Tản mạn về tấn công từ chối dịch vụ

0 19

Tấn công từ chối dịch vụ, đặc biệt là tấn công từ chối dịch vụ phân tán là dạng tấn công nguy hiểm trên mạng, gây nhiều hậu quả nghiêm trọng và thiệt hại lớn. Mục tiêu của kẻ tấn công là làm tê liệt các ứng dụng, máy chủ, gián đoạn các kết nối, ngăn cản người dùng hợp lệ truy cập vào một dịch vụ nào đó trên mạng.

Thông thường trong các cuộc tấn công này, các máy chủ sẽ bị “tràn ngập” bởi hàng loạt các truy vấn trong một khoảng thời gian rất ngắn, dẫn đến quá tải và mất khả năng phục vụ. Tấn công từ chối dịch vụ phân tán hiện nay đã phát triển một cách đáng lo ngại và là mối đe dọa thường trực đối với các hệ thống mạng.

Hình 1. Tấn công DoS và DDoS

Tấn công DoS và DDoS được minh họa trên hình 1. Điểm khác biệt cơ bản giữa tấn công DoS và DDoS là: tấn công DoS xuất phát từ một nguồn còn tấn công DDoS xuất phát từ rất nhiều nguồn phát tấn công, tạo thành một hệ thống mạng lưới gọi là mạng Botnet. Hệ thống Botnet ngày càng lớn về quy mô và trở nên rất nguy hiểm cho bất cứ một hệ thống mạng nào. So với tấn công DoS, tấn công DDoS có sức mạnh lớn hơn rất nhiều lần với số lượng gói tin rất lớn ào ạt gửi tới nạn nhân nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của mục tiêu xác định.

Các tấn công này tập trung vào hai mục tiêu chính: (1) gây quá tải cho hệ thống làm cho hệ thống mất khả năng phục vụ người dùng hợp lệ và (2) lợi dụng lỗ hổng an toàn thông tin của hệ thống, gửi các yêu cầu hoặc các gói tin không hợp lệ làm cho hệ thống sụp đổ.

Đối với loại (1), mỗi hệ thống đều có tài nguyên giới hạn, do vậy khi nhận được quá nhiều yêu cầu dịch vụ giả của kẻ tấn công, hệ thống sẽ sử dụng toàn bộ tài nguyên của mình để đáp ứng các yêu cầu đó, khi đó không còn tài nguyên để đáp ứng các yêu cầu thực sự của người dùng hợp lệ, người dùng hợp lệ sẽ không thể truy cập được vào hệ thống. Đối với loại (2), kẻ tấn công lợi dụng một số lỗ hổng của an toàn thông tin như hoạt động của các giao thức mạng để tấn công. Một số loại tấn công từ chối dịch vụ phổ biến như “SYN flood”, “UDP flood”, “ICMP flood”. Trong các cuộc tấn công DDoS, các nguồn phát tấn công nằm phân tán làm cho việc xác định các kẻ tấn công rất khó khăn.

Các giải pháp phát hiện và phòng chống tấn công từ chối dịch vụ được phân làm 4 loại chính thể hiện trong bảng 1: đề phòng, phát hiện tấn công, phản ứng lại tấn côngxác định nguồn phát tấn công. Trong đó, các nghiên cứu về phát hiện tấn công và phát hiện các nguồn phát là hai vấn đề quan tâm trong luận án này.

Bảng 1. Các giải pháp sử dụng trong các giai đoạn tấn công

Trước khi xảy ra tấn côngTrong khi xảy ra tấn côngSau khi tấn công
Giải phápĐề phòng Phát hiện và phản ứng lại tấn côngLần theo dấu vết và truy tìm nguồn gốc tấn công

Có nhiều loại tấn công từ chối dịch vụ, luận án tập trung vào loại làm “tràn ngập” đường truyền và khả năng xử lý của máy chủ. Một số kiểu tấn công làm “tràn ngập” điển hình như “SYN flood”, “RST flood”, “FIN flood” ở tầng vận chuyển (Layer 4 – Transport) và “ICMP flood” ở tầng mạng (Layer 3- Network), tấn công ở tầng ứng dụng.

