Tìm hiểu về DDos Attack

[7604]

Fundamentals of Network Security by John E. Canavan là một cuốn sách được đưa vào thư viện online dành cho computer association member của IEEE. Trong đó có viết:

....
Denial of Service
Denial-of-service attacks are designed to shut down or render inoperable a system or network. The goal of the denial-of-service attack is not to gain access or information but to make a network or system unavailable for use by other users. It is called a denial-of-service attack, because the end result is to deny legitimate users access to network services. Such attacks are often used to exact revenge or to punish some individual or entity for some perceived slight or injustice. Unlike real hacking, denial-of-service attacks do not require a great deal of experience, skill, or intelligence to succeed. As a result, they are usually launched by nerdy, young programmers who fancy themselves to be master hackers.

There are many different types of denial-of-service attacks. The following sections present four examples: ping of death, "synchronize sequence number" (SYN) flooding, spamming, and smurfing. These are examples only and are not necessarily the most frequently used forms of denial-of-service attacks.

Ping of Death
The ping-of-death attack, with its melodramatic name, is an example of how simple it can be to launch a denial-of-service attack once a vulnerability has been discovered. Those who originally discover a vulnerability deserve credit, but it takes no great skill or intelligence to exploit it.

To better understand how the ping of death worked or works we need to once again review some TCP/IP basics. The ping of death exploited a flaw in many vendors' implementations of ICMP. ICMP is part of the IP of TCP/IP and operates at the Internet layer using the IP datagram to deliver messages; ping is a TCP/IP command that simply sends out an IP packet to a specified IP address or host name to see if there is a response from the address or host. It is often used to determine if a host is on the network or alive. The typical ping command syntax would be

ping 145.34.35.56

or

ping www.acme.net

Many operating systems were or are vulnerable to larger-than-normal ICMP packets. As a result, specifying a large packet in a ping command can cause an overflow in some systems' internals that can result in system crashes. The command syntax would vary depending on the operating system you were using. Below are two examples, one for Windows and the other for Sun Solaris.

Windows: ping-165527-s 1 hostname

Solaris: ping -s hostname 65527

Normally it requires a flood of pings to crash a system. Moreover, from firsthand experience I have found that you are just as likely to crash the system from which you are launching the attack as you are to crash the system you are targeting. Nevertheless, the ping-of-death approach may still constitute an effective denial-of-service attack. Once this vulnerability was discovered, most vendors issued operating system patches to eliminate the problem.

SYN Flooding
SYN flooding is a denial-of-service attack that exploits the three-way handshake that TCP/IP uses to establish a connection. Basically, SYN flooding disables a targeted system by creating many half-open connections. Figure 2.6 illustrates how a typical TCP/IP connection is established.


Figure 2.6: Normal TCP/IP handshake.
In Figure 2.6, the client transmits to the server the SYN bit set. This tells the server that the client wishes to establish a connection and what the starting sequence number will be for the client. The server sends back to the client an acknowledgment (SYN-ACK) and confirms its starting sequence number. The client acknowledges (ACK) receipt of the server's transmission and begins the transfer of data.

With SYN flooding a hacker creates many half-open connections by initiating the connections to a server with the SYN number bit. However, the return address that is associated with the SYN would not be a valid address. The server would send a SYN-ACK back to an invalid address that would not exist or respond. Using available programs, the hacker would transmit many SYN packets with false return addresses to the server. The server would respond to each SYN with an acknowledgment and then sit there with the connection half-open waiting for the final acknowledgment to come back. Figure 2.7 illustrates how SYN flooding works.


Figure 2.7: SYN flooding exchange.
The result from this type of attack can be that the system under attack may not be able to accept legitimate incoming network connections so that users cannot log onto the system. Each operating system has a limit on the number of connections it can accept. In addition, the SYN flood may exhaust system memory, resulting in a system crash. The net result is that the system is unavailable or nonfunctional.

One countermeasure for this form of attack is to set the SYN relevant timers low so that the system closes half-open connections after a relatively short period of time. With the timers set low, the server will close the connections even while the SYN flood attack opens more.

