Bảo mật mạng - Bí quyết và giải pháp - Chương 12: Phủ nhận tấn công dịch vụ (DOS)

 đó là ngăn không cho các hệ thống của bạn bị sử 
dụng như là những zombie. Điều này đồng nghĩa với việc thực thi tất cả các 
bước ở chương UNIX (Chương 8) đối với các dịch vụ hạn chế áp dụng hệ điều 
hành và áp dụng những biện pháp vá tạm và lập các phép tệp tin/thư mục 
(trong số nhiều đề xuất khác). 
 Còn một biện pháp phòng tránh khác cho Stacheldraht tương tự như 
TFN. Bởi vì truyền thông TFN diễn ra qua ICMP nên bạn có thể không cho 
phép mọi đường giao thông ICMP bên trong kết nối tới mạng của bạn. 
 Để bảo vệ các hệ thống của mình không bị tấn công bởi các zombie 
Stacheldraht bạn có thể nhờ đến lọc hạng tại các cầu dẫn biên của bạn (như lọc 
hạng ICMP nhằm hạn chế những cuộc tấn công ICMP và Smurf), giống như 
sẵn có trong phạm vi hệ điều hành Cisco IOS 12.0 và định cấu hình Kiểm soát 
Truy nhập trên cơ sở Ngữ cảnh (CBAC) ở Cisco IOS 12.0 nhằm hạn chế rủi ro 
về những cuộc tấn công SYN. 
TFN2K 
Tính phổ biến: 8 
Tính đơn giản: 5 
Tác động: 9 
Đánh giá độ rủi ro: 7 
 TFN2K thay thế cho TFN 2000 và là kế vị cho TFN gốc của Mixter. 
Công cụ DDoS mới nhất này khác hẳn với bản gốc của nó, cho phép những 
liên lạc được ngẫu nhiên hóa trên các cổng (ở đây xóa bỏ việc chặn cổng tại 
các cầu dẫn biên của bạn như là một biện pháp phòng tránh). Tương tự như 
bản trước nó TFN2K có thể tấn công với những cuộc tấn công SYN, UDP, 
ICMP và Smurf. Nó cũng có thể ngẫu nhiên chuyển đảo giữa các bản chất 
khác nhau của cuộc tấn công. Tuy nhiên không như “mã hóa” Stacheldraht, 
TFN2K sử dụng một dạng mã hóa yếu hơn có tên là lập mã Base 64. 
 Một bản phân tích kỹ lưỡng về TFN2K đã được hoàn chỉnh bởi Jason 
Barlow và Woody Thrower của Đội An ninh AXENT và có thể tìm ở 
Biện pháp đối phó TFN2K 
Dò Một số cơ chế dò tồn tại cho TFN2K bao gồm cả Zombie Zapper của 
đội Razor của Bindview ( và find_ddos (http:// 
www.nipc.gov) của Trung tâm Bảo vệ Cơ sở hạ tầng Quốc gia (NIPC). 
Phòng tránh Như với các công cụ DDoS trước thì biện pháp phòng vệ 
tốt nhất cho TFN2K là tránh không cho các hệ thống của bạn bị sử dụng làm 
những zombie. Điều này đồng nghĩa với việc thực thi tất cả các bước ở 
chương UNIX (Chương 8) đối với các dịch vụ hạn chế áp dụng hệ điều hành 
và những biện pháp vá tạm ứng dụng và lập các phép tệp tin/thư mục (trong số 
nhiều đề xuất khác). 
 Để bảo vệ các hệ thống khỏi các cuộc tấn công do các zombie TFN2K 
gây ra bạn có thể nhờ đến lọc hạng tại các cầu dẫn biên của bạn (như lọc hạng 
ICMP để hạn chế các cuộc tấn công ICMP và Smurf, cũng như ở trong phạm 
vi hệ điều hành Cisco IOS 12.0 và định cấu hình Kiểm soát Truy nhập trên cơ 
sở Ngữ cảnh (CBAV) trong Cisco IOS 12.0 nhằm hạn chế rủi ro về các cuộc 
tấn công SYN. 
WinTrinoo 
Tính phổ biến: 5 
Tính đơn giản: 5 
Tác động: 9 
Đánh giá độ rủi ro: 6 
 WinTrinoo được công bố lần đầu tiên trước công chúng bởi đội 
Bindview Razor. WinTrinoo là phiên bản Windows của Trinoo và có hầu hết 
những khả năng mà phiên bản trước của nó có. Công cụ này là một 
service.exe được đặt tên (nếu nó chưa được đặt tên) và kích cỡ của nó là 
23.145 byte. Một khi phần thi hành chạy thì nó sẽ cộng thêm một giá trị vào 
phím Run trong Windows Registry để cho phép nó khởi động lại mỗi khi khởi 
động lại máy tính. 
