-
08/10/2013
-
401
-
989 bài viết
Phân loại các kiểu tấn công mạng - P3
A. Tấn công từ chối dịch vụ - DoS (Denial of Service)
Tấn công từ chối dịch vụ có mục tiêu là làm ngưng trệ hoạt động của dịch vụ, thiết bị hoặc các ứng dụng đang chạy. Một ví dụ điển hình cho kiểu tấn công DoS này là kẻ tấn công sẽ gửi đến máy chủ web lượng dữ liệu khổng lồ, làm nghẽn băng thông đến máy chủ, khiến cho các máy client khác không thể truy cập đến máy chủ này.
Ngoài ra một kiểu tấn công DoS khác làm tiêu tốn tài rất nhiều tài nguyên hệ thống máy chủ, dẫn đến việc máy chủ không còn khả năng đáp ứng dịch vụ. Kiểu tấn công này xảy ra do hacker hiểu rằng các máy tính khi muốn kết nối với nhau thì phải thực hiện các bước bắt tay theo quy định của giao thức truyền thông. Tuy nhiên kẻ tấn công không thực hiện các thủ tục này theo cách thông thường mà thực hiện theo cách bất thường . Điều này khiến máy nạn nhân tiêu tốn rất nhiều tài nguyên (RAM để lưu trữ thông tin kết nối, CPU để tính toán thời gian time-out) và do đó không thể đáp ứng các yêu cầu từ các client hợp lệ khác.
Tấn công từ chối dịch vụ làm mất tính sẵn sàng của mạng, máy và ứng dụng. Nó được coi làm mối nguy hại lớn bởi vì một kẻ tấn công non tay cũng có thể thực hiện được và gây ra những thiệt hại đáng kể đối với tổ chức.
B. Tấn công từ chối dịch vụ phân tán - DDoS (Distributed Denial of Service)
Khác với DoS ở chỗ có nhiều nguồn tấn công ở nhiều nơi khác nhau đến một nạn nhân. Điều này làm cho nạn nhân chống đỡ khó khăn hơn nhiều lần. Cách thức kẻ tấn công thực hiện DDoS thường là:
B1. Dò quét lỗ hổng và từ đó chiếm quyền điều khiển máy chủ dịch vụ nào đó.
B2. Cài đặt zoombie trên các máy chủ này
B3. Khi client kết nối tới máy chủ, Zoobie sẽ lây nhiễm vào các máy client
B4. Zoombie trên các máy client sẽ tự động tải về các công cụ của hacker. Nhờ đó hacker có thể điều khiển các máy client từ xa nhằm thực hiện các hành vi tấn công. Các hành vi có thể là: gửi thư rác, tấn công từ chối dịch vụ phân tán, phát tán mã độc, thao túng bầu cử trực tuyến, tấn công các mạng chat IRC.
Bạn có thể tham khảo các bài viết dưới đây để nắm rõ hơn
C. Các kiểu tấn công DDoS và một vài ví dụ
Một vụ tấn công DDoS các báo điện tử ở Việt Nam
Một vụ tấn công DDoS, haker cài mã độc lên Server và gây lụt băng thông máy chủ
Tìm hiểu sâu hơn về mã độc Botnet
D. Các dấu hiệu bị tấn công
Khi bị tấn công DoS, triệu chứng thường gặp là:
- Băng thông, CPU, ổ đĩa hoạt động mức độ cao
- Hỏng cấu hình hệ thống, ví dụ cấu hình định tuyến
- Thông tin về kết nối bị mất, ví dụ các phiên TCP hết hạn
- Một số thiết bị mạng ngừng hoạt động
- Việc truyền thông rất chậm
Để sớm nhận biết các cuộc tấn công DoS, cần có phần mềm giám sát băng thông mạng. Khi người quản trị phát hiện băng thông mạng tăng đột biến, hoặc các dấu hiệu hoạt động bất thường của các thành phần mạng, đó có thể là do cuộc tấn công DoS. Một số phần mềm giám sát khác, bạn có thể xem tại bài viết này.
Một ví dụ về tấn công DoS: một máy tính trong mạng LAN, khi đó số lượng gói tin qua router trong một đơn vị thời gian sẽ tăng đột biến. Không chỉ có máy tính bị DoS mà cả hệ thống mạng cũng sẽ bị ảnh hưởng. Mở rộng vấn đề, nếu quy mô của cuộc tấn công càng lớn thì có thể làm ảnh hưởng đến việc truy cập mạng cả một khu vực.
