Home »

Tấn công từ chối dịch vụ - DDOS

Thứ Bảy, 1 tháng 3, 2008
Tấn công từ chối dịch vụ phân tán DDOS sẽ luôn là mối đe doạ hàng đầu đến các hệ thống công nghệ thông tin trên thé giới. Về mặt kỹ thuật, hầu như chúng ta chỉ có thể hy vọng tin tặc sử dụng những công cụ đã biết và có hiểu biết kém cỏi về các giao thức để có thể nhận biết và loại trừ các traffic gây nên cuộc tấn công. Một điều mà các chuyên gia ai cũng thừa nhận, đó là nếu DDOS được thực hiện bởi một tin tặc có trình độ thì việc phòng tránh là không thể. Cách đây 4 năm, giới hacker chính quy thế giới đã khai tử kỹ thuật tấn công này và chấm dứt mọi hoạt động nghiên cứu trình diễn hay phát tán công cụ, do chính bản thân họ cũng nhìn thấy mức độ nguy hiểm và không công bằng của kiểu tấn công này. Với một hạ tầng mạng cùng với thương mại điện tử vừa chớm hình thành, DDOS sẽ là một mối nguy hại rất lớn cho Internet Việt Nam.

Tấn công từ chối dịch vụ (DoS) là cuộc tấn công trên hệ thống mạng nhằm ngăn cản những truy xuất tới một dịch vụ như là WEB, Email,… Tấn công DoS phá huỷ dịch vụ mạng bằng cách làm tràn ngập số lượng kết nối, quá tải server hoặc chương trình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn người dùng hợp lệ truy nhập tới các dịch vụ mạng.

Có rất nhiều các phương cách để thực hiện các cuộc tấn công từ chối dịch vụ vì thế cũng có rất nhiều cách phân loại các kiểu tấn công từ chối dịch vụ DoS. Cách phân loại phổ biến thường dùng dựa vào giao thức trong hình thức tấn công DoS, ví dụ như tràn ngập ICMP với Smurf, Ping of Death, khai thác điểm yếu của TCP trong hoạt động của giao thức và phân mảnh gói tin với SYN flood, LanD attacks, TearDrop, hay các ứng dụng ở lớp ứng dụng như với Flash Crowds (hay tên gọi khác là X-flash).

Phân loại theo phương thức tấn công, DoS có thể được thực hiện bằng một vài gói tin đơn lẻ gửi thẳng tới server gây rối loạn hoạt động (như slammer worm), hoặc kích hoạt để gửi từ nhiều nguồn (tấn công từ chối dịch vụ phân tán DdoS). Tấn công có thể thực hiện trên mạng Internet (sử dụng ngay các web server), hoặc broadcast trong mạng từ bên trong (insider attacks như với Blaster worm), trên các mạng ngang hàng P2P (P2P index poinsioning) hay Wireless (WLAN authentication rejection attack-spoof sender). Tuy nhiên, có thể thấy các cách phân loại trên dựa chủ yếu vào cách nhìn từ sự phát sinh nguồn tấn công và vì thế, không hệ thống hoá được phương thức phòng tránh.

Một cách chung nhất, một cơ quan hay tổ chức cần xem xét những đặc điểm sau đây khi đối phó với các mối đe doạ về DoS như sau:

1. Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities)

Các điểm yếu ở tầng ứng dụng, và các lỗi trong chương trình ứng dụng có thể bị khai thác gây lỗi tràn bộ đệm, dẫn đến dịch vụ hoặc ứng dụng bị ngừng hoạt động. Lỗi chủ yếu được tìm thấy trên các ứng dụng chạy trên hệ điều hành phổ biến hiện nay là Windows, trên các chương trình Webserver, DNS, hay SQL database. Cập nhật các bản vá là một trong những yêu cầu quan trọng cho việc phòng ngừa các điểm yếu của ứng dụng. Trong thời gian chưa thể cập nhật và sử lỗi cho toàn bộ các máy tính, hệ thống phải được bảo vệ bằng các bản vá ảo (virtual patch). Ngoài ra, hệ thống cần đặc biệt xem xét những yêu cầu trao đổi nội dung giữa máy cliet và server, nhằm tránh cho server chịu tấn công qua các thành phần gián tiếp như là SQL injection.

