Tờ
Washington Post và hãng tin Reuters ngày 3/8/2011 đưa tin Hãng bảo mật McAfee
đã phát hiện một âm mưu tấn công mạng lớn nhất từ trước đến nay nhằm ăn cắp dữ
liệu của hơn 70 tổ chức. Danh sách các nạn nhân bao gồm cả Liên Hợp quốc, các
tổ chức phi lợi nhuận, các tập đoàn, các chính phủ trong đó có Việt Nam.
Trong nội
dung bài viết dưới đây, chúng tôi xin giới thiệu một số phương thức thâm nhập
trái phép mạng máy tính nhằm giúp độc giả hiểu sâu hơn về phương pháp tấn công
này và để có giải pháp phòng chống tốt hơn.
Tấn công chủ động: Bao gồm các phương pháp tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), Tấn công tràn bộ đệm, tấn công qua ký tự điều khiển đồng bộ SYN, giả mạo, người trung gian (MITM), giả mạo giao thức điều khiển truyền tin qua Internet, tự động kết nối đường truyền. Hình thức này có nghĩa là lục lại thông tin từ các vùng rác và đệm thông tin, để có được những thông tin quan trọng và tấn công nhờ các công cụ của các mạng xã hội.
Tấn công bị động: Bao gồm quét, bắt trộm và nghe trộm các gói tin.
Tấn công mật khẩu: Bao gồm việc dự đoán, so sánh và tra mật khẩu thông qua một bộ từ điển mật khẩu.
Tấn công mã nguồn và mã mật: Bao gồm các phương pháp cửa sau (BackDoor), Vi rút, Trojans, Worms, các khóa mật mã yếu và thuật toán.
Tấn công chủ động
Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống. Đối với kiểu tấn công chủ động chúng ta hoàn nhận biết được qua kết quả tác động của nó. Một vài phương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo IP.
Sau đây chúng ta xem xét bản chất Tấn công từ chối dịch vụ DoS/ DDoS, hiện nay người thâm nhập trái phép rất hay sử dụng:
Để có thể hiểu về tấn công từ chối dịch vụ phân tán DDoS đầu tiên phải có những hiểu biết về cơ bản về tấn công từ chối dịch vụ DoS. Những cải tiến của DDoS từ DoS là những điểm quan trọng làm nên sự khác biệt đối với tấn công DDOS. Như tên gọi của nó tấn công DoS nhằm mục đích làm trì trệ hoặc thậm chí tê liệt một dịch vụ của hệ thống hoặc mạng máy tính với một cách hoặc nhiều cách khác nhau. Mục đích của tấn công Dó không phải là thâm nhập hoặc lấy cắp thông từ hệ thống mà làm cho tê liệt dịch vụ trong hệ thống hoặc trong mạng máy tính. Thực chất của tấn công DoS là Hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên máy chủ, mà tài nguyên đó có thể là băng thông, bộ nhớ, bộ vi xử lý, đĩa cứng... làm cho máy chủ không thể nào đáp ứng các yêu cầu khác từ các khách hàng là những người dùng hợp pháp. Hệ thống có thể nhanh chóng bị ngừng hoạt động, treo hoặc khởi động lại. Một số hình thức tấn công DoS hiện nay cũng đã gây nhiều khó khăn trong việc phát hiện và xử lí nó. Có thể là trong vòng vài tuần, hoặc vài tháng và rồi là những cuộc tấn công mới với kịch bản như trước sẽ xuất hiện ở nhiều nơi .Chính vì thế, khi xây dựng hệ thống dữ liệu điện tử đặc biệt là các cổng thông tin điện tử thì yêu cầu đầu tiên đối với trang thông tin phải bắt buộc có đề xuất giải pháp chống tấn công DoS , điều này không chỉ là an toàn cho cá nhân mà là sự an toàn thông tin cho cả một cộng đồng mạng.
