Sâu Internet: Cơ sở và các vấn đề liên quan

Một phần của tài liệu Xây dựng hệ các điều kiện giới hạn phục vụ phân bố lưu lượng dịch vụ IP internet (Trang 116 - 121)

a.) Gii thiu

Với khả năng tự sao chép và lan truyền, sâu Internet là kiểu tấn công mạng Internet ở quy mô lớn, có thể thực hiện các cuộc tấn công DDoS bằng cách làm

ngập lụt mục tiêu lựa chọn. Sau đây là một số thông tin có tính cơ bản về các loại sâu Internet đã ra đời trong vài năm qua.

- Code Red: Lỗ hổng nghiêm trọng trong dịch vụ IIS của Windows được phát

hiện ngày 18 tháng 6 năm 2001. Ngày 13 tháng 7 năm 2001, phiên bản đầu tiên đã

khám phá lỗ hổng này nhưng do lỗi mã trong bộ phận tạo số ngẫu nhiên, nó không lan truyền tốt. Phiên bản thứ 2 sửa lỗi mã tạo số ngẫu nhiên, gây ra sự nguy hiểm thật sự, bắt đầu lây lan ngày 19 tháng 7 năm 2001, tạo ra 100 luồng nguy hiểm. Mỗi một trong số 99 luồng đầu tiên chọn ngẫu nhiên một địa chỉ IP, thiết lập kết nối tới port 80 của máy đích. Với phiên bản Windows 2000, luồng 100 của sâu xóa bỏ trang Web hệ thống bị nhiễm và sử dụng để làm nhiễm những hệ thống khác. Nếu kết nối thành công, sâu gửi một bản sao tới máy chủ Web nạn nhân để thỏa hiệp và tiếp tục tìm máy chủ Web khác. Nếu nạn nhân không phải là máy chủ Web hoặc kết nối không được thiết lập, luồng của sâu tạo ngẫu nhiên địa chỉ IP để thăm dò (thời gian chờ kết nối của Code Red được lập trình 21 giây). Code Red chỉ khám phá Windows 2000 với dịch vụ Web IIS, không lây nhiễm trong Windows NT vì mã không hợp lệ.

- Worm Nimda: Xuất hiện trên Internet vào năm 2001, mục tiêu tấn công máy chủ Internet bằng cách làm cho lưu lượng Internet bị chật cứng với tốc độ lây lan

nhanh nhất vào thời điểm đó (theo TruSecure CTO Peter Tippett của Anthes, Nimda

mất 22 phút để dẫn đầu danh sách các cuộc tấn công) do di chuyển trên Internet bằng nhiều phương pháp, gồm cả email. Worm Nimda tạo ra một cổng hậu vào hệ điều hành của máy bị nhiễm, cho phép người ẩn phía sau tấn công với cùng mức truy cập như bất cứ tài khoản nào đăng nhập vào máy tính tại thời điểm đó (người dùng có đặc quyền hạn chế thì kẻ tấn công chỉ có mức truy cập hạn chế, nhưng nếu nạn nhân là quản trị viên, kẻ tấn công được quyền kiểm soát toàn bộ). Sự trải rộng của virus Nimda đã làm cho một số hệ thống mạng đổ vỡ và worm Nimda đã trở thành một tấn công DDoS.

- SQL-Snake: Phát hiện vào tháng 5 năm 2002 trên máy chủ MS-SQL7 khi đang mở port 1443 và khai thác những máy có tài khoản mặc định SA không có mật khẩu. Sâu này quét các địa chỉ IP theo dạng A.B.C.D một cách ngẫu nhiên. Trong đó, số ngẫu nhiên A ≠ 10, 127, 172, 192, B = 0-255, C = 1-255 và D = 1-254. Chức năng chính của sâu này là gửi thư chứa mật khẩu và những thông tin liên quan về địa chỉixltd@postone.com.

- SQL-Sapphire(hay SQL-Slammer):Phát hiện tháng 1 năm 2003, đã tàn phá

đáng kể về cơ sở hạ tầng mạng chỉ khoảng dưới mười phút do khả năng lan truyền rất nhanh (bằng cách tạo ra các địa chỉ IP giả ngẫu nhiên để thử lây nhiễm) vì lợi thế so với các thế hệ trước bởi kích thước của nó nhỏ (gói tin UDP đơn 404 bytes).