2. Phòng ngừa việc tuyển mộ zombie

Zombie (hay còn gọi là daemons, slaves hoặc agent) là các đối tượng được lợi dụng trở thành thành phần phát sinh tấn công. Một số trường hợp điển hình như là thông qua rootkit (một dạng phần mềm được kích hoạt mỗi khi hệ thống khởi động, trước cả khi hệ điều hành khởi động xong. Rootkit cho phép cài một file có thuộc tính ẩn, một tiến trình, hoặc một tài khoản người sử dụng lên hệ điều hành. Rootkit có khả năng chặn bắt dữ liệu từ các terminal, từ các kết nối mạng và từ bàn phím), hay các thành phần hoạt động đính kém trong email, hoặc trang Web (ví dụ như sử dụng các file jpeg khai thác lỗi của phần mềm xử lý ảnh, các đoạn mã đính kém theo file flash, hoặc trojan cài đặt theo phising, hay thông qua việc lây lan worm (Netsky, MyDoom, Sophos). Để phòng chống, hệ thống mạng cần có những công cụ theo dõi và lọc bó nội dung (content filtering) nhằm ngăn ngừa việc tuyển mộ zombie của các tin tặc.



Ngăn ngừa kênh phát động tấn công sử dụng công cụ

Có rất nhiều các công cụ tấn công từ chối dịch vụ DoS, chủ yếu là tấn công từ chối dịch vụ phân tán DdoS như là TFN, TFN2000 (Trible Flood Network), tấn công dựa vào nguyên lý hoạt động của các giao thức như là Smurf, UDP, SYN, hay ICMP (Trinoo cho UDP flood, Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, hoặc tràn ngập TCP với packets headers ngẫu nhiên. Các công cụ này có đặc điểm là cần phải có các kênh phát động để zombie thực hiện tấn công tới một máy đích cụ thể. Hệ thống cần phải có các công cụ để giám sát và ngăn ngừa các kênh phát động đó.

Ngăn chặn tấn công bằng băng thông

Khi một cuộc tấn công DDoS được phát động nó thường được phát hiện dựa trên sự thay đổi đáng kể về băng thông của hệ thống mạng. Ví dụ, một hệ thống mạng bình thường có thể có 80% lưu lượng là của giao thực TCP, 20% lưu lượng còn lại là của UDP. Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn cống DoS. Ví dụ như, sâu Slammer sẽ làm tăng lưu lượng UDP, trong khi sâu Welchi sẽ tạo ra ICMP flood. Việc phân tán lưu lượng gây ra bởi các sâu này gây tác hại lên router, firewall, hoặc hạ tầng mạng. Hệ thống cần phải có các công cụ giám sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này.

Ngăn chặn tấn công qua cơ chế SYN/ACK

SYN flood là một trong những cách tấn công DoS cổ nhất còn tồn tại cho đến thời điểm hiện tại, nhưng tác hại của nó gây ra thì không giảm. Điểm căn bản để phòng ngừa cách tấn công DoS này là khả năng kiểm soát được số lượng yêu cầu SYN/ACK trong cơ chế kết nối 3-way handshaking của giao thức TCP tới hệ thống mạng.

Phát hiện và ngăn chặn tấn công tới hạn số kết nối

Bản thân các server chỉ có thể đáp ứng được một số lượng nhất định các kết nối tới nó cùng một lúc. Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful inspection), thì các kết nối luôn được gắn liền với bẳng trạng thái có giới hạn dung lượng. Đa phần các cuộc tấn công đều sinh ra số lượng các kết nối ảo thông qua việc giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chống được việc giả mạo, và kiểm soát được số lượng kết nối từ một nguồn cụ thể tới server.

Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối

Một trong những điểm mà các server thường bị lợi dụng là khả năng các bộ đệm giới hạn dành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải chịu sự thay đổi đột ngột về số lượng kết nối. Ở đây, việc áp dụng bộ lọc để giới hạn số lượng kết nối có một vai trò rất quan trọng. Một bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng thành phần của mạng.

Trong một hệ thống, để đối phó với các cuộc tấn công từ chối dịch vụ, thì thành phần IPS được coi là quan trọng nhất. Các cuộc tấn công từ chối dịch vụ chủ yếu nhằm vào khả năng xử lý của hệ thống mạng mà đầu tiên là các thiết bị an ninh mạng. Năng lực xử lý của IPS là một trong những đặc điểm cần chú ý, đặc biệt là sự ổn định trong việc xử lý đồng thời các loại lưu lượng hỗn tạp với kích thước gói tin thay đổi.
(Sưu tầm và biên soạn theo bài viết của tác giả Nguyễn Xuân Thanh trên tạp chi ConmazNo1-2006).

Tags:

Comments[ 0 ]


Đăng nhận xét