Trong hầu hết các cuộc tấn công DoS, hacker tìm cách tận dụng sự thiếu trong tích hợp cấu trúc bảo mậtcủa giao thức Internet phiên bản 4 (IPv4). IPv6 6 đã khắc phục được rất nhiều lỗ hổng về bảo mật, như đã chứng thực được nguồn gốc của gói tin và tính toàn vẹn của nó bằng cách sử dụng một header chứng thực. Mặc dù vậy thì nó vẫn chưa thể giải quyết được vấn đề hiện nay do IPv6 chưa được sử dụng rộng rãi.
Tấn công DoS không như hình thức nguyên thủy chỉ bắt nguồn từ nhưng hệ thống từ xa, mà hiện nay cũng có thể tấn công từ các máy nội hạt. Tấn công DoS từ các máy nội hạt thường sẽ dễ dàng hơn trong việc xác định vị trí tấn công và sửa chữa bởi các thông số ở nơi xảy ra sự cố là được xác định rất chính xác và rõ ràng. Một ví dụ điển hình cho tấn công DoS từ các máy nội hạt là là dạng Bom fork, với dạng Bom này rất dễ dàng lặp lại cho quá trình đẻ trứng làm hao mòn tài nguyên hệ thống.
Mặc dù các cuộc tấn công DoS theo định nghĩa là không tạo ra một nguy cơ về bảo mật cho các dữ liệu nhạy cảm, nhưng chúng có thể hoạt động như một công cụ hiệu quả để che dấu sự xâm nhập, nhằm qua mặt các quản trị viên. Trong khi các quản trị viên cố gắng khắc phục cái mà họ cho là vấn đề chính thì việc xâm nhập có thể đang xảy ra ở một nơi khác. Trong sự hỗn loạn đó, kết quả là hệ thống bị treo và kém bảo mật, Hackers hoàn toàn có thể lẩn trốn để thực hiện mục đích riêng mà không bị phát hiện.
Các công ty phụ thuộc vào các kết nối truy cập Internet và mua bán qua mạng sẽ là những mục tiêu của tấn công DoS và DDoS. Các trang Web chính là nơi diễn ra các hoạt động thương mại điện tử, tốc độ và dữ liệu sao lưu trên nó ảnh hưởng rất nhiều đến lợi ích của khách hang và doanh nghiệp.Trong thế giới của thương mại điện tử, nếu một trang web mà không đảm bảo được tốc độ truyền tải nội dung thì chỉ cần vài cái click chuột, khách hàng sẽ tìm đến cửa hàng ảo khác ngay lập tức.Lợi dụng điều này, cách tốt nhất mà một hacker muốn gây tổn hại cho hệ thống thương mại điện tử chính là truy cập vào một đích từ nhiều nguồn khác nhau. Các cuộc tấn công DoS thường gồm 2 loại :
· Tấn công theo kiểu Tiêu thụ tài nguyên (như tạo lũ ký tự điều khiển SYN)
· Tấn công theo kiểu Gói tin không hợp lệ.
Tấn công theo kiểu tiêu thụ tài nguyên
Tài nguyên máy tính, về bản chất là băng thông mạng, tốc độ CPU, RAM, và bộ lưu trữ thứ cấp. Việc thiếu các tài nguyên này sẽ dẫn đển sự xuống cấp của chất lượng dịch vụ cung cấp đển các khách hàng. Hậu quả rõ nét nhất khi mà hàng loạt các cuộc tấn công nhằm vào tiêu thụ nguồn tài nguyên, sẽ làm giảm đáng kể các nguồn tài nguyên sẵn có. Một trong những hình thức phổ biến của cuộc tấn công DoS là tấn công trực tiếp vào băng thông mạng. Trong trường hợp cụ thể kết nối Internet và các công cụ hỗ trợ là đối tượng chính của kiểu tấn công này sẽ làm hạn chế băng thông và khả năng sử dụng thông tin trên cộng đồng mạng.