LƯU Ý Hãy cẩn thận kẻo nhầm tệp tin WinTrinoo “service.exe” với tệp 
tin đa “service.exe.” 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\R
un System Services: REG_SZ: service.exe 
 Dĩ nhiên là giá trị riêng biệt này sẽ chỉ chạy nếu như tệp tin 
“service.exe” ở đâu đó trong đường dẫn của mục tiêu. WinTrinoo nghe trên cả 
TCP và UDP cổng 34555. 
Biện pháp đối phó WinTrinoo 
Để dò được WinTrinoo bạn có thể dò tìm trên mạng của mình TCP hay UDP 
cổng 34555 mở hoặc tìm kiếm một tệp trên các hệ thống của mình với tên 
“service.exe” (mặc dù nó có thể được đặt lại tên) có kích cỡ tệp tin là 23.145 
byte. Ngoài kỹ thuật đơn giản này bạn có thể nhờ đến một chương trình diệt 
virút như Norton Antivirus của Symantec mà sẽ tự động kiểm tệp tin trước khi 
chạy. 
Tấn công DoS Cục bộ 
Mặc dù những cuộc tấn công DoS từ xa đã xuất hiện trên các tít báo nhưng 
tấn công DoS cục bộ lại cực kỳ nguy hiểm. Nhiều hệ thống đa người sử dụng 
trở thành con mồi cho một kẻ sử dụng được uỷ quyền tiến hành một vụ tấn 
công DoS không được uỷ quyền. Hầu hết các cuộc tấn công DoS cục bộ có 
thể tiêu thụ các nguồn lực hệ thống hay cũng có thể khai thác những nhược 
điểm trong các chương trình hiện có để phủ nhận truy nhập bởi những người 
sử dụng hợp pháp. Trong khi hàng trăm vụ tấn công DoS cục bộ tồn tại cho 
các hệ thống UNIX và NT thì chúng ta sẽ nói đến một vụ tấn công nhược 
điểm lập trình và đói nguồn lực đối với Windows NT và UNIX tương ứng. 
Server Cuối Windows NT 4.0 và proquota.exe 
Tính phổ biến: 2 
Tính đơn giản: 4 
Tác động: 7 
Đánh giá độ rủi ro: 4 
 Một ví dụ cổ điển về tấn công đói nguồn lực đó là sử dụng khoảng trống 
trong đĩa bằng cách vượt quá chỉ số được đặt ra. Trong khi chức năng về chỉ 
số trong đĩa đã được sử dụng một lúc nào đó trong thế giới UNIX thì nó tương 
đối là mới đối với Windows NT. Trên Ấn bản Server Cuối Windows NT-SP4 
một người sử dụng bình thường có thể khai thác chức năng khoảng trống đĩa 
Windows NT để làm đầy %systemdrive%. Điều này sẽ phủ nhận truy nhập 
vào hệ thống cho tất cả những người sử dụng mà không có bản sao về tiểu sử 
sơ lược của mình được lưu trữ cục bộ. Trong cuộc tấn công DoS này người sử 
dụng nên không có khả năng đăng xuất hệ thống nếu họ đã vượt quá chỉ số. 
Tuy nhiên người sử dụng có thể giết chết quy trình proquota.exe để phá hỏng 
hạn định này và sau đó đăng xuất. Việc giết chết proquota.exe là có thể vì quy 
trình này được sở hữu bởi người sử dụng chứ không phải bởi tài khoản hệ 
thống. 
Biện pháp đối phó Server Cuối Windows NT 4.0 và proquota.exe 
Những biện pháp thi hành an ninh tốt sẽ áp dụng việc đặt các tệp tin hệ thống 
trên một phần dành riêng khác nơi mà những dữ liệu người sử dụng được lưu 
trữ. Chân lý này vẫn đúng cho cả ví dụ này nữa. %systemdrive% nên được đặt 
trên một phần dành riêng khác chứ không phải là nơi các tệp tin mà người sử 
dụng có thể truy nhập được lưu trữ. Ngoài ra hãy đặt những tiểu sử sơ lược 
trên một phần dành riêng không khởi động và chỉ sử dụng chúng khi thật cần 
thiết. 