Tấn công từ chối dịch vụ có mục tiêu là làm ngưng trệ hoạt động của dịch vụ, thiết bị hoặc các ứng dụng đang chạy. Một ví dụ điển hình cho kiểu tấn công DoS này là kẻ tấn công sẽ gửi đến máy chủ web lượng dữ liệu khổng lồ, làm nghẽn băng thông đến máy chủ, khiến cho các máy client khác không thể truy cập đến máy chủ này.
Ngoài ra một kiểu tấn công DoS khác làm tiêu tốn tài rất nhiều tài nguyên hệ thống máy chủ, dẫn đến việc máy chủ không còn khả năng đáp ứng dịch vụ. Kiểu tấn công này xảy ra do hacker hiểu rằng các máy tính khi muốn kết nối với nhau thì phải thực hiện các bước bắt tay theo quy định của giao thức truyền thông. Tuy nhiên kẻ tấn công không thực hiện các thủ tục này theo cách thông thường mà thực hiện theo cách bất thường . Điều này khiến máy nạn nhân tiêu tốn rất nhiều tài nguyên (RAM để lưu trữ thông tin kết nối, CPU để tính toán thời gian time-out) và do đó không thể đáp ứng các yêu cầu từ các client hợp lệ khác.
Tấn công từ chối dịch vụ làm mất tính sẵn sàng của mạng, máy và ứng dụng. Nó được coi làm mối nguy hại lớn bởi vì một kẻ tấn công non tay cũng có thể thực hiện được và gây ra những thiệt hại đáng kể đối với tổ chức.
B. Tấn công từ chối dịch vụ phân tán - DDoS (Distributed Denial of Service)
Khác với DoS ở chỗ có nhiều nguồn tấn công ở nhiều nơi khác nhau đến một nạn nhân. Điều này làm cho nạn nhân chống đỡ khó khăn hơn nhiều lần. Cách thức kẻ tấn công thực hiện DDoS thường là:
B1. Dò quét lỗ hổng và từ đó chiếm quyền điều khiển máy chủ dịch vụ nào đó.
B2. Cài đặt zoombie trên các máy chủ này
B3. Khi client kết nối tới máy chủ, Zoobie sẽ lây nhiễm vào các máy client
B4. Zoombie trên các máy client sẽ tự động tải về các công cụ của hacker. Nhờ đó hacker có thể điều khiển các máy client từ xa nhằm thực hiện các hành vi tấn công. Các hành vi có thể là: gửi thư rác, tấn công từ chối dịch vụ phân tán, phát tán mã độc, thao túng bầu cử trực tuyến, tấn công các mạng chat IRC.
Bạn có thể tham khảo các bài viết dưới đây để nắm rõ hơn
C. Các kiểu tấn công DDoS và một vài ví dụ
https://whitehat.vn/threads/5352-Cac-loai-cua-tan-cong-tu-choi-dich-vu.html
https://whitehat.vn/threads/13214.html?p=26593&viewfull=1#post26593
https://whitehat.vn/threads/13214.html?p=26593&viewfull=1#post26593
Một vụ tấn công DDoS các báo điện tử ở Việt Nam
Một vụ tấn công DDoS, haker cài mã độc lên Server và gây lụt băng thông máy chủ
Tìm hiểu sâu hơn về mã độc Botnet
D. Các dấu hiệu bị tấn công
Khi bị tấn công DoS, triệu chứng thường gặp là:
- Băng thông, CPU, ổ đĩa hoạt động mức độ cao
- Hỏng cấu hình hệ thống, ví dụ cấu hình định tuyến
- Thông tin về kết nối bị mất, ví dụ các phiên TCP hết hạn
- Một số thiết bị mạng ngừng hoạt động
- Việc truyền thông rất chậm
Để sớm nhận biết các cuộc tấn công DoS, cần có phần mềm giám sát băng thông mạng. Khi người quản trị phát hiện băng thông mạng tăng đột biến, hoặc các dấu hiệu hoạt động bất thường của các thành phần mạng, đó có thể là do cuộc tấn công DoS. Một số phần mềm giám sát khác, bạn có thể xem tại bài viết này.
Một ví dụ về tấn công DoS: một máy tính trong mạng LAN, khi đó số lượng gói tin qua router trong một đơn vị thời gian sẽ tăng đột biến. Không chỉ có máy tính bị DoS mà cả hệ thống mạng cũng sẽ bị ảnh hưởng. Mở rộng vấn đề, nếu quy mô của cuộc tấn công càng lớn thì có thể làm ảnh hưởng đến việc truy cập mạng cả một khu vực.