Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc chức năng router.
Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)
24 trang |
Chia sẻ: vietpd | Lượt xem: 2552 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Tường lửa (firewall), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
I)Tường lửa là gì.(firewall)
Tường lửa là hệ thống ngăn chặn việc trái phép từ bên ngoài vào mang. Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định trước.
1) Cấu trúc của một firewall:
Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc chức năng router.
Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)
2) Các thành phần của Firewall
Một firewall bao gồm một hay nhiều thành phần sau:
+ Bộ loc packet (packet-filtering router)
+ Cổng ứng dụng (Application-level gateway hay proxy server)
II) Phân loại tường lửa
Có ba loại tường lửa cơ bản:
Truyền thông được thực hiện giửa một nút đơn và mạng, hay giữa một số mạng.
Truyền thông được chặn tại tầng mạng, hay tầng ứng dụng.
Tường lửa có theo dõi trạng thái của truyền thông hay không.
1) Phân loại theo phạm vi của các truyền trông được loc.
Tường lửa cá nhân, một ứng dụng phần mền với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn.
Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng được kết nối qua đó.
2) Khi phân loại theo các tầng giao thức nơi giao thông dữ liêu có thể bị chặn, có ba loại tường lửa chính:
Tường lửa tầng mạng. Ví dụ: Iptables
Tường lửa tầng ứng dụng. Ví dụ: TCP Wrappers
Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FPT bằng việc định cấu hình tại tệp /etc/ftpaccess
Có loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai.
3) Phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:
Tường lửa có trạng thái
Tường lửa phi trạng thái
III) Khả năng và hạn chế của tường lửa hiện nay.
1) Khả năng của một firewall
Các chức năng cơ bản của một Firewall là :
Cho phép hoặc cấm các dịch vụ truy nhập ra ngoai ( từ intranet ra internet) .
Cho phép hoặc cấm các dịch vụ truy nhập vào trong ( từ internet vào intranet ) .
Theo dõi luồng dữ liệu trao đổi giũa mạng bên trong ( intranet ) và mạng internet.
Kiểm soát địa chỉ truy nhập , cấm địa chỉ truy nhập .Xác định địa chỉ truy nhập giả mạo
Kiểm soát ngưòi sử dụng và việc truy nhập của người sử dụng .
2) Hạn chế của một firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.
IV) Các phương thức tấn công tường lửa của hacker và biện pháp phòng chống.
Trên lí thuyết, Firewall là phương pháp bảo mật an toàn nhất cho hệ thống của bạn khi có kết nối internet. Tuy nhiên vẫn tồn tại những vấn đề xung quanh môi trường bảo mật này. Nếu Firewall được cấu hình quá chặt chẽ thì sẽ làm giảm tiến trình làm việc của mạng, đặc biệt là trong môi truờng người dùng phụ thuộc hoàn toàn vào các ứng dụng phân tán. Do vậy, việc lựa chọn cấu hình Firewall sao cho vừa đảm bảo tiến trình hoạt động của mạng vùa có đựoc mức độ bảo mật cao quả là một vấn đề nan giải đối với người quản trị mạng .
Khai thác triệt để vấn đề này, các hacker đã nghiên cứu rất nhiều phưong pháp để vượt qua Firewall. Nhưng cơ bản thì đều gôm hai giai đoạn sau :
Tìm ra dạng tường lủa mà mạng đang sử dụng và các dịch vụ hoạt động phía sau nó .
Khai thác các tuyến quan hệ (trusted relationship) và các nút bảo mật kết nối lỏng lẻo nhất để cố gắng đi vòng qua Firewall .
Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi các thành phần giả mạo. Nhiều tường lửa sử dụng trạm (sacrificial hosts) - là hệ thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của hacker. Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính chất thật của nó, ví dụ : đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của hacker là phải xác định đây là các đối tượng tồn tại thật .
Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụ mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một thông điệp đến từ bên hệ thống . Khi đó, đường đI được kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống.
Dưới đây là một số phương thức thông dụng mà hacker sử dụng để định danh Firewall và xác định cấu trúc của mạng nội bộ :
1) Định danh firewall
Hầu hết mọi Firewall đều mang một "mùi hương"điện tử duy nhất. Nghĩa là, với một tiến trình quét cổng, lập cầu lửa, và nắm giữ biểu ngữ đơn giản, bọn tấn công có thể hiệu quả xác định kiểu, phiên bản, và các quy tắc của hầu hết mọi Firewall trên mạng. Tại sao việc định danh này lại quan trọng? Bởi vỡ một khi đó ánh xạ được các Firewall, chúng có thể bắt đầu tìm hiểu các điểm yếu và gắng khai thác chúng.
a) Quét trực tiếp
Cách dễ nhất để tìm kiếm các Firewall đó là quét các cổng ngầm định cụ thể. Một số Firewall trên thị trường sẽ tự định danh duy nhất bằng các đợt quét cổng đơn giản bạn chỉ cần biết nội dung tìm kiếm.