SPAM
SPAM is unwanted e-mail. Anyone who has an e-mail account has received SPAM. Usually it takes the form of a marketing solicitation from some company trying to sell something we don't want or need. To most of us it is just an annoyance, but to a server it can also be used as a denial-of-service attack. By inundating a targeted system with thousands of e-mail messages, SPAM can eat available network bandwidth, overload CPUs, cause log files to grow very large, and consume all available disk space on a system. Ultimately, it can cause a system to crash.

SPAM can be used as a means to launch an indirect attack on a third party. SPAM messages can contain a falsified return address, which may be the legitimate address of some innocent unsuspecting person. As a result, an innocent person, whose address was used as the return address, may be spammed by all the individuals targeted in the original SPAM.

E-mail filtering can prevent much unwanted e-mail from getting through. Unfortunately, it frequently filters out legitimate e-mail as well.

Smurf Attack
The smurf attack is named after the source code employed to launch the attack (smurf.c). The smurf attack employs forged ICMP echo request packets and the direction of those packets to IP network broadcast addresses. The attack issues the ICMP ECHO_REQUEST to the broadcast address of another network. The attack spoofs as the source address the IP address of the system it wishes to target. Figure 2.8 illustrates how a smurf attack works.


Figure 2.8: Smurf attack.
When the systems on the network to whose broadcast address the ECHO_REQUEST is sent receive the packet with the falsified source address (i.e., the return address), they respond, flooding the targeted victim with the echo replies. This flood can overwhelm the targeted victim's network. Both the intermediate and victim's networks will see degraded performance. The attack can eventually result in the inoperability of both networks.

There are steps that the intermediate network can take to prevent from being used in this way. The steps include configuring network devices not to respond to ICMP ECHO_REQUESTs and disabling IP directed broadcasts from passing the network routers. There are really no steps that the targeted victim can take to prevent this kind of attack. The only defense is contacting the intermediate network to stop the ECHO_REQUESTs from being relayed, once an organization determines that it is the victim of an attack.

Denial-of-service attacks are the most difficult to defend against, and, of the possible attacks, they require the least amount of expertise to launch. In general, organization should monitor for anomalous traffic patterns, such as SYN-ACK but no return ACKs. Since most routers filter incoming and outgoing packets, router-based filtering is the best defense against denial-of-service attacks. Organizations should use packet filters that filter based on destination and sender address. In addition, they should always use SPAM/sendmail filters.

Keep in mind there is a tradeoff with packet and mail filtering. The filtering that is performed to detect denial-of-service attacks will slow network performance, which may frustrate an organization's end users and slow its applications. In addition, mail filtering will bounce some e-mails that really should be allowed through, which may also aggravate end users.
==================

[7604]

Thực ra DoS không chỉ có flooding mục tiêu, mà còn có thể được thực hiện nhờ vào các lỗi DoS trong các phần mềm chạy trên mục tiêu. Lấy ví dụ, nếu Web server trên đó có lỗi DoS chưa patch thì có thể tấn công vào đó để DoS web server. Nói DoS không phải lúc nào cũng flooding đường truyền của người ta là như vậy

7604 có vẻ được đào tạo bài bản nhỉ. Nhưng spam mà lại là một phương thức để DoS là thế nào???

Tôi không hiểu tại sao lại có lỗi DoS trong phần mềm. Như bạn đọc ở bên trên Dos là một khái niệm về một thực trạng chứ không hề là một lỗi nào cả. Lỗi phần mềm có thể được khai thác để tạo ra cuộc tấn công nhưng gần như bất cứ một phần mềm nào cũng đều có lỗi, chỉ là sớm hay muộn và có bị tập trung để khai thác hoặc vô tình xuất hiện. Debug program luôn chiếm một phần quan trọng trong việc phát triển phần mềm. Tuy nhiên ở đây ta không nói về DOS hay phần mềm mà nói về khái niệm tổng quát hết. Nếu một máy hoặc một hệ thống hoạt động riêng rẻ thì việc tấn công mà không chạm vào hệ thống là gần như không thể. Chính vì vậy một trong những phương pháp an toàn và bảo thủ nhất để bảo vệ mạng là che dấu không cho người khác biết đến rằng mạng của mình tồn tại họăc giảm số người biết đến độ ít nhất có thể. Ngày nay phương pháp trên gần như là không thể chấp nhận nên đường truyền trở thành một phần quan trọng trong việc hoạt động của cả hệ thống mạng. Nếu như đường truyền bị đánh gục trước cổng, ngay cổng hay bên trong cổng đều dẫn đến sự tê liệt cục bộ hay hoàn tòan.