Các doanh nghiệp thường mong muốn có được băng thông lớn để phục vụ yêu cầu khách hàng nhanh chóng và hiệu quả hơn, nhưng nó sẽ sụp đổ nhanh chóng nếu cuộc tấn công tiêu thụ tài nguyên (ở đây là tiêu thụ băng thông) xảy ra. Đa số nguồn tiêu thụ là từ bên ngoài nhưng khả năng tấn công từ mạng nội bộ cũng không thể loại trừ. Hình thức chính là sẽ có một lượng lớn các gói tin được chỉ đạo hướng đến nạn nhân, kỹ thuật này được gọi là kỹ thuật tạo lũ .Một hệ thống mạng hoàn toàn có thể bị ngập trong lũ khi kẻ tấn công đã có sẵn băng thông lớn hơn so với nạn nhân và lấn át các nạn nhân chỉ thuần túy bằng quá trình lặp đi lặp lại.
Chính việc truy cập Internet băng thông rộng được sử dụng phổ biến trên toàn thế giới, cộng với sự lỏng lẻo trong cấu hình mạng đã hỗ trợ đắc lực cho hình thức tấn công này. Một khi đã đủ các mạng phục vụ cho việc tấn công, mạng của nạn nhân có thể bị ngập lụt tức thì với sự ồ ạt của các gói tin đến. Nó mang tên cuộc tấn công khuyếch đại. Các dạng tiêu thụ tài nguyên gồm việc giảm kết nối tới người dùng hợp pháp và giảm tài nguyên hệ thống sẵn có cho hoạt động hệ điều hành máy chủ. Một ví dụ kinh điển là trường hợp Virus Melisa, loại virus này nở rộ dẫn đến việc tiêu tốn một lượng lớn bang thông mạng , đây chính là kết qảu của tấn công Do Strong một số trường hợp.
Tấn công DDoS
Mặc dù một số dạng tấn công DoS có thể được khuếch đại bởi nhiều trung gian, nhưng xuất phát của DoS vẫn là bắt nguồn từ một máy tính đơn lẻ. Tuy nhiên DoS đã được phát triển xa hơn ngoài cuộc tấn công một tầng (lũ SYN) và hai tầng (Smurf). Tấn công DDoS ra đời là bước tiếp theo của DoS, khắc phục được nhiều thiếu xót mà DoS chưa đáp ứng được. Đây là phương pháp tấn công hiện đại có sự kết hợp của nhiều tầng tính toán phân tán. Khác biệt đáng chú ý trong phương pháp tấn công này là nó bao gồm hai giai đoạn khác nhau. Giai đoạn đầu tiên, thủ phạm bố trí các máy tính phân tán trên Internet và cài đặt các phần mềm chuyên dụng trên các máy chủ để hỗ trợ tấn công. Giai đoạn thứ hai, máy tính bị xâm nhập (được gọi là Zombie) sẽ cung cấp thông tin qua kẻ trung gian (được gọi là Master) để bắt đầu cuộc tấn công.
Hàng trăm, có thể hàng ngàn, các zombie có thể được chọn đồng thời tham gia vào các cuộc tấn công của Hacker. Với việc sử dụng phần mềm điều khiển, các Zombie này sẽ thực thi cuộc tấn công DDoS hướng vào mục tiêu. Hiệu quả cộng dồn của tấn công Zombie làm hủy hoại nạn nhân với sự ồ ạt của một lượng lớn tin truyền tải làm tắc nghẽn thông tin hoặc làm cạn kiệt nguồn tài nguyên.
Ngoài ra, với kiểu tấn công như vậy sẽ giấu đi thông tin của kể tấn công thực sự: chính là kẻ đưa ra các lệnh điều khiển cho các Zombie .Mô hình đa cấp của các cuộc tấn công DDoS cộng với khả năng giả mạo của các gói tin và mã hóa thông tin đã gây nhiều khó khăn cho quá trình tìm kiếm, phát hiện kẻ tấn công thực sự.
