Tiểu luận: Các kiểu tấn công và phòng chống DoS/DDoS | Môn Luật an ninh mạng - Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh
An ninh mạng được hiểu là một quá trình thực hiện các biện pháp cụ thể để có thể phòng chống được những lỗ hổng về các vấn đề bảo mật hoặc các virus xâm nhập vào các phần mềm, các ứng dụng của hệ thống website, server, dữ liệu…nhằm mục đích bảo vệ được hệ thống cơ sở mạng hạ tầng. Tài liệu được sưu tầm gồm 16 trang, giúp bạn ôn tập tốt hơn. Mời các bạn đón xem.
Môn: Luật an ninh mạng 7 tài liệu
Trường: Đại học Sư phạm Kỹ thuật Thành phố Hồ Chí Minh 3.6 K tài liệu
Tác giả:
Preview text:
lOMoAR cPSD| 58728417
AN NINH MẠNG - CÁC KIỂU TẤN CÔNG VÀ PHÒNG CHỐNG DoS/DDoS I. An ninh mạng: 1. An ninh mạng là gì?
An ninh mạng được hiểu là một quá trình thực hiện các biện pháp cụ thể để có thể phòng
chống được những lỗ hổng về các vấn đề bảo mật hoặc các virus xâm nhập vào các phần mềm,
các ứng dụng của hệ thống website, server, dữ liệu…nhằm mục đích bảo vệ được hệ thống cơ sở mạng hạ tầng.
Một khái niệm khác của an ninh mạng là: an ninh mạng là sự phòng tránh những xâm
nhập có hại hoặc những truy cập sai mục đích dẫn đến tình trạng an ninh, bảo mật thông tin gặp
rất nhiều các vấn đề.
2. An Ninh Mạng sẽ hoạt động như thế nào?
An Ninh Mạng chắc chắn không chỉ dựa vào một phương pháp thông thường mà sẽ sử
dụng một tập hợp các rào cản để có thể bảo vệ được doanh nghiệp của bạn theo nhiều cách khác
nhau. Ngay khi một giải pháp gặp sự cố bất ngờ thì giải pháp khác vẫn có thể bảo vệ được công
ty và tất cả dữ liệu của bạn trước sự đa dạng của các loại tấn công mạng.
Những lớp an ninh trên mạng của bạn có nghĩa là thông tin sẽ có giá trị mà bạn dựa vào
để tiến hành kinh doanh, là sẵn có đối với chúng ta và sẽ được bảo vệ hoàn toàn trước những
đợt tấn công. Cụ thể sẽ là, An Ninh Mạng:
Đầu tiên là bảo vệ chống lại được những đợt tấn công mạng từ bên trong và bên ngoài.
Các đợt tấn công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của
doanh nghiệp bạn, một hệ thống an ninh thực sự hiệu quả sẽ giám sát tất cả các hoạt động mạng,
từ đó cảnh báo về những hành động vi phạm và thực hiện được những phản ứng thích hợp.
Tiếp theo là kiểm soát được truy cập thông tin bằng cách xác định chính xác được người
dung và hệ thống của họ. Các doanh nghiệp có thể đặt ra những quy tắc của riêng mình về
quyền truy cập dữ liệu. Có thể phê duyệt hoặc từ chối được cấp trên cơ sở danh tính người dung,
chức năng của công việc hoặc là các tiêu chí kinh doanh cụ thẻ khác.
3. Tiêu chuẩn an ninh mạng:
• An toàn thông tin là các biện pháp nhằm đảm bảo tính bí mật (confidentiality), tính toàn vẹn
(integrity) và tính sẵn sàng (availability) của thông tin.
• ISO 17799: Mục tiêu của BS7799 / ISO 17799 là “tạo nền móng cho sự phát triển các tiêu
chuẩn về A TTT và các biện pháp quản lý ATTT hiệu quả trong một tổ chức , đồng thời tạo ra
sự tin cậy trong các giao dịch liên tổ chức”
ISO 17799 nhằm để thiết lập hệ thống quản lý bảo mật thông tin, gồm các bước như sau:
a) Xác định phạm vi và ranh giới của hệ thống ISMS phù hợp với đặc điểm của hoạt động kinh
doanh, việc tổ chức, vị trí địa lý, tài sản và công nghệ, và bao gồm các chi tiết của chúng và
các minh chứng cho các loại trừ trong phạm vi áp dụng.
b) Xác định một chính sách của hệ thống bảo mật phù hợp với đặc điểm của hoạt động kinh
doanh, việc tổ chức, vị trí địa lý, tài sản và công nghệ mà:
• Bao gồm cơ cấu cho việc thiết lập các mục tiêu và xây dựng ý thức chung trong định hướng
và các nguyên tắc hành động về bảo mật thông tin.
• Quan tâm đến các hoạt động kinh doanh và các yêu cầu của luật hoặc pháp lý, và các bổn phận bảo mật thõa thuận.
• Sắp xếp thực hiện việc thiết lập và duy trì hệ thống ISMS trong chiến lược của tổ chức về việc quản lý các rủi ro.
