1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

Tấn công DoS cơ sở

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



mở rộng đểu trả lời lại cho nạn nhân. Nếu một kẻ tấn công chuyển một gói

ICMP tới một mạng mở rộng có 100 hệ thống , kẻ tân công có thể đạt được

hiệu quả gấp 100 lần. Chúng ta gọi tỉ lệ chuyển gói tin của hệ thống là tỉ lệ

mở rộng. Chinh vì vậy, kẻ tấn công người có thể tìm ra một mạng mở rộng

với một tỉ lệ mở rộng rất cao có cơ hội lớn để làm bão hoà mạng nạn nhân.

Kiểu tấn công đó rất có triển vọng, chúng ta hãy xem xét một ví dụ.

Giả sự kẻ tấn công chuyển 14k của lưu thông ICMP tới một địa chỉ

broadcast của một mạng mở rộng có 100 hệ thống. Kẻ tấn công mạng được

kết nối tới Internet trên kết nối ISDN kờnh đụi, mạng mở rộng được kết nối

trên một đường dây 45 Mbps T3, và mạng nạn nhân được kết nối trên

đường dây 1.544 Mbps T1. Nêu làm một phép toán ngoại suy thì chúng ta

thấy, kẻ tấn công có thể tạo ra lưu thông 14 Mbps để chuyển tới mạng nạn

nhân. Mạng nạn nhân có rất ít cơ hôi tồn tại trước sự tấn công đó, bởi vì

cuộc tấn công sẽ rất nhân ngốn hết băng thông của kết nối T1 của nó.

Biến thể của kiểu tấm cụng trờn đươc gọi là tấn công Fraggle. Một

tấn công Fraggle là cơ sở của tân công Smurf sử dụng UDP thay cho ICMP.

Kẻ tấn công có thể chuyển những gói tin UDP được giả mạo tới địa chỉ

broadcast của một mạng mở rộng. Mỗi hệ thống trong mạng có thể dội trả

lời tới nạn nhân, và tạo ra một lượng lưu thông rất lớn.

Biện pháp đối phó Smurf.

Để ngăn chặn việc được sử dụng giống như là một side mở rộng, các

hàm broadcast trực tiếp nên được mất khả năng hoạt động trong giới hạn

rounter của bạn. Cho rounter Cisco, bạn có thể sử dụng lệnh sau:



Tìm hiểu về an toàn và bảo mật trên mạng



No ip directed-broadcast

Nó làm mất khả năng hoạt động của broadcast trực tiếp. Giống như

của Cisco IOS phiên bản 12, hàm đó có thể làm hoạt động một cách mặc

định. Đối với các thiết bị khác, tra cưu tài liệu sử dụng để vô hiệu hóa

broadcast trực tiếp.

Thêm vào đó, đối với những hệ điều hành cụ thể thì có thể định cấu

hình để loại bỏ những gói ICMP ECHO.

Solaris 2.6,2.5.1,2.5,2.4,2.3 để ngăn chặn hệ thống Solaris khỏi việc

trả lời yờu cõu broadcast, và thêm dòng lệnh sau /etc/rc2.d/s96inet:

Ndd –set /dev/ip ip_respond_to_echo_broadcast 0

Linux: để ngăn chặn hệ thống Linux khỏi việc trả lời yêu cầu broadcast

ECHO, bạn có thể sử dụng sử dụng firewall ở mức nhân, ipfw. Để bảo đạm

bạn có biên dịch firewall trong nhân, có thể thực hiện câu lệnh sau:

Ipfwadm –I –a deny –P icmp –D 10.10.10.0 –S 0\0 0 8

Ipfwadm –I –a deny –P icmp –D 10.10.10.255 –S 0\0 0 8

Bảo đảm đặt 10.10.10.0 với địa chỉ mạng của bạn và 10.10.10.255 với

địa chỉ broadcast.

FreeBSD FreeBSD phiên bản 2.25 và những phiên bản sau thì vô

hiệu hoá việc broadcast trực tiếp một các mặc định. Khả năng đó có thể bật

hoặc tắt bằng việc sửa thông số sysct

Net.inet.icmp.bmcastecho.

AIX. Mặc định thì AIX phiên bản 4.x có thể vô hiệu hoá việc trả lời tới

địa chỉ broadcast. Không có lênh nào được sử dụng để bật hay tắt khả năng

đó. Không có lênh nào được sử dụng để định cấu hình các thuộc tính của



Tìm hiểu về an toàn và bảo mật trên mạng



mạng trong việc chạy nhõn. Cỏc thuộc tính đó có thể được lập lại mỗi lần

khởi động lại hệ thống.

