Ngăn chặn công DNS Amplification Application Layer Attack Trong lĩnh vực công nghệ thông tin, phát triển kèm với rủi ro Bên cạnh tiến vượt bậc cơng nghệ điện tốn đám mây, Big Data, AI, nh ững vụ công mạng xuất thường xuyên hơn, gây hậu nặng nề cho người dùng Internet Hi ện nay, có nhiều loại tội phạm không gian m ạng, đó, cơng DNS Amplification Application Layer Attack hai lo ại công phổ biến nguy hiểm Đây hình th ức xâm nhập trái phép vào hệ thống máy tính, website, s liệu, hạ tầng mạng, thiết bị cá nhân tổ chức thông qua mạng Internet với mục đích đánh cắp, thay đổi, mã hóa, phá hủy liệu người dùng Tấn công DNS Amplification Tấn công DNS Amplification m ột kiểu cơng phản chiếu, nhằm thao túng truy cập công khai hệ thống phân giải tên miền (Domain Name System - DNS), khiến chúng trở thành mục tiêu với số lượng lớn gói UDP (User Datagram Protocol - phần giao thức Internet) Bằng cách sử dụng nhiều kỹ thuật khác nhau, thủ phạm “thổi phồng” kích thước gói UDP này, khiến công trở nên mạnh mẽ đến mức phá hủy sở hạ tầng Internet mạnh DNS Amplification m ột công DDoS (Distributed Denial of Service), kẻ cơng khai thác l ỗ hổng DNS để biến truy vấn nhỏ ban đầu thành payload (tải trọng) lớn nhiều, sử dụng để “hạ gục” máy chủ nạn nhân Cách thức công DNS Amplification, giống công khuếch đại khác, loại công phản chiếu Trong trư ờng hợp này, việc phản chiếu đạt cách gợi phản hồi từ trình phân giải DNS tới địa IP giả mạo Trong công DNS Ampli fication, thủ phạm gửi truy vấn DNS có địa IP giả mạo (của nạn nhân) tới trình phân giải DNS mở, khiến trả lời lại địa phản hồi DNS Với nhiều truy vấn giả gửi với số trình phân giải DNS trả lời lại, mạng nạn nhân dễ dàng bị “chống ngợp” số lượng phản hồi DNS khơng kiểm sốt Các địn phản kích nguy hiểm đư ợc khuếch đại “Khuếch đại” đề cập đến việc phản hồi máy chủ không tương xứng với yêu cầu gói ban đầu gửi Để khuếch đại công DNS th ế này, yêu cầu DNS gửi phần mở rộng giao thức DNS, cho phép DNS Message lớn sử dụng tính mật mã DNS (DNS Security Extension) nhằm tăng kích thước Message Các truy vấn giả mạo thuộc loại “ANY” (bất kỳ), trả lại tất thông tin bi ết vùng DNS yêu cầu sử dụng Thông qua phương pháp nh ững phương pháp khác, m ột thơng báo u cầu DNS có kích thư ớc khoảng 60 byte cấu hình để gửi thơng báo phản hồi 4000 byte t ới máy chủ đích - dẫn đến hệ số khuếch đại 70:1 Điều làm tăng đáng kể khối lượng lưu lượng truy cập mà máy chủ mục tiêu nhận tăng tốc độ cạn kiệt tài nguyên máy chủ Hơn nữa, công DNS Amplification thư ờng chuyển tiếp yêu cầu DNS thông qua m ột nhiều mạng Botnet - làm tăng đáng kể lưu lượng truy cập trực tiếp vào máy chủ nhắm mục tiêu khiến việc theo dõi danh tính c kẻ cơng gặp khó Cách ngăn chặn công DNS Amplification Các cách phổ biến để ngăn chặn giảm thiểu tác động công DNS Amplification bao g ồm thắt chặt bảo mật DNS Server (máy ch ủ), chặn DNS Server cụ thể tất máy chủ chuyển tiếp đệ quy (Recursive Relay Server) gi