Tấn công từ chối dịch vụ (Denied of Service - DOS)

Với mạng máy tính không dây và mạng có dây thì không có khác biệt cơ bản về các kiểu tấn công DOS ( Denied of Service ) ở các tầng ứng dụng và vận chuyển nhưng giữa các tầng mạng, liên kết dữ liệu và vật lý lại có sự khác biệt lớn. Chính điều này làm tăng độ nguy hiểm của kiểu tấn công DOS trong mạng máy tính không dây. Trước khi thực hiện tấn công DOS, kẻ tấn công có thể sử dụng chương trình phân tích lưu lượng mạng để biết được chỗ nào đang tập trung nhiều lưu lượng, số lượng xử lý nhiều, và kẻ tấn công sẽ tập trung tấn công DOS vào những vị trí đó để nhanh đạt được hiệu quả hơn.

DoS là một kỹ thuật được sử dụng chỉ đơn giản để làm hư hỏng mạng không dây hoặc làm cho nó không thể cung cấp dịch vụ như thông thường. Tương tự như những kẻ phá hoại sử dụng tấn công DoS vào một web server làm nghẽn server đó thì mạng WLAN cũng có thể bị shut down bằng cách gây nghẽn tín hiệu RF. Những tín hiệu gây nghẽn này có thể là cố ý hay vô ý và có thể loại bỏ được hay không loại bỏ được. Khi một attacker chủ động tấn công DoS, attacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay thiết bị chuyên dung khác.

Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ).

58

Có nhiều loại Spectrum Analyzer trên thị trường nhưng ta nên dùng loại cầm tay, dùng pin cho tiện sử dụng. Một cách khác là dùng các ứng dụng Spectrum Analyzer phần mềm kèm theo các sản phẩm WLAN cho client.

Khi nguồn gây ra DoS là không thể di chuyển được và không gây hại như tháp truyền thông hay các hệ thống hợp pháp khác thì admin nên xem xét sử dụng dãy tần số khác cho mạng WLAN. Ví dụ, nếu admin chịu trách nhiệm thiết kế và cài đặt mạng WLAN cho môi trường rộng lớn, phức tạp thì cần phải xem xét kỹ càng. Nếu như nguồn nhiễu RF trải rộng hơn 2.4 Ghz như bộ đàm, lò vi sóng … thì admin nên sử dụng những thiết bị theo chuẩn 802.11a hoạt động trong băng tần 5 Ghz UNII thay vì sử dụng những thiết bị 802.11b/g hoạt động trong băng tần 2.4 Ghz sẽ dễ bị nhiễu.

DoS do vô ý xuất hiện thường xuyên do nhiều thiết bị khác nhau chia sẽ chung băng tần 2.4 ISM với mạng WLAN. DoS một cách chủ động thường không phổ biến lắm, lý do là bởi vì để thực hiện được DoS thì rất tốn kém, giá của thiết bị rất mắc tiền, kết quả đạt được chỉ là tạm thời shut down mạng trong thời gian ngắn.

2.3.1 Tấn công DOS tầng vật lý

Tấn công DOS tầng vật lý ở mạng có dây muốn thực hiện được thì yêu cầu kẻ tấn công phải ở gần các máy tính trong mạng. Điều này lại không đúng trong mạng không dây. Với mạng này, bất kỳ môi trường nào cũng dễ bị tấn công và kẻ tấn công có thể xâm nhập vào tầng vật lý từ một khoảng cách rất xa, có thể là từ bên ngoài thay vì phải đứng bên trong tòa nhà. Trong mạng máy tính có dây khi bị tấn công thì thường để lại các dấu hiệu dễ nhận biết như là cáp bị hỏng, dịch chuyển cáp, hình ảnh được ghi lại từ camera, thì với mạng không dây lại không để lại bất kỳ một dấu hiệu nào. 802.11 PHY đưa ra một phạm vi giới hạn các tần số trong giao tiếp. Một kẻ tấn công có thể tạo ra một thiết bị làm bão hòa dải tần 802.11 với nhiễu. Như vậy, nếu thiết bị đó tạo ra đủ nhiễu tần số vô tuyến thì sẽ làm giảm tín hiệu / tỷ lệ nhiễu tới mức không phân biệt được dẫn đến các STA nằm trong dải tần nhiễu sẽ bị ngừng hoạt động. Các thiết bị sẽ không thể phân biệt được tín hiệu mạng một cách chính xác từ tất cả các nhiễu xảy ra ngẫu nhiên đang được tạo ra và do đó sẽ không thể giao tiếp được. Tấn công theo kiểu này không phải là sự đe dọa nghiêm trọng,