• Thiết lập tiêu chuẩn để đánh giá các rủi ro
• Được duyệt bởi lãnh đạo
c) Xác định cách thức đánh giá rủi ro của tổ chức lOMoAR cPSD| 58728417
• Xác định phương pháp đánh giá rủi ro phù hợp với hệ thống mạng, và những thông tin của
hoạt động kinh doanh đã xác định, các yêu cầu của luật và pháp chế Xây dựng tiêu
chuẩn chấp nhận các rủi ro và xác định các mức độ chấp nhận d) Xác định các rủi ro
• Xác định các tài sản thuộc phạm vi của hệ thống mạng và các chủ nhân của những tài sản này
• Xác định các rủi ro cho các tài sản đó
• Xác định các yếu điểm mà có thể bị khai thác hoặc lợi dụng bởi các mối đe dọa
• Xác định các ảnh hưởng hoặc tác động làm mất tính bí mật, toàn vẹn và sẳn có mà có thể có ở các tài sản này
e) Phân tích và đánh giá các rủi ro
• Đánh giá các tác động ảnh hưởng đến hoạt động của tổ chức có thể có do lỗi bảo mật, Quan
tâm xem xét các hậu quả của việc mất tính bảo mật, toàn vẹn hoặc sẳn có của các tài sản
• Đánh giá khả năng thực tế có thể xãy ra các lỗi bảo mật do khinh suất các mối đe dọa và yếu
điểm phổ biến hoặc thường gặp,
• và do các ảnh hưởng liên quan đến các tài sản này, và do việc áp dụng các biện pháp kiểm soát hiện hành.
• Ước lượng các mức độ rủi ro
• Định rõ xem coi các rủi ro có thể chấp nhận được hay cần thiết phải có xử lý bằng cách sử
dụng các tiêu chuẩn chấp nhận rủi ro đã được lập trong mục c – 2
f) Xác định và đánh giá các phương án xử lý các rủi ro
• Áp dụng các biện pháp kiểm soát thích hợp
• Chủ tâm và một cách khách quan chấp nhận các rủi ro, với điều kiện chúng thõa mãn một
cách rõ ràng các chính sách của tổ chức và các chuẩn mực chấp nhận rủi ro. • Tránh các rủi ro
• Chuyển các công việc rủi ro liên đới cho các tổ chức/cá nhân khác như nhà bảo hiểm, nhà cung cấp
g) Chọn các mục tiêu kiểm soát và các biện pháp kiểm soát để xử lý các rủi ro
h) Thông qua lãnh đạo các đề suất về các rủi ro còn lại sau xử lý
i) Được phép của lãnh đạo để áp dụng và vận hành hệ thống quản lý bảo mật thông tin
j) Chuẩn bị bản tuyên bố áp dụng
• Các mục tiêu kiểm soát và các biện pháp kiểm soát được và các lý do chọn chúng
• Các mục tiêu kiểm soát và các biện pháp kiểm soát hiện đang được áp dụng
• Các ngoại lệ của bất kỳ các mục tiêu kiểm soát và các biện pháp kiểm soát và minh chứng cho chúng. 4. Vài ví dụ:
• Bị Virus xâm nhập: hỏng dữ liệu, ngừng hệ thống, …
• Bị Trojan, Spyware: ăn cắp thông tin, cài đặt cổng hậu, …
• Bị đánh cắp mật khẩu: dẫn đến bị giả mạo để • truy nhập thông tin
• Bị Hacker (Tin tặc) xâm nhập qua mạng: để phá hoại hệ thống, lấy cắp hay sửa đổi thông tin, …
• Bị “nghe trộm” (sniffer) thông tin khi truyền qua mạng: lộ bí mật kinh doanh (giá bỏ thầu, giá
mua hàng…), bị sửa sai lệch thông tin,…
• Bị thông tin giả mạo gửi đến, dẫn đến những quyết định sai gây thiệt hại nghiêm trọng (vi
phạm tính chống từ chối): PHISHING, …
• Bị sửa đổi trang Web, gây mất uy tín với KH, bạn hàng, …
• Bị người dùng bên trong làm lộ thông tin cho đối thủ, …(information leakage)
• Bị người dùng bên trong phá hoại, … lOMoAR cPSD| 58728417
• Bị lỗ hổng, back-door (vô tình hay cố ý) trong các ứng dụng thuê công ty bên ngoài phát triển …………….
• Bị tấn công từ chối dịch vụ: gây ngừng trệ hệ thống (mất tính sẵn sàng) II.
Các kiểu tấn công mạng:
1. Tấn công bị động (Passive attack)
Trong một cuộc tấn công bị động, các hacke sẽ kiểm soát traffic không được mã hóa và
tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin nhạy cảm có thẻ
được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao gồm phân tích
traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic mã hóa yếu, và thu
thập các thông tin xác thực như mật khẩu.
Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem
xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động là các thông tin hoặc file
dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết.
2. Tấn công rải rác (Distributed attack)
Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã, chẳng hạn như
một chương trình Trojan horse hoặc một chương trình back-door, với một thành phần "tin cậy"
hoặc một phần mềm được phân phối cho nhiều công ty khác và tấn công user bằng cách tập
trung vào việc sửa đổi các phần mềm độc hại của phần cứng hoặc phần mềm trong quá trình
phân phối,... Các cuộc tấn công giới thiệu mã độc hại chẳng hạn như back door trên một sản
phẩm nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ thống.
3. Tấn công nội bộ (Insider attack)
Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc, chẳng hạn
như một nhân viên nào đó "bất mãn" với công ty của mình,…các cuộc tấn công hệ thống mạng
nội bộ có thể gây hại hoặc vô hại.
Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thông tin
một cách gian lận hoặc truy cập trái phép các thông tin. 4. Tấn công Phishing
Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả trông “giống
hệt” như các trang web phổ biến. Trong các phần tấn công phising, các hacker sẽ gửi một email
để người dùng click vào đó và điều hướng đến trang web giả mạo. Khi người dùng đăng nhập
thông tin tài khoản của họ, các hacker sẽ lưu lại tên người dùng và mật khẩu đó lại.