ới hạn tốc độ Tuy nhiên, phương pháp không lo ại bỏ nguồn công, không làm gi ảm tải mạng chuyển đổi máy chủ định danh (Name Server) máy chủ đệ quy (Recursive Server) m Ngoài ra, việc chặn tất lưu lượng truy cập từ máy chủ đệ quy mở cản trở nỗ lực giao tiếp DNS hợp pháp Chẳng hạn, số tổ chức trì máy chủ đệ quy mở để nhân viên làm việc thiết bị di động phân giải từ máy chủ định danh “đáng tin cậy” Việc chặn lưu lượng truy cập từ máy chủ cản trở quyền truy cập họ Bảo vệ trình phân giải chế độ riêng Nếu vận hành trình phân gi ải riêng mình, việc sử dụng trình phân giải nên giới hạn cho người dùng mạng để giúp ngăn nhớ đệm (Cache) bị nhiễm độc tin tặc bên Hãy đảm bảo thiết bị bảo mật để chống lại việc lây nhiễm phần mềm độc hại vào Cache Các biện pháp bảo vệ tích hợp phần mềm DNS bảo vệ chống lại việc lây nhiễm sang nhớ Cache bao gồm thêm tính thay đổi yêu cầu gửi đi, khiến Hacker khó nhận phản hồi khơng có thật Các cách thực điều bao gồm: - Sử dụng cổng nguồn ngẫu nhiên - Ngẫu nhiên hóa ID truy vấn - Đặt ngẫu nhiên chữ viết hoa, viết thường tên mi ền gửi để phân giải (Đó máy ch ủ định danh xử lý example.com ExaMPle.com giống phân gi ải địa IP, phản hồi cách sử dụng kiểu viết truy vấn ban đầu) Quản lý bảo mật DNS Server Khi nói đến máy chủ có thẩm quyền, bạn cần định tự quản lý bảo mật chúng hay làm vi ệc thông qua nhà cung c ấp dịch vụ công ty đăng ký tên mi ền (Domain name) Các chuyên gia cho r ằng: “Không quan tâm đến bảo mật nhiều mình, nên tự quản lý bảo mật, có đủ kỹ để làm vậy” Nếu khơng có kỹ đó, nên nh bên thứ ba làm điều thay cho Đó khơng vấn đề chun mơn mà cịn liên quan đ ến quy mơ nhiều tổ chức cần phải có DNS Server nhiều nơi giới 2 Tấn công Application Layer Attack Application Layer Attack cu ộc công lớp ứng dụng hay công DDoS lớp (L7), đề cập đến loại hành vi độc hại thiết kế để nhắm mục tiêu đến lớp “trên cùng” mơ hình OSI (Open System Interconnection Basic Reference), nơi x ảy yêu cầu Internet phổ biến HTTP GET HTTP POST Các cu ộc công L7 trái ngược với công lớp mạng DNS Amplification, đ ặc biệt hiệu chúng tiêu thụ tài nguyên máy chủ, tài nguyên m ạng Application Layer Attack nh ắm mục tiêu đến lớp “trên cùng” mơ hình tham chiếu kết nối hệ thống mở (OSI), nơi xảy yêu cầu Internet phổ biến HTTP GET HTTP POST Cách thức hoạt động Application Layer Attack Hiệu hầu hết công DDoS đến từ chênh lệch lượng tài nguyên cần thiết để thực công so với lượng tài nguyên cần để xử lý giảm thiểu cơng Trong điều xảy với cơng L7, hiệu việc ảnh hưởng đến máy chủ nhắm mục tiêu mạng địi hỏi tổng băng thơng để đạt hiệu ứng gián đoạn tương tự Một công lớp ứng dụng tạo nhiều thiệt hại với tổng băng thơng Hãy xem xét khác biệt mức tiêu thụ tài nguyên tương đ ối máy trạm (Client) đưa yêu c ầu Server phản hồi yêu cầu Khi người dùng gửi yêu cầu đăng nhập vào tài khoản trực tuyến chẳng hạn tài khoản Gmail, lượng liệu tài nguyên mà máy tính c người dùng phải sử dụng tối thiểu không tương xứng với lượng tài nguyên đư ợc sử dụng q trình kiểm tra thơng tin đăng nhập, tải liệu người dùng có liên quan từ sở liệu, sau gửi lại phản hồi có chứa trang Web u cầu Ngay khơng có thông tin đăng nh ập, nhiều lần Server nhận yêu cầu từ Client phải thực truy vấn sở liệu lệnh gọi giao diện lập trình ứng dụng (Application Programming Interface - API) khác để tạo trang Web Khi s ự chênh lệch tăng lên nhiều thiết bị nhắm mục tiêu vào thuộc tính web, m ột cơng mạng Botnet, hiệu ứng áp đảo máy chủ nhắm mục tiêu, dẫn đến tượng từ chối dịch vụ lưu lượng truy cập hợp pháp Trong nhiều trường hợp, cần nhắm mục tiêu API với công L7 đủ để đưa dịch vụ vào trạng thái ngoại tuyến Rất khó để phân biệt lưu lượng công lưu lượng thông thường, đặc biệt trường hợp công lớp ứng dụng, chẳng hạn Botnet thực công HTTP Flood đ ối với máy chủ nạn nhân Bởi vì, Bot mạng Botnet thực yêu cầu mạng dường hợp pháp, lưu lượng truy cập không bị giả mạo xuất với nguồn gốc “bình thường” Các công lớp ứng dụng yêu cầu chiến lược thích ứng bao gồm khả giới hạn lưu lượng truy cập dựa quy tắc cụ thể, thay đổi thường xuyên Các công c ụ tường lửa ứng dụng web (WAF) cấu hình cách có th ể giảm thiểu lượng lưu lượng truy cập khơng có thật chuyển đến Server gốc, giảm đáng kể tác động nỗ lực công DDoS Với công khác SYN Flood hay NTP Amplification, chiến lược sử dụng để giảm lưu lượng truy cập hiệu quả, miễn thân mạng có băng thông để nhận chúng Hầu hết mạng chịu công khuếch đại máy chủ 300Gbps chí cịn có mạng định tuyến phục vụ khối lượng yêu cầu lớp ứng dụng mà cơng L7 tạo Phòng ngừa Application Layer Attack Sử dụng WAF biện pháp giảm thiểu cơng DDoS tầng Theo đó, WAF lọc yêu cầu truy cập dựa vào quy tắc định Từ giúp máy chủ tránh khỏi số lượng truy cập độc hại Giới hạn số lượng yêu cầu khả máy chủ chấp nhận khoảng thời gian định cách tốt để giảm thiểu hậu DDoS gây Việc giới hạn gửi yêu cầu làm chậm trình công tin tặc Tuy nhiên, n ếu sử dụng phương pháp Hacker khiến người dùng gặp rắc rối với kiểu DDoS phức tạp Ngoài ra, giải pháp đa số quản trị viên mạng thực để phòng tránh cơng DDoS t ạo tuyến đường lỗ đen để chuyển lưu lượng truy cập vào đó, nhằm tránh tình trạng q tải hệ thống Khi Website gặp phải công từ chối dịch vụ, nhà cung cấp dịch vụ Internet đưa tất lưu lượng truy cập tải từ Website vào lỗ đen để tự bảo vệ  ... cơng gặp khó Cách ngăn chặn công DNS Amplification Các cách phổ biến để ngăn chặn giảm thiểu tác động công DNS Amplification bao g ồm thắt chặt bảo mật DNS Server (máy ch ủ), chặn DNS Server cụ thể... đ ến quy mơ nhiều tổ chức cần phải có DNS Server nhiều nơi giới 2 Tấn công Application Layer Attack Application Layer Attack cu ộc công lớp ứng dụng hay công DDoS lớp (L7), đề cập đến loại hành... thức công DNS Amplification, giống công khuếch đại khác, loại công phản chiếu Trong trư ờng hợp này, việc phản chiếu đạt cách gợi phản hồi từ trình phân giải DNS tới địa IP giả mạo Trong công DNS