Thực đơn
trang chủWindows 10

Các cuộc tấn công mạng cơ bản Tấn công mạng là gì. Xác định lỗ hổng máy chủ

Tôi đã nói một chút về hacker là ai, và trong bài viết này tôi muốn tiếp tục chủ đề này và viết về các kiểu tấn công của hacker và đưa ra các khuyến nghị để ngăn chặn chúng.

Tấn công(tấn công) hệ thống thông tin là một hành động hoặc chuỗi các hành động có mối liên hệ với nhau của kẻ xâm nhập dẫn đến việc thực hiện mối đe dọa bằng cách khai thác các lỗ hổng của hệ thống thông tin này. Hãy bắt đầu nghiên cứu các cuộc tấn công:

Đánh bắt cá

Câu cá (hoặc lừa đảo). Mục đích của nó là lấy thông tin (mật khẩu, số thẻ tín dụng, v.v.) hoặc tiền từ người dùng. Kỹ thuật này không nhằm vào một người dùng mà nhắm tới nhiều người dùng. Ví dụ: những bức thư được cho là từ dịch vụ hỗ trợ kỹ thuật sẽ được gửi đến tất cả các khách hàng đã biết của ngân hàng.

Các bức thư thường chứa yêu cầu gửi mật khẩu đến tài khoản của bạn, được cho là do một số công việc kỹ thuật đang được thực hiện. Những bức thư như vậy thường rất hợp lý và được viết tốt, có thể thu hút những người dùng cả tin.

Khuyến nghị: Hoang tưởng là cách phòng thủ tốt nhất. Đừng tin vào bất cứ điều gì đáng ngờ, đừng cung cấp thông tin của bạn cho bất cứ ai. Quản trị viên không cần biết mật khẩu của bạn nếu mật khẩu đó được sử dụng để truy cập vào máy chủ của họ. Họ hoàn toàn kiểm soát máy chủ và có thể tự xem mật khẩu hoặc thay đổi mật khẩu.

Kỹ thuật xã hội

Kỹ thuật xã hội không phải là kỹ thuật mà là kỹ thuật tâm lý. Bằng cách sử dụng dữ liệu thu được trong quá trình kiểm kê, kẻ tấn công có thể thay mặt quản trị viên gọi cho một người dùng (ví dụ: trên mạng công ty) và cố gắng tìm ra mật khẩu của người đó.

Điều này trở nên khả thi khi, trong các mạng lớn, người dùng không biết tất cả nhân viên và hơn thế nữa không phải lúc nào cũng có thể nhận dạng chính xác họ qua điện thoại. Ngoài ra, các kỹ thuật tâm lý phức tạp được sử dụng nên cơ hội thành công tăng lên rất nhiều.

Khuyến nghị: giống nhau. Nếu thực sự có nhu cầu thì hãy trực tiếp cung cấp những thông tin cần thiết. Nếu bạn đã viết mật khẩu của mình ra giấy, đừng để nó ở bất cứ đâu và nếu có thể, hãy tiêu hủy nó và đừng vứt nó vào thùng rác.

DoS

DoS (Từ chối dịch vụ hoặc Từ chối dịch vụ). Đây không phải là một cuộc tấn công riêng lẻ mà là kết quả của một cuộc tấn công; được sử dụng để vô hiệu hóa hệ thống hoặc các chương trình riêng lẻ. Để làm điều này, hacker tạo một yêu cầu đặc biệt tới một chương trình, sau đó nó sẽ ngừng hoạt động. Cần phải khởi động lại để đưa chương trình về trạng thái hoạt động.

Xì Trum

Smurf (một cuộc tấn công nhằm vào các lỗi thực hiện giao thức). Hiện nay, kiểu tấn công này được coi là kỳ lạ, nhưng trước đó, khi giao thức TCP-IP còn khá mới, nó có một số lỗi khiến nó có thể giả mạo địa chỉ IP chẳng hạn.

Tuy nhiên, kiểu tấn công này vẫn được sử dụng cho đến ngày nay. Một số chuyên gia phân biệt TCP Smurf, UDP Smurf, ICMP Smurf. Tất nhiên, sự phân chia này dựa trên loại gói.

Bão UDP

Bão UDP (cơn bão UDP) - được sử dụng nếu có ít nhất hai cổng UDP được mở trên nạn nhân, mỗi cổng sẽ gửi một số loại phản hồi cho người gửi. Ví dụ: cổng 37 với máy chủ thời gian sẽ gửi ngày giờ hiện tại tới yêu cầu. Kẻ tấn công gửi gói UDP đến một trong các cổng của nạn nhân, nhưng chỉ định địa chỉ của nạn nhân và cổng UDP mở thứ hai của nạn nhân là người gửi.

