1.2.2.1. Tấn công từ chối dịch vụ (DoS) hoặc phá vỡ dịch vụ VoIP
Dịch vụ internet là một chương trình chạy trên một host máy tính chờ đợi một kết nối từ khách hàng. Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn công trực tiếp và chủ động. Người tấn công không có ý định ăn cắp một cái gì cả. Anh ta chỉ muốn đơn giản là đặt dịch vụ ra khỏi khách hàng. Nhưng không phải lúc nào dịch vụ không được tiếp cận là nguyên nhân của tấn công DoS. Nó có thể là nguyên nhân của cấu hình sai cũng như là nguyên nhân của việc sử dụng sai.
Phụ thuộc vào các tính chất của các hành động trên mang lại mà các dịch vụ này có thể gặp phần nào một số hậu quả khó khăn, ví dụ như một shop trực tuyến. Một tấn công DoS có thể là một trong ba loại sau đây:
- Đe doạ vật lý hoặc hay thay đổi các thành phần mạng. - Đe doạ hay thay đổi cấu hình thông tin.
Tiêu thụ khó khăn, giới hạn hay không thể khôi phục nguồn tài nguyên. Các sửa đổi một phần kiến trúc phần cứng của hệ thống được xem như là truy cập đến vùng của nó. Một người tấn công chỉ có thể cố gắng phá hủy các phần cứng vật lý thông qua làm đổi hướng phần mềm. Một tấn công DoS trên internet có thể chỉ là loại thứ hai hay thứ ba. Sự thay đổi cấu hình thông tin cần phải truy cập đến host máy tính. Điều này ám chỉ rằng người tấn công được quản lí hệ thống khi xâm phạm hệ thống. Cách thức tấn công dễ nhất của DoS là giới hạn nguồn tài nguyên, chẳng hạn như băng thông dành cho dịch vụ internet. Tác động của việc tấn công sẽ lớn hơn nếu vị trí bị tấn công từ một vài host ở cùng một thời điểm. Các biến thể của tấn công DoS được gọi là tấn công từ chối phân bổ của dịch vụ DDoS.
Tấn công DoS có thể ảnh hưởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của tấn công DoS có thể làm giảm chất lượng dịch vụ hoặc nặng hơn có thể làm mất dịch vụ. Ta có các loại tấn công như sau:
- DDoS (Distributed denial-of-service): đây là kiểu tấn công mà các gói tin làm tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài, được mô tả trong hình 1.10 và 1.11.
Hình 1.10: Luồng trao đổi thông thường
Các luồng traffic trao đổi bình thường giữa các host và server bên trong và ngoài mạng. Hình dưới cho thấy sự tấn công luồng traffic IP trực tiếp từ interface của firewall.
Hình 1.11: Luồng trao đổi bị tấn công DDoS
Ví dụ trong năm 2004, các trang web của Yahoo, Google và Microsoft đã biến mất trên internet trong vài giờ khi các server của họ bị làm tràn với hang trăm ngàn yêu cầu từ các trang web khác. Điều này làm suy giảm băng thông và các server CPU không thể xử lý nổi.
- DoS (Denial of Service): điều kiện tấn công DoS xảy ra khi thiết bị ở trong mạng nội bộ là cái đích của việc làm tràn ngập các gói, dẫn đến mất liên lạc giữa các phần trong cấu trúc mạng liên quan đến thiết bị đó. Cũng giống như DoS ở trên, các dịch vụ cũng bị bẻ gãy và làm giảm băng thông và tài nguyên CPU. Ví dụ một
vài điện thoại IP sẽ ngừng hoạt động nếu chúng nhận các gói tin UDP lớn hơn 65534 bytes ở port 5060.
Hình 1.12: Tấn công DoS làm ngừng hoạt động của điện thoại IP
Việc kiểm tra tính toàn vẹn và kể cả việc mã hóa cũng không thể ngăn chặn những tấn công này. Đặc tính của tấn công DoS và DDoS là đơn giản bằng cách gửi một lượng lớn các gói tin đến máy nạn nhân. Mặc dù các gói tin này có được đăng ký với server hay không, nguồn địa chỉ IP là thật hay giả, hoặc được mã hóa với một key không có thật đi nữa thì việc tấn công vẫn có thể xảy ra.
