Khả năng xác định thông tin

Một phần của tài liệu Áp dụng tri thức về phát hiện, phân loại tấn công từ chối dịch vụ để thiết kế hệ thống bảo vệ (Trang 33)

Dựa vào định dạng của tiêu đề gói tin và các trường thông tin đi kèm theo từng giao thức, ta có thể xác định được một phần kiểu thông tin sử dụng. Việc nhận dạng này càng chính xác thì càng tạo điều kiện dễ dàng cho việc phản ứng lại tấn công. Theo cách phân loại nhận dạng, ta có 2 loại: nhận dạng được và không nhận dạng được.

PC-1: Nhận dạng được

Trong điều kiện thông tin đến máy nạn nhân có bao gồm những gói tin mang ý nghĩa rõ ràng, các trường tham số đúng đắn thì ta có thể nhận dạng được loại bản

tin. Một số loại bản tin thường được sử dụng như: TCP SYN, ICMP ECHO/REQUEST, truy vấn DNS …

PC-1:RAVS : Độ ảnh hưởng của tấn công đến dịch vụ - Relation of Attacke to Victim Servers

Dựa theo tiêu chí việc lọc gói tin có ảnh hưởng tới dịch vụ hay không, ta phân chia ra 2 loại hình: có thể lọc gói tin và không thể lọc gói tin

PC-1:RAVS-1: Có thể lọc gói

Các loại hình tấn công sử dụng định dạng bản tin sai lệch có thể được lọc gói bởi firewall. Ví dụ như các cuộc tấn công sử dụng định dạng UDP hoặc ICMP ECHO/REQUEST tới máy chủ web là có thể lọc được. Các máy chủ web chỉ phục vụ các truy vấn TCP nên bản thân các gói tin ICMP ECHO/REQUEST là không cần thiết. Nếu sử dụng một firewall, chặn tất cả gói tin ICMP ECHO/REQUEST đến máy chủ web thì có thể hạn chế được kiểu tấn công này.

PC-1:RAVS-2: Không thể lọc gói

Trong trường hợp kẻ tấn công sử dụng những gói tin được thiết kế đúng khuôn dạng, hoạt động đúng giao thức và giả mạo địa chỉ theo các địa chỉ tuân thủ quy định định tuyến thì không thể lọc gói tin ở đây. Nếu cố gắng lọc gói tin thì vô hình chung, những gói tin xuất phát từ khách hàng có nhu cầu thật sự và từ kẻ tấn công đồng thời bị loại bỏ, dịch vụ sẽ coi như bị đóng lại, đúng theo mục tiêu của kẻ tấn công. Ví dụ với trường hợp máy chủ WEB, nếu kẻ tấn công sử dụng mạng máy tính công cụ, gửi số lượng rất lớn các truy vấn HTTP hợp lệ tới máy chủ dịch vụ thì nhà quản trị cũng không thể đơn giản lọc bỏ gói tin HTTP.

PC-2: Không nhận dạng được

Trường hợp này thường được sử dụng để tấn công chiếm băng thông của dịch vụ. Kẻ tấn công sẽ gửi số lượng rất lớn các bản tin vô nghĩa chỉ với mục đích chiếm thời gian xử lý, chiếm băng thông của mạng kết nối ra bên ngoài. Yếu tố nhận dạng ở đây cần phải tính tới năng lực xử lý của hệ thống. Nếu kẻ tấn công sử dụng kết hợp nhiều gói tin khác nhau thì thời gian nhận dạng, chi phí cho nhận dạng có thể là một vấn đề cần phải quan tâm.

Một phần của tài liệu Áp dụng tri thức về phát hiện, phân loại tấn công từ chối dịch vụ để thiết kế hệ thống bảo vệ (Trang 33)

Tải bản đầy đủ (PDF)

(72 trang)