Rate this post

Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán gây ra một mối đe dọa bảo mật đáng kể cho các công ty và mối đe dọa này dường như đang gia tăng [VIJA02]. Trong một nghiên cứu, kéo dài 3 tuần vào năm 2001, các nhà điều tra đã quan sát thấy hơn 12.000 cuộc tấn công nhằm vào hơn 5000 mục tiêu khác nhau, từ các công ty thương mại điện tử nổi tiếng như Amazon và Hotmail đến các ISP nước ngoài nhỏ và các kết nối quay số.

Các cuộc tấn công DDoS làm cho hệ thống máy tính không thể truy cập được bằng cách làm ngập các máy chủ, mạng hoặc thậm chí hệ thống người dùng cuối với lưu lượng truy cập vô ích khiến người dùng hợp pháp không còn có quyền truy cập vào các tài nguyên đó.

Các bài viết liên quan:

Trong một cuộc tấn công DDoS điển hình, một số lượng lớn các máy chủ bị xâm nhập được tích lũy để gửi các gói tin vô dụng. Trong những năm gần đây, các phương thức và công cụ tấn công ngày càng tinh vi, hiệu quả và khó lần ra kẻ tấn công thực sự hơn, trong khi các công nghệ phòng thủ không thể chống lại các cuộc tấn công quy mô lớn.

Tấn công từ chối dịch vụ (DoS) là một nỗ lực ngăn cản người dùng hợp pháp của một dịch vụ sử dụng dịch vụ đó. Khi cuộc tấn công này đến từ một máy chủ hoặc một nút mạng, thì nó đơn giản được gọi là một cuộc tấn công DoS. Một mối đe dọa nghiêm trọng hơn được đặt ra bởi một cuộc tấn công DDoS. Trong một cuộc tấn công DDoS, kẻ tấn công có thể tuyển dụng một số máy chủ trên toàn mạng Internet để thực hiện một cuộc tấn công đồng thời hoặc phối hợp nhằm vào mục tiêu. Phần này liên quan đến các cuộc tấn công DDoS. Đầu tiên, chúng ta xem xét bản chất và các kiểu tấn công. Tiếp theo, chúng tôi kiểm tra các phương tiện mà kẻ tấn công có thể tuyển dụng một mạng máy chủ để khởi động cuộc tấn công. Cuối cùng, phần này xem xét các biện pháp đối phó.

Xem thêm Các loại tấn công mạng

Tổng quan DDoS Attack

MỘT Tấn công DDoS cố gắng tiêu thụ tài nguyên của mục tiêu để nó không thể cung cấp dịch vụ. Một cách để phân loại các cuộc tấn công DDoS là dựa trên loại tài nguyên được sử dụng. Nói một cách khái quát, tài nguyên được tiêu thụ là tài nguyên máy chủ nội bộ trên hệ thống đích hoặc dung lượng truyền dữ liệu trong mạng cục bộ mà mục tiêu bị tấn công.

Một ví dụ đơn giản về cuộc tấn công tài nguyên nội bộ là cuộc tấn công lũ lụt SYN.

Hình 21.9a cho thấy các bước liên quan:

  1. Kẻ tấn công chiếm quyền kiểm soát nhiều máy chủ trên Internet, hướng dẫn họ liên hệ với máy chủ Web mục tiêu.
  2. Các máy chủ phụ bắt đầu gửi các gói TCP / IP SYN (đồng bộ hóa / khởi tạo), với thông tin địa chỉ IP trả về không chính xác, đến mục tiêu.
  3. Mỗi gói SYN là một yêu cầu để mở một kết nối TCP. Đối với mỗi gói như vậy, máy chủ Web phản hồi bằng gói SYN / ACK (đồng bộ hóa / xác nhận), cố gắng thiết lập kết nối TCP với một thực thể TCP tại một địa chỉ IP chính xác. Máy chủ Web duy trì cấu trúc dữ liệu cho mỗi yêu cầu SYN chờ phản hồi lại và trở nên sa lầy khi có nhiều lưu lượng truy cập hơn. Kết quả là các kết nối hợp pháp bị từ chối trong khi máy nạn nhân đang chờ hoàn thành các kết nối không có thật.

