Các dạng tấn công trong network phổ biến (SYNC Flood, MAC flood,...)
Last updated
Last updated
Tấn công DoS/DDoS, đặc biệt là dạng tấn công DDoS TCP Syn flood, là mối đe dọa thường trực đối với hệ thống mạng và máy chủ dịch vụ của các cơ quan và tổ chức. Loại tấn công ngày thường gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, hoặc thậm chí khiến cả hệ thống ngừng hoạt động.
DoS (Denial of Service) Attack: Là dạng tấn công từ chối dịch vụ với dạng tấn công 1 chọi 1. Còn DDoS (Distributed Denial of Service) Attack: Là dạng tấn công từ chối dịch vụ phân tán. Đây là dạng đánh hội đồng.
Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) chỉ khác nhau ở phạm vi tấn công. Trong khi lưu lượng tấn công DoS thường đến từ một hoặc một số ít nguồn, còn lưu lượng tấn công DDoS lại thường phát sinh từ rất nhiều nguồn nằm rải rác trên mạng Internet.
Tóm lại, DoS là việc attacker tận dụng điểm yếu của máy chủ và làm cho máy chủ đó trở lên quá tải, dẫn đến việc không có khả năng phản hồi bất cứ yêu cầu nào khác nữa. Nhưng nếu máy chủ có cấu hình cực cao khiến attacker không đánh sập được bằng cách DoS, thì chúng sẽ tấn công đồng loạt từ nhiều nguồn như DDoS. Attacker sẽ như 1 người điều khiển chính, điều khiển một hệ thống bao gồm hàng ngàn máy tính khác (zombie) qua các handler như IRC (Internet Relay Chat) hay C&C (Command and Control), tất cả cùng tấn công một lúc. Server cho dù có kiên cố đến mấy, nếu không biết cách phát hiện thì cũng sẽ sớm bị sập nhanh chóng.
Có ba kiểu tấn công DoS/DDoS chính:
Tấn công vào băng thông mạng
Tin tặc sử dụng chiến thuật cơ bản, ai là người nhiều tài nguyên hơn sẽ thắng. Không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận.
Tấn công vào giao thức
Internet hoạt động nhờ vào các giao thức, đơn giản là cách thức chuyển một đối tượng từ điểm A đến điểm B trên mạng. Kiểu tấn công này bao gồm Ping of Death, SYN Flood, sửa đổi gói tin và các dạng khác.
Tấn công vào lớp ứng dụng
Các ứng dụng máy chủ web (Windows IIS, Apache,…) là đối tượng thường xuyên bị tấn công. Xu hướng mới của tin tặc hướng tới là các nền tảng ứng dụng WordPress, Joomla…
Trong tầng giao vận, có một khái niệm là “bắt tay 3 bước” (three way handshake). Quá trình xác nhận bắt tay 3 bước thành công này được mở màn bằng gói tin SYN và kết thúc bằng gói tin ACK (Seq+1). Khi DoS/DDoS attack xảy ra, zombie sẽ chỉ gửi toàn SYN mà không gửi ACK (Seq+1) để xác nhận bắt tay 3 bước, vì đơn giản attacker đâu có sở hữu zombie, chỉ là điều khiển zombie mà thôi. Server nhận được SYN nào thì cũng phải tạo thread/buffer để phục vụ cho SYN đó. Dẫn đến cả những SYN fake từ zombie gửi đến cũng được tạo thread/buffer để chờ phục vụ. Điều này sẽ dẫn đến việc quá tải server.
Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.
Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.
Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.
Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.
Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả.
Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước.
Tấn công HTTP GET - trong hình thức tấn công này, nhiều máy tính hoặc thiết bị khác được phối hợp để gửi nhiều yêu cầu về hình ảnh, tệp hoặc một số tài sản khác từ một máy chủ mục tiêu.
Tấn công HTTP POST - thông thường khi một form được gửi trên một trang web, máy chủ phải xử lý incoming request và đẩy dữ liệu vào một lớp lưu trữ, thường là cơ sở dữ liệu. Quá trình xử lý dữ liệu form và chạy các lệnh cơ sở dữ liệu cần thiết tương đối chuyên sâu so với lượng công suất xử lý và băng thông cần thiết để gửi yêu cầu POST. Cuộc tấn công này tận dụng sự chênh lệch trong mức tiêu thụ tài nguyên tương đối, bằng cách gửi nhiều post request trực tiếp đến một máy chủ mục tiêu cho đến khi dung lượng của nó bão hòa và xảy ra tình trạng từ chối dịch vụ.
