Phần III: Tấn công từ chối dịch vụ

Tìm hiểu về an toàn và bảo mật trên mạng



ngăn trở được nhưng kẻ tấn công có kỹ thuật còn non nớt. Cảm thấy mà khó

khăn thì những kẻ tấn cống sử dụng tấn công DoS giống như là cứu cánh

cuối cùng.

Thêm vào đó có một số cỏi nhõn hóy tổ chức có những thâm thù với

một sso cá nhân hay tổ chức khác. Nhiều chuyên gia về bảo mật cho rằng số

cuộc tấn công sẽ tăng lên cùng với sự phát triển của hệ thống Windows. Môi

trường Windows là cỏi đớch ưa thích của nhiều kẻ tấn công. Thêm vào đó,

rất nhiều công cụ DoS “trỏ và bấm” cấn rất it kỹ thuật.

Mặc dù hầu hết các cuộc tấn công đều liên quan tới nhưng điều được

nói ở trên, một số trường hợp đòi hỏi những kẻ tấn công thực hiện cuộc tấn

công DoS để làm hại những hệ thống dễ bị tấn công. Hầu hết các nhà quản

trị mạng Win NT rất bối rổi, thật là cần thiết khi khởi động lại hệ thống NT

trước khi hầu hết thay đổi được cho phép. Chính vì vậy sau khi làm thay đổi

một hệ thống Win NT điều này có thẻ sẽ cấp cho một đặc quyền quản trị có

thể cần thiết cho những kẻ tấn công để làm vỡ hệ thống, cần thiết để khởi

động lại hệ thống bằng quyền quản trị.



2. Một số kiêu tấn công

Thật không may là tấn công DoS ngày càc được phổ biến vì nhiều tính

năng của nó. Nó dẽ dàng làm gãy sự điều hành của một mạng hơn là truy

nhập vào nú. Cỏc giao thức mạng giống như TCP\IP được thiết kế để sử

dụng trong một công đồng mở và tin cậy và phiên bản mới nhất 4 hiện nay

có một số lỗ hổng. Thêm vào đó, trong mạng của bạn có những hệ điều hành

và thiết bị mạng có những lỗ hổng và không có khả năng chống chịu lại

những cuộc tấn công DoS. Hiện tại có rất nhiều công cụ để bắn đầu thực

hiện cuộc tấn công DoS, chính vì vậy rất là quan trọng khi chúng ta có thể



Tìm hiểu về an toàn và bảo mật trên mạng



xác định được kiểu tấn công đang tấn công hệ thống của mình và hiểu làm

thế nào để phát hiện và phòng chống lại nó.



2.1. Tấn công ngốn băng thông

Hầu hết các kiểu tấn công quy quyệt DoS là tấn công ngốn băng

thông. Điều cơ bản, là những kẻ tấn công dùng hết tất cả băng thông sẵng có

của một mạng nỏo đú. Điều này có thể xảy ra ở mạng cục bộ, nhưng nó

cũng cực kỹ thông dụng cho những kẻ tấn công ngốn hết tài nguyên ở xa.

Có hai kịch bản tấn công:

Kịch bản 1:

Kẻ tấn công có thể làm lụt mạng nạn nhân được kết nối bởi vì kẻ tấn

công có nhiều băng thông hơn. Một ví dụ là một người có T1 (1.544-Mbps)

hoặc một kờt nối mạng nhanh hơn làm lụt một liên kết 56 Kbps hoặc 128Kbps. Kiểu tấn công này không hạn chế những mạng có tốc độ kết nối thấp.

Lấy một ví dụ. nếu một kẻ tấn công đang nắm giữ một mạng có băng thụng

trờn 100 Mbps, thì kẻ tấn công đó có thể làm lụt hoàn toàn một mạng cú kờt

nối T1.

Kịch bản 2:

Những kẻ tấn công mở rộng các cuộc tấn công của họ bằng việc thu hút

thêm nhiều site vào để làm lụt những kết nối mạng. Một số người chỉ có một

đường kết nối 56 Kbps có thể hoàn toàn làm bão hoà một mạng T3(45

Mbps). Điều đó có thể không?. Bằng cách thờm cỏc side khác để mở rộng

tấn công DoS, một số người với một băng thông hạn chế có thể dễ dàng đưa

lên được băng thông 100Mbps. Để hoàn thành kỡ cụng đú, thỡ điều cần thiết

nhất cho những kẻ tấn công là thuyết phục các hệ thống khác chuyển lưu

thông cho mạng cần tấn công.