Các cấu trúc lệnh hỗ trợ một cuộc tấn công DDoS khá phức tạp (xem hình 2.1) và khó có thể đưa ra một thuật ngữ để mô tả chính xác. Dưới đây là những cái tên quy ước cho dễ hiểu hơn của cấu trúc và các thành phần tham gia trong cuộc tấn công DDoS:
Tấn công chủ động: Bao gồm các phương pháp tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), Tấn công tràn bộ đệm, tấn công qua ký tự điều khiển đồng bộ SYN, giả mạo, người trung gian (MITM), giả mạo giao thức điều khiển truyền tin qua Internet, tự động kết nối đường truyền. Hình thức này có nghĩa là lục lại thông tin từ các vùng rác và đệm thông tin, để có được những thông tin quan trọng và tấn công nhờ các công cụ của các mạng xã hội.
Tấn công bị động: Bao gồm quét, bắt trộm và nghe trộm các gói tin.
Tấn công mật khẩu: Bao gồm việc dự đoán, so sánh và tra mật khẩu thông qua một bộ từ điển mật khẩu.
Tấn công mã nguồn và mã mật: Bao gồm các phương pháp cửa sau (BackDoor), Vi rút, Trojans, Worms, các khóa mật mã yếu và thuật toán.
Tấn công chủ động
Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống. Đối với kiểu tấn công chủ động chúng ta hoàn nhận biết được qua kết quả tác động của nó. Một vài phương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo IP.
Sau đây chúng ta xem xét bản chất Tấn công từ chối dịch vụ DoS/ DDoS, hiện nay người thâm nhập trái phép rất hay sử dụng:
Để có thể hiểu về tấn công từ chối dịch vụ phân tán DDoS đầu tiên phải có những hiểu biết về cơ bản về tấn công từ chối dịch vụ DoS. Những cải tiến của DDoS từ DoS là những điểm quan trọng làm nên sự khác biệt đối với tấn công DDOS. Như tên gọi của nó tấn công DoS nhằm mục đích làm trì trệ hoặc thậm chí tê liệt một dịch vụ của hệ thống hoặc mạng máy tính với một cách hoặc nhiều cách khác nhau. Mục đích của tấn công Dó không phải là thâm nhập hoặc lấy cắp thông từ hệ thống mà làm cho tê liệt dịch vụ trong hệ thống hoặc trong mạng máy tính. Thực chất của tấn công DoS là Hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên máy chủ, mà tài nguyên đó có thể là băng thông, bộ nhớ, bộ vi xử lý, đĩa cứng... làm cho máy chủ không thể nào đáp ứng các yêu cầu khác từ các khách hàng là những người dùng hợp pháp. Hệ thống có thể nhanh chóng bị ngừng hoạt động, treo hoặc khởi động lại. Một số hình thức tấn công DoS hiện nay cũng đã gây nhiều khó khăn trong việc phát hiện và xử lí nó. Có thể là trong vòng vài tuần, hoặc vài tháng và rồi là những cuộc tấn công mới với kịch bản như trước sẽ xuất hiện ở nhiều nơi .Chính vì thế, khi xây dựng hệ thống dữ liệu điện tử đặc biệt là các cổng thông tin điện tử thì yêu cầu đầu tiên đối với trang thông tin phải bắt buộc có đề xuất giải pháp chống tấn công DoS , điều này không chỉ là an toàn cho cá nhân mà là sự an toàn thông tin cho cả một cộng đồng mạng.
Trong hầu hết các cuộc tấn công DoS, hacker tìm cách tận dụng sự thiếu trong tích hợp cấu trúc bảo mậtcủa giao thức Internet phiên bản 4 (IPv4). IPv6 6 đã khắc phục được rất nhiều lỗ hổng về bảo mật, như đã chứng thực được nguồn gốc của gói tin và tính toàn vẹn của nó bằng cách sử dụng một header chứng thực. Mặc dù vậy thì nó vẫn chưa thể giải quyết được vấn đề hiện nay do IPv6 chưa được sử dụng rộng rãi.
Tấn công DoS không như hình thức nguyên thủy chỉ bắt nguồn từ nhưng hệ thống từ xa, mà hiện nay cũng có thể tấn công từ các máy nội hạt. Tấn công DoS từ các máy nội hạt thường sẽ dễ dàng hơn trong việc xác định vị trí tấn công và sửa chữa bởi các thông số ở nơi xảy ra sự cố là được xác định rất chính xác và rõ ràng. Một ví dụ điển hình cho tấn công DoS từ các máy nội hạt là là dạng Bom fork, với dạng Bom này rất dễ dàng lặp lại cho quá trình đẻ trứng làm hao mòn tài nguyên hệ thống.
