1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

Tấn công dạng SYN (SYN Attack)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



Client

2.10. Bắt Client

Client

chiều



SYN

SYN/ACK

ACK



Server

Server

Server



Hình

tay ba

(Three



handshake)

Vậy tấn công dạng SYN lợi dụng phương thức này như thế nào? Sau

đây là phương pháp thực hiện:

(Mỏy tính của Tin tặc sẽ đóng vai trò là A, cũn mỏy bị tấn công là

B)

+ A sẽ gửi yêu cầu "SYN" muốn nói chuyện với B, nhưng chỉ có điều

không bình thường là nó sẽ tự xưng nó là A' chứ không phải là A. Trong đó

A' là một địa chỉ không có thật, không tồn tại trên thực tế.

+ B nhận được yêu cầu thì liền "cử" người ra đáp lại bằng câu trả lời

"SYN/ACK". Tuy nhiên, câu trả lời này sẽ gửi đến A' chứ không phải A vì

B hoàn toàn không biết đến anh A do A giả mạo như nói trên. Không may là

A' lại là một địa chỉ không tồn tại trên thực tế, nên dĩ nhiên sẽ không hề có

trả lời "ACK" theo như quy định từ A' tới B (quá trình thứ 3 của việc bắt tay

như nói trên).

Không có trả lời, nhưng người của B vẫn cứ chờ đợi, đú chớnh là một

điểm yếu của hệ thống. Điều gì xảy ra nếu A gửi liên tiếp những yờu cõu giả

mạo như vây? câu trả lời là B sẽ phải "cử" hết người này đến người khác của

mình ra để "nói chuyện", cuối cùng thì B hết người và không đáp ứng được

các yêu cầu khác nữa và được gọi là bị "nhập lụt" bởi các yêu cầu hay bị tấn

công "từ chối dịch vụ". Trong trường hợp những yêu cầu là hợp lệ, tức là A'

có tồn tại trong thực tế thì B sẽ nhận được câu trả lời "ACK" từ A', khi đó



Tìm hiểu về an toàn và bảo mật trên mạng



người được "cử" ra nói chuyện sẽ được giải phóng, tức là không dẫn đến

tình trạng "ngập lụt" nói trên.

1



A



-----SYN----->



A



-----SYN----->



B



A



-----SYN----->



B



A



-----SYN----->



B



A



-----SYN----->



B



A



-----SYN----->



B



B



2 A' <---SYN/ACK--- B

A' <---SYN/ACK--- B

...

- Một cách để kiểm tra xem máy tính có phải là mục tiêu của một

cuộc tấn công dạng SYN hay không, có thể sử dụng lệnh netstat để kiểm tra

các kết nối hiện tại:

netstat –n –p tcp

Lệnh này (với tham số -p tcp) sẽ hiển thị các kết nối theo giao thức

TCP, ví dụ:

Active Connections:

Proto LocalAddress



ForeignAddress



State



TCP 127.0.0.1:1030



127.0.0.1:1032



ESTABLISHED



TCP 127.0.0.1:1032



127.0.0.1:1030



ESTABLISHED



TCP 10.57.8.190:21



10.57.14.154:1256



SYN_RECEIVED



Tìm hiểu về an toàn và bảo mật trên mạng



TCP 10.57.8.190:21



10.57.14.154:1257



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1258



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1259



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1260



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1261



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1262



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1269



SYN_RECEIVED



TCP 10.57.8.190:21



10.57.14.154:1270



SYN_RECEIVED



TCP 10.57.8.190:480 110.57.14.221:139



TIME_WAIT



Nếu như ta thấy số lớn các kết nối đang trong trạng thái

SYN_RECEIVED nhận được gói tin SYN) thì có thể là máy đang bị tấn

công. Khi bộ đệm sử dụng cho các cuộc kết nối tới giới hạn, máy bị tấn công

sẽ trả lời từ chối tới tất cả các kết nối sau đó cho tới khi giải phóng đủ tài

nguyên.

Giải pháp:có 2 cách giải quyết vấn đề này

Cách 1. Cách thứ nhất gọi là "SYNDefender Relay"

• Cho chặn một Firewall ở giữa để đón nhận trước các yêu cầu kết nối.

