Từ khảo sát thực tế kết hợp với những kiến thức, các chuyên gia trong lĩnh vực an ninh cho thấy:
- Các tấn công từ chối dịch vụ chủ yếu tấn công qua giao thức HTTP. Các request của giao thức HTTP bình thường chỉ là các địa chỉ Web (URL) nên có kích thước rất nhỏ. Song có rất nhiều tấn công, kẻ tấn công thường chèn mã lệnh thực thi trên trình duyệt nạn nhân (cross site scripting), ví dụ: http://www.microsoft.com/education/? ID=MCTN&target=http://www.microsoft.com/education/?
ID=MCTN&target=< script>alert(document.cookie)</script >, sử dụng
các script (đoạn mã) dạng tập tin flash hay chèn các truy vấn SQL vào URL… Điều này làm cho các request này có kích thước lớn hơn bình thường. Vì thế theo nghiên cứu cho thấy thì các request của giao thức này có kích thước >=350 byte là những mẫu bất thường có khả năng là tấn công.
- Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.
Ping Of Death.
Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận những gói dữ liệu ping có kích thước lớn.
• Ví dụ như : ping địachỉ -n 1000
trong đó : số 1000 là số lần gửi gói dữ liệu.
TCP/SYN Flooding:
Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ
Khách hàng -> SYN Packet -> Máy chủ
Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng
Máy chủ -> SYN/ACK Packet -> Khách hang
Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.
Khách hàng -> ACK Packet -> Máy chủ
• Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa
UDP/ICMP Flooding:
Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngoài của mạng này, vì thế nó gây ra những ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.
⇒ Ta có mẫu bất thường là một “RemoteHost” trong một khoảng thời gian được xét gửi một lượng lớn gói tin tới một “LocalHost” tức là một “RemoteHost” gửi rất nhiều request tới một “LocalHost” trong khoảng cửa sổ thời gian. Tuỳ theo từng điều kiện hệ thống mạng cần bảo vệ mà ngưỡng số request này thay đổi, việc lựa chọn cẩn thận ngưỡng này sẽ cho ta các cảnh báo đúng và nó phụ thuộc rất nhiều vào kinh nghiệm thực tế.
- Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn công không phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau để thực hiện việc tấn công đồng loạt vào máy nạn nhân. Tức là sẽ có một số lượng lớn các Request từ các địa chỉ mạng khác nhau tới cùng một khoảng thời gian trong một khoảng thời gian rất ngắn (DDoS).
⇒ Ta có mẫu bất thường có nhiều request đến một máy “LocalHost” trong một khoảng thời gian ngắn. Cũng tuỳ thuộc vào điều kiện của mạng và máy mà ngưỡng số request này thay đổi cho phù hợp.
Ngoài ra còn có rất nhiều các mẫu bất thường của tấn tấn công từ chối dịch vụ với những đặc trưng khác nhau nhưng trong phạm vi của đồ án này chỉ sử dụng một số mẫu bất thường cơ bản trong tấn công từ chối mà thông qua quá trình phân tích thực tế đã thu được.