Như bạn biết về SYN Flood khai thác 3-way-handshake để tấn công như vậy 3-way-handshake có phải là lỗi của phần mềm hay lỗi khi thiết kế TCP/IP không? Đây cũng chính là câu hỏi mà tôi đã từng đưa ra và thực tế đó không phải là lỗi của thiết kế hay phần mềm gì cả mà chỉ là sự khai thác mà thôi. Như ví dụ của bạn về Web server bị tấn công, thực tế server đó cũng không có lỗi "DoS" nào cả mà chỉ đến lúc bắt đầu bị khai thác để tấn công một điểm yếu. Công việc của security và hacker cũng như trò chơi cút bắt nhằm xem ai khám phá ra được những "lỗ đen" trước. Có nhiều cách khác nhau để ngăn cản DoS tùy theo từng trường hợp và cách tiếp cận nhưng patch chính là cái căn bản nhất để sửa chửa vì nó được tạo ra bởi các nhà cung cấp phần mềm vì họ là người viết ra họ phải hiểu rõ và có nhiệm vụ làm điều đó.

Nếu nói về Spam thì có lẽ cách đây không lâu, bản thân tôi trong 3 ngày liên tục nhận trên 400 mails khác nhau từ VN vì tôi thường xuyên vào các hệ thống tại VN. Lúc đó tại North America không biết bao nhiêu hệ thống gần như bị tê liệt vì Spam. Theo truyền thống thì Mail flood sẽ làm tê liệt mail server nhưng cũng không nên rằng tất cả mail đến mạng đều phải thông qua đường truyền. Và khi đường truyền bị tràn ngập vì mail thì nó sẽ không còn khả năng phục vụ khác hàng cũng như mọi hoạt động trên mạng cục bộ. Mạng không bị chiếm dụng hay tàn phá nhưng tê liệt hoàn toàn thích hợp với khái niệm DoS. Các phương pháp cục bộ có thể đưa ra để tạm thời khắc phục nhưng ảnh hưởng không ít đến hoạt động bên ngoài nên chỉ đến khi sử dụng patch để khống chế thì vẫn không hoạt động lại bình thường dù rằng bản thân server trước đó chẳng hề có lỗi gì.

Các tài liệu khác nhau có thể được hiểu theo nhiều cách khác nhau nhưng bản chất sau cùng vẫn không thay đổi.
================

[SUPERKID1412]

Sao đến đây là kết thúc rồi vậy hả các cao thủ tiếp tục đi chứ KID thôi theo trường phái Security nên không biết gì về cái này nay đọc thấy hay qúa sao các cao thủ lại dừng lại thế hả .... Continue ............

[michael_huan]