Mặc dù các cuộc tấn công DoS theo định nghĩa là không tạo ra một nguy cơ về bảo mật cho các dữ liệu nhạy cảm, nhưng chúng có thể hoạt động như một công cụ hiệu quả để che dấu sự xâm nhập, nhằm qua mặt các quản trị viên. Trong khi các quản trị viên cố gắng khắc phục cái mà họ cho là vấn đề chính thì việc xâm nhập có thể đang xảy ra ở một nơi khác. Trong sự hỗn loạn đó, kết quả là hệ thống bị treo và kém bảo mật, Hackers hoàn toàn có thể lẩn trốn để thực hiện mục đích riêng mà không bị phát hiện.
Các công ty phụ thuộc vào các kết nối truy cập Internet và mua bán qua mạng sẽ là những mục tiêu của tấn công DoS và DDoS. Các trang Web chính là nơi diễn ra các hoạt động thương mại điện tử, tốc độ và dữ liệu sao lưu trên nó ảnh hưởng rất nhiều đến lợi ích của khách hang và doanh nghiệp.Trong thế giới của thương mại điện tử, nếu một trang web mà không đảm bảo được tốc độ truyền tải nội dung thì chỉ cần vài cái click chuột, khách hàng sẽ tìm đến cửa hàng ảo khác ngay lập tức.Lợi dụng điều này, cách tốt nhất mà một hacker muốn gây tổn hại cho hệ thống thương mại điện tử chính là truy cập vào một đích từ nhiều nguồn khác nhau. Các cuộc tấn công DoS thường gồm 2 loại :
· Tấn công theo kiểu Tiêu thụ tài nguyên (như tạo lũ ký tự điều khiển SYN)
· Tấn công theo kiểu Gói tin không hợp lệ.
Tấn công theo kiểu tiêu thụ tài nguyên
Tài nguyên máy tính, về bản chất là băng thông mạng, tốc độ CPU, RAM, và bộ lưu trữ thứ cấp. Việc thiếu các tài nguyên này sẽ dẫn đển sự xuống cấp của chất lượng dịch vụ cung cấp đển các khách hàng. Hậu quả rõ nét nhất khi mà hàng loạt các cuộc tấn công nhằm vào tiêu thụ nguồn tài nguyên, sẽ làm giảm đáng kể các nguồn tài nguyên sẵn có. Một trong những hình thức phổ biến của cuộc tấn công DoS là tấn công trực tiếp vào băng thông mạng. Trong trường hợp cụ thể kết nối Internet và các công cụ hỗ trợ là đối tượng chính của kiểu tấn công này sẽ làm hạn chế băng thông và khả năng sử dụng thông tin trên cộng đồng mạng.
Các doanh nghiệp thường mong muốn có được băng thông lớn để phục vụ yêu cầu khách hàng nhanh chóng và hiệu quả hơn, nhưng nó sẽ sụp đổ nhanh chóng nếu cuộc tấn công tiêu thụ tài nguyên (ở đây là tiêu thụ băng thông) xảy ra. Đa số nguồn tiêu thụ là từ bên ngoài nhưng khả năng tấn công từ mạng nội bộ cũng không thể loại trừ. Hình thức chính là sẽ có một lượng lớn các gói tin được chỉ đạo hướng đến nạn nhân, kỹ thuật này được gọi là kỹ thuật tạo lũ .Một hệ thống mạng hoàn toàn có thể bị ngập trong lũ khi kẻ tấn công đã có sẵn băng thông lớn hơn so với nạn nhân và lấn át các nạn nhân chỉ thuần túy bằng quá trình lặp đi lặp lại.