• Chỉ khi nào xác thực máy yêu cầu là hợp lệ thì mới cho kết nối thực

sự tới máy chủ.

• Chỉ kiểm soát quá trình bắt tay, không cấp phát bộ nhớ (không cử

người ra nói chuyện nếu chưa bắt tay xong) --> không bị vô hiệu hoá như

server.

1 A -----SYN----->



FW



B



Tìm hiểu về an toàn và bảo mật trên mạng



2 A <---SYN/ACK--- FW

3 A -----ACK----->



B



FW -----SYN----->



B



4 A



FW <---SYN/ACK--- B



5 A



FW -----ACK----->



B



Cách2. Cách thứ 2 gọi là "SYNDefender Gateway"

• Cũng cho Firewall đứng ra nhận yêu cầu kết nối trước.

• Giải phóng ngay cho người mà B cử ra để nói chuyện, bất kể chưa

có trả lời "ACK" từ phía bên kia.

1 A ---SYN--->

2 A



FW ---SYN--->

FW



B



<---SYN/ACK--- B



3 A <---SYN/ACK--- FW -----ACK----->



B



4a A ---ACK--->



B hoặc



4b A



FW ---ACK--->

FW



------RST---->



B



6. Giả mạo địa chỉ IP (IP Spoofing)

Tấn công giả mạo địa chỉ IP dựa trên sự yếu kém của hệ thống xác

nhận (Authentication system). Rất nhiều hệ thống trên Internet dựa vào địa

chỉ IP để thực hiện việc xác thực. Điều này là không ổn vì địa chỉ IP chỉ thể

hiện sự riêng biệt chứ không thể hiện sự xác nhận. Có nghĩa nếu chỉ biết địa

chỉ IP thụi thỡ không thể xác nhận được mỏy đú.

Hơn nữa, rất nhiều các bộ định tuyến (router) và cổng chặn (gateway)

chấp nhận và truyền tải cỏc gúi tin trong đó địa chỉ IP đích và địa chỉ IP

nguồn lại ở cùng một phía của bộ định tuyến. Người tấn công sẽ lợi dụng

đặc điểm này như sau:



Tìm hiểu về an toàn và bảo mật trên mạng



- Máy tấn công gửi gói tin hợp lệ tới mỏy đớch, với trù định trước

tới một dịch vụ chạy trên một cổng định trước.

- Mỏy đích trả lời với gói tin ACK, kèm theo số thứ tự gói tin.

- Máy tấn công sử dụng số thứ tự nhận được để đoán số thứ tự của

gói tin tiếp theo và gửi gói tin tới một dịch vụ nào đó tới mỏy đớch, sử dụng

địa chỉ IP giả thuộc về một máy mà mỏy đớch tin tưởng (thường là máy

trong mạng nội bộ của mỏy đớch). Mỏy tấn công gửi gói tin này một cách

mò mẫm mà không cần sự trả lời. Đó là lý do tại sao lại sử dụng địa chỉ IP

giả mạo.

- Trong khi chờ đợi, máy tấn công lại làm rối máy mà địa chỉ IP bị

sử dụng cho cuộc tấn công (tức mỏy cú địa chỉ IP đáng tin cậy đối với mỏy

đớch) bằng cách gửi cỏc gúi tin rác TCP với chủ tâm sử dụng số thứ tự sai.

Điều này khiến cho máy “đỏng tin” đó trở nên bận rộn với việc trao đổi gói

tin với máy tấn công.

Mô hình dạng tấn công này

Giải pháp:

Ta có thể kiểm tra IP Spoofing bằng cách kiểm soát cỏc gúi tin. Nếu

gói tin ở giao diện bên ngoài mà có cả địa chỉ nguồn, đích trong miền mạng

nội bộ thì có nghĩa đang có sự giả mạo địa chỉ IP. Cách tốt nhất là lọc cỏc

gúi tin có địa chỉ nguồn và đớch cựng trong mạng để đề phòng cả trường

hợp cuộc tấn công được phát động ngay từ trong mạng nội bộ.



Xem Thêm
Tải bản đầy đủ (.doc) (124 trang)

×