Khủng hoảng Kernel 
Tính phổ biến: 2 
Tính đơn giản: 1 
Tác động: 7 
Đánh giá độ rủi ro: 3 
 Trong phiên bản kernel Linux 2.2.0 đã có một điều kiện DoS tiềm năng 
if ldd, một chương trình được sử dụng để in ra những phần lệ thuộc thư viện 
chung, đã được sử dụng để in ra những tệp tin chính nhất định. Nhược điểm 
này liên quan đến yêu cầu về chức năng munmap ( ) được sử dụng trong ldd 
định ra hay không định ra những tệp tin hay dụng cụ vào bộ nhớ. Ở những 
hoàn cảnh cụ thể thì munmap ( ) sẽ viết chèn lên những khu vực quan trọng 
của bộ nhớ kernel và gây cho hệ thống khủng hoảng và phải khởi động lại. 
Trong khi nhược điểm này không có gì là khác thường thì nó đã minh họa cho 
khái niệm cơ bản đằng sau một vụ tấn công DoS kernel. Ở hầu hết trường hợp 
một người sử dụng không được đặc quyền có thể khai thác một nhược điểm về 
lập trình nhằm làm hỏng một khu vực bộ nhớ quan trọng được sử dụng bởi 
kernel. Kết quả cuối cùng hầu như luôn là một cơn khủng hoảng kernel. 
Biện pháp đối phó Khủng hoảng Kernel 
Một biện pháp vá tạm kernel được đưa ra để khắc phục vấn đề này do đó mà 
được hợp thành phiên bản kernel 2.2.1. Hầu như bạn chẳng thể chủ động làm 
gì được để đảm bảo rằng hệ điều hành và những thành phần có liên quan như 
kernel là thoát được những nhược điểm lập trình nếu như mã nguồn là riêng 
tư. Tuy nhiên đối với nhiều phiên bản UNIX tự do thì việc kiểm định mã 
nguồn để xem có những nhược điểm về lập trình và những nhược điểm về an 
ninh có liên quan hay không là khả năng có thể xảy ra. 
TÓM TẮT 
Như chúng ta đã thấy những kẻ sử dụng nham hiểm có thể tiến hành nhiều 
loại hình tấn công DoS nhằm phá hoại dụng cụ. Những cuộc tấn công tiêu thụ 
dải thông đang là cái mốt mới nhất với khả năng mở rộng các lượng giao 
thông nghèo nàn tới các cấp độ trừng phạt. Những cuộc tấn công đói nguồn 
lực đã xảy ra trong nhiều năm và kẻ tấn công vẫn tiếp tục sử dụng chúng rất 
thành công. Những nhược điểm về lập trình là thứ mà kẻ tấn công rất ưa 
chuộng làm tăng tính phức tạp của những thực thi ngăn xếp IP và những 
chương trình liên quan. Cuối cùng thì việc lập tuyến và những cuộc tấn công 
DNS đều vô cùng hiệu quả trong việc khai thác những nhược điểm cố hữu ở 
những dịch vụ quan trọng mà là nền móng cho hầu hết mạng Internet. Trên 
thực tế thì một số chuyên gia an ninh lập lý thuyết rằng có thể tiến hành một 
cuộc tấn công DoS vào chính mạng Internet bằng cách vận dụng những thông 
tin lập tuyến qua Giao thức Cổng Biên (BGP) mà được sử dụng rộng rãi bởi 
hầu hết các nhà cung cấp Internet chính. 
 Những cuộc tấn công phủ nhận dịch vụ có phân phối đã trở nên ngày 
càng phổ biến nhờ khả năng truy nhập dễ dàng tới những khai thác và khả 
năng trí tuệ cần thiết tương đối kém để có thể tiến hành chúng. Những cuộc 
tấn công này nằm trong số những vụ nham hiểm nhất vì chúng có thể nhanh 
chóng tiêu thụ ngay cả những host lớn nhất trên mạng Internet khiến cho 
chúng trở nên vô dụng. 
 Vì thương mại điện tử tiếp tục đóng một vai trò chính trong nền kinh tế 
điện tử nên những vụ tấn công DoS sẽ có tác động thậm chí là lớn hơn lên xã 
hội điện tử của chúng ta. Nhiều tổ chức hiện đã bắt đầu nhận ra phần chính 
trong những khoản thu nhập từ các nguồn trên mạng. Do vậy mà một vụ tấn 
công DoS kéo dài có thể làm cho một số tổ chức có khả năng bị phá sản. 
Thậm chí nhiều cuộc tấn công này có thể áp dụng những khả năng đột nhập 
tinh vi hơn mà có thể giấu đi những cuộc tấn công như vậy. Nhiều chính phủ 
đã hay đang trong quá trình tăng cường những khả năng đấu tranh điện tử mà 
sử dụng các cuộc tấn công DoS chứ không phải những quả tên lửa thông 
thường. Thời đại khủng bố mạng thực sự đã tới.