Ví dụ, Firewall-1 của Check point lắng chờ trên các cổng TCP 256, 257, 258, và Proxy Server của Microsoft thường lắng chờ trên các cổng TCP 1080 và 1745. Với sự hiểu biết này, quá trình tìm kiếm các kiểu Firewall này chẳng có gì khó với một bộ quét cổng như nmap :
nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254
Dùng khóa chuyển -PO để vô hiệu hóa tính năng ping ICMP trước khi quét. Điều này quan trọng bởi hầu hết Firewall không đáp ứng các yêu cầu dội ICMP. Cả bọn tấn công nhút nhát lẫn hung bạo đều tiến hành quét rộng rãi mạng theo cách này, tìm kiếm các Firewall này và tìm kiếm mọi khe hở trong két sắt vành đai. Nhưng bọn tấn công nguy hiểm hơn sẽ lùng sục vành đai càng lén lút càng tốt. Có nhiều kỹ thuật mà bọn tấn công có thể sử dụng để hạ sập radar, bao gồm ngẫu nhiên hóa các ping, các cổng đích, các địa chỉ đích, và các cổng nguồn;dùng các hệ chủ cò mồi; và thực hiện các đợt quét nguồn có phân phối.
Các Biện Pháp Phòng Chống :
Để ngăn cản các đợt quét cổng bức tường lửa từ Internet, cần phong tỏa các cổng này trên các bộ định tuyến đứng trước các Firewall . Nếu các thiết bị này do ISP quản lý, cần liên hệ với họ để tiến hành phong tỏa.
b) Ra tuyến đường
Một cách thinh lặng và tinh tế hơn để tìm các Firewall trên một mạng đó là dùng traceroute . Các hacker sử dụng traceroute của UNIX hoặc tracert.exe của NT để tìm từng chặng dọc trên đường truyền đến đích và tiến hành suy diễn. Traceroute của Linux có tùy chọn -I, thực hiện rà đường bằng cách gửi các gói tin ICMP, trái với kỹ thuật gúi tin UDP ngầm định.
Biện Pháp Phòng Chống :
Để ngăn cản các traceroute chạy trên biên, có thể cấu hình các bộ định tuyến không đáp ứng các thông điệp TTL EXPI#800000 khi nó nhận một gói tin có TTL là 0 hoặc 1. Hoặc nên phong tỏa toàn bộ luồng lưu thông UDP không cần thiết tại ứac bộ định tuyến biên.
c) Nắm giữ biểu ngữ
Kỹ thuật quét tìm các cổng Firewall là hữu ích trong việc định vị các Firewall , nhưng hầu hết các Firewall không lắng chờ trên các cổng ngầm định như Check point và Microsoft, do đó việc phát hiện phải được suy diễn. Nhiều Firewall phổ dụng sẽ công bố sự hiện diện của chúng bằng cách đơn giản nối với chúng. Ví dụ , nhiều Firewall giám quản sẽ công bố chức năng của chúng với tư cách một Firewall , và một số sẽ quảng cáo kiểu và phiên bản của chúng. Ví dụ, khi ta nối với một máy được tin là một bức tường lửa bằng netcat trên cổng 21 (FTP ), ta sẽ thấy một số thông tin thú vị :
:
C:\TEMP>nc -v -n 192.168.51.129 2 l
[UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open
220 Secure Gateway FTP server ready .
Biểu ngữ "Secure Gateway server FTP ready" là một dấu hiệu lộ tẩy của một hộp Eagle Raptor cũ. Việc nối thêm với cổng 23 (telnet) sẽ xác nhận tên bức tường lửa là "Eagle."
C:\TEMP>nc -v -n 192.168.51.129 23
[UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open
Eagle Secure Gateway . Hostname :
Và cuối cùng. nếu vẫn chưa bị thuyết phục hệ chủ là một bức tường lửa, có thể netcat với cổng 25 ( SMTP ), và nó sẽ bảo cho biết nó là gì:
C:\TEMP>nc -v -n 192.168.51.129 25
[UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open
421 fw3.acme.com Sorry, the firewall does not provide mail service to you.
Như đó thấy trong các ví dụ trên đây, thông tin biều ngữ có thể cung cấp các thông tin quý giá cho bọn tấn công trong khi định danh các bức tường lửa. Dùng thông tin này, chúng có thể khai thác các chỗ yếu phổ biến hoặc các cấu hình sai chung.
Biện Pháp Phòng Chống :
Để chỉnh sửa chỗ yếu rò rỉ thông tin này, chúng ta giới hạn thông tin biểu ngữ quảng cáo. Một biểu ngữ tốt có thể kèm theo một mục cảnh giác mang tính pháp lý và tất cả mọi nỗ lực giao kết sẽ đợc ghi sổ. Hoặc có thể thay đổi thông tin về Firewall từ các biểu ngữ quảng cáo .