Tấn công DoS thật khó để chống lại bởi vì VoIP cũng chỉ là một trong những dịch vụ trên mạng IP, nó cũng dễ bị tấn công như các dịch vụ trên mạng IP khác. Hơn nữa tấn công DoS có ảnh hưởng đặc biệt tới các dịch vụ như VoIP và các dịch vụ thời gian thực khác, bởi vì các dịch vụ này rất “nhạy cảm” với trạng thái mạng. Virus và worm nằm trong danh sách gây nên tấn công DoS hay DDoS dựa trên việc tăng lưu lượng mạng mà chúng tạo ra bằng cách tái tạo và nhân bản.
Vậy chúng ta sẽ chống lại tấn công DoS như thế nào? Chúng ta bắt đầu bằng việc tấn công DoS trong mạng nội bộ. Ở hình trên thì VLAN 10 ở bên phải không bị ảnh hưởng phá vỡ dịch vụ bởi VLAN 2 ở bên trái. Với minh họa này thì người quản trị bảo mật có thể ngăn cản tấn công DoS bằng cách chia mạng thành nhiều phần. Mỗi phần có thể “miễn dịch” với tấn công DoS với các phần còn lại.
Điểm mấu chốt của chúng ta là sẽ làm giảm tấn công DoS một cách có hiệu quả. Như ta đã biết, trong môi trường VoIP sự chứng thực bền vững ít khi được sử dụng. Các thành phần thông điệp phải xử lý chính xác và các thông điệp xử lý có thể là từ người tấn công. Thêm vào đó việc xử lý những thông điệp giả sẽ làm suy kiệt nguồn tài nguyên của server, điều đó dẫn đến tấn công DoS. Việc làm tràn ngập các thông điệp đăng ký SIP và H.323 là một ví dụ điển hình. Trong trường hợp này
server có thể giảm nhẹ các nguy cơ tấn công bằng cách giới hạn số thông điệp đăng ký mà nó sẽ xử lý trong thời gian cụ thể cho từng địa chỉ cụ thể (chẳng hạn là địa chỉ IP). Và một hệ thống chống xâm nhập (Intrustion Prevention System-IPS) có thể hữu ích trong một số loại tấn công DoS nào đó.
Thiết bị này nằm trên đường dữ liệu và giám sát lưu lượng di qua nó. Khi có một lưu lượng bất thường được phát hiện, IPS sẽ ngăn chặn lưu lượng bất thường này. Một vấn đề nữa mà ta đã thấy với các thiết bị, đặc biệt là trong môi trường yêu cầu lợi ích cao, là việc các thiết bị thỉnh thoảng ngăn chặn các lưu lượng bình thường. Mà điều đó cũng có thể xem là một hình thức tấn công DoS.
Hơn nữa, các nhà quản trị bảo mật có thể giảm thiểu đến mức tối đa nguy cơ tấn công DoS bởi một điều chắc chắn là điện thoại IP và các server được cập nhật các phiên bản ổn định nhất. điển hình là khi một cảnh báo tấn công DoS được công bố, nhà sản xuất sẽ nhanh chóng vá các lỗi vừa phát hiện.
Hệ thống VoIP đòi hỏi đặt ra yêu cầu dịch vụ phải chính xác. Dưới đây là một số ví dụ tấn công DoS gây ra có thể làm cho các dịch vụ VoIP mất đi một phần hoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc gọi, ngắt các cuộc gọi hoặc ngăn chặn các dịch vụ tương tự như là voice mail. Chú ý là các kiểu tấn công bên dưới này không bao hàm hết nhưng cũng minh họa một vài phiên bản tấn công.
Khởi động lại kết nối TLS (TLS Connection Reset): nó không khó để tấn công khởi động lại một kết nối trên kết nối TLS (thường dùng cho báo hiệu bảo mật giữa thoại và gateway)- chỉ cần gửi đúng loại gói thì kết nối TLS sẽ bị khởi động lại, làm gián đoạn kênh báo hiệu giữa điện thoại và call server.
Tấn công chuyển tiếp các gói VoIP (VoIP packet relay Attack): bắt và gửi lại các gói VoIP đến điểm cuối, cộng thêm việc trì hoãn tiến trình cuộc gọi sẽ làm giảm chất lượng cuộc gọi.
