Đang tải... (xem toàn văn)
7 phạm trù phòng ngừa tấn công từ chối dịch vụ .Tấn công từ chối dịch vụ (DDoS) sẽ luôn là mối đe doạ hàng đầu đến các hệ thống trên thế giới. Về kỹ thuật, hầu như chúng ta chỉ có thể hy vọng attacker sử dụng nhựng công cụ và có hiểu biết kém cỏi về các protocol để có thể nhận biết và loại trừ các traffic gây nên cuộc tấn công. Một điều mà các chuyên gia ai cũng thừa nhận, đó là nếu DDoS được thực hiện bởi một hacker có trình độ, thì việc chống...
7 phạm trù phịng ngừa cơng từ chối dịch vụ Tấn công từ chối dịch vụ (DDoS) mối đe doạ hàng đầu đến hệ thống giới Về kỹ thuật, hy vọng attacker sử dụng nhựng cơng cụ có hiểu biết cỏi protocol để nhận biết loại trừ traffic gây nên công Một điều mà chuyên gia thừa nhận, DDoS thực hacker có trình độ, việc chống đỡ Cách năm, giới hacker quy giới khai tử kỹ thuật công chấm dứt hoạt động nghiên cứu-trình diễn hay phát tán cơng cụ thân họ nhìn thấy mức độ nguy hiểm không công kiểu công Đối với hacker đẳng cấp “Hacking is get root!” Với hạ tầng mạng yếu kém, với thương mại điện tử vừa chớm hình thành, DDOS mối nguy hại lớn cho internet Việt Nam Tất thành viên cộng đồng internet Việt Nam, nên có nhìn hành động thật chắn, DDOS hành động vô nghĩa mặt ! Tấn công từ chối dịch vụ (DoS) công hệ thống mạng nhằm ngăn cản truy xuất tới dịch vụ Tấn công DoS phá hủy dịch vụ mạng cách làm tràn ngập số lượng kết nối, tải server chương trình chạy server, tiêu tốn tài nguyên server, ngăn chặn người dùng hợp lệ truy nhập tới dịch vụ mạng Có nhiều phương cách để thực công từ chối dịch vụ, có nhiều cách phân loại DoS Cách phân loại phổ biến thường dùng dựa vào giao thức hình thức cơng DoS, ví dụ tràn ngập ICMP với Smurf, Ping of Death, khai thác điểm yếu TCP hoạt động giao thức phân mảnh gói tin với SYN flood, LanD attacks, TearDrop hay mức dịch vụ với Flash Crowds (ở Việt Nam thường biết đến với tên X-flash) Phân loại theo phương thức công, DoS thực vài gói tin đơn lẻ gửi thẳng tới server gây rối loạn hoạt động (như slammer worm), kích hoạt để gửi từ nhiều nguồn (từ chối dịch vụ phân tán – DdoS) Tấn cơng thực mạng Internet (sử dụng web server), broadcast mạng bên (insider attacks – với Blaster worm), mạng P2P (P2P index poinsioning) hay Wireless (WLAN authentication rejection attack-spoof sender) Tuy nhiên, thấy cách phân loại dựa chủ yếu vào cách nhìn từ phát sinh cơng, thế, khơng hệ thống hóa phương thức phịng tránh Một cách chung nhất, có phạm trù tổ chức cần xem xét đối phó với mối đe dọa DoS sau: 1/ Phòng ngừa điểm yếu ứng dụng (Application Vulnerabilities) Các điểm yếu tầng ứng dụng bị khai thác gây lỗi tràn đệm dẫn đến dịch vụ bị chấm đứt Lỗi chủ yếu tìm thấy ứng dụng mạng nội Windows, chương trình webserver, DNS, hay SQL database Cập nhật vá (patching) yêu cầu quan trọng cho việc phòng ngừa Trong thời gian chưa thể cập nhật toàn mạng, hệ thống phải bảo vệ vá ảo (virtual patch) Ngoài ra, hệ thống cần đặc biệt xem xét yêu cầu trao đổi nội dung client server, nhằm tránh cho server chịu công qua thành phần gián tiếp (ví dụ SQL injection) 2/ Phịng ngừa việc tuyển mộ zombie Zombie đối tượng lợi dụng trở thành thành phần phát sinh công Một số trường hợp điển thơng qua rootkit (Sony hay Symantec), hay thành phần hoạt động đính kèm mail, trang web, ví dụ sử dụng file jpeg khai thác lỗi phần mềm xử lý ảnh, đoạn mã đính kèm theo file flash, trojan cài đặt theo phishing, hay thông qua việc lây lan worm (Netsky, MyDoom, Sophos) Để phòng chống, hệ thống mạng cần có cơng cụ theo dõi lọc bỏ nội dung (content filtering) nhằm ngăn ngừa việc tuyển mộ zombie hacker 3/ Ngăn ngừa kênh phát động cơng sử dụng cơng cụ Có nhiều công cụ tự động công DoS, chủ yếu công phân tán DDoS TFN, TFN2000 (Tribe Flood Network) công dựa nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, tràn ngập TCP với packets headers ngẫu nhiên Các cơng cụ có đặc điểm cần phải có kênh phát động để zombie thực cơng tới đích cụ thể Hệ thống cần phải có giám sát ngăn ngừa kênh phát động 4/ Ngăn chặn công băng thông