59

nó khó có thể thực hiện phổ biến do vấn đề giá cả của thiết bị, nó quá đắt trong khi kẻ tấn công chỉ tạm thời vô hiệu hóa được mạng.

Tấn công gây nhiễu (Jamming)

Jamming là một kỹ thuật sử dụng đơn giản để làm mạng ngừng hoạt động. Phương thức jamming phổ biến nhất là sử dụng máy phát có tần số phát giống tần số mà mạng sử dụng để áp đảo làm mạng bị nhiễu, bị ngừng làm việc. Tín hiệu RF đó có thể di chuyển hoặc cố định.

Cũng có trường hợp sự Jamming xảy ra do không chủ ý và thường xảy ra với mọi thiết bị mà dùng chung dải tần 2,4Ghz. Tấn công bằng Jamming không phải là sự đe dọa nghiêm trọng, nó khó có thể được thực hiện phổ biến do vấn đề giá cả của thiết bị, nó quá đắt trong khi kẻ tấn công chỉ tạm thời vô hiệu hóa được mạng.

Hiện nay chống lại việc gây nhiễu này là điều không thể. Chúng ta chỉ có thể kiểm tra hệ thống có bị nhiễu hay không bằng các công cụ ( chẳng hạn như NetStumbler).

Hình 2.1 Tấn công gây nhiễu 2.3.2 Tấn công DOS ở lớp MAC

Do ở tầng liên kết dữ liệu kẻ tấn công cũng có thể truy cập bất kì đâu nên lại một lần nữa tạo ra nhiều cơ hội cho kiểu tấn công DOS. Thậm chí khi WEP đã được bật, kẻ tấn

60

công có thể thực hiện một số cuộc tấn công DOS bằng cách truy cập tới thông tin lớp liên kết. Khi không có WEP, kẻ tấn công truy cập toàn bộ tới các liên kết giữa các STA và AP để chấm dứt truy cập tới mạng. Nếu một AP sử dụng không đúng anten định hướng kẻ tấn công có nhiều khả năng từ chối truy cập từ các client liên kết tới AP. Anten định hướng đôi khi còn được dùng để phủ sóng nhiều khu vực hơn với một AP bằng cách dùng các anten. Nếu anten định hướng không phủ sóng với khoảng cách các vùng là như nhau, kẻ tấn công có thể từ chối dịch vụ tới các trạm liên kết bằng cách lợi dụng sự sắp đặt không đúng này, điều đó có thể được minh họa ở hình 2.1.

Hình 2.2 Mô tả quá trình tấn công DOS tầng liên kết dữ liệu (lớp MAC)

Giả thiết anten định hướng A và B được gắn vào AP và chúng được sắp đặt để phủ sóng cả hai bên bức tường một cách độc lập. Client A ở bên trái bức tường, vì vậy AP sẽ chọn anten A cho việc gửi và nhận các khung. Client B ở bên trái bức tường, vì vậy chọn việc gửi và nhận các khung với anten B. Client B có thể loại client A ra khỏi mạng bằng cách thay đổi địa chỉ MAC của Client B giống hệt với Client A. Khi đó Client B phải chắc chắn rằng tín hiệu phát ra từ anten B mạnh hơn tín hiệu mà Client A nhận được từ anten A bằng

61

việc dùng một bộ khuếch đại hoặc các kĩ thuật khuếch đại khác nhau. Như vậy AP sẽ gửi và nhận các khung ứng với địa chỉ MAC ở anten B. Các khung của Client A sẽ bị từ chối chừng nào mà Client B tiếp tục gửi lưu lượng tới AP.

