1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

Một số kiêu tấn công

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



xác định được kiểu tấn công đang tấn công hệ thống của mình và hiểu làm

thế nào để phát hiện và phòng chống lại nó.



2.1. Tấn công ngốn băng thông

Hầu hết các kiểu tấn công quy quyệt DoS là tấn công ngốn băng

thông. Điều cơ bản, là những kẻ tấn công dùng hết tất cả băng thông sẵng có

của một mạng nỏo đú. Điều này có thể xảy ra ở mạng cục bộ, nhưng nó

cũng cực kỹ thông dụng cho những kẻ tấn công ngốn hết tài nguyên ở xa.

Có hai kịch bản tấn công:

Kịch bản 1:

Kẻ tấn công có thể làm lụt mạng nạn nhân được kết nối bởi vì kẻ tấn

công có nhiều băng thông hơn. Một ví dụ là một người có T1 (1.544-Mbps)

hoặc một kờt nối mạng nhanh hơn làm lụt một liên kết 56 Kbps hoặc 128Kbps. Kiểu tấn công này không hạn chế những mạng có tốc độ kết nối thấp.

Lấy một ví dụ. nếu một kẻ tấn công đang nắm giữ một mạng có băng thụng

trờn 100 Mbps, thì kẻ tấn công đó có thể làm lụt hoàn toàn một mạng cú kờt

nối T1.

Kịch bản 2:

Những kẻ tấn công mở rộng các cuộc tấn công của họ bằng việc thu hút

thêm nhiều site vào để làm lụt những kết nối mạng. Một số người chỉ có một

đường kết nối 56 Kbps có thể hoàn toàn làm bão hoà một mạng T3(45

Mbps). Điều đó có thể không?. Bằng cách thờm cỏc side khác để mở rộng

tấn công DoS, một số người với một băng thông hạn chế có thể dễ dàng đưa

lên được băng thông 100Mbps. Để hoàn thành kỡ cụng đú, thỡ điều cần thiết

nhất cho những kẻ tấn công là thuyết phục các hệ thống khác chuyển lưu

thông cho mạng cần tấn công.



Tìm hiểu về an toàn và bảo mật trên mạng



Cũng giống như chúng ta đã bàn luận, chúng tôi muốn nhắc lại với

bạn rằng lưu thông ICMP là rất nguy hiểm. Trong khi một ICMP phục vụ

mụt mục đích có khả năng dự đoán, ICMP dễ bị lạm dụng và bị sử dụng cho

tấn công ngốn băng thông. Thếm vào đó, tấn công ngốn băng thông gây ra

rất là nhiều điều phiền toái, bởi vì hầu hết tất cả những kẻ tấn công để bắt

chước địa chỉ nguồn, điều đó làm khó khăng trong việc tìm ra thủ phạm thực

sự.



2.2.Tấn công ngốn tài nguyên.

Một cuộc tấn công thiếu hụt tài nguyên khác với một cuộc tấn công

ngốn băng thông đó là nó tập trung vào việc tiêu tốn tài nguyên của hệ

thống hơn là tài nguyên mạng. Nói chung là nó bao gôm việc tiêu thụ tài

nguyên hệ thống giống như khả năng sử dụng của CPU, bộ nhớ, hệ thông

file và những quá trình khác của hệ thống. Thông thường, kẻ tấn công có thể

truy cập một cách có hợp pháp vào những tài nguyên nào đó của hệ thống

kém. Tuy nhiên, kẻ tấn công lạm dụng truy cập đó để ngốn thờm cỏc tài

nguyên khỏc. Chớnh vì vậy nên hệ thống vào những người dùng hợp pháp

bị tước đoạt mất tài nguyên được chia sẻ. Tấn công thiều hụt tài nguyên

thường gây ra kết quả là tài nguyên không được sử dụng bởi vì hệ thông bị

vỡ, hệ thông file bị đầy hoặc tiến trình bị treo.