2) Quét qua các tường lửa
a) Kĩ thuật hping
Hping làm việc bằng cách gửi các gói tin TCP đến một cổng đích và báo cáo các gói tin mà nó nhận trở lại. hping trả về nhiều đáp ứng khác nhau tùy theo số điều kiện. Mỗi gói tin từng phần và toàn thể có thể cung cấp một bức tranh khá rõ về các kiểu kiểm soát truy cập của Firewall. Ví dụ, khi dùng hping ta có thể phát hlện các gói tin mở, bị phong tỏa, thả, và loại bỏ.
Trong ví dụ sau đây, hping báo cáo cổng 80 đang mở và sẵn sàng nhận một tuyến nối. Ta biết điều này bởi nó đón nhận một gói tin với cờ SA đợc ấn định (một gói tin SYN/ACK).
[ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S
-p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S
set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA
seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms
Giờ đây ta biết có một cống mở thông đến đích, nhưng chưa biết nơi của Firewall. Trong ví dụ kế tiếp, hping báo cáo nhận một ICMP unreachable type 13 từ 192.168.70.2. Một ICMP type 13 là một gói tin lọc bị ICMP admin ngăn cấm, thường được gửi từ một bộ định tuyến lọc gói tin.
[root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S
-p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S
set, 40 data bytes ICMP Unreachable type 13 f rom
192.168.70.2
Giờ đây nó đã xác nhận, 192.168.70.2 ắt hẳn là bức tường lửa, và ta biết nó đang rõ rệt phong tỏa cổng 23 đến đích của chúng ta.
b) Firewalk
Firewalk là một cụng cụ nhỏ tiện dụng, như một bộ quét cổng, được dùng để phát hiện các cổng mở đằng sau một Firewall. Được viết bởi Mike Schiffnlan, trình tiện ích này sẽ quét một hệ chủ sử dụng Firewall và báo cáo trở lại các quy tắc được phép đến hệ chủ đó mà không phải thực tế chạm đến hệ đích. Firewalk làm việc bằng cách kiến tạo các gói tin với một IP TTL được tính toán để kết thúc một chặng vượt qúa bức tường lửa. Về lý thuyết, nếu gói tin được Firewall cho phép, nó sẽ được phép đi qua và sẽ kết thúc như dự kiến, suy ra một thông điệp "ICMP TTL expired in transit." Mặt kuasc, nếu áoi tin bị ACL của Firewall phong tỏa, nó sẽ bị thả, và hoặc không có dáp ứng nào sẽ được gửi, hoặc một gói tin lọc bị ICMP type 13 admin ngăn cấm sẽ đợc gửi.
Biện Pháp Phòng Chống :
Bạn có thể phong tỏa các gói tin ICMP TTL EXPI#800000 tại cấp giao diện bên ngoài, nhưng điều này có thể tác động tiêu eực đến khả năng vận hành của nó, vì các hệ khách hợp pháp đang nối sẽ không bao giờ biết điều gì đó xảy ra với tuyến nối của chúng.
V) Địa chỉ IP
1) Địa chỉ IP là gì ?
Mỗi máy tính khi kết nối vào internet đều có một địa chỉ duy nhất, đó là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy tính còn lại trên mạng internet .
Địa chỉ ip là một số 32 bit = 4 byte nên có thể coi địa chỉ ip được tạo thành từ 4 số có kích thước 1 byte, mỗi số có giá trị từ o-255 .Mỗi địa chỉ ip đều gôm 2 phần là địa chỉ mạng ( network ) và địa chỉ máy (host).Ví dụ : 192.168.10.56;255.144.10.51 …
2) Các lớp của địa chỉ IP
Toàn bộ địa chỉ IP được chia vào 6 lớp khác nhau : A,B,C,D,E và loopback . Mỗi lớp có cách xác định địa chỉ network và địa chỉ host khác nhau .
Biểu đồ cấu trúc các lớp của địa chỉ IP :
Lớp
Cấu trúc địa chỉ IP
Format
Số bít mạng/số bit host
Tổng số mạng/lớp
Tổng số host/mạng
Vùng địa chỉ IP
0
32
A
0
Netid
Hostid
N.H.H.H
7/24
126
17.7777.214
1.0.0.1-126.0.0.0
B
1
0
Netid
Hostid
N.N.H.H
14/16
16.382
65.643
128.1.0.0-191.254.0.0
C
1
1
0
netid
Hostid
N.N.N.H
22/8
4194.302
245
195.0.1.0-233.255.254.0
D
1
1
1
0
địa chỉ multicast
-
-
-
-
224.0.0.0-239.255.255.255
E
1
1
1
1
Dành riêng
-
-
-
-
240.0.0.0-254.255.255.255
Loopback
-
-
-
-
-
127.x.x.x
ghi chú : N=network ; H = host .