Đường hầm dữ liệu (data tunneling): không chính xác là một sự tấn công, đúng hơn là tạo một đường hầm dữ liệu xuyên qua cuộc gọi vừa tạo, thực chất đây là hình thức mới truy cập trái phép modem. Việc vận chuyển tín hiệu modem thông qua những gói tin mạng bằng phương pháp điều chế xung mã (PCM-Pulse Code Modulation) để mã hóa các gói hay là bằng cách đặt chúng trong các thông tin header, VoIP có thể được dùng để hỗ trợ cuộc gọi từ modem qua mạng IP. Kỹ thuật này được dùng để bỏ qua hay phá hoại chính sách của modem để bàn và che dấu việc không được phép kết nối dữ liệu. Điều này cũng tương tự như khái niệm “IP over HTTP”, một vấn đề kinh điển đối với tất cả các port mở trên firewall từ các nguồn bên trong.
Tấn công thay đổi chất lượng dịch vụ (QoS Modification Attack): thay đổi các trường thông tin điều khiển các giao thức VoIP riêng biệt trong gói dữ liệu VoIP và từ điểm cuối làm giảm hoặc từ chối dịch vụ thoại. Ví dụ, nếu một người tấn công đổi thẻ 802.1Q VLAN hoặc bit To Strong gói IP, cũng giống như là người đứng giữa (man-in-the-middle) hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối, người tấn công có thể sẽ phá vỡ chất lượng dịch vụ của mạng VoIP. Do lưu lượng thoại phụ thuộc vào lưu lượng dữ liệu nên về căn bản, kẻ tấn công có thể trì hoãn việc phân phát các gói thoại.
Sự tiêm các gói VoIP (VoIP packet Injection): tức là gửi các gói VoIP giả mạo đến điểm cuối, thêm vào đoạn thoại hay nhiễu hay khoảng lặng vào hoạt động thoại. Ví dụ khi RTP được dung mà không có sự xác thực của gói RTCP ( và cả không có sự lấy mẫu của SSRC), kẻ tấn công có thể tiêm thêm các gói RTCP vào nhóm multicast với SSCR khác, mà điều này có thể làm tăng số lượng nhóm theo hàm mũ.
Tấn công DoS vào các dịch vụ bổ xung (DoS against supplementary services): khởi đầu tấn công DoS là chống lại các dịch vụ mạng khác mà dịch vụ VoIP có mối liên hệ ( ví dụ: DHCP, DNS, BOOTP). Ví dụ trong mạng mà đầu cuối VoIP dựa vào địa chỉ đăng ký DHCP, làm mất khả năng của DHCP server ngăn chặn điểm cuối lấy được địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch vụ VoIP.
Tràn ngập các gói điều khiển: (Control Packet Flood) : làm tràn ngập VoIP server hoặc đầu cuối với những gói điều khiển cuộc gọi không rõ nguồn gốc (ví dụ trong H.323, các gói GRQ, RRQ, URQ sẽ được gửi đến UDP/1719). Mục đích của kẻ tấn công là làm suy yếu thiết bị hệ thống hoặc tài nguyên mạng. Do đó không thể dung các dịch vụ VoIP. Bất kể các port mở trong tiến trình cuộc gọi và VoIP server lien quan có thể trở thành mục tiêu của kiểu tấn công DoS này.
Tấn công DoS Wireless (Wireless DoS) cách này sẽ tấn công vào đầu cuối VoIP Wireless bằng cách gửi những frame 802.11 hoặc 802.1X để ngắt các kết nối. Ví dụ tấn công Message Integrity sẽ làm cho access point cách ly các trạm khi nó nhận 2 frame không hợp lệ trong vòng 60 giây. Dẫn đến mất kết nối này trong vòng 60 giây. Và trong môi trường VoIP thì việc mất dịch vụ trong vòng 60 giây thì không thể chấp nhận được.
Thông điệp giả (Bogus Message DoS): gửi đến VoIP server và các điểm cuối các giao thức VoIP giả mạo nhằm hủy kết nối hoặc tình trạng bận ở đầu cuối. Kiểu tấn công này làm cho các phone phải xử lý các message giả và các đầu cuối phải
thiết lập những kết nối ảo hoặc làm cho người tham gia cuộc gọi lầm rằng đường dây đang bận.
Gói tin không hợp lệ (Invalid Packet DoS): gửi đến VoIP server và đầu cuối những gói không hợp lệ để khai thác hệ điều hành thiết bị và TCP/IP để thực hiện từ chối dịch vụ CVEs. Theo sự mô tả của CAN-2002-0880, dùng jolt có thể bẻ gãy Cisco IP phone và sự phân đoạn thong thường dựa trên các phương thức DoS khác.