2.3. Lỗ hổng chương trình.

Những lỗ hổng của chương trình là những hỏng hóc của chương trình

ứng dụng, hệ điều hành hoặc những chip logic được nhúng vào để điều

khiển những điều kiện khác thường. Những điều kiện khác thường thường là

kết quả khi người sử dụng chuyển những dữ liệu không mong muốn tới

những thành phần nhạy cảm. Cho một chương trình ứng dụng, nó tin tưởng



Tìm hiểu về an toàn và bảo mật trên mạng



hoàn toàn vào dữ liệu đầu vào, kẻ tấn công có thể gửi một lượng dữ liệu lớn

hàng ngàn dòng. Nếu chương trình sử dụng một buffer có chiều dài cố định,

128 byte, kẻ tấn công có thể làm tràn buffer và làm vỡ chương trình ứng

dụng đó. Điều tệ hại là kẻ tấn công có thể thực hiện những câu lệnh được

cấp quyền. Một ví dụ cho lỗ hổng chương trình cúng phổ biến trong những

chip logic được nhúng vào. Tấn công DoS f00f Pentium cho phép tiến trình

ở mức người sử dụng có thể phá vỡ bất cứ hệ điều hành nào bằng cách thực

hiện dòng lệnh 0xf00fc7c8.



2.4. Tấn công tìm đường và DNS

Tấn công DoS dựa trên cơ sở tìm đường là tấn công thực hiện trên đầu

vào của bảng tìm đường để từ chối dịch vụ tới những hệ thống hoặc mạng

hợp pháp. Hầu hết các giao thức tìm đường giống như Rounting Information

Protocol hay Border Gateway Protocol hoặc không có hoặc có nhưng rất

yếu phần chứng thực. Những công việc xác thực nhỏ hiếm khi được sử

dụng khi cài đặt. Điều đó đưa ra một kịch bản hoàn hảo cho kẻ tấn công làm

biến đổi những rounter hợp pháp, thông thường bằng việc giả mạo địa chỉ

IP, để tạo ra một điều kiện từ chối dịch vụ. Nạn nhân của những cuộc tấn

công sẽ được truyền qua những mạng của kẻ tấn công hoặc rơi vào những lỗ

đen, một mạng không hề tồn tại.

Tấn công DoS dựa trên tên miến chủ cũng gây nhiều phiền toái giống

như tấn công dựa trên việc tìm đường. Hầu hết các cuộc tấn công dựa trên

tên miền thuyết phục những nạn nhân nhằm giấu đi những thông tin địa chỉ

ảo. Khi một tên miền máy chủ thực hiện một công việc gì đó, kẻ tấn công có

thể gửi nó tới những side mà kẻ tấn công muốn đưa bạn tới hoặc tới những

lỗ đen. Có một số cách tấn công DoS liên quan tới tên miền là dâng lên

những side lớn không có khả năng truy nhập cho một khoản thời gian dài.



Tìm hiểu về an toàn và bảo mật trên mạng



3.Tấn công DoS cơ sở

Những cuộc tấn công DoS có khả năng tác động tới nhiêu kiểu hệ

thống khác nhau, chúng ta gọi chúng là cơ sở. Nói chung, những cuộc tấn

công đó có thể là dạng tấn công ngốn tài nguyên hay tấn công ngốn băng

thông. Một phần tử chung của những kiểu tân công đó là thao tác dựa trên

giao thức. Nếu một giao thức giống như ICMP để thao tác cho một mục đích

bất chính, nó có khả năng ảnh hưởng tới đồng thới nhiều hệ thống. Lấy ví

dụ, kẻ tấn công có thể gửi bom thư để chuyển hàng nghìn thông điệp tới hệ

thống nạn nhân để cố gắng ngốn hết băng thông hay tài nguyên của mail

server. Con virus Melissa được thiết kế để tấn công DoS.

