Page 195

theo dấu vết cuộc tấn công tới kẻ xâm nhập nhưng điều đó vẫn có thể. Bạn hoặc ISP của bạn sẽ phải làm việc chặt chẽ với site mở rộng những gói tin có nguồn gốc hợp pháp từ site mở rộng. Site mở rộng đang nhận những gói tin bị giả mạo mà có vẻ như xuất phát từ mạng của bạn. Bằng cách xem xét một cách có hệ thống từng cầu dẫn bắt đầu bằng site mở rộng và dòng ngược hoạt động, thì việc lần theo dấu vết cuộc tấn công trở lại mạng tấn công là điều có thể. Điều này có thể được thực hiện thành công bằng cách xác định giao diện mà gói tin bị giả mạo được nhận tại và theo dấu vết ngược trở lại. Để giúp tự động hóa quy trình này đội ngũ an ninh ở MCI đã phát triển một tập lệnh Perl có tên là dosattacker có thể đăng nhập vào một cầu dẫn Cisco và bắt đầu lần theo dấu vết của một vụ tấn công lần trở lại nguồn của nó. Thật không may là chương trình này lại có thể có giá trị rất hạn chế nếu bạn không sở hữu hay không có quyền truy nhập vào tất cả những cầu dẫn có liên quan. Chúng tôi cũng đề xuất việc xem lại RFC 2267, "Lọc Quyền Vào Mạng: Đánh bại Các cuộc tấn công Phủ nhận Dịch vụ có Sử dụng Phương thức giả mạo Địa chỉ Nguồn IP," viết bởi Paul Ferguson của Cisco Systems và Daniel Senie của Blazenet, Inc. Lũ SYN Tính phổ biến: Tính đơn giản: Tác động: 9 Đánh giá độ rủi ro:

7 8 8

Cho đến khi tấn công Smurf trở nên phổ biến thì một vụ tấn công lũ SYN trước đó đã là kiểu tấn công có sức tàn phá nặng nề nhất lúc đó. Tấn công PANIX được đề cập đến ở đầu chương này là ví dụ chính về những khả năng tàn phá của một cơn lũ SYN hiệu quả. Hãy cùng giải thích chính xác xem những gì xảy ra khi một đợt tấn công lũ SYN được tiến hành. Như đã bàn từ trước, khi một kết nối TCP được khởi đầu thì đó luôn là một quy trình ba chiều, được minh họa ở Hình 12-2. Ở những hoàn cảnh thông thường thì một gói tin SYN được gửi từ một cổng cụ thể trên hệ thống A tới một cổng cụ thể đang ở trong trạng thái NGHE (LISTENING) trên hệ thống B. Ở điểm này thì kết nối tiềm năng này trên hệ thống B là một trạng thái SYN_RECV. Ở giai đoạn này thì hệ thống B sẽ cố gửi lại một gói tin SYN/ACK tới hệ thống A. Nếu mọi việc suôn sẻ thì hệ thống A sẽ gửi lại một gói tin ACK và kết nối sẽ chuyển sang một trạng thái ĐƯỢC THIẾT LẬP (ESTABLISHED). Trong khi cơ chế này hầu như luôn hoạt động tốt thì kẻ tấn công có thể lợi dụng một số yếu điểm cố hữu trong hệ thống này để tạo ra một điều kiện

Bảo mật mạng và bí quyết giải pháp[bookbooming.com]  
Bảo mật mạng và bí quyết giải pháp[bookbooming.com]  
Advertisement