Sau đó, các cổng bắt đầu phản hồi với nhau không ngừng, điều này làm giảm hiệu suất. Cơn bão sẽ dừng ngay khi một trong các gói biến mất (ví dụ do tài nguyên quá tải).

Bom UDP

Bom UDP – kẻ tấn công gửi gói có trường dữ liệu dịch vụ không chính xác đến hệ thống UDP. Dữ liệu có thể bị hỏng theo bất kỳ cách nào (ví dụ: độ dài trường, cấu trúc không chính xác). Điều này có thể dẫn đến một vụ tai nạn. Khuyến nghị: Cập nhật phần mềm.

Ném bom thư

Đánh bom thư. Nếu máy tính bị tấn công có máy chủ thư thì một số lượng lớn thư sẽ được gửi đến máy tính đó để vô hiệu hóa nó.

Ngoài ra, những tin nhắn như vậy được lưu trên ổ cứng của máy chủ và có thể lấp đầy nó, điều này có thể gây ra DoS. Tất nhiên, bây giờ cuộc tấn công này đã là lịch sử, nhưng trong một số trường hợp, nó vẫn có thể được sử dụng. Khuyến nghị: cấu hình đúng máy chủ thư.

Đánh hơi

Sniffing (Đánh hơi hoặc nghe mạng). Nếu các hub được cài đặt trong mạng thay vì các bộ chuyển mạch, các gói nhận được sẽ được gửi đến tất cả các máy tính trên mạng và sau đó các máy tính sẽ xác định xem gói này có dành cho chúng hay không.

Nếu kẻ tấn công giành được quyền truy cập vào một máy tính nằm trong mạng như vậy hoặc giành được quyền truy cập trực tiếp vào mạng thì tất cả thông tin được truyền trong phân đoạn mạng, bao gồm cả mật khẩu, sẽ khả dụng.

Kẻ tấn công sẽ chỉ cần đặt card mạng ở chế độ nghe và sẽ chấp nhận tất cả các gói bất kể chúng có dành cho hắn hay không.

Bạn có thể tìm hiểu thêm ở bài viết ““.

Cướp IP

Cướp IP (chiếm quyền điều khiển IP). Nếu có quyền truy cập vật lý vào mạng thì kẻ tấn công có thể “cắt” cáp mạng và đóng vai trò trung gian trong việc truyền các gói, từ đó lắng nghe mọi lưu lượng giữa hai máy tính. Một phương pháp rất bất tiện và thường không tự biện minh được, ngoại trừ trường hợp không thể thực hiện được phương pháp nào khác.

Bản thân việc đưa vào như vậy là bất tiện, mặc dù có những thiết bị đơn giản hóa nhiệm vụ này một chút, đặc biệt, chúng giám sát việc đánh số các gói để tránh lỗi và có thể phát hiện sự xâm nhập kênh.

Máy chủ DNS giả

Máy chủ DNS giả (Máy chủ DNS giả). Nếu cài đặt mạng được đặt ở chế độ tự động, thì khi kết nối với mạng, máy tính sẽ “hỏi” ai sẽ là máy chủ DNS của nó, sau đó nó sẽ gửi các truy vấn DNS đến.

Nếu có quyền truy cập vật lý vào mạng, kẻ tấn công có thể chặn yêu cầu quảng bá đó và phản hồi rằng máy tính của hắn sẽ là máy chủ DNS.

Sau đó, anh ta sẽ có thể đưa nạn nhân bị lừa đi theo bất kỳ con đường nào. Ví dụ: nạn nhân muốn truy cập trang web của ngân hàng và chuyển tiền, kẻ tấn công có thể gửi nó đến máy tính của anh ta, nơi sẽ tạo ra một biểu mẫu nhập mật khẩu. Sau này, mật khẩu sẽ thuộc về hacker.

Đây là một phương pháp khá phức tạp, vì kẻ tấn công cần phản hồi nạn nhân trước máy chủ DNS.

Giả mạo IP

IP-Spoofing (Giả mạo hoặc thay thế địa chỉ IP). Kẻ tấn công thay thế IP thật của mình bằng một IP hư cấu. Điều này là cần thiết nếu chỉ một số địa chỉ IP nhất định mới có quyền truy cập vào tài nguyên. Kẻ tấn công cần thay đổi IP thực của mình thành IP “đặc quyền” hoặc “đáng tin cậy” để có quyền truy cập. Phương pháp này có thể được sử dụng theo những cách khác.