5. Các cuộc tấn công của không tặc (Hijack attack)
Trong các cuộc tấn công của không tặc, các hacker sẽ giành quyền kiểm soát và ngắt
kết nối cuộc nói chuyện giữa bạn và một người khác.
6. Tấn công mật khẩu (Password attack)
Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩu được lưu
trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin.
Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ điển
(dictionary attack), brute-force attack và hybrid attack.
Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩu tiềm năng.
7. Khai thác lỗ hổng tấn công (Exploit attack)
Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các hacker phải hiểu
biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm và tận dụng kiến thức này để khai thác các lỗ hổng.
8. Buffer overflow (lỗi tràn bộ đệm) lOMoAR cPSD| 58728417
Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một ứng dụng
nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack là các hacker tấn công
truy cập quản trị hệ thống trên Command Prompt hoặc Shell.
9. Tấn công từ chối dịch vụ (denial of service attack)
Không giống như các cuộc tấn công mật khẩu (Password attack), các cuộc tấn công từ
chối dịch vụ (denial of service attack) ngăn chặn việc sử dụng máy tính của bạn hoặc hệ thống
mạng theo cách thông thường bằng valid users.
Sau khi tấn công, truy cập hệ thống mạng của bạn, các hacker có thể: - Chặn traffic.
- Gửi các dữ liệu không hợp lý tới các ứng dụng hoặc các dịch vụ mạng, dẫn đến việc thông
báo chấm dứt hoặc các hành vi bất thường trên các ứng dụng hoặc dịch vụ này.
- Lỗi tràn bộ nhớ đệm.
10. Tấn công theo kiểu Man-in-the-Middle Attack
Đúng như cái tên của nó, một cuộc tấn công theo kiểu Man-in-the-Middle Attack xảy ra
khi cuộc nói chuyện giữa bạn và một người nào đó bị kẻ tấn công theo dõi, nắm bắt và kiểm
soát thông tin liên lạc của bạn một cách minh bạch.
Các cuộc tấn công theo kiểu Man-in-the-Middle Attack giống như một người nào đó giả
mạo danh tính để đọc các tin nhắn của bạn. Và người ở đầu kia tin rằng đó là bạn, bởi vì kẻ tấn
công có thể trả lời một cách tích cực để trao đổi và thu thập thêm thông tin.
11. Tấn công phá mã khóa (Compromised-Key Attack)
Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các thông tin bảo
mật. Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với các hacker thì điều này là
có thể. Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là mã khóa gây hại.
Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc mà
không cần phải gửi hoặc nhận các giao thức tấn công. Với các mã khóa gây hại, các hacker có
thể giải mã hoặc sửa đổi dữ liệu. 12. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm
quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và
mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt
nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh,
địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và
những thông tin về môi trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá
của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo
những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công
của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã
được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập.
Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người
quản trị hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với
chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn
ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình
phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các
yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành
một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống. lOMoAR cPSD| 58728417
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử
dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin
không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính
toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập. 13. Nghe trộm
Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật
khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến
hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương
trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ
các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet. 14. Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn
đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng
bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy
được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
15. Vô hiệu các chức năng của hệ thống
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó
thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn
công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ
tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực
hiện những công việc có ích khác.
16. Lỗi của người quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người
quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
17. Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng
để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm
chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.
Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và
chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh
giác với những hiện tượng đáng nghi.
Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và
chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ
an toàn của hệ thống bảo vệ.
18.Tấn công theo tệp đính kèm:
Ví dụ như Email, file đính kèm chẳng hạn. Sau khi người dùng click vào tệp đính kèm
thì lập tức máy tính bị nhiễm virus. Case Study điển hình trong thời gian quý I năm 2017 là
hàng loạt vụ xảy ra liên quan tới mã độc tống tiến Ransomware khi người dùng Click vào tệp
đính kèm trong email. Hoặc mã độc tống tiền Ransomware có thể ẩn trong quảng cáo Skype,
phần mềm trên điện thoại iPhone, Android. 19. Tấn công ẩn danh:
Virus có thể xâm nhập vào máy tính bằng những phần mềm độc hại như những phần
mềm diệt virus, phần mềm học tập hay các trình duyệt, plug in ẩn danh, ẩn trong quảng cáo của
trình duyệt & phần mềm III.
Các giải pháp phát hiện và phòng chống tấn công mạng: lOMoAR cPSD| 58728417
1. Các giải pháp phát hiện tấn công mạng: a)
Xác định độ bao phủ của bề mặt dễ bị tấn công mới:
Các TC/DN đang phải đối mặt với một cuộc chiến khốc liệt trong lĩnh vực ATTT mạng,
vì độ bao phủ của bề mặt dễ bị tấn công mới trong không gian mạng mà họ cần bảo vệ đang
mở rộng ra một cách đáng kể và vẫn chưa dừng lại.
Trước đây, các TC/DN chỉ cần tập trung vào bảo vệ hệ thống mạng và các điểm cuối, thì hiện
nay cần tập trung vào tất cả các ứng dụng, dịch vụ đám mây, thiết bị di động (ví dụ như: máy
tính bảng, điện thoại thông minh, các thiết bị Bluetooth và đồng hồ thông minh…), IoT (ví dụ
như: các hệ thống đèn chiếu sáng, thiết bị gia dụng, hệ thống sưởi ấm, điều hòa không khí,...),
mạng lưới phần mềm và các dịch vụ điều khiển từ xa....
