Rate this post

Hiện tại, các máy chủ DNS đang bị lạm dụng rộng rãi để khuếch đại lưu lượng DoS. Đây được gọi là cuộc  DNS Amplification hoặc Reflective attack. Có vẻ như các thiết bị web SOAP triển khai WS-Addressing có thể dễ bị lạm dụng tương tự, như đã nêu trong bài viết này. Mục đích của dự án là điều tra các khung dịch vụ web và phát triển các công cụ để kiểm tra lỗ hổng này và xác định mức độ đe dọa trên quy mô toàn cầu.

Các bài viết liên quan:

Những ý tưởng, sự phát triển và tất cả những đóng góp khác đều được hoan nghênh hơn cả. Trang này sẽ được cập nhật với tiến độ hiện tại và những việc cần làm. Vui lòng liên hệ với trưởng dự án nếu có bất kỳ câu hỏi nào.

Giới thiệu về Web Service Amplification Attack

Web Service Amplification Attack (tấn công tăng cường dịch vụ web) là một loại tấn công mạng nhằm tận dụng các dịch vụ web để tăng cường lưu lượng truy cập và gửi các yêu cầu đến một mục tiêu cụ thể. Tấn công này thường sử dụng các dịch vụ web có tính chất lớn và truy cập công khai như DNS (Domain Name System) hoặc NTP (Network Time Protocol).

Cơ chế hoạt động của Web Service Amplification Attack dựa trên việc gửi các yêu cầu nhỏ từ kẻ tấn công đến các dịch vụ web khác, nhưng sử dụng địa chỉ IP của mục tiêu được giả mạo. Khi nhận được yêu cầu, các dịch vụ web này sẽ phản hồi với một lượng dữ liệu lớn hơn gửi đi, tạo ra hiệu ứng gia tăng lưu lượng truy cập tới mục tiêu thật sự. Điều này có thể gây áp lực lớn lên hệ thống mục tiêu và có thể dẫn đến quá tải hoặc mất dịch vụ.

Các dạng tấn công và phương pháp phòng chống Web Service Amplification Attack khác nhau tuỳ thuộc vào loại dịch vụ web bị tấn công. Một số phương pháp phòng chống bao gồm:

  1. Kiểm soát và giám sát lưu lượng mạng: Theo dõi lưu lượng mạng để phát hiện các yêu cầu không bình thường hoặc lưu lượng lớn đến từ một nguồn địa chỉ IP duy nhất.
  2. Cấu hình bảo mật cho dịch vụ web: Áp dụng các biện pháp bảo mật như giới hạn truy cập, sử dụng chứng chỉ SSL/TLS, xác thực yêu cầu và giới hạn kích thước phản hồi.
  3. Cập nhật và cấu hình hợp lý: Đảm bảo các dịch vụ web đang chạy phiên bản mới nhất và được cấu hình chính xác để giảm khả năng bị lợi dụng.
  4. Sử dụng các giải pháp bảo mật mạng: Sử dụng các giải pháp bảo mật mạng như tường lửa, IPS (Intrusion Prevention System), hoặc WAF (Web Application Firewall) để ngăn chặn lưu lượng tấn công trước khi đến hệ thống mục tiêu.
  5. Hợp tác với nhà cung cấp dịch vụ: Liên hệ với nhà cung cấp dịch vụ web bị lợi dụng và yêu cầu họ thực hiện các biện pháp bảo mật và giới hạn truy cập để ngăn chặn tấn công.

Tuy Web Service Amplification Attack không phải là một loại tấn công mới, nhưng nó vẫn có thể gây ra những tác động tiêu cực và gây rối cho các hệ thống mạng. Việc triển khai các biện pháp phòng chống và duy trì an ninh mạng cần thiết là cách quan trọng để bảo vệ hệ thống và dữ liệu khỏi tấn công này.

