Bài viết sưu tầm
CHƯƠNG I (tiếp theo):
TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH
VÀ CÁC KỸ THUẬT TẤN CÔNG MẠNG
I.3.1. Các kỹ thuật tấn công cổ điển
Trong thực tế có nhiều kỹ thuật tấn công cổ điển như: Chia sẻ mở; Mật khẩu yếu; Thiếu sót trong lập trình; Kỹ năng xã hội; Tràn Bộ đệm; Từ chối dịch vụ;… Trong phần này chúng tôi chỉ trình bày một kỹ thuật mà đến nay hacker vẫn sử dụng để tấn công vào các mạng TCP/IP.
Ø Tấn công từ chối dịch vụ
Loại tấn công từ chối dịch vụ đơn giản chỉ là những hành động nhằm ngăn chặn khả năng truy cập vào một hệ thống hoặc một ứng dụng của một người sử dụng hợp pháp (bị chính hệ thống hoặc ứng dụng từ chối). Tấn công DoS có nhiều dạng khác nhau và có thể được phát động từ một hoặc nhiều hệ thống. Khó có thể ngăn chặn hoặc khống chế hoàn toàn các tấn công DoS nếu như không xác định được nguồn của nó.
Phần lớn các cuộc tấn công DoS thường có đặc điểm là, kẻ tấn công không cố gắng truy cập đến hệ thống đích từ các địa chỉ giả mạo, nó thường điều chỉnh địa chỉ nguồn của gói tin để che dấu vị trí thực của nó (giao thức IP có một sai sót trong lược đồ đánh địa chỉ của nó là không kiểm tra địa chỉ nguồn khi một gói tin được tạo ra).
Tấn công DoS từ một hệ thống:
Loại tấn công DoS đầu tiên mà chúng ta đề cập là loại tấn công chỉ thực hiện từ một hệ thống, tấn công vào một hệ thống khác và gây hỏng một thứ gì đó trên hệ thống đó.
Hình: SYN flood DoS attack
Kiểu tấn công DoS được áp dụng phổ biến nhất hiện nay là SYN flood (được gọi là tràn SYN). Trong kiểu tấn công DoS này, hệ thống nguồn (hệ thống khởi tạo tấn công) sẽ gửi một số lượng lớn các gói tin TCP “SYN” đến hệ thống đích (hệ thống bị tấn công) - các gói tin SYN được sử dụng để khởi tạo một kết nối TCP. Khi phía đích nhận được gói “SYN”, nó sẽ trả lời bằng một gói tin TCP “SYN ACK”, gói tin này cho biết đã chấp nhận tín hiệu SYN và gửi lại thông tin thiết lập kết nối trở lại cho hệ thống gửi tín hiệu SYN. Hệ thống đích cũng lưu thông tin kết nối vào “bộ đệm kết nối” để chờ giải quyết.
Đối với một kết nối TCP thông thường, hệ thống nguồn sẽ gửi trả gói tin TCP “ACK” sau khi nhận được gói tin “SYN ACK”. Nhưng đối với tấn công DoS loại này, hệ thống nguồn sẽ bỏ qua gói tin “SYN ACK” mà nó nhận được và tiếp tục gửi các gói tin “SYN” khác đến hệ thống đích. Do đó “bộ đệm kết nối” của đích sẽ bị lấp đầy (bị tràn) và hệ thống đích không thể nào giải quyết cho các yêu cầu từ các kết nối khác, buộc nó phải từ chối các kết nối này. Đây chính là lý do mà ta gọi nó là tấn công từ chối dịch vụ.
Rõ ràng nếu có hàng loạt gói tin “SYN” được gửi đến từ một địa chỉ IP xác định được, thì có thể dễ dàng xác định được hệ thống nguồn và dừng được cuộc tấn công. Nhưng nếu địa chỉ nguồn là một địa chỉ không thể định tuyến đuợc, thì sẽ khó khăn hơn rất nhiều - địa chỉ nguồn là địa chỉ bị che dấu.
Đã có một số giải pháp được đề xuất để bảo vệ các hệ thống trước các cuộc tấn công “SYN”. Cách đơn giản nhất là đặt một “bộ định thời (timer)” cho tất cả các kết nối chờ giải quyết, bộ định thời sẽ đi đến quyết định kết thúc các kết nối và giải phóng “bộ đệm kết nối” sau một khoảng thời gian nhất định nào đó. Một số thiết bị mạng có khả năng nhận diện được các “cơn lũ” tín hiệu SYN và vô hiệu hóa chúng. Nếu như cuộc tấn công được tổ chức từ nhiều địa chỉ nguồn khác nhau thì khó có thể phán đoán được cuộc tấn công.
Tấn công DoS phân tán:
Các cuộc tấn công Dos phân tán (DDoS) là các cuộc tấn công DoS được thực hiện từ nhiều hệ thống khác nhau. Các cuộc tấn công DDoS thường được điều khiển từ một hệ thống chính duy nhất bởi một hacker duy nhất. Các cuộc tấn công này được thực hiện một cách khá đơn giản: hacker gửi một gói tin “Ping” đến một địa chỉ quảng bá của một mạng lớn đồng thời đổi địa chỉ nguồn để hướng tất cả các gói tin trả lời vào mục tiêu cần đánh phá. Cách tấn công như vậy còn được gọi là Smurf. Nếu như mạng trung gian đó có nhiều host thì số lượng các gói tin trả lời hướng đến hệ thống đích sẽ rất lớn và có thể làm cho hệ thống đích bị vô hiệu hóa do quá tải.
Tấn công DDoS càng ngày càng tinh vi hơn. Các công cụ dùng để tấn công như là Trinoo, Tribal Flood Network, Mstream và Stachedraht cho phép hacker có thể phối hợp nhiều cuộc tấn công DoS từ các hệ thống khác nhau đến một hệ thống đích.
Hình: Minh họa tấn công smurf
» Tin mới nhất:
- Đặt mức cô lập (03/04/2025)
- Deep Reinforcement Learning và ứng dụng (18/03/2025)
- Ngôn ngữ SQL cơ bản (18/03/2025)
- Tại sao cần phải lập kế hoạch kiểm thử (TEST PLAN)? (18/03/2025)
- Assertion trong Python (18/03/2025)
» Các tin khác:
- Hướng dẫn cài ClamAV trên CentOS 7 (15/11/2015)
- Hướng dẫn cài sandboxie trên windows 10 (15/11/2015)
- Xây dựng chương trình chuyển biểu thức từ trung tố sang hậu tố (15/11/2015)
- Dùng stack để chuyển biểu thức tư trung tố sang hậu tố (15/11/2015)
- Một số hàm hệ thống trong SQL Server (15/11/2015)
- Các hàm chuyển đổi kiểu giá trị trong SQL Server (15/11/2015)
- Tổ chức tệp băm trên cơ sở dữ liệu (07/11/2015)
- Các thao tác trên tổ chức tệp băm (07/11/2015)
- Chống ghi đè lên file trong Linux với tùy chọn noclobber BASH Shell (19/10/2015)
- Linux Redirect Error Output To File (19/10/2015)
