1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

Ndd –set /dev/ip ip_respond_to_echo_broadcast 0

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



mạng trong việc chạy nhõn. Cỏc thuộc tính đó có thể được lập lại mỗi lần

khởi động lại hệ thống.

Tất cả các biến thể của UNIX. Để ngăn chặn cỏc mỏy trong việc trả

lời tấn công Fraggle, vô hiệu hoá dội bằng việc đặt “#” phía trước dịch vụ.



4. Các site trước sự tấn công.

Quan trọng để hiểu làm thế nào để ngăn chặn site của bạn đang

được sử dụng giống như là một phần mở rộng, và cũng rất là quan trọng để

hiểu bạn nên làm cái gì khi site của bạn bị tấn công. Giống như chúng tôi đã

đề cập trước đây, bạn nên giới hạn quyền vào lưu thông ICMP và UDP

trong đường biên rounter của bạn tới chỉ những hệ thống cần thiết trong

mạng của bạn và chỉ cho phép những kiểu ICMP đặc biệt. Làm việc với nhà

cung cấp dịch cụ Internet để hạn chế lưu thông ICMP cang nhiều càng tốt.

Tất nhiên, điều đó không ngăn chăn được tấn công Smurf và Fraggle từ

việc ngốn hết băng thông của bạn. Để làm tăng biện pháp đối phó, một số tổ

chức cho phép khả năng Commited Access Rate (CAR) được cung cấp bởi

Cisco IOS 1.1CC. 11.1CE và 12.0. Nó cho phép lưu thông ICMP được giới

hạn bởi một số có lý do như 256K, 512K.

Nếu side của bạn bị tấn công thì bạn nên liên hệ với trung tâm điều

hành của nhà cung cấp dịch vụ. Hãy luôn luôn nhớ rằng, rất là khó để bạn tự

lần đến để tìm được thủ phạm, nhưng nú thỡ có thể. Nên nhớ, nếu site của

bạn đang bị tấn công, gói tin đang đến một cách hợp pháp từ những site mở

rộng. Những side mở rộng đõng nhận những gói giả mạo đến từ hệ thống

mạng của bạn.



Tìm hiểu về an toàn và bảo mật trên mạng



5. Tấn công dạng SYN (SYN Attack)

SYN (SYN là từ viết tắt của synchronize - đồng bộ) là một kiểu tấn

công phổ biến trên Internet. SYN là một gói tin được gửi qua giao thức

TCP/IP yêu cầu một hệ thống từ xa cho phép thực hiện một kết nối. Khi một

hệ thống chịu một cuộc tấn công dạng SYN (hay còn gọi là SYN flooding –

làm ngập dạng SYN), một phần hay toàn bộ các dịch vụ mạng không còn sử

dụng được, khi đú cỏc thông báo lỗi sẽ hiển thị trờn mỏy khỏch. Hầu hết các

hệ điều hành, gồm cả Windows 2000, không được bảo vệ trước dạng tấn

công này.

Gói tin SYN được gửi theo giao thức bắt tay ba chiều (threeway

handshake) yêu cầu kết nối tới một hệ thống khác. Mỗi khi bắt tay thành

công, máy chủ sử dụng một số tài nguyên của nó cho kết nối này. Tuy nhiên,

lượng tài nguyên trong mỗi hệ thống đều có giới hạn. Tấn công dạng SYN

làm cho lượng tài nguyên trờn mỏy bị tấn công cạn kiệt và không thể tiếp

tục chấp nhận kết nối nữa – như vậy tấn công dạng SYN là một dạng tấn

công làm tê liệt dịch vụ DoS (DoS – Denial of Services).

Để hiểu được một cách chi tiết về tấn công dạng SYN, trước hết ta

hãy xem lại về phương thức bắt tay ba chiều được mô tả nôm na như sau:

Hai máy tính muốn nói chuyện với nhau thì việc đầu tiên là phải chào

hỏi, cũng như hai người gặp nhau thì phải bắt tay cái đã. Giả sử A là máy

muốn nói chuyện với B, nó sẽ đưa ra yêu cầu tới B (yêu cầu "SYN" như

hình vẽ). B nhận được yêu cầu thì sẽ đáp lại bằng câu trả lời "SYN/ACK" và

"cử" người ra để nói chuyện với A (cử ở đây là cấp phát tài nguyên cho việc

nói chuyện với A). Đến lượt A khi thấy B đáp lại thì phải khẳng định một

lần nữa là thực sự muốn nói chuyện (trả lời "ACK").