Khi công DdoS phát động, thường phát dựa thay đổi đáng kể thành phần lưu lượng hệ thống mạng Ví dụ hệ thống mạng điển hình có 80% TCP 20% UDP ICMP Thống kê có thay đổi rõ rệt dấu hiệu công Slammer worm làm tăng lưu lượng UDP, Welchi worm tạo ICMP flood Việc phân tán lưu lượng gây worm gây tác hại lên router, firewall, sở hạ tầng mạng Hệ thống cần có cơng cụ giám sát điều phối băng thông nhằm giảm thiểu tác hại công dạng 5/ Ngăn chặn công qua SYN SYN flood công cổ tồn đến tại, dù tác hại khơng giảm Điểm để phịng ngừa việc cơng khả kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng 6/ Phát ngăn chặn công tới hạn số kết nối Bản thân server có số lượng tới hạn đáp ứng kết nối tới Ngay thân firewall (đặc biệt với firewall có tính stateful inspection), kết nối ln gắn liền với bảng trạng thái có giới hạn dung lượng Đa phần công sinh số lượng kết nối ảo thông qua việc giả mạo Để phịng ngừa cơng dạng này, hệ thống cần phân tích chống spoofing Giới hạn số lượng kết nối từ nguồn cụ thể tới server (quota) 7/ Phát ngăn chặn công tới hạn tốc độ thiết lập kết nối Một điểm server thường bị lợi dụng khả đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến tải phải chịu thay đổi đột ngột số lượng sinh kết nối Ở việc áp dụng lọc để giới hạn số lượng kết nối trung bình quan trọng Một lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng Thông thường, việc số lượng kết nối thời gian định phép dao động lưu lượng Các phân tích dựa ngầm định sau việc bảo vệ hệ thống Thứ nhất, thiết bị bảo vệ cần đặt luồng thông tin thực trực tiếp việc ngăn ngừa Điều xuất phát từ lý cho tốc độ cơng (ví dụ khoảng 10.000 đăng ký thành viên 1s hướng tới server, phát tán worm với tốc độ 200ms hệ thống mạng Ethernet 100M) Với tốc độ vậy, cách thức phịng ngừa dạng phát – thơng báo ngăn chặn (Host Shun TCP Reset) khơng cịn phù hợp Thứ hai, công từ chối dịch vụ chủ yếu nhắm tới khả xử lý hệ thống mạng mà thiết bị an ninh thông tin Năng lực xử lý IPS thành phần content filtering điểm cần ý, đặc biệt ổn định việc xử lý đồng thời loại lưu lượng hỗn tạp với kích thước gói tin thay đổi Thứ ba, cơng ln tích hợp (blend attacks) với tổng hợp phương thức khác Chính vậy, tầm quan trọng việc phịng ngừa dấu hiệu lây nhiễm đơn giản bước để ngăn chặn công từ chối dịch vụ Trong hệ thống tổng thể security, để đối phó với cơng từ chối dịch vụ, thành phần IPS coi quan trọng tính suốt với người dùng, nên việc phân tích luồng thơng tin trao đổi server người dùng không bị ảnh hưởng luồng cơng hướng thẳng đến Dưới tóm tắt báo cáo NSS, tổ chức kiểm tra định khả thiết bị mạng môi trường giả lập công cho thiết bị IPS hãng hàng đầu - TopLayer Attack Mitigator IPS Theo tên gọi, thiết bị thực việc chuyển dịch công, không hẳn thực thi ngăn ngừa cơng Chính nên latency tăng cao mơi trường bị công Toplayer khuyến nghị sử dụng với mục đích thiết bị chuyển dịch công - ISS Proventia G ISS Proventia G cho thấy khả đáp ứng với hầu hết loại công với latency thấp, ngoại trừ DoS với packet nhỏ ISS Proventia dùng hệ thống mạng nội với hạ tầng Gigabit - McAffee IntruShield MacAffee IntruShield thiết bị đánh giá có khả đáp ứng yêu cầu bao quát đầy đủ dấu hiệu công mức độ latency thấp - TippingPoint UnityOne Đây thiết bị NSS cung cấp chứng NSS Gold (so với chứng khác NSS Approve) Ngồi việc đáp ứng tiêu chí latency khả phát công, UnityOne nhỉnh McAffee IntruShield khả dự báo phản hồi (predictable response) với công ... thật chắn, DDOS hành động vô nghĩa mặt ! Tấn công từ chối dịch vụ (DoS) công hệ thống mạng nhằm ngăn cản truy xuất tới dịch vụ Tấn công DoS phá hủy dịch vụ mạng cách làm tràn ngập số lượng kết... vậy, tầm quan trọng việc phịng ngừa dấu hiệu lây nhiễm đơn giản bước để ngăn chặn công từ chối dịch vụ Trong hệ thống tổng thể security, để đối phó với cơng từ chối dịch vụ, thành phần IPS coi... thiết bị thực việc chuyển dịch công, không hẳn thực thi ngăn ngừa công Chính nên latency tăng cao mơi trường bị công Toplayer khuyến nghị sử dụng với mục đích thiết bị chuyển dịch công - ISS Proventia