การโจมตีระบบเครือข่ายอินเตอร์เน็ต
DoS Attack
DoS Attack (Denial of Service) หมายถึง การขัดขวางหรือก่อกวนระบบเครือข่ายหรือ Server จนทำให้เครื่อง Server หรือเครือข่ายนั้นๆไม่สามารถให้บริการได้ตามปกติ ซึ่งการโจมตีด้วยวิธีการ DoS Attack (Denial of Service) นั้นโดยทั่วไปนั้นจะกระทำโดยการใช้ทรัพยากรของ Server ไปจนหมด ยกตัวอย่างเช่น การส่ง Packet TCP/SYN เข้าไปหาเครื่องเป้าหมายโดยใช้ IP address ที่ไม่มีอยู่จริงในการติดต่อ ทำให้เครื่องเป้าหมายนั้นต้องสำรองทรัพยากรไว้ส่วนหนึ่งเพื่อรองรับการ เชื่อม ต่อที่กำลังจะเกิดขึ้น(ซึ่งไม่มีทางเกิดขึ้น)ดังนั้นเมื่อมีการเชื่อมต่อใน รูปแบบนี้เข้ามามากเรื่อยๆจะทำให้เครื่อง เป้าหมายนั้นเกิดการใช้ทรัพยากรไปจนกระทั่งหมดและยุติการให้บริการในที่สุด
- SYN Flood Attack คือการส่ง Packet TCP/SYN โดยใช้ IP ที่ไม่มีอยู่จริง
- Mail Bomb คือการส่ง Mail ที่มีขนาดใหญ่เป็นจำนวนมากเข้าไปเพื่อให้เนื้อที่ใน Mail box เต็ม
- Smurf Attack คือการส่งปลอม IP address เป็นของเครื่องเป้าหมายแล้วจึงส่ง Packet ping เข้าไปหาBroadcast Address เพื่อให้กระจาย Packet เข้าไปทุกเครื่องแล้วหลังจากนั้นเมื่อทุกเครื่องได้รับแล้วจึงตอบ Packet ไปหาเครื่องเป้าหมายซึ่งอาจเกิด Buffer Overflow ได้
- Fraggle Attack เหมือนกับ Smurf Attack แต่เปลี่ยนเป็นใช้ Packet ของ UDP แทน
- Ping of Death คือการส่ง Packet Ping ที่มีขนาดใหญ่เกินกว่าปกติเข้าไปที่เครื่องเป้าหมาย
- Teardrop Attack คือการส่ง Packet ที่ไม่สามารถประกอบได้ไปให้เครื่องเป้าหมายเพื่อให้เกิดความสับสน
- ICMP Flood Attack คือการส่ง Packet Ping เข้าไปที่เครื่องเป้าหมายเป็นจำนวนมาก
- UDP Flood Attack
Man in the Middle attack
Man in the Middle attack (การโจมตีแบบคนกลาง)
Man in the middle attack (คำย่อยคือ MITM) ในบางครั้งจะเรียกว่า Bucket brigade attack หรือJanus attack วิธีโจมตีด้วย Man in the middle attack มีอยู่มากมายหลากหลายวิธีแต่วิธีการ ที่ได้รับความนิยมมากที่สุดก็คือ ARP Spoof โดยวิธีการโจมตีด้วย ARP Spoof นั้นผู้บุกรุกจะสร้างARP Reply ปลอมเข้าไปหาเครื่องเป้าหมาย โดยจะโยง IP address ของเครื่อง Server เข้ากับMAC address ของเครื่อ งผู้โจมตีเพื่อเป็นการลวงให้มีการ update ARP table ขึ้นใหม่และใช้วิธีการเดียวกันในการลวง Server โดยจะสร้าง ARP Reply ขึ้นมาแล้วโยง IP address ของเครื่องเป้าหมายเข้ากับ MAC address ทำให้การส่งข้อมูลทั้งหมดต้องผ่านผู้โจมตีซึ่งสามารถที่จะดักฟังข้อมูลข่าว สารหรือแก้ไขรวมไปถึงการขัดขวาง การส่งข้อมูลทั้งหมดก็ย่อมเป็นไปได้โดยผู้โจมตีนั้นต้องทำให้เหยื่อเชื่อว่า กำลังเชื่อมต่อโดยตรงอยู่
ตัวอย่างวิธีการทำ man in the middle attack
สมมุติว่ามี A และ B ตังการที่จะส่ง password Game ให้กันและมี C คือคนที่ต้องการ password game ของทั้งคู่ A : IP address = 192.168.0.2 MAC address = 11-00-11-00-11-00 B : IP address = 192.168.0.3 MAC address = 22-00-22-00-22-00 C: IP address = 192.168.0.4 MAC address = 33-00-33-00-33-00
- C จะทำการส่ง ARP spoof เข้าไปหาที่เครื่อง A โดยบอกว่าเป็นการติดต่อมาจากเครื่อง B เพื่อให้ update ARP table ซึ่งมี IP address = 192.168.0.3 และ MAC address = 33 00 33 00 33 00
- ต่อมาจึงมีการส่ง ARP spoofเข้าไป ที่เครื่อง B โดยบอกว่าเป็นการติดต่อมาจากเครื่อง A เพื่อให้ update ARP table ซึ่งมี IP address = 192.168.0.2 และ MAC address = 33 00 33 00 33 00