Chính việc truy cập Internet băng thông rộng được sử dụng phổ biến trên toàn thế giới, cộng với sự lỏng lẻo trong cấu hình mạng đã hỗ trợ đắc lực cho hình thức tấn công này. Một khi đã đủ các mạng phục vụ cho việc tấn công, mạng của nạn nhân có thể bị ngập lụt tức thì với sự ồ ạt của các gói tin đến. Nó mang tên cuộc tấn công khuyếch đại. Các dạng tiêu thụ tài nguyên gồm việc giảm kết nối tới người dùng hợp pháp và giảm tài nguyên hệ thống sẵn có cho hoạt động hệ điều hành máy chủ. Một ví dụ kinh điển là trường hợp Virus Melisa, loại virus này nở rộ dẫn đến việc tiêu tốn một lượng lớn bang thông mạng , đây chính là kết qảu của tấn công Do Strong một số trường hợp.
Tấn công DDoS
Mặc dù một số dạng tấn công DoS có thể được khuếch đại bởi nhiều trung gian, nhưng xuất phát của DoS vẫn là bắt nguồn từ một máy tính đơn lẻ. Tuy nhiên DoS đã được phát triển xa hơn ngoài cuộc tấn công một tầng (lũ SYN) và hai tầng (Smurf). Tấn công DDoS ra đời là bước tiếp theo của DoS, khắc phục được nhiều thiếu xót mà DoS chưa đáp ứng được. Đây là phương pháp tấn công hiện đại có sự kết hợp của nhiều tầng tính toán phân tán. Khác biệt đáng chú ý trong phương pháp tấn công này là nó bao gồm hai giai đoạn khác nhau. Giai đoạn đầu tiên, thủ phạm bố trí các máy tính phân tán trên Internet và cài đặt các phần mềm chuyên dụng trên các máy chủ để hỗ trợ tấn công. Giai đoạn thứ hai, máy tính bị xâm nhập (được gọi là Zombie) sẽ cung cấp thông tin qua kẻ trung gian (được gọi là Master) để bắt đầu cuộc tấn công.
Hàng trăm, có thể hàng ngàn, các zombie có thể được chọn đồng thời tham gia vào các cuộc tấn công của Hacker. Với việc sử dụng phần mềm điều khiển, các Zombie này sẽ thực thi cuộc tấn công DDoS hướng vào mục tiêu. Hiệu quả cộng dồn của tấn công Zombie làm hủy hoại nạn nhân với sự ồ ạt của một lượng lớn tin truyền tải làm tắc nghẽn thông tin hoặc làm cạn kiệt nguồn tài nguyên.
Ngoài ra, với kiểu tấn công như vậy sẽ giấu đi thông tin của kể tấn công thực sự: chính là kẻ đưa ra các lệnh điều khiển cho các Zombie .Mô hình đa cấp của các cuộc tấn công DDoS cộng với khả năng giả mạo của các gói tin và mã hóa thông tin đã gây nhiều khó khăn cho quá trình tìm kiếm, phát hiện kẻ tấn công thực sự.
Các cấu trúc lệnh hỗ trợ một cuộc tấn công DDoS khá phức tạp (xem hình 2.1) và khó có thể đưa ra một thuật ngữ để mô tả chính xác. Dưới đây là những cái tên quy ước cho dễ hiểu hơn của cấu trúc và các thành phần tham gia trong cuộc tấn công DDoS:
Client: Phần mềm khách được Hacker sử dụng để bắt đầu cuộc tấn công. Phần mềm khách sẽ gửi các chuỗi lệnh đến các máy chủ dưới quyền.
Daemon: Các chương trình đang chạy trên một Zombie sẽ nhận chuỗi lệnh đến từ Client và thực thi các lệnh đó.Daemon sẽ chịu trách nhiệm thực thi chi tiết cuộc tấn công từ các dòng lệnh.
Các máy chủ tham gia vào cuộc tấn công DDoS bao gồm:
Master: Một máy tính chạy các phần mềm khách.
Zombie: Một máy tính cấp dưới chạy quá trình Daemon.
Target: Mục tiêu của cuộc tấn công.