Triển khai challenge cho các máy yêu cầu để kiểm tra xem có phải là bot hay không
DNS amplification attack là cuộc tấn công DDoS dựa trên phản xạ trong đó kẻ tấn công tận dụng chức năng của trình phân giải DNS để áp đảo máy chủ hoặc mạng mục tiêu bằng lưu lượng được khuếch đại, khiến máy chủ và cơ sở hạ tầng xung quanh không thể truy cập được.
Kẻ tấn công sử dụng endpoint bị xâm phạm để gửi UDP packets với địa chỉ IP giả mạo tới DNS recursor. Địa chỉ giả mạo trên gói tin trỏ đến địa chỉ IP thực của nạn nhân
Mỗi gói UDP đưa ra yêu cầu tới DNS resolver, thường chuyển một đối số chẳng hạn như “ANY” để nhận được phản hồi lớn nhất có thể
Sau khi nhận những request, DNS resolver cố gắng tỏ ra hữu ích bằng cách phản hồi, sẽ gửi lượng một phản hồi lớn đến địa chỉ IP giả mạo
Địa chỉ IP của mục tiêu nhận được phản hồi và cơ sở hạ tầng mạng xung quanh trở nên quá tải do lưu lượng truy cập quá lớn, dẫn đến tình trạng từ chối dịch vụ.
Với chỉ một vài request thì không đủ để đánh sập một hệ thống. Tuy nhiên, khi liên tục gửi nhiều lần các gói tin yêu cầu và DNS resolver vô tình sẽ là máy mà kẻ tấn công. Chúng sẽ lợi dụng để khuếch đại các gói tin phản hồi.
Giảm thiểu số lượng open DNS resolvers: Hạn chế các DNS resolver và chỉ cho các DNS resolver phản hồi đến các thiết bị đáng tin cậy
Kiểm tra IP nguồn - ngăn chặn các gói tin giả mạo đi ra khỏi mạng: Các nhà cung cấp dịch vụ mạng (ISP) lọc và loại bỏ các gói tin đi ra với IP giả mạo. Nếu gói tin đi ra khỏi mạng với IP nguồn khác với IP trong mạng đó thì ISP sẽ loại bỏ các gói tin này và gần như các gói tin giả mạo sẽ được loại bỏ.
Về mạng LAN chuyển mạch
Khi một thiết bị trên mạng muốn giao tiếp với một thiết bị khác, nó sẽ gửi một Ethernet frame có chứa địa chỉ MAC nguồn và địa chỉ MAC đích. Bộ chuyển mạch nhận frame này và sử dụng địa chỉ MAC đích để xác định đúng cổng trong MAC Address Table. Sau đó, nó chuyển tiếp frame ra khỏi cổng đó và hai thiết bị giao tiếp theo cách này.
Cả MAC flooding và MAC Cloning đều nhắm vào mạng LAN chuyển mạch kiểu này
Về Ethernet Frame
Ethernet frame là phương thức truyền thông ở tầng vật lý, bao gồm 6 trường được lắp ráp để truyền bất kỳ giao thức lớp cao hơn nào qua Ethernet Fabric
MAC Flooding là cuộc tấn công mạng nhắm vào các thiết bị chuyển mạch trong mạng LAN. Nó liên quan đến việc gửi nhiều gói tin có địa chỉ MAC giả để tràn bảng địa chỉ của thiết bị chuyển mạch, khiến nó trở nên đầy và không thể xử lý bất kỳ lưu lượng hợp lệ nào. Khi bảng đầy, thiết bị chuyển mạch sẽ tràn tất cả các gói tin đến tất cả các cổng, biến thiết bị chuyển mạch thành một Hub mạng và có khả năng gây ra tình trạng DoS.
Kẻ tấn công có thể gửi frame đến bất kỳ thiết bị nào trên mạng có thể thực hiện một số hành động gây hại. Một thực thể như vậy có thể chặn lưu lượng mạng hoặc thậm chí sửa đổi nó và sử dụng quyền truy cập này để cố gắng truy cập vào các thiết bị mà nếu không thì chúng sẽ không có cách nào truy cập.