Tìm hiểu về an toàn và bảo mật trên mạng



Cũng giống như chúng ta đã bàn luận, chúng tôi muốn nhắc lại với

bạn rằng lưu thông ICMP là rất nguy hiểm. Trong khi một ICMP phục vụ

mụt mục đích có khả năng dự đoán, ICMP dễ bị lạm dụng và bị sử dụng cho

tấn công ngốn băng thông. Thếm vào đó, tấn công ngốn băng thông gây ra

rất là nhiều điều phiền toái, bởi vì hầu hết tất cả những kẻ tấn công để bắt

chước địa chỉ nguồn, điều đó làm khó khăng trong việc tìm ra thủ phạm thực

sự.



2.2.Tấn công ngốn tài nguyên.

Một cuộc tấn công thiếu hụt tài nguyên khác với một cuộc tấn công

ngốn băng thông đó là nó tập trung vào việc tiêu tốn tài nguyên của hệ

thống hơn là tài nguyên mạng. Nói chung là nó bao gôm việc tiêu thụ tài

nguyên hệ thống giống như khả năng sử dụng của CPU, bộ nhớ, hệ thông

file và những quá trình khác của hệ thống. Thông thường, kẻ tấn công có thể

truy cập một cách có hợp pháp vào những tài nguyên nào đó của hệ thống

kém. Tuy nhiên, kẻ tấn công lạm dụng truy cập đó để ngốn thờm cỏc tài

nguyên khỏc. Chớnh vì vậy nên hệ thống vào những người dùng hợp pháp

bị tước đoạt mất tài nguyên được chia sẻ. Tấn công thiều hụt tài nguyên

thường gây ra kết quả là tài nguyên không được sử dụng bởi vì hệ thông bị

vỡ, hệ thông file bị đầy hoặc tiến trình bị treo.



2.3. Lỗ hổng chương trình.

Những lỗ hổng của chương trình là những hỏng hóc của chương trình

ứng dụng, hệ điều hành hoặc những chip logic được nhúng vào để điều

khiển những điều kiện khác thường. Những điều kiện khác thường thường là

kết quả khi người sử dụng chuyển những dữ liệu không mong muốn tới

những thành phần nhạy cảm. Cho một chương trình ứng dụng, nó tin tưởng



Tìm hiểu về an toàn và bảo mật trên mạng



hoàn toàn vào dữ liệu đầu vào, kẻ tấn công có thể gửi một lượng dữ liệu lớn

hàng ngàn dòng. Nếu chương trình sử dụng một buffer có chiều dài cố định,

128 byte, kẻ tấn công có thể làm tràn buffer và làm vỡ chương trình ứng

dụng đó. Điều tệ hại là kẻ tấn công có thể thực hiện những câu lệnh được

cấp quyền. Một ví dụ cho lỗ hổng chương trình cúng phổ biến trong những

chip logic được nhúng vào. Tấn công DoS f00f Pentium cho phép tiến trình

ở mức người sử dụng có thể phá vỡ bất cứ hệ điều hành nào bằng cách thực

hiện dòng lệnh 0xf00fc7c8.



2.4. Tấn công tìm đường và DNS

Tấn công DoS dựa trên cơ sở tìm đường là tấn công thực hiện trên đầu

vào của bảng tìm đường để từ chối dịch vụ tới những hệ thống hoặc mạng

hợp pháp. Hầu hết các giao thức tìm đường giống như Rounting Information

Protocol hay Border Gateway Protocol hoặc không có hoặc có nhưng rất

yếu phần chứng thực. Những công việc xác thực nhỏ hiếm khi được sử

dụng khi cài đặt. Điều đó đưa ra một kịch bản hoàn hảo cho kẻ tấn công làm

biến đổi những rounter hợp pháp, thông thường bằng việc giả mạo địa chỉ

IP, để tạo ra một điều kiện từ chối dịch vụ. Nạn nhân của những cuộc tấn

công sẽ được truyền qua những mạng của kẻ tấn công hoặc rơi vào những lỗ

đen, một mạng không hề tồn tại.

Tấn công DoS dựa trên tên miến chủ cũng gây nhiều phiền toái giống

như tấn công dựa trên việc tìm đường. Hầu hết các cuộc tấn công dựa trên

tên miền thuyết phục những nạn nhân nhằm giấu đi những thông tin địa chỉ

ảo. Khi một tên miền máy chủ thực hiện một công việc gì đó, kẻ tấn công có

thể gửi nó tới những side mà kẻ tấn công muốn đưa bạn tới hoặc tới những

lỗ đen. Có một số cách tấn công DoS liên quan tới tên miền là dâng lên

những side lớn không có khả năng truy nhập cho một khoản thời gian dài.