Để hiểu rõ hơn cách khai thác lỗ hổng và tấn công hệ thống, ví dụ sau đây trình bày một kiểu tấn công từ chối dịch vụ cụ thể là tấn công “SYN Flood” gây cho hệ thống máy chủ mất khả năng tiếp nhận các kết nối TCP. Với hoạt động bình thường, các kết nối TCP ở tầng vận chuyển sẽ hoàn thành quá trình bắt tay ba bước được mô tả như hình 2.(a). Các nguồn tấn công giả mạo địa chỉ IP sẽ không hoàn tất quá trình bắt tay ba bước. Các máy tấn công gửi rất nhiều gói SYN đến máy chủ nạn nhân nhưng không gửi gói ACK để xác nhận và kết thúc quá trình bắt tay ba bước, làm cho máy chủ nạn nhân phải đợi hết thời gian chờ và phải bảo lưu nguồn tài nguyên cho kết nối đó. Nếu quá trình này lặp lại với rất nhiều yêu cầu được gửi đến thì máy chủ nạn nhân không thể xử lý với số lượng lớn các gói tin và sẽ sụp đổ.

Hình 2. Quá trình bắt tay 3 bước và tấn công TCP SYN

Các gói tin ở tầng vận chuyển hay ở các tầng cao hơn khi gửi đi phải được đóng gói xuống tầng mạng (gắn thêm IP-header, trong đó có chứa thông tin về địa chỉ IP nguồn và IP đích) trước khi gửi đi. Do đó, có thể phát hiện được tần suất xuất hiện của các đối tượng trên mạng chuyển qua môi trường mạng dựa vào thông tin về địa chỉ IP xuất hiện ở tầng mạng. Quá trình đóng gói dữ liệu ở bên máy gửi và quá trình vận chuyển dữ liệu qua mạng được thể hiện trên hình 3 và hình 4. Như vậy có thể phát hiện các đối tượng có khả năng đang thực hiện tấn công từ chối dịch vụ (thông qua một số lượng lớn các gói tin xuất phát từ một hoặc một số địa chỉ IP nào đó), các đối tượng có khả năng là mục tiêu trong tấn công từ chối dịch vụ (thông qua một số lượng lớn gói tin gửi đến một hoặc một số địa chỉ IP nào đó) dựa vào bài toán phát hiện các Hot-IP trên mạng.

Nhiều giải pháp phát hiện và phòng chống tấn công từ chối dịch vụ đã được nghiên cứu và đề xuất. Tuy nhiên, cho đến nay vẫn chưa có giải pháp nào có khả năng phòng chống từ chối dịch vụ một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và khả năng phân tán rất cao của dạng tấn công này. Do vậy, phát hiện sớm các đối tượng có khả năng là nguy cơ tấn công hoặc mục tiêu bị tấn công có vai trò quan trọng trong bài toán an ninh mạng.

Hình 3. Quá trình đóng gói dữ liệu bên máy gửi

Hình 4. Quá trình vận chuyển dữ liệu qua mạng

  • Các nghiên cứu về phát hiện tấn công từ chối dịch vụ:  

Tấn công DoS/DDoS làm cạn kiệt tài nguyên và băng thông truy cập đến các máy chủ nạn nhân bằng một số lượng rất lớn các gói tin tấn công được điều khiển gửi đến nạn nhân trong một khoảng thời gian rất ngắn. Mục tiêu quan trọng nhất của các cơ chế phát hiện DoS/DDoS là phát hiện chúng càng sớm càng tốt và tiến hành các giải pháp ngăn chặn càng gần nguồn phát tấn công càng tốt. Các giải pháp phát hiện tấn công từ chối dịch vụ gồm phương pháp phân tích thống kê, phương pháp học máy, phương pháp dựa vào dấu hiệu đã được định nghĩa sẵn…

Phát hiện tấn công có thể sử dụng phương pháp phân tích thống kê. Trong phương pháp này, dữ liệu đầu vào được thu thập và ước lượng tần suất xuất hiện dựa vào các đặc trưng luồng lưu lượng để phát hiện có tấn công hay không. Bên cạnh đó phát hiện tấn công dùng phương pháp học máy, phương pháp phân tích entropy, sử dụng mạng nơron nhân tạo cũng được nghiên cứu, phát triển.

