Thứ Hai, 30 tháng 12, 2013

DoS và DDoS

– Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử lý
lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ.
Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và
lúc này máy chủ không còn khả năng đáp lại – kết nối không được thực hiện.
- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo – Three-
way.
- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN tới
máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công
DoS.
- Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế hiện khi
máy chủ bị tấn công gói SYN đến sẽ rất nhiều trong khi đó khả năng trả lời của máy chủ
lại có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp pháp.
- Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp với máy
B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói SYN từ
A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu
các giao tiếp dữ liệu.
- Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình TCP
Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi dữ liệu.
- Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm
sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way
handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một
thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công.
- Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa
chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.
IV. Các công cụ tấn công DoS
- Jolt2
- Bubonic.c
- Land and LaTierra
- Targa
- Blast20
- Nemesy
- Panther2
- Crazy Pinger
- Some Trouble
- UDP Flood
- FSMax
1. Tools DoS – Jolt2
– Cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows
- Nó là nguyên nhân khiên máy chủ bị tấn công có CPU luôn hoạt động ở mức độ 100%,
CPU không thể xử lý các dịch vụ khác.
- Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có
thể bị lỗ hổng bảo mật này và bị tools này tấn công.
2. Tools DoS: Bubonic.c
- Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000

Xem chi tiết: DoS và DDoS


Người đăng: vào lúc

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)