Tìm hiểu về an toàn và bảo mật trên mạng



Client

2.10. Bắt Client

Client

chiều



SYN

SYN/ACK

ACK



Server

Server

Server



Hình

tay ba

(Three



handshake)

Vậy tấn công dạng SYN lợi dụng phương thức này như thế nào? Sau

đây là phương pháp thực hiện:

(Mỏy tính của Tin tặc sẽ đóng vai trò là A, cũn mỏy bị tấn công là

B)

+ A sẽ gửi yêu cầu "SYN" muốn nói chuyện với B, nhưng chỉ có điều

không bình thường là nó sẽ tự xưng nó là A' chứ không phải là A. Trong đó

A' là một địa chỉ không có thật, không tồn tại trên thực tế.

+ B nhận được yêu cầu thì liền "cử" người ra đáp lại bằng câu trả lời

"SYN/ACK". Tuy nhiên, câu trả lời này sẽ gửi đến A' chứ không phải A vì

B hoàn toàn không biết đến anh A do A giả mạo như nói trên. Không may là

A' lại là một địa chỉ không tồn tại trên thực tế, nên dĩ nhiên sẽ không hề có

trả lời "ACK" theo như quy định từ A' tới B (quá trình thứ 3 của việc bắt tay

như nói trên).

Không có trả lời, nhưng người của B vẫn cứ chờ đợi, đú chớnh là một

điểm yếu của hệ thống. Điều gì xảy ra nếu A gửi liên tiếp những yờu cõu giả

mạo như vây? câu trả lời là B sẽ phải "cử" hết người này đến người khác của

mình ra để "nói chuyện", cuối cùng thì B hết người và không đáp ứng được

các yêu cầu khác nữa và được gọi là bị "nhập lụt" bởi các yêu cầu hay bị tấn

công "từ chối dịch vụ". Trong trường hợp những yêu cầu là hợp lệ, tức là A'

có tồn tại trong thực tế thì B sẽ nhận được câu trả lời "ACK" từ A', khi đó



Tìm hiểu về an toàn và bảo mật trên mạng



người được "cử" ra nói chuyện sẽ được giải phóng, tức là không dẫn đến

tình trạng "ngập lụt" nói trên.

1



A



-----SYN----->



A



-----SYN----->



B



A



-----SYN----->



B



A



-----SYN----->



B



A



-----SYN----->



B



A



-----SYN----->



B



B



2 A' <---SYN/ACK--- B

A' <---SYN/ACK--- B

...

- Một cách để kiểm tra xem máy tính có phải là mục tiêu của một

cuộc tấn công dạng SYN hay không, có thể sử dụng lệnh netstat để kiểm tra

các kết nối hiện tại:

netstat –n –p tcp

Lệnh này (với tham số -p tcp) sẽ hiển thị các kết nối theo giao thức

TCP, ví dụ:

Active Connections:

Proto LocalAddress



ForeignAddress



State



TCP 127.0.0.1:1030



127.0.0.1:1032



ESTABLISHED



TCP 127.0.0.1:1032



127.0.0.1:1030



ESTABLISHED



TCP 10.57.8.190:21



10.57.14.154:1256



SYN_RECEIVED



Tìm hiểu về an toàn và bảo mật trên mạng



TCP 10.57.8.190:21



10.57.14.154:1257



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1258



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1259



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1260



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1261



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1262



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1269



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1270



SYN_RECEIVED



TCP 10.57.8.190:480 110.57.14.221:139



TIME_WAIT



Nếu như ta thấy số lớn các kết nối đang trong trạng thái

SYN_RECEIVED nhận được gói tin SYN) thì có thể là máy đang bị tấn

công. Khi bộ đệm sử dụng cho các cuộc kết nối tới giới hạn, máy bị tấn công

sẽ trả lời từ chối tới tất cả các kết nối sau đó cho tới khi giải phóng đủ tài

nguyên.

Giải pháp:có 2 cách giải quyết vấn đề này

Cách 1. Cách thứ nhất gọi là "SYNDefender Relay"

• Cho chặn một Firewall ở giữa để đón nhận trước các yêu cầu kết nối.

• Chỉ khi nào xác thực máy yêu cầu là hợp lệ thì mới cho kết nối thực

sự tới máy chủ.

• Chỉ kiểm soát quá trình bắt tay, không cấp phát bộ nhớ (không cử

người ra nói chuyện nếu chưa bắt tay xong) --> không bị vô hiệu hoá như

server.

1 A -----SYN----->



FW



B



Tìm hiểu về an toàn và bảo mật trên mạng



2 A <---SYN/ACK--- FW

3 A -----ACK----->



B



FW -----SYN----->



B



4 A



FW <---SYN/ACK--- B



5 A



FW -----ACK----->



B



Cách2. Cách thứ 2 gọi là "SYNDefender Gateway"

• Cũng cho Firewall đứng ra nhận yêu cầu kết nối trước.

• Giải phóng ngay cho người mà B cử ra để nói chuyện, bất kể chưa

có trả lời "ACK" từ phía bên kia.