Theo khảo sát của tổ chức Quản lý nguy cơ ATTT toàn cầu, có 84% các vụ tấn công
mạng hiện nay nhắm mục tiêu đến lớp ứng dụng chứ không phải lớp mạng, mặc dù điều này
đòi hỏi phương pháp tiếp cận toàn diện hơn, nhưng tỷ lệ thành công lại cao hơn. Do đó, các
TC/DN cần mở rộng phạm vi “phòng thủ” của mình đối với các khu vực mới. Điều này có
nghĩa là không chỉ sử dụng cách tiếp cận quản lý nguy cơ của các nhà cung cấp, mà còn có
trách nhiệm tập hợp các dữ liệu bảo mật liên quan đến những khu vực tấn công mới này để chủ động phòng chống. b)
Sử dụng quy trình tự động hóa trong phân tích dữ liệu
Cách tiếp cận và xác định các bề mặt dễ bị tấn công “rộng hơn và sâu hơn” chỉ giúp quản
lý dữ liệu tốt hơn chứ chưa giúp phòng tránh được các tấn công. Để khắc phục vấn đề này, các
TC/DN cần chia nhỏ dữ liệu và thực hiện các quy trình tự động hóa với sự trợ giúp của các
công nghệ để rút ngắn thời gian xử lý dữ liệu. Điều đó có thể hỗ trợ tốt nhất cho các hoạt động
bảo vệ không gian mạng của của các TC/DN.
Khối lượng, tốc độ và độ phức tạp của dữ liệu trong các TC/DN được tạo ra bởi vô số
thiết bị, dịch vụ công nghệ thông tin và bảo mật trong hệ thống mạng. Các nguồn dữ liệu từ các
hệ thống này cần được phân tích, bình thường hóa và được ưu tiên khắc phục khi có sự cố.
Càng nhiều công cụ được sử dụng thì thách thức càng lớn. Hơn nữa, bề mặt dễ bị tấn công càng
rộng, thì càng có nhiều dữ liệu cần phân tích. Do đó, cách tiếp cận này đòi hỏi đội ngũ nhân
viên phải xử lý một lượng dữ liệu khổng lồ để tìm ra sự liên kết giữa các đặc trưng và tìm các
mối đe dọa tiềm ẩn. Việc này có thể gây tốn kém về thời gian và trong thời gian này kẻ tấn công
vẫn có thể khai thác lỗ hổng chưa được vá và trích xuất dữ liệu. c)
Quan tâm thường xuyên đến bối cảnh hiện tại về tình hình an toàn mạng
Việc chỉ tập trung vào xử lý những phát hiện từ các hệ thống dò quét an ninh nội bộ như
máy quét lỗ hổng, các cơ sở dữ liệu quản lý cấu hình và các hệ thống giám sát an toàn thông
tin mạng (Security Infomation and Event Management - SIEM) hiện nay không còn đảm bảo
hiệu quả tối đa. Việc phụ thuộc vào hệ thống này có thể dẫn đến việc phân loại không chính
xác các hành động khắc phục hậu quả và phân bố các nguồn lực để xử lý lỗ hổng thiếu hiệu quả.
Ví dụ điển hình cho trường hợp này là lỗ hổng POODLE vào năm 2014 (đây là lỗ hổng
bảo mật cực kỳ nghiêm trọng trong giao thức mã hóa web SSL 3.0, nó cho phép tin tặc có thể
chiếm hoàn toàn tài khoản email, tài khoản ngân hàng và các dịch vụ khác).Ban đầu, tổ chức
đánh giá Cơ sở dữ liệu dễ bị tổn thương quốc gia Mỹ (National Vulnerability Database - NVD)
chỉ đánh giá lỗ hổng này có nguy cơ bị tấn công là 5.5/10 điểm, khiến hầu hết các TC/DN chủ
quan không ưu tiên khắc phục nó, dẫn đến những hậu quả nghiêm trọng. Nguyên nhân chính
của việc này là do các hành động ứng phó lỗ hổng trong hệ thống của các TC/DN khi đó chỉ
đối phó với các tấn công vào lỗ hổng có nguy cơ từ 7/10 điểm trở lên. Tuy nhiên, nếu
như các TC/DN biết rằng có tới hàng trăm nghìn cuộc khai thác POODLE đang được thực hiện
tại thời điểm đó mỗi ngày, họ có thể sẽ cảm nhận được nguy cơ để đối phó kịp thời, tránh được lOMoAR cPSD| 58728417
những thiệt hại đáng tiếc xảy ra. Thông thường, một sự cố ATTT cần có hai điều kiện để xảy
ra: một là phải có lỗ hổng trong phần mềm hoặc một chương trình cấu hình không an toàn, hai
là phải có một kẻ tấn công đang khai thác lỗ hổng đó. Đáng tiếc là thời điểm đó các TC/DN đã
không chú ý đến điều kiện thứ hai.
Các chuyên gia ATTT đa phần không có quyền kiểm soát trực tiếp các mối đe dọa, họ
chỉ phân tích và định hướng khắc phục chúng dựa trên các sự kiện đã biết, nên thường bỏ qua
các mối đe dọa tiềm năng. Trong vài năm gần đây, số lượng các lỗ hổng bùng phát liên tục và
các TC/DN hầu như sẽ không thể khắc phục được tất cả nếu như không kiểm tra tác động từ
các lỗ hổng đó sẽ ảnh hưởng đến mình như thế nào.