Tấn công Smurf là một kiểu tân công DoS đáng sợ nếu xột trờn sự

ảnh hưởng rông lớn của cuộc tân công. Sự ảnh hưởng mở rộng là kết quả

của việc ping broadcast nhưng yêu cầu tới mạng của hệ thống và sẽ được trả

lời sẽ được trả lời những yêu cầu đó. Một yêu cầu ping broadcast trực tiếp

có thể được chuyển địa chỉ mạng hoặc địa chỉ broadcast của mạng và cần

thiếp phải có một thiết bị thực hiện những hàm broadcast từ tần 3 xuống tần

2. Nếu giả sử mạng đó theo chuẩn C hoặc xác định 24 bit địa chỉ, thì địa chỉ

mạng có thể là .0, trong khi địa chỉ broadcast là .255. Broadcast trực tiếp

được sử dụng cho mục đích chuẩn đoán xem cái nào cón sống ngoài việc

ping lần lướt từng địa chỉ.

Một cuộc tấn công Smurf mang rất nhiều ưu điểm của broadcast trực

tiếp và đòi hỏi it nhất ba nhân vật: kẻ tấn công, mạng mở rộng, và nạn nhân.

Một kẻ tấn công chuyển gói tin ICMP ECHO giả mạo tới địa chỉ broadcast

của một mạng mở rộng. Địa chỉ mạng được giả mạo giống như là hệ thông

nạn nhân bắt đầu yêu cầu. Sau đó tình trạng lộn xộn bắn đầu xẩy ra, Trong

khi gói tin ECHO chuyển tới địa chỉ broadcast, tất cả hệ thống trong mạng



Tìm hiểu về an toàn và bảo mật trên mạng



mở rộng đểu trả lời lại cho nạn nhân. Nếu một kẻ tấn công chuyển một gói

ICMP tới một mạng mở rộng có 100 hệ thống , kẻ tân công có thể đạt được

hiệu quả gấp 100 lần. Chúng ta gọi tỉ lệ chuyển gói tin của hệ thống là tỉ lệ

mở rộng. Chinh vì vậy, kẻ tấn công người có thể tìm ra một mạng mở rộng

với một tỉ lệ mở rộng rất cao có cơ hội lớn để làm bão hoà mạng nạn nhân.

Kiểu tấn công đó rất có triển vọng, chúng ta hãy xem xét một ví dụ.

Giả sự kẻ tấn công chuyển 14k của lưu thông ICMP tới một địa chỉ

broadcast của một mạng mở rộng có 100 hệ thống. Kẻ tấn công mạng được

kết nối tới Internet trên kết nối ISDN kờnh đụi, mạng mở rộng được kết nối

trên một đường dây 45 Mbps T3, và mạng nạn nhân được kết nối trên

đường dây 1.544 Mbps T1. Nêu làm một phép toán ngoại suy thì chúng ta

thấy, kẻ tấn công có thể tạo ra lưu thông 14 Mbps để chuyển tới mạng nạn

nhân. Mạng nạn nhân có rất ít cơ hôi tồn tại trước sự tấn công đó, bởi vì

cuộc tấn công sẽ rất nhân ngốn hết băng thông của kết nối T1 của nó.

Biến thể của kiểu tấm cụng trờn đươc gọi là tấn công Fraggle. Một

tấn công Fraggle là cơ sở của tân công Smurf sử dụng UDP thay cho ICMP.

Kẻ tấn công có thể chuyển những gói tin UDP được giả mạo tới địa chỉ

broadcast của một mạng mở rộng. Mỗi hệ thống trong mạng có thể dội trả

lời tới nạn nhân, và tạo ra một lượng lưu thông rất lớn.

Biện pháp đối phó Smurf.

Để ngăn chặn việc được sử dụng giống như là một side mở rộng, các

hàm broadcast trực tiếp nên được mất khả năng hoạt động trong giới hạn

rounter của bạn. Cho rounter Cisco, bạn có thể sử dụng lệnh sau:



Xem Thêm
Tải bản đầy đủ (.doc) (124 trang)

×