Flooding attack chỉ là một dạng đưa đến kết quả trên nhưng cũng chẳng có nghĩa rộng hay hẹp gì ở đây. Nó cũng không phụ thuộc vào mục tiêu cần tấn công vì bất cứ tấn công vào mạng, hệ thống hay đơn vị thì mục tiêu cũng không thay đổi. Nó bao gồm nhiều cách tấn công khác nhau nhưng mọi người thường gặp vẫn là các dạng flooding, smurf, spam. Nếu như tài liệu của Security+ chia smurf và spam ở những topic riêng thì tài liệu của network+ lại tập trung chúng lại vì theo mục tiêu....tùy theo tài liệu bạn đọc và chỗ đứng của tác giả cũng như người đọc mà định nghĩa có thay đổi khác nhau. Trên thực tế kỷ thuật cũng như toán học tuy 1+1=2 nhưng không có nghĩa chỉ có 1+1 mới bằng 2 mà có hàng ngàn cách để tạo ra 2 như 3-1 chẳng hạn. Có nhiều cách tạo ra số 2 nên cũng sẽ có nhiều định nghĩa khác nhau về nó nhưng cho đến cùng thì cũng chỉ đại diện cho một con số dùng để tính toán mà thôi. Chính vì vậy trong vấn đề an toàn mạng luôn xảy ra những cách tấn công khác nhau và luôn mới. Tuy nhiên để đối phó với sự thay đổi thường xuyên và mau chóng thì vẫn phải dựa trên những căn bản cố hữu để tạo ra những mô hình động. Vơi một hacker thì làm sao để tấn công là quan trọng nhưng với người quản trị thì cuộc tấn công vào mục đích gì lại là yếu tố đầu tiên cần tìm hiểu. Không ai có thể nói được tấn công được đề ra từ mục đích trước hay từ phương pháp trước vì có người sẽ từ mục đích mới đề ra phương pháp tấn công nhưng cũng có người chờ thời cơ có phương pháp rồi mới đi tấn công. Hễ phương pháp nào đạt được mục đích thì phương pháp đó thành công vì vậy định nghĩa kỷ thuật thì gói gọn nhưng để hiểu hết thì hầu như không có ai mà chỉ có người hiểu được những gì mình hiểu về nó.

good good

Các tài liệu khác nhau có thể được hiểu theo nhiều cách khác nhau nhưng bản chất sau cùng vẫn không thay đổi.

good good... Cho dù anh xào,anh nấu thế nào thì cơm vẫn là cơm,,..canh vẫn là canh

[yuna_admirer]

Chà lâu quá không ghé thấy sôi động hẳn.

Bác 7604 thầy quen, Internet Edge Router hủh , em là GSR 12816 nè .

Khái niệm DoS rất basis - denial of services. Nhưng mục đích của những người thực hiện việc DoS khác nhau !!!!

[QuanNguyen]

Thân chào Q, có phải là Như Quỳnh của peri... đó không ?
Rất hân hạnh được làm quen với Q. Thân !

[Wanna_be_hacker]

Bản thân cái tên DoS đã nói lên quá rõ ý nghĩa của nó. Ðó là tất cả các phương pháp tấn công nhằm làm cho server victim phải "từ chối phục vụ" các dịch vụ của mình. Có rất nhiều phương pháp tấn công DoS như mọi người đã giới thiệu và thảo luận, nhưng mục đích tối hậu của DoS vẫn là "làm treo" hệ thống victim. Thường thì đây là "đòn thù" cuối cùng khi mà hacker không thể đột nhập vào hệ thống được, nhưng đôi khi cũng là do hacker cố tình làm hệ thống phải reset vì một mục đích riêng nào đó (để kích hoạt một đoạn code nào đó chẳng hạn)

[yuna_admirer]

Chẳng hạn:


Inside Network
|
|
Firewall----------Outside router
|
|
DMZ-----Sensor
|
Public Server.

Trong mô hình mạng như thế (typical) thì DoS các Sensor để xóa dấu vết các fraud transaction của mình vào public server chẳng hạn.

[nervetnova]

Neu gap he thong co router Cisco thi minh khong the hack vo duoc hay sao ma phai dung den ddos nhu vay thi` a'c qua' chu'ng ta la` white hat thi` ne^n nhe. nha`ng thoi. Toi co' mot nguoi ba.n no'i router Cisco co' ca'ch hack cu~ng don gian la('m ma` . load file (*.config) cua router do' len thi` no se~ xuat hien het cac thong so cua router do' ra co`n neu no bi. ma~ ho'a thi` co thieu gi` tool decode lai ma~ MD5. khong biet toi hieu nhu vay co' du'ng khong nua mong ba'c chi? du`m

[NumPad0]

Nghe họ nói chuyện mà mìn ghen quá héng. Thèm được học quá, mỗi tội không tiền. Có ai có tiền đầu tư tui học NETAdmin đi ! Hiz ..