- Sâu Conficker: Conficker là loại mã độc, lợi dụng lỗi bảo mật này để phát tán và lây nhiễm lên PC của người dùng. Phương thức lây nhiễm chủ yếu của sâu này là thông qua thẻ nhớ USB hoặc một PC bị lây nhiễm trong mạng sẽ tự động lây

nhiễm sang các PC khác ngang hàng. Conficker có thể đột nhập vào PC do người

dùng tải về những phần mềm từ những website không an toàn trên mạng Internet, người dùng có sử dụng các ứng dụng chia sẻ tệp tin ngang hàng và người dùng đã

truy cập vào một website dùng để phát tán sâu Conficker. Trong SIRv12 (báo cáo

về bảo mật thứ 12 của Microsoft công bố cuối tháng 4/2012) chỉ rõ, sâu Conficker đã tăng hàng quý tới 225% kể từ đầu năm 2009. Chỉ riêng quý 4/2011, loại sâu nguy hiểm này được phát tán trên hơn 1,7 triệu hệ thống máy tính trên phạm vi toàn cầu. Khi kiểm tra nguyên nhân lây nhiễm Conficker nghiên cứu thấy rằng 92% máy tính nhiễm sâu vì mật khẩu quá yếu hoặc bị đánh cắp và chỉ 8% là bởi các lỗ hổng chưa được vá.

b.) Các phương pháp quét của sâu Intenet

Thăm dò (quét) là nhiệm vụ đầu tiên sâu thực hiện để tìm các máy có lỗ hổng. Từ một không gian địa chỉ đã cho, tùy thuộc vào cách chọn đích, các con sâu thực hiện quét theo phương pháp khác nhau. Có thể phân các phương pháp quét theo loại

như quét ngẫu nhiên, có khả năng định tuyến, theo danh sách tấn công và quét theo kiểu phân chia.

- Quét ngẫu nhiên có chọn lọc: Thay vì quét ngẫu nhiên toàn bộ không gian địa chỉ, quét chọn lọc ngẫu nhiên cố gắng chọn một tập hợp các địa chỉ có nhiều khả năng đang tồn tại làm không gian địa chỉ mục tiêu (danh sách địa chỉ chọn có thể thu được từ bảng định tuyến địa phương hoặc toàn cầu). Cần đảm bảo không chọn quét khối địa chỉ chưa được phân bổ hoặc không gian địa chỉ để dự trữ vì sâu có khả năng tránh sử dụng các địa chỉ nằm trong khối địa chỉ này. Thông tin về những khối địa chỉ này có thể tìm thấy bằng nhiều cách. Cử ví dụ, danh sách Bogon chứa khoảng 32 khối địa chỉ (không bao giờ xuất hiện trong mạng công cộng), hay hồ sơ cấp phát địa chỉ IPv4 của IAINA chứa danh sách tương tự, cung cấp 8 khối địa chỉ. Sâu Slapper (Apache hay OpenSSL) sử dụng những danh sách này để quét ngẫu nhiên có lựa chọn và lan truyền. Sâu sử dụng quét ngẫu nhiên có chọn lựa cần mạng thông tin về những địa chỉ mục tiêu đã chọn, có thể đến hàng trăm bytes. Mang nhiều thông tin làm mở rộng kích thước mã code của sâu và làm chậm quá trình lây nhiễm của nó.

-Quét có khả năng định tuyến: Ngoài không gian địa chỉ quét đã được giảm khi sâu quét chọn lọc ngẫu nhiên, nhưng nếu một sâu biết địa chỉ mạng nào đó có thể định tuyến hoặc đang sử dụng, thì sâu có thể lan truyền nhanh hơn, hiệu quả hơn và có thể tránh việc dò tìm. Tuy nhiên, một vấn đề liên quan đến kỹ thuật quét này là kích thước của sâu phải tăng lên để mạng cơ sở dữ liệu địa chỉ IP có thể định tuyến, dẫn đến kết quả là thời gian lây nhiễm bị chậm đi.

