Malicious TCP
2.7.1.2. Bảo mật trên những host đầu cuối:
Sau giai đoạn chuẩn bị, tiếp theo bạn phải đảm bảo hệ thống đầu cuối an toàn. Đó là: giảm thiểu những lỗ hỗng có thể trở thành máy tính bị “thỏa hiệp” và cấu hình hệ thống cho phù hợp.
Giảm thiểu lỗi trên máy tính:
Trong khi hầu hết nhiều kế hoạch phổ biến để có một cuộc tấn công DoS hiệu quả đó là tạo ra số lượng lớn các gói tin truyền đi, nếu hệ thống mục tiêu có một phần mềm lỗi, lợi dụng nó có thể chỉ cần một vài gói tin thì cũng có thể shutdown host đó mà vẫn đạt được hiệu quả đáng kể. Có rất nhiều loại tấn công theo cách này. Hơn nữa, tất cả những kỹ thuật để thu được những máy tính làm agent đều đạt được bằng cách khai thác những lỗ hổng này. Vì vậy sữa lỗ hổng trên hệ thống không những cải thiện tình trạng bảo mật trước nhiều mối nguy hại (virus, worm, malware,...) mà nó còn tránh bị “lôi kéo” vào những cuộc tấn công trên những nơi khác.
Ngày nay những ứng dụng và hệ điều hành đều chạy trên những host cục bộ và luôn yêu cầu thường xuyên vá lỗi và nâng cấp. Nhiều nhà cung cấp có một hệ thống tự động cập nhật . Những hệ thống này sẽ cho bạn biết khi nào có một lỗ hỗng mới được khám phá và sẽ phân phối, cài đặt đến hệ thống của bạn. Ví dụ, Microsoft thường duy trì bản cập nhật trên website http:// www . w indo w supd a t e . c om trên hệ thống sử dụng hệ điều hành Window, người dùng có thể tìm hiểu các lỗ hổng mới đồng thời tải những bản vá lỗi liên quan và cập nhật. Red Hat, cộng đồng phát triển trên hệ điều hành Linux cũng duy trì một website với những cảnh báo và những sản phẩm vá lỗi trên http:// www . re dh a t. c om/ a pps/suppo r t/ erra t a /. Hay người dùng cũng có thể cho tự động cập nhật tại http : // www . re dh a t/so f t ware / r hn/upd a t e . Trên những hệ thống khác như MacOS cũng có những dịch vụ cập nhật phần mềm.
Các phần mềm phát hiện virus cần phải thường xuyên cập nhật những dấu hiệu virus mới. Đôi khi việc này cũng giúp bạn phát hiện và ngăn chặn những nỗ lực xâm nhập vào hê thống. Mỗi sản phẩm phát hiện virus đều có chế độ tự động cập nhật.
Xét về giao thức, chẳng hạn như TCP SYN, đây là trường hợp mà attacker lợi dụng những điểm yếu của nó và khai thác triệt để. Có một sự thay đổi về giao thức TCP, bản vá TCP syncookie, xử lý thành công đối với loại tấn công này bằng cách thay đổi những bước xác lập kết nối. Bản vá này rất thích hợp đối với giao thức nguyên thủy. Đối với những hệ điều hành như Linux, FreeBSD đã phát triển kỹ thuật TCP syncookie trên cả những hệ thống người dùng, cho phép họ có thể tùy chỉnh (mặc định là disable) bằng cách cấu hình
“echo1>/proc/sys/net/ipv4/tcp_syncookies” trong đoạn mã khi khởi động máy. WindowsNT bảo vệ tấn công dạng SYN bằng cách phát hiện các kết nối dạng half-open và thay đối các retransmission (truyền lại) và chỉ định bộ đệm, và thời gian, bằng cách thay đổi thông số trong registry: HKLM system
CurrentcontrolSet Services Tcpip SynAttackProtect thành 1 hoặc 2. Đối với hệ thống về Unix như FreeBSD, thực thi dòng lệnh sau “sysct1 –w
máy chủ có tính năng yêu cầu các client khi có kết nối vào phải xác thực đảm bảo đúng địa chỉ thật.
Nhiều hệ điều hành mặc định có thể bật những dịch vụ không thường xuyên sử dụng. Những dịch vụ này lắng nghe trên những port, đôi khi nó cung cấp một backdoor vào máy của bạn. Hãy thận trọng disable tất cả những dịch vụ không cần thiết và đóng những port không sử dụng và lọc lưu lượng cho những dịch vụ khác. Ví dụ, nếu một host không hoạt động như một DNS server, thì không cần phải cho phép DNS request đến nó. Có thể xây dựng một tường lửa các nhân (chẳng hạn như IPtable sẵn có trên Linux hay những sản phẩm khác trên Window) để lọc lưu lượng. Lọc tại bộ định tuyến (router) cục bộ (chẳng hạn sử dụng một loại “screened subnet” của tường lửa) cũng rất tốt. Giám sát những dịch vụ hiện đang hoạt động trên host của bạn, bạn có thể nhìn vào danh sách các port đang mở hay sử dụng một công cụ scan port (như Nmap – http:// www .ins e c u re .or g /nm a p/ind e x.html ) tương tự, tuy nhiên sử dụng nó thật cẩn thận vì nó có thể làm tổn hại hệ thống của mình.
Hầu hết các công cụ tấn công DDoS sử dụng kỹ thuật giả mạo địa chỉ IP, thường là giả mạo địa chỉ nguồn để tránh bị phát hiện. Thực hiện lọc lưu lượng vào/ra để xóa đi các gói tin giả mạo đó. Bằng cách sử dụng những địa chỉ IP bên trong chỉ định rõ ràng và chỉ cho phép đúng những địa chỉ đó mới có thể định tuyến ra ngoài (đây cũng là một kỹ thuật cải tiến thường áp dụng ngày nay).
Tóm lại, cố gắng fix (sửa) những lỗ hổng càng sớm càng tốt, khi đó nó sẽ làm cho attacker rất khó khăn trong tấn công DoS/DDoS. Hoặc ít nhất cũng giảm bớttốc độ tấn công thay vì để từ chối dịch vụ nhanh chóng, họ phải tạo ra một luồng lưu lượng cao thực sự.
Thiết lập giới hạn trên hệ thống:
Ngoài việc vá lỗ hổng bảo mật, một trong những bước đầu tiên mà lỡ xảy ra trường hợp bị DDoS tại dịch vụ hay hệ thống đầu cuối – nhưng cuối cùng nó không “đủ mạnh” để làm sụp đổ hoàn toàn. Đó chính là giới hạn các tài nguyên trên hệ thống tại “ranh giới” của lưu lượng ra vào. Những hệ thống này
phải tiếp nhận tất cả lưu lượng và thực hiện “sàn lọc” chỉ chấp nhận những kết nối hợp lệ đi vào.
• Tối ưu bộ xử lý CPU.
• Quản lý khả năng thực thi của đĩa
• Quản lý khả năng thực thi của mạng
• Tối ưu bộ nhớ
• Xử lý số lượng các kết nối vào server