Do đó, TC/DN không thể chỉ dành nguồn lực để sửa các lỗ hổng đã có mà cần phải dành
một phần để thu thập thông tin chi tiết về khả năng, hoạt động hiện tại và xu hướng hoạt động
trong tương lai của các mối đe dọa tiềm ẩn (ví dụ: các loại hình tấn công mới, hoạt động của
các nhóm tin tặc, các tổ chức chống đối nhà nước...) để đưa ra các biện pháp đề phòng. Trong
thực tế, hiện nay các nhóm ATTT tiên tiến đã thực hiện theo phương pháp này. Các TC/DN cần
nắm được bối cảnh này và có những sự liên kết với các nhóm này để tăng cường sức mạnh
phòng thủ trong không gian mạng của mình, cũng như trên toàn thế giới. c) Phân tích theo các nguy cơ
Khi các vấn đề ATTT trong các TC/DN được cập nhật đầy đủ, chính xác theo bối cảnh
về các mối đe dọa mới từ bên ngoài (ví dụ như các tấn công khai thác lỗ hồng, các phần mềm
độc hại, các nhân tố đe dọa, trí tuệ nhân tạo...) thì chúng phải tương quan với khả năng của các
TC/DN để có thể xác định các nguy cơ ATTT thực sự và tác động của chúng như thế nào với
các hoạt động của TC/DN. Ví dụ một hệ thống máy chủ quản lý email có các nguy cơ hoàn
toàn khác với một hệ thống máy chủ quản lý kinh doanh.... Trong bối cảnh này, việc sử dụng
công nghệ với các thuật toán tiên tiến kết hợp với sự phân tích chính xác từ người quản lý sẽ
đóng vai trò quan trọng trong việc lựa chọn những quyết định đúng đắn. Do đó, các TC/DN cần
dành một phần nguồn lực nhất định cho việc phân tích nguy cơ trên các bề mặt dễ bị tấn công
mới trong không gian mạng của mình. d) Có một chu trình xử lý khép kín
Vấn đề tăng cường sự hợp tác giữa các nhóm ATTT, có trách nhiệm xác định các vùng
an toàn, với các nhóm công nghệ thông tin để khắc phục các sự cố an toàn mạng tiếp tục là một
thách thức đối với các TC/DN.
Việc sử dụng khái niệm an toàn mạng dựa trên phân tích theo nguy cơ mới chỉ được phác
thảo trên lý thuyết, trong thực tế, cần sử dụng các quy trình tự động tiên tiến để thông báo các
sự cố bảo mật và phải có sự can thiệp tương tác của con người trong quá trình này. Bằng
cách thiết lập trước các giới hạn và quy tắc, các TC/DN cũng có thể lựa chọn các hành động
khác nhau trong các khoảng an toàn khác nhau. Việc quản lý các nguy cơ trên mạng chính là
cách để đo lường hiệu quả các hoạt động để khắc phục và đảm bảo các nguy cơ đã được loại bỏ thành công.
Để xây dựng một mô hình quản lý rủi ro thông minh về không gian mạng, cần có một
chu trình xử lý khép kín, để đảm bảo rằng mỗi một bản vá lỗ hổng chỉ được chấp nhận khi hiệu
quả mà nó mang lại đã được kiểm tra và đảm bảo. Tuy nhiên, trong thực tế, nhiều TC/DN đã
chấp nhận các bản vá ngay khi nó được áp dụng mà không thử nghiệm xem nó có thực sự giải
quyết được vấn đề của mình hay không. Điều này có thể dẫn đến những lỗ hổng lớn hơn nếu
bản vá có vấn đề. Do đó, thay vì thêm nhiều công cụ hơn trong hệ thống mạng, các TC/DN hãy
cân nhắc việc thực hiện các bước trên để thiết lập một mô hình đảm bảo ATTT hiệu quả hơn.
2. Cách tránh các cuộc tấn công mạng
a) Đào tạo nhân viên về các phương pháp hay nhất về an ninh mạng
Tony Anscombe, chuyên gia bảo mật cao cấp, Avast nói: "Chín mươi lăm phần trăm tất
cả các vi phạm an ninh tại nơi làm việc là do lỗi của con người. Để chống lại điều này, an ninh
không gian mạng cần phải là một phần cốt lõi của văn hoá nơi làm việc - bao gồm việc giáo
dục, đào tạo và đánh giá liên tục cho mỗi nhân viên." lOMoAR cPSD| 58728417
Đồng thời, Vijay Basani, Giám đốc điều hành, EiQ Networks cũng đồng ý rằng: "Giáo
dục nhân viên thường xuyên phải là ưu tiên hàng đầu. Nhân viên không biết và thiếu cẩn thận
là một trong những cách hiệu quả nhất để bọn tội phạm mạng tìm ra 'cánh cửa mở' vào mạng
công ty, thường là thông qua các kỹ thuật lừa đảo được thiết kế để phát tán phần mềm độc hại.
"Giáo dục nhân viên về nguy cơ lừa đảo và phần mềm độc hại - nhấp vào thậm chí một tệp đính
kèm hoặc liên kết trong email bên ngoài - và làm cho nó trở thành một phần của quá trình hướng
dẫn nhân viên có thể là biện pháp phòng ngừa tốt nhất để ngăn chặn phần mềm độc hại tìm thấy
các cánh cửa mở rộng", ông nói.
"Hơn nữa, các doanh nghiệp nên hướng dẫn nhân viên của họ đừng bao giờ mở một
đính kèm email không mong muốn và cảnh giác với bất kỳ liên kết URL nào trong email", Marc
Laliberte, nhà phân tích an ninh thông tin của WatchGuard Technologies khuyên.
b) Đầu tư vào phần mềm chống virus
Tom DeSot, CIO, Digital Defense cho biết: "Bất kể loại máy tính nào đang chạy
(Windows hay Mac), đầu tư vào phần mềm diệt virus luôn là một động thái tuyệt vời. "Mặc dù
nhiều người có thể nghĩ rằng máy tính Mac không bị ảnh hưởng bởi virut, nhưng chúng thực
sự không và có thể bị lây nhiễm dễ dàng như một máy tính Windows".