-Quét kiểu chia để trị: Trong cách quét này, thay vì quét toàn bộ cơ sở dữ liệu, một máy đã bị nhiễm thực hiện phân chia cơ sở dữ liệu địa chỉ cho các nạn nhân của nó. Ví dụ, sau khi máy A lây nhiễm máy B, thì A chia một nửa địa chỉ đã định tuyến, truyền cho B và B sau đó có thể quét một nửa cơ sở dữ liệu địa chỉ đã định tuyến đó. Với kiểu quét chia để trị, kích thước mã code của sâu giảm đi, mỗi nạn nhân quét không gian địa chỉ nhỏ hơn. Ngoài ra, lưu lượng quét tạo ra bởi nạn nhân

cũng giảm, làm cho việc phát hiện ra sâu cũng khó khăn hơn. Điểm yếu của kiểu quét này là ở “lỗi đơn điểm” (single point of failure), theo nghĩa bị mất cơ sở dữ liệu của máy nhiễm khi tắt hoặc treo trong quá trình lan truyền của sâu. Điều này xảy ra càng sớm, thì ảnh hưởng càng lớn. Một số giải pháp đã được sử dụng để khắc phục vấn đề này. Một giải pháp có thể là tạo ra một hitlist, trong đó một sâu lây nhiễm một số lượng lớn máy tính trước khi nó chuyển cơ sở dữ liệu. Một giải pháp khác là sử dụng bộ đếm. Mỗi lần chương trình sâu được truyền tới một nạn nhân mới bộ đếm sẽ tăng lên. Chương trình sâu quyết định chia cơ sở dữ liệu dựa trên giá trị của bộ đếm này. Giải pháp thứ ba là ngẫu nhiên quyết xem có chuyển cơ sở dữ liệu hay không.

c.) Phòng chng sâu Internet

Trước các cuộc tấn công sâu Internet, các kỹ thuật bảo vệ khác nhau đã được đề xuất để ngăn chặn sự lan truyền sâu. Có thể phân các kỹ thuật bảo vệ thành ba lớp theo chức năng. Đó là phòng ngừa, xử lý và ngăn chặn.

- Phòng ngừa: Các công nghệ, kỹ thuật phòng ngừa giúp làm giảm số lượng máy có nguy cơ bị tấn công nên hạn chế được sự lây lan. Tuy nhiên, chủ động ngăn ngừa đơn lẻ là không đủ để chống lại những mối đe dọa của sâu Internet [16].

- Xử lý: Công nghệ xử lý được thấy trong các phần mềm diệt virus thương mại, tính năng cập nhật hệ thống trong những hệ điều hành phổ biến. Khai thác các biện pháp phản ứng lại sâu Internet, có thể làm giảm sốlượng máy bị tấn công. Tuy vậy, thực tế cho thấy rằng các giải pháp này không có khả năng cung cấp hỗ trợ tức thời trước mỗi đợt lây nhiễm bùng phát do thời gian yêu cầu để thiết kế, phát triển, thử nghiệm, cài đặt một bản cập nhật bảo mật quá dài so với tốc độ lây lan của sâu Internet (trong chiến dịch chống lây lan sâu Code-Red, phải mất 16 ngày để các máy loại bỏ những nguy cơ tấn công và hàng ngàn máy không được vá lỗi trong sáu tuần sau đó).

- Ngăn chặn:Các công nghệ chặn (tường lửa, lọc nội dung, danh sách đen lọc định tuyến tự động) được sử dụng để ngăn sự giao tiếp giữa máy bị và máy không

bị nhiễm. Về lý, phương pháp này có thể làm giảm nhanh, thậm chí dừng lây lan nên giảm mối đe dọa, cấp thêm thời gian để phát triển các biện pháp xử lý tốt hơn. Trong suốt quá trình lan truyền sâu Code-Red, kỹ thuật ngăn chặn dùng mạng ad- hoc làm phương tiện chính để bảo vệ các mạng cá nhân (chặn truy cập tới cổng 80, lọc nội dung dựa trên đặc tính của Cod-Red), cách ly máy bị nhiễm (chặn truy cập ra ở cổng 80). Những giải pháp này được cài đặt bằng tay (sử dụng các bộ định tuyến, tường lửa, máy chủ proxy sẵn có), nhưng có thể thực hiện ngăn chặn hoàn toàn tự động (từ phát hiện, mô tả loại sâu Internet và triển khai ngay trên mạng).

4.3. CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ (DoS) VÀ CÁC GIỚI HẠN

Một phần của tài liệu Xây dựng hệ các điều kiện giới hạn phục vụ phân bố lưu lượng dịch vụ IP internet (Trang 116 - 121)

Tải bản đầy đủ (PDF)

(152 trang)