Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )
Tìm hiểu về an toàn và bảo mật trên mạng
ngăn trở được nhưng kẻ tấn công có kỹ thuật còn non nớt. Cảm thấy mà khó
khăn thì những kẻ tấn cống sử dụng tấn công DoS giống như là cứu cánh
cuối cùng.
Thêm vào đó có một số cỏi nhõn hóy tổ chức có những thâm thù với
một sso cá nhân hay tổ chức khác. Nhiều chuyên gia về bảo mật cho rằng số
cuộc tấn công sẽ tăng lên cùng với sự phát triển của hệ thống Windows. Môi
trường Windows là cỏi đớch ưa thích của nhiều kẻ tấn công. Thêm vào đó,
rất nhiều công cụ DoS “trỏ và bấm” cấn rất it kỹ thuật.
Mặc dù hầu hết các cuộc tấn công đều liên quan tới nhưng điều được
nói ở trên, một số trường hợp đòi hỏi những kẻ tấn công thực hiện cuộc tấn
công DoS để làm hại những hệ thống dễ bị tấn công. Hầu hết các nhà quản
trị mạng Win NT rất bối rổi, thật là cần thiết khi khởi động lại hệ thống NT
trước khi hầu hết thay đổi được cho phép. Chính vì vậy sau khi làm thay đổi
một hệ thống Win NT điều này có thẻ sẽ cấp cho một đặc quyền quản trị có
thể cần thiết cho những kẻ tấn công để làm vỡ hệ thống, cần thiết để khởi
động lại hệ thống bằng quyền quản trị.
2. Một số kiêu tấn công
Thật không may là tấn công DoS ngày càc được phổ biến vì nhiều tính
năng của nó. Nó dẽ dàng làm gãy sự điều hành của một mạng hơn là truy
nhập vào nú. Cỏc giao thức mạng giống như TCP\IP được thiết kế để sử
dụng trong một công đồng mở và tin cậy và phiên bản mới nhất 4 hiện nay
có một số lỗ hổng. Thêm vào đó, trong mạng của bạn có những hệ điều hành
và thiết bị mạng có những lỗ hổng và không có khả năng chống chịu lại
những cuộc tấn công DoS. Hiện tại có rất nhiều công cụ để bắn đầu thực
hiện cuộc tấn công DoS, chính vì vậy rất là quan trọng khi chúng ta có thể
Tìm hiểu về an toàn và bảo mật trên mạng
xác định được kiểu tấn công đang tấn công hệ thống của mình và hiểu làm
thế nào để phát hiện và phòng chống lại nó.
2.1. Tấn công ngốn băng thông
Hầu hết các kiểu tấn công quy quyệt DoS là tấn công ngốn băng
thông. Điều cơ bản, là những kẻ tấn công dùng hết tất cả băng thông sẵng có
của một mạng nỏo đú. Điều này có thể xảy ra ở mạng cục bộ, nhưng nó
cũng cực kỹ thông dụng cho những kẻ tấn công ngốn hết tài nguyên ở xa.
Có hai kịch bản tấn công:
Kịch bản 1:
Kẻ tấn công có thể làm lụt mạng nạn nhân được kết nối bởi vì kẻ tấn
công có nhiều băng thông hơn. Một ví dụ là một người có T1 (1.544-Mbps)
hoặc một kờt nối mạng nhanh hơn làm lụt một liên kết 56 Kbps hoặc 128Kbps. Kiểu tấn công này không hạn chế những mạng có tốc độ kết nối thấp.
Lấy một ví dụ. nếu một kẻ tấn công đang nắm giữ một mạng có băng thụng
trờn 100 Mbps, thì kẻ tấn công đó có thể làm lụt hoàn toàn một mạng cú kờt
nối T1.
Kịch bản 2:
Những kẻ tấn công mở rộng các cuộc tấn công của họ bằng việc thu hút
thêm nhiều site vào để làm lụt những kết nối mạng. Một số người chỉ có một
đường kết nối 56 Kbps có thể hoàn toàn làm bão hoà một mạng T3(45
Mbps). Điều đó có thể không?. Bằng cách thờm cỏc side khác để mở rộng
tấn công DoS, một số người với một băng thông hạn chế có thể dễ dàng đưa
lên được băng thông 100Mbps. Để hoàn thành kỡ cụng đú, thỡ điều cần thiết
nhất cho những kẻ tấn công là thuyết phục các hệ thống khác chuyển lưu
thông cho mạng cần tấn công.
