyA muốn
giao tiếp với máyB. (1) máyA bắn ra mộtgói TCPSYN tới máyB –(2)
máy Bkhi nhận được gói SYN từA sẽgửi lại máy Agói ACKđồng ý kết
nối – (3) máyA gửilại máy B gói ACKvà bắt đầu các giao tiếp dữ liệu. - MáyA và máy Bsẽ dữ kếtnối ít nhất là 75 giây,sau đó lại thựchiện
một quá trình TCP Three-way handshake lầnnữa để thực hiện phiên kết
nối tiếp theo để trao đổi dữliệu.
- Thật khôngmay kẻ tấn công đã lợidụng kẽ hởnày để thựchiện hành vi tấn công nhằm sửdụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way handshakexuống rất nhỏ vàkhông gửilại gói ACK, cứbắn gói SYN ra liên tụctrong một thờigian nhất định và không bao giờtrả lời lại gói SYN&ACKtừ máy bịtấn công.
- Vớinguyên tắc chỉ chấp nhận gói SYN từmột máy tớihệ thống sau mỗi
75 giây nếu địa chỉ IPnào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.
5.
Công cụ dung để tấn công:
- Jolt2 - Bubonic.c
- Targa - Blast20 - Nemesy - Panther2 - CrazyPinger - Some Trouble - UDP Flood - FSMax C.Kết Luận:
Phần trình bày ởtrên đã phân tích một sốtrường hợp cónhững lỗ
hổng bảo mật,những ngườitấn công cóthể lợi dụngnhững lỗ hổng này
để tạo ranhững lỗ hổng khác tạo thànhmột chuỗi mắt xích những lỗ
hổng. Ví dụ,một ngườimuốn xâm nhập vào hệ thốngmà anh ta khôngcó
tài khoản truy nhập hợp lệ trênhệ thống đó.Trong trường hợpnày,trước tiên anh ta sẽ tìmra các điểm yếu trên hệ thống, hoặc từcác chính sách bảo mật,hoặc sửdụng các công cụ dòsét thông tin trênhệ thống đóđể đạt đượcquyền truy nhập vào hệ thống. Sau khi mục tiêu nhưnhất đãđạt được, anh ta cóthể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắmbắt đượccác điểm yếu và thựchiện các hành động tấn công tinh vi hơn.
Từcác hoạt động kiểm tra,đánhgiá nêu trên, các nhà quản trịhệ thốngcó thể rút ra đượcnhững kinh nghiệm để có thể cải thiện chính sách bảo mật hữuhiệu hơn. Cải thiện chính sách có thể là những hành động
nhằm đơn giản công việc ngườisử dụng,giảm nhẹ tính cồng kềnh, phức
tạp trên hệthống, hoặc kiểm soáthệ thốngchặt chẽ hơnnữa...
thời gian tồn tại củahệ thống đó,nó gắn liền vớicác công việc quản trị, duy trìhệ thống. Đây cũng chính làmột yêu cầu trongkhi xây dựng một chínhsách bảo mật,cần phải luôn luôn mềm dẻo, cónhững thay đổiphù hợptùy theo điều kiện thực tế.