- และเมื่อทั้งสองมีการติดต่อกันข้อมูลทั้ง หมดจะเข้ามาอยู่ที่เครื่องของ C ซึ่งเครื่อง C สามารถที่จะส่งต่อ ข้อมูลที่ได้รับมาหรือขัดขวางก็ได้และนี้คือ Man in the middle attack
วิธีการของ man in the middle attack โดยคร่าวๆจะเห็นได้ชัดว่าในกรณีของการใช้ Man in the middle attack นั้นหลักๆก็คือการพยายามปลอมตัว เข้าไปโดยหลอกให้เครื่องเป้าหมายทั้ง 2 เชื่ออยู่ว่ากำลังเชื่อมต่อกันอยู่โดยตรงซึ่งวิธีการนี้สามารถ ป้องกันได้โดยการเข้ารหัสข้อความเอาไว้หรือว่าจะใช้โปรแกรมประเภท Anti ARP Spoof ก็ได้และถ้าเป็น Web Application ก็จะต้องเป็น SSL เข้ามาช่วย ARP table นั้นโดยส่วนใหญ่จะมีอายุอยู่ประมาณ 15 วินาที
ที่มา – http://www.viruscom2.com
การโจมตีแบบ SYN Flood
เป็น การโจมตีโดยการส่งแพ็คเก็ต TCP ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ (ผู้โจมตีสามารถปลอมไอพีของ source address ได้) เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายัง source IP address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่อีกด้วย
การโจมตีแบบ Ping of Death
เป็นการส่งแพ็คเก็ต ICMP ขนาดใหญ่จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งานแบนด์วิดธ์เต็มที่
การโจมตีแบบ Land Attack
ลักษณะ การโจมตีประเภทนี้เป็นการส่ง SYN ไปที่เครื่องเป้าหมายเพื่อขอสถาปนาการเชื่อมต่อ ซึ่งเครื่องที่เป็น เป้าหมายจะต้องตอบรับคำขอการเชื่อมต่อด้วย SYN ACK ไปที่เครื่องคอมพิวเตอร์ต้นทางเสมอ แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่เป็นเป้าหมายนี้มี IP Address เดียวกัน โดยการใช้วิธีการสร้าง IP Address ลวง (โดยข้อเท็จจริงแล้วเครื่องของ Hacker จะมี IP Address ที่ต่างกับเครื่องเป้าหมายอยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ในการส่งแพ็กเก็ตที่ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม) ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่สามารถแยกแยะได้ว่า IP Address ที่เข้ามาเป็นเครื่องปัจจุบันหรือไม่ ก็จะทำการตอบสนองด้วย SYN ACK ออกไป หากแอดเดรสที่ขอเชื่อมต่อเข้ามาเป็นแอดเดรสเดียวกับเครื่องเป้าหมาย ผลก็คือ SYN ACK นี้จะย้อนเข้าหาตนเอง และเช่นกันที่การปล่อย SYN ACK แต่ละครั้งจะต้องมีการปันส่วนของหน่วยความจำเพื่อการนี้จำนวนหนึ่ง ซึ่งหากผู้โจมตีส่งคำขอเชื่อมต่อออกมาอย่างต่อเนื่องก็จะเกิดปัญหาการจัดสรร หน่วยความจำ
Smurf
ผู้ โจมตีจะส่ง ICMP Echo Request ไปยัง broadcast address ในเครือข่ายที่เป็นตัวกลาง (ปกติจะเรียกว่า amplifier) โดยปลอม source IP address เป็น IP address ของระบบที่ต้องการโจมตี ซึ่งจะทำให้เครือข่ายที่เป็นตัวกลางส่ง ICMP Echo Reply กลับไปยัง IP address ของเป้าหมายทันที ซึ่งทำให้มีการใช้งานแบนด์วิดธ์อย่างเต็มที่
การโจมตีแบบ Teardrop
โดย ปกติเราเตอร์จะไม่ยอมให้แพ็กเก็ตขนาดใหญ่ผ่านได้ จะต้องทำ Fragment เสียก่อนจึงจะยอมให้ผ่านได้ และเมื่อผ่านไปแล้วเครื่องของผู้รับปลายทางจะนำแพ็กเก็ตที่ถูกแบ่งออกเป็น ชิ้นส่วนต่าง ๆ ด้วยวิธีการ Fragment มารวมเข้าด้วยกันเป็นแพ็กเก็ตที่สมบูรณ์ การที่สามารถนำมารวมกันได้นี้จะต้องอาศัยค่า Offset ที่ปรากฏอยู่ใน
แพ็ก เก็ตแรกและแพ็กเก็ตต่อ ๆ ไป สำหรับการโจมตีแบบ Teardrop นี้ ผู้โจมตีจะส่งค่า Offset ในแพ็กเก็ตที่สองและต่อ ๆ ไปที่จะทำให้เครื่องรับปลายทางเกิดความสับสน หากระบบปฏิบัติการไม่สามารถรับมือกับปัญหานี้ก็จะทำให้ระบบหยุดการทำงานใน ทันที
อ้างอิงจากhttp://www.mvt.co.th