Cấu trúc dữ liệu trạng thái TCP là một mục tiêu tài nguyên nội bộ phổ biến nhưng không phải là mục tiêu duy nhất. [CERT01] đưa ra các ví dụ sau:

  1. Trong nhiều hệ thống, một số cấu trúc dữ liệu giới hạn có sẵn để lưu giữ thông tin quy trình (số nhận dạng quy trình, mục nhập bảng quy trình, vị trí quy trình, v.v.). Kẻ xâm nhập có thể tiêu thụ các cấu trúc dữ liệu này bằng cách viết một chương trình hoặc tập lệnh đơn giản không làm gì khác ngoài việc tạo ra nhiều lần các bản sao của chính nó.
  2. Kẻ xâm nhập cũng có thể cố gắng tiêu thụ dung lượng đĩa theo những cách khác, bao gồm
    • tạo ra quá nhiều thư
    • cố tình tạo ra các lỗi phải được ghi lại
    • đặt tệp trong các khu vực ftp ẩn danh hoặc các khu vực được chia sẻ trên mạng

Hình 21.9b minh họa một ví dụ về một cuộc tấn công tiêu thụ tài nguyên truyền dữ liệu. Các bước sau có liên quan:

  1. Kẻ tấn công chiếm quyền kiểm soát nhiều máy chủ qua Internet, hướng dẫn họ gửi gói ICMP ECHO3 với địa chỉ IP giả mạo của mục tiêu đến một nhóm máy chủ hoạt động như phản xạ, như được mô tả sau đó.
  2. Các nút tại trang web bị trả lại nhận được nhiều yêu cầu giả mạo và phản hồi bằng cách gửi các gói phản hồi tiếng vọng đến trang web đích.
  3. Bộ định tuyến của mục tiêu tràn ngập các gói tin từ trang bị trả lại, không để lại dung lượng truyền dữ liệu cho lưu lượng truy cập hợp pháp.

Một cách khác để phân loại các cuộc tấn công DDoS là các cuộc tấn công DDoS trực tiếp hoặc phản ánh. Trong một cuộc tấn công DDoS trực tiếp (Hình 21.10a), kẻ tấn công có thể cấy phần mềm zombie vào một số trang web được phân phối trên Internet. Thông thường, cuộc tấn công DDoS liên quan đến hai cấp độ của máy thây ma: thây ma chính và thây ma nô lệ. Máy chủ của cả hai máy đều đã bị nhiễm mã độc. Kẻ tấn công điều phối và kích hoạt các thây ma chính, từ đó điều phối và kích hoạt các thây ma nô lệ.

Một cuộc tấn công DDoS phản xạ thêm một lớp máy khác (Hình 21.10b). Trong kiểu tấn công này, các thây ma nô lệ xây dựng các gói yêu cầu phản hồi có chứa địa chỉ IP của mục tiêu là địa chỉ IP nguồn trong tiêu đề IP của gói.Các gói tin này được gửi đến các máy không bị nhiễm được gọi là máy phản xạ. Các máy không bị nhiễm sẽ phản hồi với các gói tin hướng vào máy mục tiêu. Một cuộc tấn công DDoS phản xạ có thể dễ dàng liên quan đến nhiều máy hơn và nhiều lưu lượng truy cập hơn một cuộc tấn công DDoS trực tiếp và do đó gây thiệt hại nhiều hơn. Hơn nữa, việc truy tìm lại cuộc tấn công hoặc lọc ra các gói tấn công là khó khăn hơn vì cuộc tấn công đến từ các máy không bị lây nhiễm phân tán rộng rãi.

Xem thêm Kiểm tra lỗ hổng bảo mật Cross-Site Request Forgery (CSRF)

Xây dựng một Attack Network 

Bước đầu tiên trong một cuộc tấn công DDoS là kẻ tấn công sẽ lây nhiễm một số máy với phần mềm zombie cuối cùng sẽ được sử dụng để thực hiện cuộc tấn công. Các thành phần quan trọng trong giai đoạn tấn công này là:

  1. Phần mềm có thể thực hiện cuộc tấn công DDoS. Phần mềm phải có thể chạy trên một số lượng lớn máy, phải có khả năng che giấu sự tồn tại của nó, phải có khả năng giao tiếp với kẻ tấn công hoặc có một số loại cơ chế kích hoạt theo thời gian và phải có khả năng khởi động cuộc tấn công dự định. mục tiêu.
  2. MỘT kẻ tấn công phải nhận thức được lỗ hổng mà nhiều quản trị viên hệ thống và người dùng cá nhân đã không thể vá và điều đó cho phép kẻ tấn công cài đặt phần mềm thây ma.
  3. Một chiến lược cho xác định vị trí các máy dễ bị tấn công, một quá trình được gọi là quét.