Xem thêm DNS là gì? tìm hiểu kiến thức về DNS

Các dạng tấn công và phương pháp phòng chống

Có một số dạng tấn công phổ biến liên quan đến Web Service Amplification Attack và dưới đây là một số phương pháp phòng chống tương ứng:

  1. DNS Amplification Attack:
    • Phương pháp phòng chống:
      • Cấu hình chặn truy cập từ bên ngoài vào máy chủ DNS.
      • Giới hạn số lượng truy vấn DNS mỗi giây từ một nguồn IP.
      • Xác minh và xóa bỏ các bản ghi DNS không cần thiết và không an toàn.
  2. NTP Amplification Attack:
    • Phương pháp phòng chống:
      • Đảm bảo máy chủ NTP chỉ phản hồi cho các yêu cầu từ mạng nội bộ.
      • Cấu hình chặn truy cập từ bên ngoài vào máy chủ NTP.
      • Xác minh và xóa bỏ các máy chủ NTP không cần thiết hoặc không an toàn.
  3. SNMP Amplification Attack:
    • Phương pháp phòng chống:
      • Tắt hoặc giới hạn truy cập SNMP từ bên ngoài vào thiết bị mạng.
      • Đảm bảo cấu hình SNMP an toàn và chỉ cho phép truy cập từ các nguồn tin cậy.
      • Cập nhật phiên bản SNMP mới nhất và áp dụng các bản vá bảo mật.
  4. SSDP Amplification Attack:
    • Phương pháp phòng chống:
      • Tắt hoặc giới hạn truy cập từ bên ngoài vào giao thức SSDP.
      • Xác minh và cấu hình chính xác các thiết bị hỗ trợ SSDP để tránh việc trở thành điểm tấn công.
  5. Chargen Amplification Attack:
    • Phương pháp phòng chống:
      • Tắt hoặc giới hạn truy cập từ bên ngoài vào giao thức Chargen.
      • Xác minh và tắt các dịch vụ hỗ trợ giao thức Chargen trên các thiết bị mạng.

Ngoài ra, để phòng chống Web Service Amplification Attack, cần thực hiện các biện pháp bảo mật tổng thể như:

  • Cập nhật và duy trì các phiên bản phần mềm mới nhất trên các dịch vụ web và hệ thống mạng.
  • Thiết lập chính sách bảo mật nghiêm ngặt và kiểm tra định kỳ các cấu hình bảo mật.
  • Sử dụng các giải pháp tường lửa, IPS và WAF để ngăn chặn lưu lượng tấn công trước khi đến hệ thống mục tiêu.
  • Giám sát và phân tích lưu lượng mạng để phát hiện và đáp ứng kịp thời với các tấn công.
  • Hợp tác với nhà cung cấp dịch vụ web để áp dụng các biện pháp bảo mật phù hợp trên hệ thống của họ.

Những phương pháp và biện pháp phòng chống này sẽ giúp giảm nguy cơ và hạn chế tác động của Web Service Amplification Attack lên hệ thống mạng. Tuy nhiên, việc tăng cường an ninh mạng là một quá trình liên tục và cần thường xuyên theo dõi, cập nhật và cải tiến.

Xem thêm Module DNS Node.js

Các hệ thống bị ảnh hưởng và tác động

Web Service Amplification Attack có thể ảnh hưởng và gây tác động đến các hệ thống mạng và dịch vụ web khác nhau. Dưới đây là một số hệ thống thường bị ảnh hưởng và các tác động có thể xảy ra:

  1. Hệ thống DNS (Domain Name System):
    • Tác động: Tấn công DNS Amplification Attack có thể gây quá tải và làm ngưng trệ hệ thống DNS, khiến việc xử lý các yêu cầu tên miền chậm chạp hoặc không thể thực hiện.
  2. Hệ thống NTP (Network Time Protocol):
    • Tác động: Tấn công NTP Amplification Attack có thể tạo ra một lượng lớn lưu lượng truy cập đáp trả, gây quá tải hệ thống NTP và làm gián đoạn đồng bộ thời gian trong mạng.
  3. Hệ thống SNMP (Simple Network Management Protocol):
    • Tác động: Tấn công SNMP Amplification Attack có thể gây quá tải và làm ngưng trệ hệ thống SNMP, ảnh hưởng đến khả năng quản lý và giám sát các thiết bị mạng.
  4. Hệ thống SSDP (Simple Service Discovery Protocol):
    • Tác động: Tấn công SSDP Amplification Attack có thể tạo ra lưu lượng truy cập lớn và gây quá tải hệ thống SSDP, dẫn đến gián đoạn hoạt động của các dịch vụ phát hiện và kết nối tự động.
  5. Hệ thống sử dụng giao thức Chargen (Character Generator Protocol):
    • Tác động: Tấn công Chargen Amplification Attack có thể gây quá tải và làm ngưng trệ hệ thống sử dụng giao thức Chargen, khiến việc tạo ra lưu lượng ký tự ngẫu nhiên trở nên chậm chạp hoặc không khả dụng.

