Tìm hiu v tn công t chi dch v DoS
14:03' 03/01/2006 (GMT+7)
Tn công bng t chi dch v DoS (Denial of Service) có th mô t như hành
động ngăn cn nhng người dùng hp pháp kh năng truy cp và s dng
vào mt dch v nào đó. Nó bao gm làm tràn ngp mng, mt kết ni vi
dch v… mà mc đích cui cùng là máy ch (Server) không th đáp ng
được các yêu cu s dng dch v t các máy trm (Client).
DoS có th làm ngưng hot động ca
mt máy tính, mt mng ni b, thm
chí c mt h thng mng rt ln. V
bn cht thc s ca DoS, k tn
công s chiếm dng mt lượng ln tài
nguyên mng như băng thông, b
nh… và làm mt kh năng x lý các
yêu cu dch v t các client khác.
Các cách thc tn công DoS
Phá hoi da trên tính gii hn
hoc không th phc hi ca tài
nguyên mng
1. Thông qua kết ni
Tn công kiu SYN flood
Li dng cách thc hot động ca kết ni TCP/IP, hacker bt đầu quá trình thiết
lp mt kết ni TPC/IP ti mc tiêu mun tn công mà không gi tr gói tin ACK,
khiến cho mc tiêu luôn rơi vào trng thái ch (đợi gói tin ACK t phía yêu cu
thiết lp kết ni) và liên tc gi gói tin SYN ACK để thiết lp kết ni. Mt cách
khác là gi mo địa ch IP ngun ca gói tin yêu cu thiết lp kết ni SYN và cũng
như trường hp trên, máy tính đích cũng rơi vào trng thái ch vì các gói tin SYN
ACK không th đi đến đích do địa ch IP ngun là không có tht. Kiu tn công
SYN flood được các hacker áp dng để tn công mt h thng mng có băng
thông ln hơn h thng ca hacker.
Kiu tn công SYN flood
2. Li dng ngun tài nguyên ca chính nn nhân để tn công
Kiu tn công Land Attack
Kiu tn công Land Attack cũng tương t như SYN flood, nhưng hacker s dng
chính IP ca mc tiêu cn tn công để dùng làm địa ch IP ngun trong gói tin, đẩy
mc tiêu vào mt vòng lp vô tn khi c gng thiết lp kết ni vi chính nó.
Kiu tn công UDP flood
Hacker gi gói tin UDP echo vi địa ch IP ngun là cng loopback ca chính
mc tiêu cn tn công hoc ca mt máy tính trong cùng mng. Vi mc tiêu s
dng cng UDP echo (port 7) để thiết lp vic gi và nhn các gói tin echo trên 2
máy tính (hoc gia mc tiêu vi chính nó nếu mc tiêu có cu hình cng
loopback), khiến cho 2 máy tính này dn dn s dng hết băng thông ca chúng,
và cn tr hot động chia s tài nguyên mng ca các máy tính khác trong mng.
3.S dng băng thông
Tn công kiu DDoS (Distributed Denial of Service)
Đây là cách thc tn công rt nguy him. Hacker xâm nhp vào các h thng máy
tính, cài đặt các chương trình điu khin t xa, và s kích hot đồng thi các
chương trình này vào cùng mt thi đim để đồng lot tn công vào mt mc tiêu.
Vi DDoS, các hacker có th huy động ti hàng trăm thm chí hàng ngàn máy tính
cùng tham gia tn công cùng mt thi đim (tùy vào s chun b trước đó ca
hacker) và có th "ngn" hết băng thông ca mc tiêu trong nháy mt.
Kiu tn công DDoS
4.S dng các ngun tài nguyên khác
K tn công li dng các ngun tài nguyên mà nn nhân cn s dng để tn công.
Nhng k tn công có th thay đổi d liu và t sao chép d liu mà nn nhân cn
lên nhiu ln, làm CPU b quá ti và các quá trình x lý d liu b đình tr.
Tn công kiu Smurf Attack
Kiu tn công này cn mt h thng rt quan trng, đó là mng khuyếch đại.
Hacker dùng địa ch ca máy tính cn tn công bng cách gi gói tin ICMP echo
cho toàn b mng (broadcast). Các máy tính trong mng s đồng lot gi gói tin
ICMP reply cho máy tính mà hacker mun tn công. Kết qu là máy tính này s
không th x lý kp thi mt lượng ln thông tin và dn ti b treo máy.
Kiu tn công Smurf Attack
Tn công kiu Tear Drop
Trong mng chuyn mch gói, d liu được chia thành nhiu gói tin nh, mi gói
tin có mt giá tr offset riêng và có th truyn đi theo nhiu con đường khác nhau
để ti đích. Ti đích, nh vào giá tr offset ca tng gói tin mà d liu li được kết
hp li như ban đầu. Li dng điu này, hacker có th to ra nhiu gói tin có giá tr
offset trùng lp nhau gi đến mc tiêu mun tn công. Kết qu là máy tính đích
không th sp xếp được nhng gói tin này và dn ti b treo máy vì b "vt
kit" kh năng x lý.
Phá hoi hoc chnh sa thông tin cu hình
Li dng vic cu hình thiếu an toàn như vic không xác thc thông tin trong vic
gi/nhn bn tin cp nht (update) ca router... mà k tn công s thay đổi trc
tiếp hoc t xa các thông tin quan trng này, khiến cho nhng người dùng hp
pháp không th s dng dch v.
Ví d: hacker có th xâm nhp vào DNS để thay đổi thông tin, dn đến quá trình
biên dch tên min (domain) sang địa ch IP ca DNS b sai lch. Hu qu là các
yêu cu ca máy trm (Client) s ti mt tên min khác (đã b thay đổi) thay vì tên
min mong mun.
Phá hoi hoc chnh sa phn cng
Li dng quyn hn ca chính bn thân k tn công đối vi các thiết b trong h
thng mng để tiếp cn phá hoi các thiết b phn cng như router, switch…
Các cách phòng chng
Hu qu mà DoS gây ra không ch tiêu tn nhiu tin bc, và công sc mà còn mt
rt nhiu thi gian để khc phc. Vì vy, hãy s dng các bin pháp sau để phòng
chng DoS:
Mô hình h thng cn phi được xây dng hp lý, tránh ph thuc ln nhau
quá mc. Bi khi mt b phn gp s c s làm nh hưởng ti toàn b h
thng.
Thiết lp mt khu mnh (strong password) để bo v các thiết b mng và
các ngun tài nguyên quan trng khác.
Thiết lp các mc xác thc đối vi người s dng cũng như các ngun tin
trên mng. Đặc bit, nên thiết lp chế độ xác thc khi cp nht các thông tin
định tuyến gia các router.
Xây dng h thng lc thông tin trên router, firewall… và h thng bo v
chng li SYN flood.
Ch kích hot các dch v cn thiết, tm thi vô hiu hoá và dng các dch
v chưa có yêu cu hoc không s dng.
Xây dng h thng định mc, gii hn cho người s dng, nhm mc đích
ngăn nga trường hp người s dng ác ý mun li dng các tài nguyên
trên server để tn công chính server hoc mng và server khác.
Liên tc cp nht, nghiên cu, kim tra để phát hin các l hng bo mt và
có bin pháp khc phc kp thi.
S dng các bin pháp kim tra hot động ca h thng mt cách liên tc
để phát hin ngay nhng hành động bt bình thường.
Xây dng và trin khai h thng d phòng.