Tìm hiểu về an toàn và bảo mật trên mạng



3.Tấn công DoS cơ sở

Những cuộc tấn công DoS có khả năng tác động tới nhiêu kiểu hệ

thống khác nhau, chúng ta gọi chúng là cơ sở. Nói chung, những cuộc tấn

công đó có thể là dạng tấn công ngốn tài nguyên hay tấn công ngốn băng

thông. Một phần tử chung của những kiểu tân công đó là thao tác dựa trên

giao thức. Nếu một giao thức giống như ICMP để thao tác cho một mục đích

bất chính, nó có khả năng ảnh hưởng tới đồng thới nhiều hệ thống. Lấy ví

dụ, kẻ tấn công có thể gửi bom thư để chuyển hàng nghìn thông điệp tới hệ

thống nạn nhân để cố gắng ngốn hết băng thông hay tài nguyên của mail

server. Con virus Melissa được thiết kế để tấn công DoS.

Tấn công Smurf là một kiểu tân công DoS đáng sợ nếu xột trờn sự

ảnh hưởng rông lớn của cuộc tân công. Sự ảnh hưởng mở rộng là kết quả

của việc ping broadcast nhưng yêu cầu tới mạng của hệ thống và sẽ được trả

lời sẽ được trả lời những yêu cầu đó. Một yêu cầu ping broadcast trực tiếp

có thể được chuyển địa chỉ mạng hoặc địa chỉ broadcast của mạng và cần

thiếp phải có một thiết bị thực hiện những hàm broadcast từ tần 3 xuống tần

2. Nếu giả sử mạng đó theo chuẩn C hoặc xác định 24 bit địa chỉ, thì địa chỉ

mạng có thể là .0, trong khi địa chỉ broadcast là .255. Broadcast trực tiếp

được sử dụng cho mục đích chuẩn đoán xem cái nào cón sống ngoài việc

ping lần lướt từng địa chỉ.

Một cuộc tấn công Smurf mang rất nhiều ưu điểm của broadcast trực

tiếp và đòi hỏi it nhất ba nhân vật: kẻ tấn công, mạng mở rộng, và nạn nhân.

Một kẻ tấn công chuyển gói tin ICMP ECHO giả mạo tới địa chỉ broadcast

của một mạng mở rộng. Địa chỉ mạng được giả mạo giống như là hệ thông

nạn nhân bắt đầu yêu cầu. Sau đó tình trạng lộn xộn bắn đầu xẩy ra, Trong

khi gói tin ECHO chuyển tới địa chỉ broadcast, tất cả hệ thống trong mạng



Tìm hiểu về an toàn và bảo mật trên mạng



mở rộng đểu trả lời lại cho nạn nhân. Nếu một kẻ tấn công chuyển một gói

ICMP tới một mạng mở rộng có 100 hệ thống , kẻ tân công có thể đạt được

hiệu quả gấp 100 lần. Chúng ta gọi tỉ lệ chuyển gói tin của hệ thống là tỉ lệ

mở rộng. Chinh vì vậy, kẻ tấn công người có thể tìm ra một mạng mở rộng

với một tỉ lệ mở rộng rất cao có cơ hội lớn để làm bão hoà mạng nạn nhân.

Kiểu tấn công đó rất có triển vọng, chúng ta hãy xem xét một ví dụ.

Giả sự kẻ tấn công chuyển 14k của lưu thông ICMP tới một địa chỉ

broadcast của một mạng mở rộng có 100 hệ thống. Kẻ tấn công mạng được

kết nối tới Internet trên kết nối ISDN kờnh đụi, mạng mở rộng được kết nối

trên một đường dây 45 Mbps T3, và mạng nạn nhân được kết nối trên

đường dây 1.544 Mbps T1. Nêu làm một phép toán ngoại suy thì chúng ta

thấy, kẻ tấn công có thể tạo ra lưu thông 14 Mbps để chuyển tới mạng nạn

nhân. Mạng nạn nhân có rất ít cơ hôi tồn tại trước sự tấn công đó, bởi vì

cuộc tấn công sẽ rất nhân ngốn hết băng thông của kết nối T1 của nó.

Biến thể của kiểu tấm cụng trờn đươc gọi là tấn công Fraggle. Một

tấn công Fraggle là cơ sở của tân công Smurf sử dụng UDP thay cho ICMP.

Kẻ tấn công có thể chuyển những gói tin UDP được giả mạo tới địa chỉ

broadcast của một mạng mở rộng. Mỗi hệ thống trong mạng có thể dội trả

lời tới nạn nhân, và tạo ra một lượng lưu thông rất lớn.