Giải thích :
Lớp A : bit đầu tiên là 0, 7 bit tiếp theo dành cho địa chỉ network nên có tối đa 2^7-2 = 126 địa chỉ mạng trên lớp A, 24 địa chỉ tiếp theo dành cho địa chỉ host nên mỗi mạng thuộc lớp A sẽ có tối đa là 2^24-2=17.777.214 máy.Nguyên nhân phảI trừ đi 2 tại vì có 2 địa chỉ được dành riêng là địa chỉ mạng ( x.x.x.0) và địa chỉ broadcast ( x.x.x.255).Lớp A chỉ dành riêng cho các tổ chức lớn trên thế giới , vùng địa chỉ ip của lớp A là 1.0.0.1-126.0.0.0.
Lớp B có 2 bit đầu tiên là 10, 14 bit tiếp theo dành cho địa chỉ nework , 16 bit còn lại dùng cho địa chỉ host, số mạng tối đa trên lớp B là 16.382 và số máy tối đa trên mỗi mạng là 65.643 máy. Lớp B được dành cho các tổ chức hạng trung trên thế giới. Vùng địa chỉ dành cho lớpB là 128.1.0.0*192.254.0.0.
Lớp C có 3 bit đầu tiên là 110 , 22 bit tiếp theo dành cho địa chỉ network ,8 bit còn lại dành cho host . Số mạng tối đa trên lớp C là 4194302 mạng và mỗi mạng chứa tối đa 245 máy. Lớp C được dành cho các tổ chức nhỏ và các máy tính cá nhân .vùng địa chỉ của lớp C là 192.0.1.0-223.255.254.0.
Lớp D Bốn bit đầu tiên luôn là 1110, được dành cho các nhóm multicast, có vùng địa chỉ từ 224.0.0.0-239.255.255.255.
Lớp E với 4 bit đầu là 1111 , lớp này được dùng cho các mục đích nghiên cứu. Vùng địa chỉ từ 240.0.0.0-254.255.255.255
Loopback là địa chỉ quay trở lại, 127.x.x.x. Bạn thường bắt gặp địa chỉ 127.0.0.1 đây chính là địa chỉ IP quay trở lại máytính mà bạn đang nối internet.
Ví dụ : 128.7.15.1
Bin
10000000
00000111
00001111
00000001
Dec
128
7
15
1
Hai bit đầu tiên là 10 vậy đây là địa chỉ thuộc lớp B (N.N.H.H) từ đó có thể suy ra địa chỉ mạng là 127.7 còn địa chỉ máy là 15.1
Ta cũng có thể xác định dựa vào byte đầu tiên của địa chỉ IP :
Lớp
Byte đầu tiên của địa chỉ IP
A
1-126
B
128-191
C
192-223
D
224-239
E
240-254
Loopback
127
3) Tìm hiểu về subnet
Để cấp phát địa chỉ IP cho các mạng khác nhau một cách hiệu qủa và dễ quản lý, người ta dùng một kĩ thuật gọi là subnet. Subnet sẽ vay mượn một số bit của host id để là subnet mask (mặt nạ mạng) .
Subnet mask có tất cả các bit network va subnet đều bằng 1 còn các bit host đều bằng 0
Tất cả các máy trên cùng một mạng phảI có cùng một subnet mask .
Để phân biệt được các mạng con (subnet) khác nhau , bộ định tuyến dùng phép logic AND.
VI) Tấn công từ chối dịch vụ (DOS - Denial of sevices)
1) DOS attack là gì?
DoS attack là kiểu tấn công rất lợi hại, với loại tấn công nào, chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương. Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server (tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ...) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác (máy của những người dùng bình thường) và server cú thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
2) Các loại DOS attack .
a) Winnuke
DOS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gửi các gói tin với dữ liệu ``Out of Band`` đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash
b) Ping of Death
Trong kiểu DoS attack này, hacker sẽ gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo .
Ví dụ : ping –i 65000.
c) TearDrop
Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Lợi dụng sơ hở đó, Hacker chỉ cần gửi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn.
d) SYN attack
Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đó gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin . Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công .
e) UDP Flooding
Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP. Và giả mạo địa chỉ ip của các gói tin là địa chỉ loopback ( 127.0.0.1 ), rồi gởi gói tin này đến hệ thống của nạn nhân trên cổng UDP echo ( 7 ). Hệ thống của nạn nhân sẽ trả lời lại các messages do 127.0.0.1( chính nó ) gởi đến, kết quả là nó sẽ đi vòng một vòng lặp vô tận. Tuy nhiên, có nhiều hệ thống không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ ip của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn nhân .
f) Tấn công DSN
Hacker có thể đổ