Tìm hiểu về an toàn và bảo mật trên mạng
Cũng giống như chúng ta đã bàn luận, chúng tôi muốn nhắc lại với
bạn rằng lưu thông ICMP là rất nguy hiểm. Trong khi một ICMP phục vụ
mụt mục đích có khả năng dự đoán, ICMP dễ bị lạm dụng và bị sử dụng cho
tấn công ngốn băng thông. Thếm vào đó, tấn công ngốn băng thông gây ra
rất là nhiều điều phiền toái, bởi vì hầu hết tất cả những kẻ tấn công để bắt
chước địa chỉ nguồn, điều đó làm khó khăng trong việc tìm ra thủ phạm thực
sự.
2.2.Tấn công ngốn tài nguyên.
Một cuộc tấn công thiếu hụt tài nguyên khác với một cuộc tấn công
ngốn băng thông đó là nó tập trung vào việc tiêu tốn tài nguyên của hệ
thống hơn là tài nguyên mạng. Nói chung là nó bao gôm việc tiêu thụ tài
nguyên hệ thống giống như khả năng sử dụng của CPU, bộ nhớ, hệ thông
file và những quá trình khác của hệ thống. Thông thường, kẻ tấn công có thể
truy cập một cách có hợp pháp vào những tài nguyên nào đó của hệ thống
kém. Tuy nhiên, kẻ tấn công lạm dụng truy cập đó để ngốn thờm cỏc tài
nguyên khỏc. Chớnh vì vậy nên hệ thống vào những người dùng hợp pháp
bị tước đoạt mất tài nguyên được chia sẻ. Tấn công thiều hụt tài nguyên
thường gây ra kết quả là tài nguyên không được sử dụng bởi vì hệ thông bị
vỡ, hệ thông file bị đầy hoặc tiến trình bị treo.
2.3. Lỗ hổng chương trình.
Những lỗ hổng của chương trình là những hỏng hóc của chương trình
ứng dụng, hệ điều hành hoặc những chip logic được nhúng vào để điều
khiển những điều kiện khác thường. Những điều kiện khác thường thường là
kết quả khi người sử dụng chuyển những dữ liệu không mong muốn tới
những thành phần nhạy cảm. Cho một chương trình ứng dụng, nó tin tưởng
Tìm hiểu về an toàn và bảo mật trên mạng
hoàn toàn vào dữ liệu đầu vào, kẻ tấn công có thể gửi một lượng dữ liệu lớn
hàng ngàn dòng. Nếu chương trình sử dụng một buffer có chiều dài cố định,
128 byte, kẻ tấn công có thể làm tràn buffer và làm vỡ chương trình ứng
dụng đó. Điều tệ hại là kẻ tấn công có thể thực hiện những câu lệnh được
cấp quyền. Một ví dụ cho lỗ hổng chương trình cúng phổ biến trong những
chip logic được nhúng vào. Tấn công DoS f00f Pentium cho phép tiến trình
ở mức người sử dụng có thể phá vỡ bất cứ hệ điều hành nào bằng cách thực
hiện dòng lệnh 0xf00fc7c8.
2.4. Tấn công tìm đường và DNS
Tấn công DoS dựa trên cơ sở tìm đường là tấn công thực hiện trên đầu
vào của bảng tìm đường để từ chối dịch vụ tới những hệ thống hoặc mạng
hợp pháp. Hầu hết các giao thức tìm đường giống như Rounting Information
Protocol hay Border Gateway Protocol hoặc không có hoặc có nhưng rất
yếu phần chứng thực. Những công việc xác thực nhỏ hiếm khi được sử
dụng khi cài đặt. Điều đó đưa ra một kịch bản hoàn hảo cho kẻ tấn công làm
biến đổi những rounter hợp pháp, thông thường bằng việc giả mạo địa chỉ
IP, để tạo ra một điều kiện từ chối dịch vụ. Nạn nhân của những cuộc tấn
công sẽ được truyền qua những mạng của kẻ tấn công hoặc rơi vào những lỗ
đen, một mạng không hề tồn tại.
Tấn công DoS dựa trên tên miến chủ cũng gây nhiều phiền toái giống
như tấn công dựa trên việc tìm đường. Hầu hết các cuộc tấn công dựa trên
tên miền thuyết phục những nạn nhân nhằm giấu đi những thông tin địa chỉ
ảo. Khi một tên miền máy chủ thực hiện một công việc gì đó, kẻ tấn công có
thể gửi nó tới những side mà kẻ tấn công muốn đưa bạn tới hoặc tới những
lỗ đen. Có một số cách tấn công DoS liên quan tới tên miền là dâng lên
những side lớn không có khả năng truy nhập cho một khoản thời gian dài.