Các giải pháp đang triển khai hiện tại trên các thiết bị tường lửa, IDS/IPS để phát hiện, phòng chống tấn công DoS/DDoS gặp phải khó khăn trong việc xác định trạng thái bình thường để đặt ngưỡng và cho kết quả có độ chính xác không cao. Trong các giải pháp này, điểm mạnh là dựa vào các dấu hiệu đã được định nghĩa trước.

  • Dò tìm các nguồn phát tấn công:

Khi phát hiện có tấn công DoS/DDoS xảy ra và ngắt hệ thống nạn nhân ra khỏi các tài nguyên, việc truy tìm nguồn gốc tấn công được tiến hành. Phương pháp “dò ngược” để phát hiện các kẻ tấn công từ chối dịch vụ được đề cập trong nhiều nghiên cứu. Kỹ thuật “dò ngược” xuất phát từ thiết bị định tuyến gần nhất với máy chủ nạn nhân và kiểm tra tương tác với các thiết bị định tuyến chiều “upstream” để xác định các kẻ tấn công. Hạn chế của các giải pháp này là phải cài đặt dấu hiệu nhận diện ở các router trên đường đi của gói tin hoặc gắn thêm thông tin ghi dấu đường đi trong các gói tin. Điều này chỉ có thể thực hiện trong mạng nội bộ, khó thực thi trong môi trường Internet vì không thể can thiệp vào tất cả các thiết bị định tuyến trên môi trường Internet. Đây là giải pháp được sử dụng ở giai đoạn hậu tấn công.

Một vài phương pháp phát hiện kẻ tấn công được đề xuất trong tấn công dịch vụ Web như phương pháp sử dụng CAPTCHA. Hiện tại cơ chế CAPTCHA gần như là cơ chế bảo mật hiệu quả để chống lại các kẻ tấn công DoS/DDoS. Nhược điểm của nó là làm khó chịu khi người dùng bị gián đoạn bởi CAPTCHA và không có tác dụng trong các loại tấn công làm “tràn ngập” gây tê liệt hoạt động của máy chủ. Trong các loại tấn công làm “tràn ngập” thì giải pháp sử dụng là phát hiện luồng tấn công và phát hiện các đối tượng tấn công dựa vào phương pháp “dò ngược”, sử dụng kỹ thuật hạn chế tốc độ để hạn chế các tấn công này.

Hầu hết các nghiên cứu về giải pháp phát hiện tấn công từ chối dịch vụ ở giai đoạn tấn công chủ yếu tập trung vào việc phát hiện có tấn công hay không hơn là xác định các kẻ tấn công. Phương pháp sử dụng trong bài toán phát hiện tấn công là định thời so sánh trạng thái hiện tại của hệ thống với mô hình hệ thống bình thường được thiết lập trước, từ đó phát hiện lưu lượng tấn công. Ưu điểm của phương pháp này là đơn giản và phát hiện rất nhanh các tấn công xuất hiện, tuy nhiên không thể cung cấp thông tin về địa chỉ của các kẻ tấn công. Do đó để phát hiện nguồn phát tấn công phải dựa vào cơ chế “dò ngược” ở bước hậu tấn công.

Có ba vị trí triển khai giải pháp phát hiện và phòng chống tấn công từ chối dịch vụ: phía mạng của các máy chủ nạn nhân, vị trí mạng trung gian, vị trí mạng nguồn phát tấn công. Trong các mạng trung gian như mạng ở các nhà cung cấp dịch vụ, việc phát hiện các đối tượng có khả năng là mục tiêu trong các cuộc tấn công từ chối dịch vụ dựa vào phân tích lưu lượng đi qua nó có ý nghĩa quan trọng. Từ việc phát hiện này có thể giúp cảnh báo sớm cho khách hàng để tiến hành các giải pháp ứng phó kịp thời hoặc loại bỏ các nguy cơ này để đảm bảo hệ thống hoạt động ổn định, thông suốt.

Huỳnh Nguyên Chính

Gửi trả lời

Địa chỉ email của bạn sẽ không được công khai.