Đó là lý do tại sao ông đề nghị các doanh nghiệp "chạy ít nhất hai loại phần mềm chống
virus khác nhau: một trên máy chủ của họ, một máy tính xách tay / máy tính để bàn. Lý do cho
điều này là bạn có cơ hội tốt hơn để bắt [và dừng] một vi-rút vì một trong những gói phần mềm
chống vi-rút có thể có chữ ký trong khi phần mềm kia có thể không. "
Quan trọng nhất là "đừng quên cập nhật các chữ ký nhận dạng virus", ông nói. "Việc
bạn không cập nhật cũng nguy hiểm như việc bạn chẳng làm gì cả."
c) Hệ thống tường lửa
Ngoài việc có phần mềm chống virus, "đảm bảo rằng bạn có tường lửa được bật trên
máy tính để bàn/máy tính xách tay của bạn cũng như các máy chủ," DeSot nói. "Điều này không
chỉ giảm bớt sự tấn công; Nó cũng giúp ngăn chặn các hệ thống bị nhiễm sâu hoặc các loại phần
mềm độc hại khác đang tìm kiếm các dịch vụ như FTP hoặc chia sẻ tệp để lây nhiễm sang máy chủ khác.
Ông nói: "Nếu máy chủ của bạn không có tường lửa nguyên thủy, thì có rất nhiều bộ
bảo vệ internet có tường lửa được tích hợp sẵn trong đó. "Nhiều nhà cung cấp chống vi-rút bán
các loại này và thường gộp chung thành một gói với phần mềm chống vi-rút của họ. Điều này
sẽ giúp bạn bảo vệ hệ thống khỏi bị tấn công và giữ an toàn dữ liệu ".
d) Đảm bảo mọi người đều có mật khẩu mạnh, độc nhất:
"76% các vụ tấn công vào mạng doanh nghiệp là do mật khẩu yếu", Anscombe nói.
"Ngày sinh của con bạn, thị trấn nhà của bạn hoặc tên của vật nuôi là tất cả các ví dụ về mật
khẩu yếu, mã dễ bị tấn công".
Thay vào đó, đảm bảo tất cả nhân viên sử dụng mật khẩu mạnh. Và 'mạnh mẽ' ông có
nghĩa là "nên có các con số, ký tự đặc biệt và chữ hoa và chữ thường." Ngoài ra, mật khẩu
không nên được tái sử dụng hoặc chia sẻ trên các trang web khác nhau.
Để đảm bảo mật khẩu là duy nhất, "sử dụng quản lý mật khẩu [chẳng hạn như
LastPass] sẽ tạo ra mật khẩu độc nhất, mạnh mẽ cho bạn." e) Sử dụng mã hóa / SSL
Doug Beattie, phó chủ tịch của GlobalSign, cho biết "biện pháp bảo mật số 1 mà các
doanh nghiệp nhỏ không nên bỏ qua là mã hóa. Giấy chứng nhận SSL / TLS cho phép gửi các
thông tin nhạy cảm an toàn. Nếu không có điều này, kẻ tấn công có thể đánh chặn tất cả các dữ
liệu được gửi giữa một máy chủ và một khách hàng (ví dụ như một trang web và một trình duyệt)."
Ông nói: "Chứng nhận SSL từ một cơ quan chứng chỉ đáng tin cậy (CA) là điều bắt
buộc, đặc biệt là đối với các giao dịch thẻ tín dụng an toàn, truyền dữ liệu và bảo mật duyệt lOMoAR cPSD| 58728417
web. Nhưng các vấn đề và các tổn hại thường xảy ra khi các chứng nhận không được quản lý
đúng đắn và giấy chứng nhận hết hạn. Giấy chứng nhận hết hạn sẽ mở cửa cho hack (nghĩa là
cho phép trình duyệt trở thành điểm xâm nhập), vì vậy điều quan trọng là phải luôn theo dõi
khi giấy chứng nhận của bạn luôn sẵn sàng được cấp mới."
f) Cập nhật (vá) hệ điều hành và phần mềm của bạn thường xuyên
Troy Gill, quản lý của Security Research, AppRiver cho biết: "Các hacker thường xuyên
khảo sát các hệ điều hành, các trình duyệt và phần mềm để tìm các lỗ hổng. Vấn đề ở chỗ không
phải nếu họ tìm thấy mà là khi nào. Một khi các lỗ hổng được phát hiện, các nhà cung cấp phần
mềm làm việc nhanh chóng để vá những lỗ hổng này. Bản sửa lỗi được đưa ra dưới dạng bản
cập nhật, và việc không áp dụng các bản cập nhật này có thể khiến bạn gặp thiệt hại rất nhiều."