Trên sơ đồ hình 2.1 nhận thấy rằng, để bắt đầu cho cuộc tấn công, tin tặc sẽ tìm kiếm mục tiêu trên Internet là những máy tính lỏng lẻo trong bảo mật. Tin tặc sử dụng cả hai kỹ thuật kiểm tra tự động và bằng tay để lần ra lỗ hổng của hệ thống mạng và máy chủ .Tin tặc sử dụng các tập lệnh để rà quét tự động các máy không an toàn, từ đó có thể được phát hiện được một cách chính xác cơ sở hạ tầng bảo mật của mạng máy tính nội bộ. Tùy thuộc vào trình độ của Hacker mà có thể gây ra những khó khăn cho việc tìm kiếm và xác định danh tính của kẻ tấn công bởi kể tấn công sẽ tím cách thích ứng với cách tiếp cận của mình, việc chiếm quyền điều khiển một máy tính cúng tốn khá nhiều thời gian.
Sau khi các máy tính bảo mật kém đã được xác định, kẻ tấn công tìm cách xâm nhập hệ thống. Hacker có thể truy cập được vào máy chủ bằng nhiều cách (thường thông qua các tài khoản máy chủ hoặc tài khoản quản trị), hầu hết các phương pháp xâm nhập này đều có thể phòng ngừa được.Nhiệm vụ đầu tiên là Hacker sẽ phải đảm bảo việc xóa sạch bằng chứng cho thấy hệ thống đã bị xâm nhập và cũng đảm bảo rằng các máy chủ bị xâm nhập sẽ thông qua được các công cụ kiểm tra. Công cụ sử dụng để đảm bảo các nhiệm vụ này sẽ thành công được gọi chung là các rootkits.
Những máy chủ đã bị chiếm trở thành Master, còn các máy khác sẽ đóng vai trò Zombie. Master được cài đặt với một bản sao của phần mềm khách và được sử dụng làm trung gian giữa những kẻ tấn công và các Zombie. Các Master nhận thông tin rồi chuyển qua các Zombie mà chúng phụ trách.
Băng thông mạng cho các máy master không phải là một tham số ưu tiên hàng đầu, bởi các máy master chỉ chịu trách nhiệm gửi và nhận các đoạn tin điều khiển ngắn nên có thể tiến hành trong cả mạng có băng thông thấp .
Trên máy tính không được chỉ định làm Master, Hacker cài đặt các phần mềm Daemon để gửi ra các luồng tấn công, và các máy tính này được gọi là Zombie. Chương trình daemon chạy trên nền của zombie, đợi một thông báo để kích hoạt và phát động cuộc tấn công nhắm vào nạn nhân đã được chỉ định. Một chương trình daemon có thể khởi động nhiều loại tấn công, chẳng hạn như UDP hoặc lũ SYN. Kết hợp với khả năng sử dụng sự giả mạo, các daemon có thể chứng minh là một công cụ tấn công rất linh hoạt và mạnh mẽ.
Sau khi kẻ tấn công đã chuẩn bị được đầy đủ những gì cần thiết số Zombie, cũng như đã xác định được nạn nhân của mình, kẻ tấn công có thể liên hệ với các master (hoặc thông qua các phương pháp riêng hoặc với một chương trình đặc biệt giành riêng cho DDoS) và chỉ thị chúng để khởi động cuộc tấn công. Các Zombie sẽ bắt đầu tấn công sau khi nhận lệnh từ master. Chỉ mất vài giây để khởi động và phân tán rộng cuộc tấn công . với tốc độ như vậy, thì hacker có thể ngưng cuộc tấn công.
Việc sử dụng và phát triển các phương pháp ttân công DoS và DDoS đã tạo được sự quan tâm của chính phủ, các doanh nghiệp, và các chuyên gia bảo mật, do nó đưa ra một phương thức tấn công mới cực kỳ hiệu quả , trong khi rất khó trong việc tìm kiếm thông tin kẻ tấn công thực sự.
Không có nhận xét nào:
Đăng nhận xét
Cảm ơn bạn đã ghé thăm blog của mình!