Page 196

DoS. Vấn đề ở chỗ hầu hết các hệ thống phân bổ một số lượng xác định các nguồn lực khi lập nên một kết nối tiềm năng hay một kết nối chưa được thiết lập đầy đủ. Trong khi hầu hết các hệ thống có thể duy trì được hàng trăm các kết nối đồng thời tới một cổng cụ thể (ví dụ như 80) thì có thể chỉ mất khoảng một tá các yêu cầu kết nối tiềm năng để làm yếu đi các nguồn lực được phân bổ để lập nên kết nối đó. Điều này chính xác là cơ chế mà kẻ tấn công SYN sẽ dùng đến để vô hiệu hóa một hệ thống. Khi một vụ tấn công lũ SYN được khởi đầu thì kẻ tấn công sẽ gửi đi một gói tin SYN từ hệ thống A đến hệ thống B. Tuy nhiên kẻ tấn công sẽ giả mạo địa chỉ nguồn của một hệ thống không tồn tại. Hệ thống B lúc này sẽ cố gửi một gói tin SYN/ACK tới địa chỉ bị giả mạo. NẾu hệ thống bị giả mạo có tồn tại thì thông thường nó sẽ phản hồi lại với một gói tin RST tới hệ thống B vì nó đã không khởi đầu quá trình kết nối. Tuy nhiên phải nhớ là kẻ tấn công chọn một hệ thống mà không thể tiếp cận tới được. Do vậy hệ thống B sẽ gửi một gói tin SYN/ACK và không bao giờ nhận một gói tin RST trở lại từ hệ thống A. Kết nối tiềm năng này hiện đang ở trạng thái SYN_RECV và được xếp thành một dãy chờ kết nối. Hệ thống này hiện có nhiệm vụ lập một kết nối và kết nối tiềm năng này sẽ chỉ được xếp bằng từ dãy chờ sau khi bộ phận định giờ thiết lập kết nối hết hạn. Bộ phận định giờ kết nối thay đổi theo hệ thống nhưng có thể chỉ mất 75 giây hoặc tới 23 phút đối với một số thực thi IP bị phá vỡ. Do dãy chờ kết nối thông thường rất nhỏ nên kẻ tấn công có thể chỉ phải gửi một vài gói tin SYN cứ 10 giây một để vô hiệu hóa hoàn toàn một cổng cụ thể. Hệ thống này bị tấn công sẽ không bao giờ có thể xóa được dãy chờ ùn đống trước khi nhận những yêu cầu SYN mới. Bạn có thể đã ngờ ngờ ra nguyên nhân tại sao vụ tấn công này lại có sức tàn phá lớn như vậy. Trước hết nó đòi hỏi hầu như là rất ít dải thông để khởi đầu một trận lũ SYN thành công. Kẻ tấn công có thể lấy của một web server có sức mạnh công nghiệp không nhiều hơn một liên kết modem 14.4-Kbps. Thứ hai, đó là một vụ tấn công sau lưng bởi kẻ tấn công giả mạo địa chỉ nguồn của gói tin SYN do vậy mà làm cho việc xác định được kẻ xâm nhập là vô cùng khó. Mỉa mai thay vụ tấn công này lại đã được nói đến nhiều trong nhiều năm bởi nhiều chuyên gia an ninh và là phương tiện trong tiến hành khai thác mối quan hệ được ủy thác. (Xem http:// www.phrack. org/show.php?p=48&a=14.) Những biện pháp đối phó với Lũ SYN Để xác định được liêu bạn có bị tấn công hay không bạn có thể phát lệnh netstat nếu nó được hỗ trợ bởi hệ điều hành của bạn. Nếu bạn thấy nhiều kết nối trong một trạng thái SYN_RRECVthì nó có thể cho biết là một vụ tấn công SYN đang được tiến hành.

Bảo mật mạng và bí quyết giải pháp[bookbooming.com]  
Bảo mật mạng và bí quyết giải pháp[bookbooming.com]  
Advertisement