Giao thức (ICMP) là một giao thức cấp IP để trao đổi gói điều khiển- giữa bộ định tuyến và máy chủ hoặc giữa các máy chủ. Gói ECHO yêu cầu người nhận phản hồi bằng phản hồi tiếng vọng để kiểm tra xem có khả năng giao tiếp giữa các thực thể hay không.

Hình 21.10 Các loại tấn công DDoS dựa trên flood

Trong quá trình quét, kẻ tấn công đầu tiên tìm kiếm một số máy dễ bị tấn công và lây nhiễm chúng. Sau đó, thông thường, phần mềm thây ma được cài đặt trong các máy bị nhiễm sẽ lặp lại quá trình quét tương tự, cho đến khi tạo ra một mạng lưới phân tán lớn gồm các máy bị nhiễm. [MIRK04] liệt kê các loại chiến lược quét sau:

  • Random: Mỗi máy chủ bị xâm phạm thăm dò các địa chỉ ngẫu nhiên trong không gian địa chỉ IP, sử dụng một hạt giống khác. Kỹ thuật này tạo ra một lượng lớn

Lưu lượng truy cập Internet, có thể gây ra gián đoạn tổng thể ngay cả trước khi cuộc tấn công thực sự được phát động.

  • Hit-List: Đầu tiên kẻ tấn công lập một danh sách dài những kẻ tiềm ẩn nguy cơ bị tấn công máy móc. Đây có thể là một quá trình chậm được thực hiện trong một thời gian dài để tránh phát hiện ra rằng một cuộc tấn công đang diễn ra. Sau khi danh sách được biên soạn, kẻ tấn công bắt đầu lây nhiễm các máy trong danh sách. Mỗi máy bị nhiễm được cung cấp một phần của danh sách để quét. Chiến lược này dẫn đến khoảng thời gian quét rất ngắn, điều này có thể gây khó khăn cho việc phát hiện sự lây nhiễm đang diễn ra.
  • Topological: Phương pháp này sử dụng thông tin có trên máy nạn nhân bị nhiễm để tìm thêm máy chủ để quét.
  • Local subnet: Nếu một máy chủ có thể bị nhiễm sau một bức tường lửa, thì máy chủ đó sẽ cho các mục tiêu trong mạng cục bộ của chính nó. Máy chủ sử dụng cấu trúc địa chỉ mạng con để tìm các máy chủ khác sẽ được bảo vệ bởi tường lửa.

Phòng chống DDoS

Nói chung, có ba tuyến phòng thủ chống lại các cuộc tấn công DDoS [CHAN02]:

  • Attack prevention and preemption (before the attack): Các cơ chế này cho phép nạn nhân chịu đựng các nỗ lực tấn công mà không từ chối dịch vụ cho các khách hàng hợp pháp. Các kỹ thuật bao gồm thực thi các chính sách tiêu thụ tài nguyên và cung cấp các tài nguyên dự phòng có sẵn theo yêu cầu. Ngoài ra, các cơ chế phòng chống sửa đổi các hệ thống và giao thức trên Internet để giảm khả năng xảy ra các cuộc tấn công DDoS.
  • Attack detection and filtering (during the attack): Các cơ chế này cố gắng phát hiện cuộc tấn công khi nó bắt đầu và phản ứng ngay lập tức. Điều này giảm thiểu tác động của cuộc tấn công lên mục tiêu. Phát hiện liên quan đến việc tìm kiếm các kiểu hành vi đáng ngờ. Phản hồi liên quan đến việc lọc ra các gói có khả năng là một phần của cuộc tấn công.
  • Attack source traceback and identification (during and after the attack): Đây là một nỗ lực để xác định nguồn gốc của cuộc tấn công như một bước đầu tiên trong việc ngăn chặn các cuộc tấn công trong tương lai. Tuy nhiên, phương pháp này thường không mang lại kết quả đủ nhanh, nếu có, để giảm thiểu một cuộc tấn công đang diễn ra.

Thách thức trong việc đối phó với các cuộc tấn công DDoS là số lượng tuyệt đối các cách mà chúng có thể hoạt động. Vì vậy, các biện pháp đối phó DDoS phải phát triển cùng với mối đe dọa.

Xem thêm Mã độc trên Android mobile

Leave a Reply

Call now
%d bloggers like this: