Kiểu tấn công Ping of Death

kiểu tấn công ping of death dùng giao thức ICMP. Bình thường, ping được dùng để kiểm tra xem một host có sống
hay không. Một lệnh ping thông thường có hai thông điệp echo request và echo reply.

Tiến trình ping bình thường diễn ra như sau:

C:\>ping 192.168.10.10

Pinging 192.168.10.10 with 32 bytes of data:

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Ping statistics for 192.168.10.10:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 1ms, Average = 1ms

Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn kích thước cho phép là 65,536
bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là
gói tin quá lớn đối với buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này và sẽ
reboot hoặc bị treo.

Bạn có thể thực hiện ping of Deatch trong linux bằng cách dùng lệnh ping –f –x 65537. Chú ý từ khóa –f. Từ khóa
này ra lệnh cho máy gửi ra các gói tin càng nhanh càng tốt. Tấn công DOS thường không chỉ là tổng lưu lượng hay
kích thước lưu lượng mà còn là tốc độ mà ở đó gói tin gửi đến máy đích. Bạn có thể thực hiện các công cụ sau để thực
hiện tấn công Ping of Death.

• Jolt
• SPing
• ICMP Bug
• IceNewk

Kiểu tấn công LAND attack

Trong kiểu tấn công này, một gói tin TCP SYN sẽ được gửi với cùng địa chỉ nguồn, địa chỉ đích và số cổng. Khi một
host nhận được dạng lưu lượng bất thường này, host thường sẽ chậm lại hoặc treo hoàn toàn vì nó cố gắng khởi tạo kết
nối với chính nó trong một vòng lặp bất tận. Mặc dù đây là một kiểu tấn công cũ, cả Windows XP với SP2 và
Windows server 2003 đều bị ảnh hưởng với kiểu tấn công này. Bạn có thể dùng chương trình Hping để tạo ra các gói
tin có cùng địa chỉ nguồn và địa chỉ đích.