Masquerading Attacks ( tấn công giả mạo)

Trong cuộc tấn công giả mạo, kẻ tấn công sẽ giả mạo địa chỉ MAC của một máy trạm hay một AP cụ thể. Do tính chất mở của môi trường không dây, kẻ tấn công có thể dễ dàng theo dõi lưu lượng để tìm ra định danh của các thiết bị trong mạng. những định danh này có thể dễ dàng giả mạo bằng phần mềm điều khiển thiết bị. Dưới đây là danh sách các cuộc tấn công được thảo luận.

2.3.2.1.1 Tấn công De-authentication

Hình 2.3 De-authentication Attack

Mỗi client IEEE 802.11 phải chứng thực với một vài AP trong phạm vi của nó trước khi thật sự bắt đầu truyền thông. Một phần của tiến trình xác thực là một thông điệp cho phép client và AP yêu cầu deauthentication lẫn nhau. Thật không may, thông điệp này không được chứng thực bằng bất cứ thuật toán nào. Do đó những kẻ tấn công có thể giả mạo thông điệp này, hoặc giả vờ là Access Point hoặc là client, và chuyển qua bên kia. Đáp lại, Access Point hay client sẽ thoát tình trạng xác thực và sẽ từ chối tất cả các gói thêm

62

nữa cho đến khi chứng thực được thiết lập trở lại. Nếu cuộc tấn công này được duy trì thì các máy trạm sẽ không còn được kết nối vào mạng. Những cuộc tấn công này có thể nhắm tới mục tiêu là các máy trạm cụ thể hoặc tất cả cách máy trạm trong BSS.

2.3.2.1.2 Tấn công Disassociation

Một lỗ hỗng tương tự được tìm thấy trong giao thức kết nối (association), đây là quá trình sau khi chứng thực. Chuẩn IEEE 802.11 cho phép những client kết nối với chỉ một AP vào cùng một thời điểm. Tương tự như quá trình chứng thực, chuẩn IEEE 802.11 cho phép client và AP có thể yêu cầu disassociation lẫn nhau. Giống như quá trình chứng thực, những frame quản lý disassociation cũng không được thẩm định. Khai thác lỗ hỗng này giống như trong tấn công deauthentication. Tuy nhiên, điều đáng chú ý ở đây là hậu quả trong tấn công deauthentication gây ra nghiêm trọng hơn là tấn công disassociation bởi vì các máy trạm mất nhiều thời gian hơn để kết nối lại với AP.

Hình 2.4 Tấn công ngắt kết nối (Disassociation Attack ) Quá trình tấn công như sau:

Attacker xác định mục tiêu (wireless clients) và mối liên kết giữa AP với các clients.

63

Sau đó, attacker gửi disassociation frame bằng cách giả mạo Source và Destination MAC đến AP và các client tương ứng.

Client sẽ nhận các frame này và nghĩ rằng frame hủy kết nối đến từ AP. Đồng thời, attacker cũng gởi disassociation frame đến AP.

Sau khi đã ngắt kết nối của một client, attacker tiếp tục thực hiện tương tự với các client còn lại làm cho các client tự động ngắt kết nối với AP.

Khi các clients bị ngắt kết nối sẽ thực hiện kết nối lại với AP ngay lập tức.

Attacker tiếp tục gởi disassociation frame đến AP và clients.

2.3.2.1.3 Tấn công ở chế độ tiết kiệm điện năng (power saving).

Để tiết kiệm điện năng, client có thể đi vào trạng thái “ngủ” trong thời gian này AP sẽ lưu trữ trong bộ đệm (buffer) các khung dành cho client đang ở trạng thái tiết kiệm điện năng. Theo định kỳ client sẽ “thức dậy” và lắng nghe khung Becon từ AP xem có dữ liệu nào đang lưu trữ cho mình không. Bằng cách giả mạo thông điệp thăm dò thay cho client, một kẻ tấn công có thể làm cho AP bỏ những gói tin của client trong khi nó đang “ngủ”.

