Malicious TCP
2.5.4.Phân tích hai công cụ về DoS (Smurf attack) và DDoS (TFN attack): 1 Chương trình DoS điển hình:
2.5.4.1. Chương trình DoS điển hình:
Chương trình còn có tên gọi Smurf attack. Nó xuất hiện vào năm 1997, với ý tưởng xử dụng mạng khuếch đại (amplifier), nhằm tăng dòng lưu lượng lên nhiều lần bằng cách lợi dụng gói tin broadcast gởi đến router để nó truyền đến tất cả các máy tính trong cùng một broadcast domain. Với địa chỉ IP nguồn (source IP) của gói tin giả mạo là máy nạn nhân (victim). Khi đó các máy tính nằm trong cùng một broadcast domain sẽ đồng loạt gửi gói tin đáp trả (reply) đến victim.
Hình 2.15: Minh họa công cụ DoS – Smurf attack
Chương trình chỉ có một tập tin smurf.c. Sau khi biên dịch, thực thi sẽ có
các thông số như trên:
<target>: địa chỉ mục tiêu cần tấn công, đây cũng là địa chỉ dùng để giả mạo trong gói tin ICMP ECHO_REQUEST
<bcast file>: vị trí của tập tin chứa danh sách các địa chỉ broadcast, dùng để gởi đến router
<number packets>: số gói tin ICMP ECHO_REQUEST gởi đến. 0 tức là gởi vô số
<packet delay>: khoảng thời gian tạm dừng cho mỗi gói gởi đến. <packet size>: kích thước gói ICMP
Sử dụng chương trình bắt gói tin Ethereal. Quan sát thấy hệ thống victim sẽ nhận rất nhiều gói tin ICMP ECHO_REPLY mặc dù bản thân không hề gởi ICMP ECHO_REQUEST.
Hình 2.17: Phân tích bằng công cụ bắt gói Ethereal Ph
â n tí c h g ói I CMP E C H O
Đễ dàng nhận thấy các gói tin ICMP ECHO_REPLY vào hệ thống victim với trường sequence number luôn là 0x0000. Đó là điểm khác biệt với một gói tin PING thông thường (sequence number luôn thay đổi).
Để tấn công có hiệu quả, attacker thường tăng kích thước của gói ICMP lớn hơn gói tin PING thông thường (gói PING chỉ có 32 bytes) nhằm nhanh chóng
flood hệ thống.