1 A ---SYN--->

2 A



FW ---SYN--->

FW



B



<---SYN/ACK--- B



3 A <---SYN/ACK--- FW -----ACK----->



B



4a A ---ACK--->



B hoặc



4b A



FW ---ACK--->

FW



------RST---->



B



6. Giả mạo địa chỉ IP (IP Spoofing)

Tấn công giả mạo địa chỉ IP dựa trên sự yếu kém của hệ thống xác

nhận (Authentication system). Rất nhiều hệ thống trên Internet dựa vào địa

chỉ IP để thực hiện việc xác thực. Điều này là không ổn vì địa chỉ IP chỉ thể

hiện sự riêng biệt chứ không thể hiện sự xác nhận. Có nghĩa nếu chỉ biết địa

chỉ IP thụi thỡ không thể xác nhận được mỏy đú.

Hơn nữa, rất nhiều các bộ định tuyến (router) và cổng chặn (gateway)

chấp nhận và truyền tải cỏc gúi tin trong đó địa chỉ IP đích và địa chỉ IP

nguồn lại ở cùng một phía của bộ định tuyến. Người tấn công sẽ lợi dụng

đặc điểm này như sau:



Tìm hiểu về an toàn và bảo mật trên mạng



- Máy tấn công gửi gói tin hợp lệ tới mỏy đớch, với trù định trước

tới một dịch vụ chạy trên một cổng định trước.

- Mỏy đích trả lời với gói tin ACK, kèm theo số thứ tự gói tin.

- Máy tấn công sử dụng số thứ tự nhận được để đoán số thứ tự của

gói tin tiếp theo và gửi gói tin tới một dịch vụ nào đó tới mỏy đớch, sử dụng

địa chỉ IP giả thuộc về một máy mà mỏy đớch tin tưởng (thường là máy

trong mạng nội bộ của mỏy đớch). Mỏy tấn công gửi gói tin này một cách

mò mẫm mà không cần sự trả lời. Đó là lý do tại sao lại sử dụng địa chỉ IP

giả mạo.

- Trong khi chờ đợi, máy tấn công lại làm rối máy mà địa chỉ IP bị

sử dụng cho cuộc tấn công (tức mỏy cú địa chỉ IP đáng tin cậy đối với mỏy

đớch) bằng cách gửi cỏc gúi tin rác TCP với chủ tâm sử dụng số thứ tự sai.

Điều này khiến cho máy “đỏng tin” đó trở nên bận rộn với việc trao đổi gói

tin với máy tấn công.

Mô hình dạng tấn công này

Giải pháp:

Ta có thể kiểm tra IP Spoofing bằng cách kiểm soát cỏc gúi tin. Nếu

gói tin ở giao diện bên ngoài mà có cả địa chỉ nguồn, đích trong miền mạng

nội bộ thì có nghĩa đang có sự giả mạo địa chỉ IP. Cách tốt nhất là lọc cỏc

gúi tin có địa chỉ nguồn và đớch cựng trong mạng để đề phòng cả trường

hợp cuộc tấn công được phát động ngay từ trong mạng nội bộ.



Tìm hiểu về an toàn và bảo mật trên mạng



MỤC LỤC



Tìm hiểu về an toàn và bảo mật trên mạng



Phần I: Bảo mật mạng máy tính................................................................3

1. Hệ thống cần bảo vệ những gì..............................................................3

1.1.Dữ liệu.....................................................................................................3

1.2. Nguồn tài nguyên..................................................................................4

1.3. Danh tiếng của chúng ta........................................................................4

2. Những nguy hiểm hệ thống phải đương đầu......................................5

2.1. Những kiểu tấn công............................................................................5

3. Các phương pháp để bảo vệ hệ thống...................................................7

3.1. Bảo mật qua việc che giấu...................................................................7

3.2. Bảo mật máy chủ.................................................................................7

3.3. Bảo mật toàn mạng...............................................................................8

4. Tường lửa Internet....................................................................................9

4.1 Tường lửa có thể làm gì.....................................................................10

4.2 Tường lửa không thể làm những gì...................................................11

4.3 Lựa chọn phương án mua hay xây dựng tường lửa .........................13

5. Các vấn đề bảo mật với các dịch vụ của mạng Internet...................13

5.1 Thư điện tử...........................................................................................14

5.2 Truyền file ............................................................................................15

5.3 Tin tức thảo luận trên mạng................................................................16

5.4 Truy cập đầu cuối từ xa......................................................................17

5.5 The World Wide Web............................................................................17

5.6 Dịch vụ cung cấp tên miền (DNS)......................................................18

5.7 Những dịch vụ quản lý mạng..............................................................19

6. Các kỹ thuật, thiết bị và phương pháp dùng để xây dựng tường lửa

......................................................................................................................20