Cùng với việc giả mạo các thông điệp này, client có thể bị lừa bởi bản đồ báo hiệu lưu lượng TIM (Traffic Indication Map) để thuyết phục client rằng không có dữ liệu nào đang đợi tại AP. Một lỗ hỗng khác phát sinh từ cơ chế tiết kiệm điện năng là do việc không thẩm định những frame quản lý được sử dụng cho mục đích đồng bộ hóa, như là TIM interval ( số đơn vị thời gian TU giữa các lần gửi becon) hay timestam broadcast (được sử dụng để đồng bộ thời gian giữa các máy trạm và AP). Bằng cách giả mạo các frame quản lý, một kẻ tấn công có thể làm cho client không đồng bộ được với AP và không thể “thức dậy” vào thời điểm thích hợp.

Resource Depletion Attacks ( tấn công cạn kiệt nguồn tài nguyên)

Tấn công cạn kiệt nguồn tài nguyên thông thường nhắm đến các mục tiêu là các nguồn tài nguyên chia sẻ như AP, hậu quả là bộ nhớ nguồn không còn có thể cung cấp các dịch vụ cho các máy trạm hợp pháp khác. Những dạng tấn công này có thể được kèm theo bởi

64

nhiều tấn công giả mạo khác như là giới thiệu những AP giả để không cho những máy trạm kết nối.

Hiện nay vẫn chưa có giải pháp nào chống lại được dạng tấn công này. Chúng ta chỉ có thể hạn chế phần nào bằng cách sử dụng các chế độ chứng thực chia sẽ khóa (WPA, WPA2) thay cho chế độ chứng thực mở (Open).

2.3.2.2.1 Probe Request Flood

Những máy trạm trong mạng không dây IEEE 802.11 sử dụng Probe Request khi chúng muốn tìm kiếm mạng để kết nối vào. Khung Probe Request sẽ chứa giá trị SSID mà chúng muốn tham gia vào hoặc có thể là một SSID quảng bá (broadcast SSID). Nếu AP nào có giá trị SSID trùng với nó thì sẽ trả lời bằng Probe Response để cho phép các client không dây kết nối với nó. Một kẻ tấn công có thể truyền tràn đầy Probe Request với địa chỉ MAC giả mạo ngẫu nhiên để mô phỏng sự hiện diện lớn những máy trạm. Cuộc tấn công này có thể tiêu thụ tất cả các tài nguyên bộ nhớ của một AP, ngăn chặn nó đáp ứng yêu cầu của những khách hàng hợp pháp.

2.3.2.2.2 Authentication Request Flood

Trong suốt quá trình tấn công lũ lụt authentication, một kẻ tấn công sẽ truyền những frame authentication request với địa chỉ MAC giả mạo để xác thực với AP. Kẻ tấn công làm lũ lụt AP với những frame như vậy để làm cạn kiệt tài nguyên bộ nhớ để xử lý nó. Để trả lời những frame authentication request thì AP đã cấp phát bộ nhớ để giữ thông tin về những máy trạm mới xác thực thành công. Một AP bị tấn công sẽ không thể cho phép các client hợp pháp khác kết nối với mạng không dây.

2.3.2.2.3 Association Request Flood

AP chèn các dữ liệu được cung cấp bởi trong frame authentication request của một máy trạm trong một bảng gọi là association table (bảng kết nối) của AP duy trì trong bộ nhớ của nó. Chuẩn IEEE 802.11 quy định cụ thể giá trị lớn nhất là 2007 kết nối đồng thời tới một AP. Kích thước thật sự của bảng này sẽ thay đổi giữa các dòng khác nhau của những AP.