Vì vậy, để tránh tiếp xúc với tin tặc, "đảm bảo rằng hệ điều hành của bạn được thiết lập
để nhận các cập nhật tự động", và thường xuyên kiểm tra hoặc tải các bản cập nhật (bản vá) cho
phần mềm và ứng dụng thường xuyên nhất của bạn.
g) Kích hoạt hai yếu tố xác thực
Mike Catania, CTO, PromotionCode cho biết: "Kích hoạt tính năng xác thực hai yếu tố
mang lại sự bảo mật tốt hơn (và do đó an tâm) hơn là chỉ một mật khẩu. "Thực tế là bạn luôn
mang theo điện thoại di động ở khắp nơi, do đó mức độ bất tiện là rất thấp cho việc dụ những
kẻ xấu. 2FA, như được nhắc đến rộng rãi, về cơ bản xác nhận bạn bằng cách yêu cầu xác minh
mã PIN từ thiết bị di động của bạn nếu có ai đó cố gắng đăng nhập từ một máy không được công nhận. "
h) Sử dụng mạng riêng ảo (VPN)
Julian Weinberger, giám đốc kỹ thuật hệ thống, kỹ thuật NCP cho biết: "Sự phát triển
của thiết bị của bạn (BYOD) tại nơi làm việc có nghĩa là nhân viên có thể bị cám dỗ sử dụng
các ứng dụng dựa trên đám mây của họ để lưu trữ hoặc chia sẻ dữ liệu của khách hàng với các
đồng nghiệp. Điều đó "có thể để dữ liệu nhạy cảm của công ty dễ bị tổn hại chỉ với sức mạnh
của mật khẩu của nhân viên để bảo vệ nó."
Để bảo vệ chống lại sự xâm phạm di động, "các doanh nghiệp nhỏ có thể hạn chế [hoặc
cấm] BYOD hoặc sử dụng một mạng riêng ảo. VPN sẽ cho phép các nhân viên từ xa ở xa tạo
ra kết nối được mã hóa, kết thúc với mạng công ty và truyền dữ liệu an toàn bất kể vị trí của họ
hay ứng dụng mà họ đang sử dụng. "
i) Giảm thiểu rủi ro từ các nhà cung cấp bên thứ ba
Kevin Haley, giám đốc quản lý sản phẩm, Symantec Security Response, nói: "Các SMB
cần nói chuyện với các nhà cung cấp bên thứ ba về các chính sách bảo mật của họ trước khi họ làm ăn
với họ để đảm bảo rằng họ đang bảo vệ đúng thông tin của công ty. Đặt những câu hỏi như: Bạn có sử
dụng bảo mật đa lớp? Bạn đang sao lưu dữ liệu? Hệ thống của bạn có được cập nhật không? Các SMB
cũng nên hạn chế số lượng dữ liệu khách hàng chia sẻ và chỉ cung cấp những gì là cần thiết để giảm thiểu rủi ro." IV.
Cách thức tấn công DoS/DDoS và cách phòng chống: 1. DoS/DDoS là gì?
Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải lắm rõ
định nghĩa của tấn công DoS và các dạng tấn công DoS. -
Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử
dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường,
bằng cách làm quá tải tài nguyên của hệ thống. -
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm
cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường
đó là tấn công Denial of Service (DoS). Mặc dù tấn công DoS không có khả năng
truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ
thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác
những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công DoS: lOMoAR cPSD| 58728417
2. Các mục đích của tấn công DoS -
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống
mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. -
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. -
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó -
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. -
Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức không hoạt động
+ Financial Loss – Tài chính bị mất
3. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên
của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài
nguyên chúng thường sử dụng để tấn công là gì: -
Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên -
Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay
cấu trúc dữ liệu đều là mục tiêu của tấn công DoS. -
Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống
điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng
khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không. -
Phá hoại hoặc thay đổi các thông tin cấu hình. -
Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà… 4. Các dạng tấn công
Tấn công Denial of Service chia ra làm hai loại tấn công -
Tấn công DoS: Tấn công từ một cá thể, hay tập hợp các cá thể. -
Tấn công DDoS: Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới
một đích cụ thể nào đó.
5. Các dạng tấn công DoS - Smurf - Buffer Overflow Attack - Ping of Death - Teardrop - SYN Attack a. Tấn công Smurf -
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của
nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công. lOMoAR cPSD| 58728417 *
Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A
ping tới máy B máy B reply lại hoàn tất quá trình. Khi ping tới địa chỉ Broadcast của mạng
nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại . Nhưng giờ thay đổi địa chỉ
nguồn, thay địa chỉ nguồn là máy C và ping tới địa chỉ Broadcast của một mạng nào đó, thì
toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải pc gửi và đó là tấn công Smurf. -
Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và
làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác. -
Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được
kết nối với nhau (mạng BOT). -
tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf.
Hình hiển thị tấn công DoS - dạng tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác.
b. Tấn công Buffer overflow. -
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin
lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ. -
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp
quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm. . -
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra
quá trình tràn bộ nhớ đệm. lOMoAR cPSD| 58728417
c. Tấn công Ping of Death -
Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là 65.536 bytes.
- Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.
- Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhưng hệ điều hành
không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là sẽ
bị gián đoạn giao tiếp.
- Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng. d. Tấn công Teardrop
- Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
- Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ (fragment).
- Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ thống
cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó
liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác. e. Tấn công SYN -
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử
lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối. -
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy
chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN
và lúc này máy chủ không còn khả năng đáp lại - kết nối không được thực hiện. - Đây là
kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo – Three-way. lOMoAR cPSD| 58728417 -
Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP
SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công DoS. -
Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế hiện
khi máy chủ bị tấn công gói SYN đến sẽ rất nhiều trong khi đó khả năng trả lời của máy
chủ lại có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp pháp. -
Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp
với máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói
SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK và
bắt đầu các giao tiếp dữ liệu. -
Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình
TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi dữ liệu. -
Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công
nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way
handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một
thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công. -
Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa
chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.