Sự thực thi giao thức VoIP (VoIP Protocol Implementation) : gửi đến server VoIP hoặc đầu cuối những gói tin không hợp lệ để có thể khai thác những điểm yếu trong sự thực thi giao thức VoIP và tạo nên tấn công DoS. Ví dụ, CVE-2001-00546 đề cập đến việc sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA của Window. CAN-2004-0056 sử dụng các gói H.323 như trên để khai thác điểm yếu của Nortel BCM. Nếu như không thường xuyên cập nhập phần mềm một cách hợp lý thì sẽ tăng rủi ro cho hệ thống.
Packet of Death DoS: làm tràn ngập VoIP server hoặc đầu cuối với những gói hoặc những phân đoạn TCP, UDP, ICMP ngẫu nhiên nhằm làm suy hao CPU thiết bị cũng như băng thông, phiên TCP… Ví dụ khi gửi một số lượng gói TCP với sự ưu tiên phân phát. Trong quá trình tràn ngập này làm tăng sự xử lý, can thiệp vào tải so với khả năng của hệ thống nhận, để xử lý lưu lượng thật, và kết quả ban đầu là làm trì hoãn lưu lượng, sau cùng là đập vỡ hoàn toàn lưu lượng.
1.2.2.2. Một số cách tấn công chặn và cướp cuộc gọi:
a. Tấn công Replay:
Tấn công replay là tấn công chủ động hướng về nghi thức. Đặc trưng của người tấn công này giành được gói dữ liệu gởi hoặc nhận đến host. Anh ta sửa đổi chúng và sử dụng lại để truy cập vào một số dịch vụ nào đó. Một ví dụ tương ứng với loại thoại IP là người tấn công đạt được trong tay các gói dữ liệu gởi từ một user có quyền để thiết lập cuộc gọi và gởi lại chúng sau khi đã sửa đổi địa chỉ nguồn và IP. Nó có thể bị ngăn chặn bằng cách thực thi hai dịch vụ bảo mật nhận thực thực thể ngang hàng (peer entity authencation) và tính toàn vẹn dữ liệu (data intergrity).
b. Tấn công tràn bộ đệm
Đây là phương thức tấn công phổ biến. Đây là kết quả chính của việc phát triển phần mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là có một vài lệnh không kiểm tra đầu vào dữ liệu. Chúng được ứng dụng đặc biệt để xâu chuỗi xử lý các lệnh. Quá trình gia nhập với nhiều đầu vào, các lệnh hay là các chương trình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên. Nội dung của bộ nhớ này có thể bắt đầu hoặc quay trở lại địa chỉ của các chương trình subroutine. Trường
hợp xấu nhất người tấn công có thể thêm vào đoạn code hiểm để cung cấp cho các quyền quản lí của hệ thống. Biện pháp đối phó là huỷ tất cả các code “yếu”, chính các lỗ hỗng nhận thức được chứa trong các hệ thống hoạt động và các chương trình ngôn ngữ.
c. Tấn công man in the middle
Trong tấn công man in the middle người tấn công quản lý để cắt đứt kết nối giữa hai bên gọi. Cả hai bên tham gia kết nối này đều nghĩ rằng chúng truyền thông với nhau. Thực tế, tất cả các dữ liệu được định tuyến qua người tấn công. Hacker đã hoàn thành việc truy cập để thay thế các dữ liệu bên trong. Hacker có thể đọc chúng, thay đổi chúng hoặc và gửi chúng như là dữ liệu. Thực tế hacker được xác định ở vị trí ở giữa của hai bên truyền thông mang lại cho người tấn công tên của hai bên truyền thông. Một ví dụ cho tấn công này là thiết lập của việc bảo đảm kết nối được sử dụng bởi bảo mật lớp dữ liệu. Điểm yếu của TLS là nguyên nhân của việc thiết lập phiên này. Ở đây hai bên truyền thông có thể trao đổi hai khóa. Khóa này được đổi có khả năng làm cho người tấn công có thể ở giữa hai bên truyền thông.
d. Chặn và đánh cắp cuộc gọi
Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng VoIP, định nghĩa nghe lén có nghĩa là một người tấn công có thể giám sát toàn bộ báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhưng không thể biến đổi dữ liệu. Đánh cắp cuộc gọi thành công tương tự như việc nghe trộm trên dây nối, cuộc gọi của hai bên có thể bị đánh cắp, ghi lại, và nghe lại mà hai bên không hề biết. Rõ ràng người tấn công mà có thể đánh chặn và chứa dữ liệu này có thể sử dụng dữ liệu