Khi bảng này bị tràn thì AP sẽ từ chối những client thêm nữa. Để crack WEP thì kẻ tấn

65

công có thể xác thực một số máy trạm không tồn tại sử dụng giống hợp pháp nhưng phát sinh ngẫu nhiên địa chỉ MAC. Kẻ tấn công sau đó sẽ gửi ngập lụt những frame associate request giả mạo để làm tràn bảng kết nối. Nếu một danh sách điều khiển truy cập không co lọc địa chỉ MAC thì tấn công ngạp lụt authentication và associate request sẽ dễ dàng hơn cho kẻ tấn công tiến hành.

Theo giao thức MAC, AP sẽ không chấp nhận một Association Request được gửi bởi một máy trạm không được chứng thực và ở trạng trái không truy cập. Tuy nhiên, thật ngạc nhiên khi thấy rằng những AP cũng đáp trả những frame associate request trong trạng thái ban đầu của chúng.

2.3.2.2.4 Replay attack

Tấn công Replay attack, kẻ tấn công sẽ tiến hành lắng nghe trên đường truyền của nạn nhân. Khi nạn nhân tiến hành trao đổi các thông tin quan trọng ví dụ như passwork thì kẻ tấn công sẽ chặn các gói tin đó lại. Các gói tin bị bắt không bị kẻ tấn công thay đổi nội dung mà giữ nguyên đợi đến 1 thời gian thích hợp nào đó sẽ gởi gói tin đó đi giả dạng như nó được gởi ra từ máy gốc.

Trong mạng 802.11 tấn công Replay Attack hầu như chắc chắn sẽ tạo ra hiện tượng Denial of Service. Hiện tượng này xảy ra bởi vì các node nhận được thông điệp sẽ dành trọn băng thông và thời gian sử lý cho việc decoded thông điệp dẫn đến tình trạng Denial of Service. 802.11 dễ bị tổn thương đối với loại hình tấn công này bởi vì kiểu tấn công này dựa trên việc thiếu hoàn toàn thứ tự đánh số của các thông điệp. Các node nhận packets do những kẻ tấn công gởi đến, các paket này đều hợp lệ tuy nhiên thứ tự của packet không đáp ứng được trình tự packet mà node nhận được, điều này khiến cho node dành toàn bộ băng thông và thời gian để decode chúng. Ngoài ra 802.11 cũng không hề có bất kì phương pháp nào để xác định và loại bỏ replayed messages.

Media Access Attack

Cơ chế cảm nhận sóng mang ảo được sử dụng bởi chuẩn IEEE 802.11 để giải quyết các vấn đề thiết bị đầu cuối ẩn. frame điều khiển và quản lý như là RTS, CTS, ACK… sử dụng

66

cơ chế phát hiện sóng mang ảo là những frame không được xác thực và tất cả chúng có chứa một trường thời gian duration ( duration field). Một kẻ tấn công có thể dễ dàng trì hoãn truyền bằng cách lien tục khẳng định một trường thời gian duration lớn tại một tần số thích hợp để đảm bảo giá trị NAV trên mỗi nút là lớn hơn không.

2.3.2.3.1 Tấn công dựa trên sự cảm nhận lớp vật lý

Kẻ tấn công lợi dụng giao thức chống đụng độ CSMA/CA, tức là nó sẽ làm cho tất cả người dùng nghĩ rằng lúc nào trong mạng cũng có 1 máy tính đang truyền thông. Điều này làm cho các máy tính khác luôn luôn ở trạng thái chờ đợi kẻ tấn công ấy truyền dữ liệu xong, dẫn đến tình trạng nghẽn trong mạng.

Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF (Radio Frequency), băng thông và sự định hướng của anten. Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm.

CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ không có va chạm dữ liệu trên đường truyền. Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dụng chính chuẩn đó. Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền.

2.3.3 Tấn công DOS tầng mạng

Nếu một mạng cho phép bất kì một client nào kết nối, nó dễ bị tấn công DOS tầng mạng.

Mạng máy tính không dây chuẩn 802.11 là môi trường chia sẻ tài nguyên Một người bất