Nghiên cứu và đưa ra giải pháp phòng chống Dos, DDos

Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó.
Nội dung trích xuất từ tài liệu:
Nghiên cứu và đưa ra giải pháp phòng chống Dos, DDos Nghiên cứu và đưa ra giải pháp phòng chống tấn  công DoS, DDoS NGHIÊN CỨU VÀ ĐƯA RA GIẢI PHÁP PHÒNG CHỐNG DOS, DDOS 1.Khái niệm và phân loại 1.1Khái niệm Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động  ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. Nó bao gồm: làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là  máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy  trạm (Client). 1.2 Phân loại Có 2 loại Loại 1: Dựa theo đặc điểm của hệ thống bị tấn công: gây quá tải khiến hệ thống mất  khả năng phục vụ •Tin tặc gửi rất nhiều yêu cầu dịch vụ, bắt chước như người dùng thực sự yêu cầu đối  với hệ thống •Để giải quyết yêu cầu, hệ thống phải tốn tài nguyên (CPU, bộ nhớ, đường truyền,…).  Mà tài nguyên này thì là hữu hạn. Do đó hệ thống sẽ không còn tài nguyên để phục vụ các yêu cầu sau •Hình thức chủ yếu của kiểu này tấn công từ chối dịch vụ phân tán Loại 2 : Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc  lỗi về an toàn thông tin •Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu cầu hoặc các gói  tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc không theo  trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó •Điển hình là kiểu tấn công Ping of Death hoặc SYN Flood 2.Các cách thức tấn công 2.1 Tấn công thông qua kết nối SYN Flood Attack ­Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của  thủ tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết nối  (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – ways  handshake) thông qua các gói tin (packet). Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối. Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông báo cho  client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu  này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận  và truyền dữ liệu. Ngoài ra, các thông tin khác của client như địa chỉ IP và cổng (port)  cũng được ghi nhận. Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa  ACK cho server và tiến hành kết nối. ­Do TCP là thủ tục tin cậy trong việc giao nhận (end­to­end) nên trong lần bắt tay thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và  lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client. ­Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server. Và có hàng nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và giành tài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới hạn! Các hacker tấn công sẽ tìm cách để đạt đến giới hạn đó. ­Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng  crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được. Có thể hình  dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng  lúc quá nhiều chương trình cùng lúc vậy . ­Thông thường, để giả địa chỉ IP gói tin, các hacker có thể dùng Raw Sockets (không  phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin. Khi  một gói tin SYN với IP giả mạo được gửi đến server, nó cũng như bao gói tin khác, vẫn  hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng  thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client. Vì địa chỉ IP  của client là giả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi đáp cho máy chủ. Sau một thời gian không nhận được gói tin ACK từ client, server  nghĩ rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối  (connections) tiếp tục mở. ­Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùng server đã  không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp lệ. Việc  không thể phục nữa cũng đồng nghĩa với việc máy chủ không tồn tại. Việc này cũng  đồng nghĩa với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc biệt là trong các giao  dịch thương mại điện tử trực tuyến. ­Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần một máy tính  nối internet qua ngã dial­up đơn giản cũng có thể tấn công kiểu này (tất nhiên sẽ lâu  hơn chút). 2.2 Lợi dụng tài nguyên của nạn nhân để tấn công Land Attack •Tương tự như SYN flood •Nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP  nguồn trong gói tin •Đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó UDP flood •Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu  cần tấn công hoặc của một máy tính trong cùng mạng •Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin  echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng  loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và  cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng 2.3 Sử dụng Băng Thông DDoS (Distributed Denial of Service) ­Xuất hiện vào mùa thu 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao  hơn gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng  thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động. Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy  tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng l ...