Những hệ thống trên là những mục tiêu phổ biến của Web Service Amplification Attack. Việc hiểu và nhận biết các tác động tiềm năng lên các hệ thống này là cần thiết để có thể áp dụng các biện pháp phòng chống và bảo vệ hệ thống mạng một cách hiệu quả.

Xem thêm Web service là gì?

Kịch bản tấn công Web Service Amplification Attack

Trong hình ảnh dưới đây, kịch bản tấn công có thể xảy ra được mô tả. Rất giống với cuộc tấn công khuếch đại DNS, kẻ tấn công ra lệnh cho một botnet truy cập vào một bên thứ ba, ở đây, một dịch vụ web. Yêu cầu tới dịch vụ web chứa tiêu đề WS-Addressing chỉ định địa chỉ của nạn nhân là địa chỉ ReplyTo hoặc FaultTo. Dịch vụ web trả lời địa chỉ này bằng một thông báo có khả năng lớn hơn so với yêu cầu ban đầu, khuếch đại cuộc tấn công một cách hiệu quả.

Điều tra lỗ hổng bảo mật

Để xác định mức độ của lỗ hổng này, dự án hoạt động theo hai hướng:

  • Phát triển một công cụ có thể kiểm tra các dịch vụ web công cộng và xác định số lượng và hệ số khuếch đại của chúng
  • Xem xét các khung dịch vụ web khác nhau (Axis, CXF, .NET,…) và tìm hiểu hành vi WS-Addressing của chúng.

Công cụ xác định tầm quan trọng của mối đe dọa

Công cụ này bao gồm 3 phần:

  • Trình thu thập thông tin dịch vụ trang web (WSA_spoof.py)
    • Tìm dịch vụ web và WSDL tương ứng của chúng
  • Trình tạo máy khách dịch vụ trang web (WSA_spoof.py)
    • Tạo ứng dụng khách từ WSDL và gửi một yêu cầu trống với tiêu đề WS-Addressing, với ReplyTo trỏ đến Ứng dụng Google
  • Trình ghi trả lời công khai (GoogleApp_code.py – Ứng dụng Google)
    • Ứng dụng web có thể truy cập công khai lắng nghe các yêu cầu đến và ghi lại chúng.

Trong hình ảnh dưới đây, hai phần cuối cùng được hiển thị. Sự phát triển của những thứ này đã bắt đầu như một bản nháp ở đây.

Xem thêm Khai thác lỗ hổng Subdomain Takeover

Hành vi mặc định xử lý địa chỉ WS

Để nắm bắt được mức độ của mối đe dọa này, cũng cần phải biết về hành vi và cài đặt mặc định trong các khung dịch vụ web hiện có. Cho đến nay, Axis2 và JAX-WS (Metro) đã được xác nhận là có thể kích hoạt nó mà người dùng không cần chỉ định. Có khả năng tạo ra nhiều dịch vụ web dễ bị lạm dụng một cách không cần thiết.

Axis2

Axis2 cho phép Địa chỉ WS theo mặc định, như đã nêu ở đây.

CXF

CXF hỗ trợ WS-Addressing, nhưng cần có cấu hình rõ ràng để kích hoạt nó.

JAX-WS & Metro

Metro dựa trên API JAX-WS. Tài liệu cho biết:

“Trong Metro, nếu WS-Addressing bị vô hiệu hóa rõ ràng thì RI không tuân theo các quy tắc tương tác. Tuy nhiên, nếu WS-Addressing được bật ngầm hoặc rõ ràng thì Metro sẽ sử dụng WS-Addressing dựa trên sự hiện diện của tiêu đề wsa: Action. “

.Nền tảng NET

.NET / WCF hỗ trợ WS-Addressing, nhưng hành vi mặc định trên trường RepyTo là không rõ ràng.

Framework/Server TO-DO List

Cần thêm thông tin về .NET / WCF.

Cụ thể là kiểm tra một dịch vụ web Metro với tiêu đề wsa: Action ngẫu nhiên.

Xem thêm Enumeration trong hacking? Tổng quan liệt kê tài nguyên mạng

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now