• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Phòng chống tấn công DOS với TCP Intercept

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Phòng chống tấn công DOS với TCP Intercept

    Phòng chống tấn công DOS với TCP Intercept

    TCP intercept là một trong những đặc tính của bộ Cisco IOS Firewall, thường được dùng để phòng chống tấn công TCP SYN flood. Trong tấn công TCP SYN flood attack, attacker sẽ gửi tràn ngập TCP SYN segments mà không hoàn tất quá trình bắt tay 3 bước cho mỗi kết nối TCP. Thông thường, trong cách tấn công này, attacker sẽ kết hợp với tấn công IP spoofing, trong đó địa chỉ source của gói tin là 1 địa chỉ không hợp lệ hoặc là địa chỉ một người nào đó. Vì những địa chỉ source này không thể tới được nên TCP server bị tấn công sẽ bị treo với half-open connection, server phải đợi hết khoảng thời gian timeout để xoá connection này khỏi bảng local connection. Như thế thì tài nguyên của TCP server sẽ bị sử dụng hết, và buộc phải từ chối các TCP connections hợp lệ khác.

    TCP Intercep sẽ giúp hạn chế kiểu tấn công trên với 2 mode: intercept và watch.
    Intercept mode
    Trong mode này, router sẽ chặn tất cả các TCP connections requests, như trong hình bên dưới. User ở bên ngoài dùng TCP connection muốn truy cập vào server ở mạng bên trong, router sẽ chặn các requests này và giả vờ nó chính là server bên trong, và hoàn tất quá trình bắt tay 3 bước với external user. Xong khi hoàn thành quá trình kết nối với user (bước 1à3), sau đó router mới thiết lập một kết nối TCP thứ hai đến server (bước 4à6). Router sau đó sẽ kết hợp 2 kết nối này lại tạo thành 1 kết nối duy nhất (bước 7).


    Trong tất cả các bước, router trong suốt với user và server. Với cách tiếp cận này nếu có tấn công TCP SYN xảy ra, router sẽ cung cấp 1 vùng đệm cho server, server sẽ không bị ảnh hưởng gì bởi flood: router bắt tay với các half-open connections, và sau khoảng thời gian timeout router sẽ xoá tất cả các kết nối này ra khỏi bảng TCP connection table của nó. Trên thực tế thì những request hợp lệ sẽ được cho phép kết nối tới router bên trong ngay sau khi hoàn thành tiến trình bắt tay 3 bước với router.

    Watch mode
    Trong mode này, router chỉ xem các phiên kết nối giữa user và server. Router kiểm tra các kết nối này, theo dõi các kết nối chưa được hoàn tất. Sau đó nó sẽ so sánh với giá trị timeout đã cấu hình trước (mặc định là 30s). Nếu một kết nối TCP chưa hoàn tất quá trình bắt tay 3 bước và quá khoảng thời gian timeout thì router sẽ gửi cờ TCP reset đến server để hủy bỏ kết nối. Nếu có trường hợp tấn công trực tiếp đến server bên trong thì router sẽ loại bỏ các half-open connections, vì vậy hạn chế được sự quá tải trên server và vẫn cho phép các kết nối hợp lệ kết nối đến.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Working...
X