6.1 Các giải pháp phần mềm cho tường lửa............................................21

6.1.1 Phương pháp lọc gói dữ liệu...........................................................21

6.1.2 Đặt cấu hình cho router có lọc........................................................24

6.1.3 Phương pháp dùng máy chủ đại diện (proxy server).....................25

6.2 Các giải pháp thiết bị của một tường lửa..........................................29

6.2.1 Máy chủ hai giao diện (đa giao diện)..............................................29

6.2.2 Máy chủ pháo đài.............................................................................30

Xây dựng máy chủ pháo đài.................................................................30

6.3 Kết hợp các kỹ thuật và thiết bị để xây dựng các cấu trúc tường

lửa khác nhau...............................................................................................32

6.3.1 Cấu trúc máy chủ hai giao diện........................................................32

6.3.2 Cấu trúc máy chủ có lọc...................................................................33

6.3.3 Cấu trúc mạng con có lọc.................................................................36

Phần II: Máy chủ pháo đài........................................................................41

1. Các nguyên lý chung...............................................................................43

2. Các dạng đặc biệt của pháo đài .........................................................44



Tìm hiểu về an toàn và bảo mật trên mạng



2.1 Các máy chủ hai giao diện phi lộ trình (Nonrounting dual_homed

host)..............................................................................................................45

2.2. Các máy nạn nhân (Victim machines)................................................45

2.3. Các pháo đài nội bộ (Internal bastion host)......................................46

3. Việc lựa chọn máy (Choosing a Machine)............................................46

3.1. Hệ điều hành nào?.............................................................................46

Những khả năng UNIX hữu Ých................................................................49

3.2. Cần một máy tốc độ như thế nào....................................................50

3.3. Cấu hình phần cứng nào?..................................................................52

4. Định vị máy chủ pháo đài trên mạng...................................................53

5. Lựa chọn phục vụ cung cấp bởi máy chủ pháo đài...........................55

Hình 1: Vị trí của máy chủ pháo đài trên mạng....................................55

6. Không cho phép các account người sử dụng trên máy chủ pháo đài 58

7. Xây dựng một pháo đài phòng thủ.......................................................60

7.1 Bảo vệ máy...........................................................................................61

7.2. Vô hiệu hoỏ cỏc dịch vụ không được yêu cầu................................68

7.2.1. Các dịch vụ được quản lý như thế nào?.......................................69

7.2.2. Cách thức loại bỏ các dịch vụ.........................................................71

7.2.3. Các dịch vụ nào bạn để cho có khả năng?...................................74

7.2.4. Các dịch vụ nào bạn nên loại bỏ?..................................................75

7.2.5. Tắt việc định tuyến..........................................................................82

7.3 Cài đặt và cải tiến các dịch vụ.........................................................85

7.3.1. Sử dụng gói tin TCP Wrapper để bảo vệ các dịch vụ...................85

7.3.2 Sử dụng netacl để bảo vệ dịch vụ...................................................87

7.4. Định lại cấu hình cho sự sản xuất....................................................88

7.4.1 Định lại cấu hình và xây dựng lại hạt nhân..................................89

7.4.2. Loại bỏ các chương trình không cần thiết....................................92

7.4.3. Gắn các hệ thống file chỉ đọc.........................................................94

7.5. Kiểm tra bảo mật................................................................................95

7.5.1. Kiểm tra gãi tin.................................................................................96

7.5.2. Sử dụng các gói tin kiểm toán.........................................................97

7.5.3. Về checksum cho việc kiểm toán...................................................99

7.6. Kết nối tới máy.................................................................................101

8. Vận hành trên máy chủ pháo đài ......................................................101

8.1. Học hiện trạng bình thường là cái gì?..........................................101

8.2. Xem xét việc viết phần mềm tự động theo dõi.............................102

9. Việc bảo vệ máy và sao lưu...............................................................103

9.1. Xem xét cẩn thận việc khởi động lại............................................103

9.2. Giữ an toàn những bản sao lưu........................................................104

Phần III: Tấn công từ chối dịch vụ.........................................................106

1. Động cơ của những kẻ tấn công từ chối dịch vụ.............................106



Tìm hiểu về an toàn và bảo mật trên mạng



2. Một số kiêu tấn công ...........................................................................107

2.1. Tấn công ngốn băng thông...........................................................108

2.2.Tấn công ngốn tài nguyên............................................................109

2.3. Lỗ hổng chương trình..................................................................109

2.4. Tấn công tìm đường và DNS......................................................110

3.Tấn công DoS cơ sở...............................................................................111

No ip directed-broadcast................................................................................113

Ndd –set /dev/ip ip_respond_to_echo_broadcast 0....................................113

4. Các site trước sự tấn công...................................................................114

5. Tấn công dạng SYN (SYN Attack)......................................................115

6. Giả mạo địa chỉ IP (IP Spoofing)........................................................119



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.doc) (124 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×