Biện pháp đối phó Smurf.

Để ngăn chặn việc được sử dụng giống như là một side mở rộng, các

hàm broadcast trực tiếp nên được mất khả năng hoạt động trong giới hạn

rounter của bạn. Cho rounter Cisco, bạn có thể sử dụng lệnh sau:



Tìm hiểu về an toàn và bảo mật trên mạng



No ip directed-broadcast

Nó làm mất khả năng hoạt động của broadcast trực tiếp. Giống như

của Cisco IOS phiên bản 12, hàm đó có thể làm hoạt động một cách mặc

định. Đối với các thiết bị khác, tra cưu tài liệu sử dụng để vô hiệu hóa

broadcast trực tiếp.

Thêm vào đó, đối với những hệ điều hành cụ thể thì có thể định cấu

hình để loại bỏ những gói ICMP ECHO.

Solaris 2.6,2.5.1,2.5,2.4,2.3 để ngăn chặn hệ thống Solaris khỏi việc

trả lời yờu cõu broadcast, và thêm dòng lệnh sau /etc/rc2.d/s96inet:

Ndd –set /dev/ip ip_respond_to_echo_broadcast 0

Linux: để ngăn chặn hệ thống Linux khỏi việc trả lời yêu cầu broadcast

ECHO, bạn có thể sử dụng sử dụng firewall ở mức nhân, ipfw. Để bảo đạm

bạn có biên dịch firewall trong nhân, có thể thực hiện câu lệnh sau:

Ipfwadm –I –a deny –P icmp –D 10.10.10.0 –S 0\0 0 8

Ipfwadm –I –a deny –P icmp –D 10.10.10.255 –S 0\0 0 8

Bảo đảm đặt 10.10.10.0 với địa chỉ mạng của bạn và 10.10.10.255 với

địa chỉ broadcast.

FreeBSD FreeBSD phiên bản 2.25 và những phiên bản sau thì vô

hiệu hoá việc broadcast trực tiếp một các mặc định. Khả năng đó có thể bật

hoặc tắt bằng việc sửa thông số sysct

Net.inet.icmp.bmcastecho.

AIX. Mặc định thì AIX phiên bản 4.x có thể vô hiệu hoá việc trả lời tới

địa chỉ broadcast. Không có lênh nào được sử dụng để bật hay tắt khả năng

đó. Không có lênh nào được sử dụng để định cấu hình các thuộc tính của



Tìm hiểu về an toàn và bảo mật trên mạng



mạng trong việc chạy nhõn. Cỏc thuộc tính đó có thể được lập lại mỗi lần

khởi động lại hệ thống.

Tất cả các biến thể của UNIX. Để ngăn chặn cỏc mỏy trong việc trả

lời tấn công Fraggle, vô hiệu hoá dội bằng việc đặt “#” phía trước dịch vụ.



4. Các site trước sự tấn công.

Quan trọng để hiểu làm thế nào để ngăn chặn site của bạn đang

được sử dụng giống như là một phần mở rộng, và cũng rất là quan trọng để

hiểu bạn nên làm cái gì khi site của bạn bị tấn công. Giống như chúng tôi đã

đề cập trước đây, bạn nên giới hạn quyền vào lưu thông ICMP và UDP

trong đường biên rounter của bạn tới chỉ những hệ thống cần thiết trong

mạng của bạn và chỉ cho phép những kiểu ICMP đặc biệt. Làm việc với nhà

cung cấp dịch cụ Internet để hạn chế lưu thông ICMP cang nhiều càng tốt.

Tất nhiên, điều đó không ngăn chăn được tấn công Smurf và Fraggle từ

việc ngốn hết băng thông của bạn. Để làm tăng biện pháp đối phó, một số tổ

chức cho phép khả năng Commited Access Rate (CAR) được cung cấp bởi

Cisco IOS 1.1CC. 11.1CE và 12.0. Nó cho phép lưu thông ICMP được giới

hạn bởi một số có lý do như 256K, 512K.

Nếu side của bạn bị tấn công thì bạn nên liên hệ với trung tâm điều

hành của nhà cung cấp dịch vụ. Hãy luôn luôn nhớ rằng, rất là khó để bạn tự

lần đến để tìm được thủ phạm, nhưng nú thỡ có thể. Nên nhớ, nếu site của

bạn đang bị tấn công, gói tin đang đến một cách hợp pháp từ những site mở

rộng. Những side mở rộng đõng nhận những gói giả mạo đến từ hệ thống

mạng của bạn.