Tìm hiểu về an toàn và bảo mật trên mạng
3.Tấn công DoS cơ sở
Những cuộc tấn công DoS có khả năng tác động tới nhiêu kiểu hệ
thống khác nhau, chúng ta gọi chúng là cơ sở. Nói chung, những cuộc tấn
công đó có thể là dạng tấn công ngốn tài nguyên hay tấn công ngốn băng
thông. Một phần tử chung của những kiểu tân công đó là thao tác dựa trên
giao thức. Nếu một giao thức giống như ICMP để thao tác cho một mục đích
bất chính, nó có khả năng ảnh hưởng tới đồng thới nhiều hệ thống. Lấy ví
dụ, kẻ tấn công có thể gửi bom thư để chuyển hàng nghìn thông điệp tới hệ
thống nạn nhân để cố gắng ngốn hết băng thông hay tài nguyên của mail
server. Con virus Melissa được thiết kế để tấn công DoS.
Tấn công Smurf là một kiểu tân công DoS đáng sợ nếu xột trờn sự
ảnh hưởng rông lớn của cuộc tân công. Sự ảnh hưởng mở rộng là kết quả
của việc ping broadcast nhưng yêu cầu tới mạng của hệ thống và sẽ được trả
lời sẽ được trả lời những yêu cầu đó. Một yêu cầu ping broadcast trực tiếp
có thể được chuyển địa chỉ mạng hoặc địa chỉ broadcast của mạng và cần
thiếp phải có một thiết bị thực hiện những hàm broadcast từ tần 3 xuống tần
2. Nếu giả sử mạng đó theo chuẩn C hoặc xác định 24 bit địa chỉ, thì địa chỉ
mạng có thể là .0, trong khi địa chỉ broadcast là .255. Broadcast trực tiếp
được sử dụng cho mục đích chuẩn đoán xem cái nào cón sống ngoài việc
ping lần lướt từng địa chỉ.
Một cuộc tấn công Smurf mang rất nhiều ưu điểm của broadcast trực
tiếp và đòi hỏi it nhất ba nhân vật: kẻ tấn công, mạng mở rộng, và nạn nhân.
Một kẻ tấn công chuyển gói tin ICMP ECHO giả mạo tới địa chỉ broadcast
của một mạng mở rộng. Địa chỉ mạng được giả mạo giống như là hệ thông
nạn nhân bắt đầu yêu cầu. Sau đó tình trạng lộn xộn bắn đầu xẩy ra, Trong
khi gói tin ECHO chuyển tới địa chỉ broadcast, tất cả hệ thống trong mạng
Tìm hiểu về an toàn và bảo mật trên mạng
mở rộng đểu trả lời lại cho nạn nhân. Nếu một kẻ tấn công chuyển một gói
ICMP tới một mạng mở rộng có 100 hệ thống , kẻ tân công có thể đạt được
hiệu quả gấp 100 lần. Chúng ta gọi tỉ lệ chuyển gói tin của hệ thống là tỉ lệ
mở rộng. Chinh vì vậy, kẻ tấn công người có thể tìm ra một mạng mở rộng
với một tỉ lệ mở rộng rất cao có cơ hội lớn để làm bão hoà mạng nạn nhân.
Kiểu tấn công đó rất có triển vọng, chúng ta hãy xem xét một ví dụ.
Giả sự kẻ tấn công chuyển 14k của lưu thông ICMP tới một địa chỉ
broadcast của một mạng mở rộng có 100 hệ thống. Kẻ tấn công mạng được
kết nối tới Internet trên kết nối ISDN kờnh đụi, mạng mở rộng được kết nối
trên một đường dây 45 Mbps T3, và mạng nạn nhân được kết nối trên
đường dây 1.544 Mbps T1. Nêu làm một phép toán ngoại suy thì chúng ta
thấy, kẻ tấn công có thể tạo ra lưu thông 14 Mbps để chuyển tới mạng nạn
nhân. Mạng nạn nhân có rất ít cơ hôi tồn tại trước sự tấn công đó, bởi vì
cuộc tấn công sẽ rất nhân ngốn hết băng thông của kết nối T1 của nó.
Biến thể của kiểu tấm cụng trờn đươc gọi là tấn công Fraggle. Một
tấn công Fraggle là cơ sở của tân công Smurf sử dụng UDP thay cho ICMP.
Kẻ tấn công có thể chuyển những gói tin UDP được giả mạo tới địa chỉ
broadcast của một mạng mở rộng. Mỗi hệ thống trong mạng có thể dội trả
lời tới nạn nhân, và tạo ra một lượng lưu thông rất lớn.