Tất cả các biến thể của UNIX. Để ngăn chặn cỏc mỏy trong việc trả

lời tấn công Fraggle, vô hiệu hoá dội bằng việc đặt “#” phía trước dịch vụ.



4. Các site trước sự tấn công.

Quan trọng để hiểu làm thế nào để ngăn chặn site của bạn đang

được sử dụng giống như là một phần mở rộng, và cũng rất là quan trọng để

hiểu bạn nên làm cái gì khi site của bạn bị tấn công. Giống như chúng tôi đã

đề cập trước đây, bạn nên giới hạn quyền vào lưu thông ICMP và UDP

trong đường biên rounter của bạn tới chỉ những hệ thống cần thiết trong

mạng của bạn và chỉ cho phép những kiểu ICMP đặc biệt. Làm việc với nhà

cung cấp dịch cụ Internet để hạn chế lưu thông ICMP cang nhiều càng tốt.

Tất nhiên, điều đó không ngăn chăn được tấn công Smurf và Fraggle từ

việc ngốn hết băng thông của bạn. Để làm tăng biện pháp đối phó, một số tổ

chức cho phép khả năng Commited Access Rate (CAR) được cung cấp bởi

Cisco IOS 1.1CC. 11.1CE và 12.0. Nó cho phép lưu thông ICMP được giới

hạn bởi một số có lý do như 256K, 512K.

Nếu side của bạn bị tấn công thì bạn nên liên hệ với trung tâm điều

hành của nhà cung cấp dịch vụ. Hãy luôn luôn nhớ rằng, rất là khó để bạn tự

lần đến để tìm được thủ phạm, nhưng nú thỡ có thể. Nên nhớ, nếu site của

bạn đang bị tấn công, gói tin đang đến một cách hợp pháp từ những site mở

rộng. Những side mở rộng đõng nhận những gói giả mạo đến từ hệ thống

mạng của bạn.



Tìm hiểu về an toàn và bảo mật trên mạng



5. Tấn công dạng SYN (SYN Attack)

SYN (SYN là từ viết tắt của synchronize - đồng bộ) là một kiểu tấn

công phổ biến trên Internet. SYN là một gói tin được gửi qua giao thức

TCP/IP yêu cầu một hệ thống từ xa cho phép thực hiện một kết nối. Khi một

hệ thống chịu một cuộc tấn công dạng SYN (hay còn gọi là SYN flooding –

làm ngập dạng SYN), một phần hay toàn bộ các dịch vụ mạng không còn sử

dụng được, khi đú cỏc thông báo lỗi sẽ hiển thị trờn mỏy khỏch. Hầu hết các

hệ điều hành, gồm cả Windows 2000, không được bảo vệ trước dạng tấn

công này.

Gói tin SYN được gửi theo giao thức bắt tay ba chiều (threeway

handshake) yêu cầu kết nối tới một hệ thống khác. Mỗi khi bắt tay thành

công, máy chủ sử dụng một số tài nguyên của nó cho kết nối này. Tuy nhiên,

lượng tài nguyên trong mỗi hệ thống đều có giới hạn. Tấn công dạng SYN

làm cho lượng tài nguyên trờn mỏy bị tấn công cạn kiệt và không thể tiếp

tục chấp nhận kết nối nữa – như vậy tấn công dạng SYN là một dạng tấn

công làm tê liệt dịch vụ DoS (DoS – Denial of Services).

Để hiểu được một cách chi tiết về tấn công dạng SYN, trước hết ta

hãy xem lại về phương thức bắt tay ba chiều được mô tả nôm na như sau:

Hai máy tính muốn nói chuyện với nhau thì việc đầu tiên là phải chào

hỏi, cũng như hai người gặp nhau thì phải bắt tay cái đã. Giả sử A là máy

muốn nói chuyện với B, nó sẽ đưa ra yêu cầu tới B (yêu cầu "SYN" như

hình vẽ). B nhận được yêu cầu thì sẽ đáp lại bằng câu trả lời "SYN/ACK" và

"cử" người ra để nói chuyện với A (cử ở đây là cấp phát tài nguyên cho việc

nói chuyện với A). Đến lượt A khi thấy B đáp lại thì phải khẳng định một

lần nữa là thực sự muốn nói chuyện (trả lời "ACK").



Xem Thêm
Tải bản đầy đủ (.doc) (124 trang)

×