Cách thức hoạt động:
Kẻ tấn công kết nối đến một cổng chuyển mạch gửi nhiều Ethernet frame giả, mỗi frame chứa một địa chỉ MAC nguồn khác nhau nhưng cùng một địa chỉ MAC đích. Mục tiêu là làm tràn ngập MAC Address Table của switch bằng các địa chỉ MAC giả để lấp đầy bảng và buộc switch vào chế độ fail-open:
Bộ chuyển mạch thêm các địa chỉ MAC mới vào MAC Address Table của nó, nhưng vì kẻ tấn công gửi quá nhiều địa chỉ giả khác nhau nên bảng nhanh chóng đầy
Khi MAC Address Table đầy, switch sẽ vào chế độ “fail-open”, bắt đầu chuyển tiếp các frame đến tất cả các cổng thay vì sử dụng bảng để xác định đúng cổng, gây ra tình trạng tắc nghẽn mạng và có thể làm gián đoạn giao tiếp
Kẻ tấn công hiện có thể gửi thông tin đến bất kỳ thiết bị nào trên mạng, làm gián đoạn giao tiếp mạng và thậm chí đánh cắp thông tin từ các frame gửi đi hoặc gửi đến.
MAC Cloning là hành động thay đổi hoặc mạo danh địa chỉ MAC của
network interface card để khớp với địa chỉ MAC của thiết bị được ủy quyền trên mạng. Điều này có thể cho phép kẻ tấn công bỏ qua các giới hạn truy cập và có được quyền truy cập trái phép vào mạng. MAC Cloning có thể được sử dụng với các cuộc tấn công MAC flood.
Cách thức hoạt động:
Kẻ tấn công theo dõi lưu lượng mạng để xác định thiết bị hợp lệ trên mạng.
Kẻ tấn công giả mạo địa chỉ MAC của thiết bị hợp lệ và kết nối với mạng. Điều này cho phép kẻ tấn công mạo danh thiết bị hợp lệ và có khả năng truy cập vào các đặc quyền thông tin nhạy cảm của thiết bị đó:
Kẻ tấn công hiện có thể chặn và sửa đổi lưu lượng mạng được gửi đến và đi từ thiết bị hợp lệ, cho phép đọc thông tin hoặc ghi dữ liệu độc hại vào các frame.
Kẻ tấn công cũng có thể sử dụng quyền truy cập này để khởi chạy các cuộc tấn công tiếp theo vào các thiết bị khác trên mạng. Cuối cùng, kẻ tấn công có thể sử dụng quyền truy cập mà chúng có được bằng cách mạo danh thiết bị hợp pháp để khởi chạy các cuộc tấn công tiếp theo vào các thiết bị khác trên mạng, có thể là tiêm mã độc, thực hiện các cuộc tấn công trung gian, cố gắng nâng cao đặc quyền hoặc giành quyền truy cập của người dùng vào máy chủ hoặc mạng khác.
Sử dụng MAC Address Filtering và các giải pháp Network Access Control để bắt buộc xác thực các thiết bị ngay cả trước khi chúng tham gia vào mạng
IDS, IPS
Tấn công HTTP flood là một loại tấn công DDoS lớp 7 được thiết kế để làm quá tải mục tiêu bằng . Khi mục tiêu đã bảo hóa với các yêu cầu và không thể phản hồi lưu lượng truy cập bình thường, sẽ xảy ra với các request mới từ người dùng hợp pháp
Để đạt được hiệu quả tối đa, những kẻ tấn công độc hại thường sử dụng hoặc tạo ra để tối đa hóa tác động của cuộc tấn công. Bằng cách sử dụng nhiều thiết bị bị nhiễm , kẻ tấn công có thể tận dụng nỗ lực của mình bằng cách tung ra khối lượng lớn hơn lưu lượng tấn công.
Sử dụng tường lửa ứng dụng web ()
Trong mạng chuyển mạch, mỗi thiết bị (ví dụ: máy tính, máy chủ, máy in) được kết nối với (switch). Switch chịu trách nhiệm theo dõi thiết bị nào được kết nối với từng cổng bằng cách duy trì một bảng gọi là “MAC Address Table”, bảng này ánh xạ của từng thiết bị với cổng chuyển mạch tương ứng. Địa chỉ MAC là duy nhất trên toàn cầu cho mỗi thành phần và mọi thực thể bên trong mạng đều có một địa chỉ cứng khác nhau do nhà sản xuất cung cấp.
Port security (Mạng có thể giới hạn số lượng địa chỉ MAC được thêm trên một cổng cụ thể) và - Lưu lương quan trọng và nhạy cảm có thể được cô lập bên trong VLAN để bảo vệ khỏi các thiết bị trái phép.