Biện pháp đối phó Smurf.
Để ngăn chặn việc được sử dụng giống như là một side mở rộng, các
hàm broadcast trực tiếp nên được mất khả năng hoạt động trong giới hạn
rounter của bạn. Cho rounter Cisco, bạn có thể sử dụng lệnh sau:
Tìm hiểu về an toàn và bảo mật trên mạng
No ip directed-broadcast
Nó làm mất khả năng hoạt động của broadcast trực tiếp. Giống như
của Cisco IOS phiên bản 12, hàm đó có thể làm hoạt động một cách mặc
định. Đối với các thiết bị khác, tra cưu tài liệu sử dụng để vô hiệu hóa
broadcast trực tiếp.
Thêm vào đó, đối với những hệ điều hành cụ thể thì có thể định cấu
hình để loại bỏ những gói ICMP ECHO.
Solaris 2.6,2.5.1,2.5,2.4,2.3 để ngăn chặn hệ thống Solaris khỏi việc
trả lời yờu cõu broadcast, và thêm dòng lệnh sau /etc/rc2.d/s96inet:
Ndd –set /dev/ip ip_respond_to_echo_broadcast 0
Linux: để ngăn chặn hệ thống Linux khỏi việc trả lời yêu cầu broadcast
ECHO, bạn có thể sử dụng sử dụng firewall ở mức nhân, ipfw. Để bảo đạm
bạn có biên dịch firewall trong nhân, có thể thực hiện câu lệnh sau:
Ipfwadm –I –a deny –P icmp –D 10.10.10.0 –S 0\0 0 8
Ipfwadm –I –a deny –P icmp –D 10.10.10.255 –S 0\0 0 8
Bảo đảm đặt 10.10.10.0 với địa chỉ mạng của bạn và 10.10.10.255 với
địa chỉ broadcast.
FreeBSD FreeBSD phiên bản 2.25 và những phiên bản sau thì vô
hiệu hoá việc broadcast trực tiếp một các mặc định. Khả năng đó có thể bật
hoặc tắt bằng việc sửa thông số sysct
Net.inet.icmp.bmcastecho.
AIX. Mặc định thì AIX phiên bản 4.x có thể vô hiệu hoá việc trả lời tới
địa chỉ broadcast. Không có lênh nào được sử dụng để bật hay tắt khả năng
đó. Không có lênh nào được sử dụng để định cấu hình các thuộc tính của
Tìm hiểu về an toàn và bảo mật trên mạng
mạng trong việc chạy nhõn. Cỏc thuộc tính đó có thể được lập lại mỗi lần
khởi động lại hệ thống.
Tất cả các biến thể của UNIX. Để ngăn chặn cỏc mỏy trong việc trả
lời tấn công Fraggle, vô hiệu hoá dội bằng việc đặt “#” phía trước dịch vụ.
4. Các site trước sự tấn công.
Quan trọng để hiểu làm thế nào để ngăn chặn site của bạn đang
được sử dụng giống như là một phần mở rộng, và cũng rất là quan trọng để
hiểu bạn nên làm cái gì khi site của bạn bị tấn công. Giống như chúng tôi đã
đề cập trước đây, bạn nên giới hạn quyền vào lưu thông ICMP và UDP
trong đường biên rounter của bạn tới chỉ những hệ thống cần thiết trong
mạng của bạn và chỉ cho phép những kiểu ICMP đặc biệt. Làm việc với nhà
cung cấp dịch cụ Internet để hạn chế lưu thông ICMP cang nhiều càng tốt.
Tất nhiên, điều đó không ngăn chăn được tấn công Smurf và Fraggle từ
việc ngốn hết băng thông của bạn. Để làm tăng biện pháp đối phó, một số tổ
chức cho phép khả năng Commited Access Rate (CAR) được cung cấp bởi
Cisco IOS 1.1CC. 11.1CE và 12.0. Nó cho phép lưu thông ICMP được giới
hạn bởi một số có lý do như 256K, 512K.
Nếu side của bạn bị tấn công thì bạn nên liên hệ với trung tâm điều
hành của nhà cung cấp dịch vụ. Hãy luôn luôn nhớ rằng, rất là khó để bạn tự
lần đến để tìm được thủ phạm, nhưng nú thỡ có thể. Nên nhớ, nếu site của
bạn đang bị tấn công, gói tin đang đến một cách hợp pháp từ những site mở
rộng. Những side mở rộng đõng nhận những gói giả mạo đến từ hệ thống
mạng của bạn.