6. Phân loại tấn công DDoS
Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: (1) Dựa
trên phương pháp tấn công, (2) Dựa trên mức độ tự động, (3) Dựa trên giao thức mạng, (4) Dựa
trên phương thức giao tiếp, (5) Dựa trên cường độ tấn công và (6) Dựa trên việc khai thác các
lỗ hổng an ninh. Phần tiếp theo của mục này trình bày chi tiết từng loại. a)
Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp phân loại cơ bản
nhất. Theo tiêu chí này, DDoS có thể được chia thành 2 dạng [5]:
1) Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin tặc tạo một
lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm
cho hệ thống không thể phục vụ người dùng hợp pháp. Đối tượng của tấn công dạng này là
băng thông mạng, không gian đĩa, thời gian của CPU,…
2) Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng hoặc
các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt
tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bước trong khởi
tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu
yêu cầu kết nối trong khi chờ xác nhận kết nối. Tin tặc có thể gửi một lượng lớn yêu cầu kết
nối giả mạo – các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống
nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp. b)
Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng [3]:
3) Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào hệ
thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những tấn công DDoS trong giai
đoạn đầu mới được thực hiện thủ công.
4) Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao gồm
các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot). Các giai
đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động. Trong đoạn
tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian lOMoAR cPSD| 58728417
duy trì tấn công và đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh
gửi các gói tin tấn công đến hệ thống nạn nhân.
5) Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển chọn
máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động.
Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn công. Tấn công dạng này
giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai
đoạn tuyển chọn các máy agent. c)
Dựa trên giao thức mạng
Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng [1]:
6) Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP và ICMP
được sử dụng để thực hiện tấn công.
7) Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến các dịch vụ
thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP. Tấn công DDoS
tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt
quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp. Dạng tấn công này rất khó phát
hiện do các yêu cầu tấn công tương tự yêu cầu từ người dùng hợp pháp. d)
Dựa trên phương thức giao tiếp
Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển
một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm
agent trở thành các bots - công cụ giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các
máy điều khiển (master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công.
Theo phương thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành 4 dạng [5]:
8) DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các thành
phần: clients, handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp trực tiếp với clients.
Clients sẽ giao tiếp với agents thông qua handlers. Nhận được lệnh và các thông tin thực hiện
tấn công, agents trực tiếp thực hiện việc tấn công.
9) DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực
tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực.
Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers. 10)
DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang web
làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của tin tặc được
sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác
các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và biến chúng
thành các bots. Các bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi
các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS. 11)
DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một
giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân tán nên rất
khó để phát hiện các bots giao tiếp với nhau thông qua kênh này. e)
Dựa trên cường độ tấn công
Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấn công DDoS thành 5 dạng [3]: 12)
Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng cách
gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies nằm phân tán trên mạng. lOMoAR cPSD| 58728417 13)
Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng để gửi
một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng
mạng. Dạng tấn công này rất khó bị phát hiện do lưu lương tấn công tương tự như lưu lượng
đến từ người dùng hợp pháp. 14)
Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao và
tấn công cường độ thấp. Đây là dạng tấn công phức hợp, trong đó tin tặc thường sử dụng các
công cụ để sinh các gói tin tấn công gửi với tần suất cao và thấp. 15)
Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục với cường
độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc. 16)
Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động
nhằm tránh bị phát hiện và đáp trả. f)
Dựa trên việc khai thác các lỗ hổng an ninh
Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS có thể được phân loại thành 2 dạng [5]: 17)
Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết kế
để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người
dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng này thường gây tắc nghẽn đường
truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (zombie) của các botnets.
Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại. 18)
Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết kế
để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu
cầu của người dùng hợp pháp. Dạng tấn công DDoS này có thể được chia nhỏ thành 2 dạng
(i) tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức và (ii) tấn công sử dụng các
gói tin được tạo đặc biệt. Trong dạng thứ nhất, tin tặc khai thác các lỗi hoặc các tính năng đặc
biệt của các giao thức trên hệ thống nạn nhân để gây cạn kiệt tài nguyên. Trong dạng thứ hai,
kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến
hệ thống nạn nhân. Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói tin dạng
này. Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn hơn
64KB gây lỗi các máy chạy hệ điều hành Windows XP.
7. Phòng chống tấn công DoS/DDoS:
a) Dựa trên vị trí triển khai
Các biện pháp phòng chống tấn công DDoS được phân loại vào dạng này dựa trên vị trí cài đặt
và tiếp tục được chia nhỏ thành 3 dạng con [5]:
Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được triển
khai ở gần nguồn của tấn công. Phương pháp này nhằm hạn chế các mạng người dùng tham gia
tấn công DDoS. Một số biện pháp cụ thể bao gồm:
Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng;
Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu
cầu không được xác nhận.
Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển
khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ
thống đích. Các biện pháp cụ thể có thể gồm:
Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo.
Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có
thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh dấu gói tin được
đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đường dẫn,… lOMoAR cPSD| 58728417
Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được
triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại.
b) Dựa trên giao thức mạng
Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng [5]:
Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:
Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu
cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.
SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ
SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.
Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống
lại tấn công DDoS ở mức IP. -
Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:
Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.
Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.
Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết
nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.
Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs riêng cho
mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.
Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận.
Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích.
Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả.
Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước. -
Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:
Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.
Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.
Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.
c) Dựa trên thời điểm hành động
Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DDoS
thành 3 dạng theo 3 thời điểm [5]:
• Trước khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này
được triển khai nhằm ngăn chặn tấn công xảy ra. Một phần lớn các biện pháp thuộc dạng này
bao gồm việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để
giảm thiểu khả năng bị tin tặc khai thác phục vụ tấn công.
• Trong khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này
tập trung phát hiện và ngăn chặn tấn công. Tưởng lửa và các hệ thống IDS/IPS thuộc nhóm này.
• Sau khi xảy ra tấn công: Gồm các biện pháp được triển khai để lần vết và truy tìm
nguồn gốc của tấn công DDoS.