Sau khi hai máy tính thiết lập kết nối với nhau bằng cách kiểm tra mật khẩu, kẻ tấn công có thể khiến nạn nhân làm quá tải tài nguyên mạng bằng các gói được tạo đặc biệt. Vì vậy, anh ta có thể chuyển hướng lưu lượng truy cập đến chính mình và do đó bỏ qua thủ tục xác thực.

Khuyến nghị: mối đe dọa sẽ được giảm bớt bằng cách giảm thời gian của gói phản hồi với cờ SYN và ACK được đặt, đồng thời bằng cách tăng số lượng yêu cầu SYN tối đa để thiết lập kết nối trong hàng đợi (tcp_max_backlog). Bạn cũng có thể sử dụng SYN-Cookie.

Lỗ hổng phần mềm

Lỗ hổng phần mềm. Khai thác lỗi trong phần mềm. Hiệu quả có thể khác nhau. Từ việc nhận được thông tin không đáng kể đến việc giành quyền kiểm soát hoàn toàn hệ thống. Các cuộc tấn công thông qua lỗi phần mềm là phổ biến nhất mọi thời đại.

Các lỗi cũ được các phiên bản mới sửa chữa, nhưng trong các phiên bản mới xuất hiện các lỗi mới có thể sử dụng lại được.

Virus

Vấn đề phổ biến nhất được người dùng bình thường biết đến. Ý tưởng là đưa một chương trình độc hại vào máy tính của người dùng. Hậu quả có thể khác nhau và tùy thuộc vào loại vi-rút lây nhiễm vào máy tính.

Nhưng nhìn chung - từ việc đánh cắp thông tin đến gửi thư rác, tổ chức các cuộc tấn công DDoS, cũng như giành quyền kiểm soát hoàn toàn máy tính. Ngoài file đính kèm thư, virus còn có thể xâm nhập vào máy tính thông qua một số lỗ hổng của hệ điều hành.

Khuyến nghị: Sử dụng phần mềm chống vi-rút. Đừng giới hạn bản thân chỉ với DrWEB hoặc Kaspersky Anti-Virus (vì họ không kiểm tra sổ đăng ký), hãy sử dụng các phần mềm chống vi-rút chuyên dụng chống lại Phần mềm độc hại, ví dụ như Ad-Aware, SpyBot, XSpy.

Ngoài ra, không mở các tệp đính kèm đáng ngờ hoặc thường mở các chương trình từ những người gửi không xác định. Ngay cả khi người gửi quen thuộc với bạn, trước tiên bạn vẫn nên kiểm tra bằng phần mềm chống vi-rút.

Phân loại các cuộc tấn công

1. Theo tính chất tác động

  • thụ động
  • tích cực

Tác động thụ động lên hệ thống máy tính phân tán- một tác động không ảnh hưởng trực tiếp đến hoạt động của hệ thống nhưng có thể vi phạm chính sách bảo mật của hệ thống.

Tiếp xúc từ xa thụ động hầu như không thể phát hiện được.

Ví dụ: nghe kênh liên lạc trên mạng.

Tác động tích cực lên hệ thống máy tính phân tán- tác động có tác động trực tiếp đến hoạt động của hệ thống (thay đổi cấu hình của DCS, trục trặc, v.v.) và vi phạm chính sách bảo mật được áp dụng trong đó.

Hầu như tất cả các loại tấn công từ xa đều có ảnh hưởng tích cực. Một đặc điểm của ảnh hưởng tích cực so với ảnh hưởng thụ động là khả năng phát hiện cơ bản của nó, vì do việc thực hiện nó, một số thay đổi nhất định xảy ra trong hệ thống. Không giống như tiếp xúc chủ động, tiếp xúc thụ động không để lại bất kỳ dấu vết nào.

2. Theo mục đích ảnh hưởng

  • vi phạm bảo mật thông tin
  • vi phạm tính toàn vẹn thông tin
  • sự gián đoạn hiệu suất hệ thống (tính khả dụng)

Khi thông tin bị chặn, tính bảo mật của nó bị vi phạm.

Ví dụ: nghe một kênh trên mạng.

Khi thông tin bị bóp méo, tính toàn vẹn của nó bị vi phạm.

Ví dụ: đưa một đối tượng giả vào DVR.

Trong trường hợp có sự cố, truy cập trái phép sẽ không xảy ra, tức là. Tính toàn vẹn và bảo mật của thông tin được duy trì nhưng người dùng hợp pháp cũng không thể truy cập được.

3. Theo điều kiện bắt đầu tác động

  • Tấn công theo yêu cầu từ đối tượng bị tấn công
  • Tấn công khi xảy ra một sự kiện dự kiến ​​trên đối tượng bị tấn công
  • tấn công vô điều kiện

Trong trường hợp có yêu cầu, kẻ tấn công mong đợi mục tiêu tiềm năng của cuộc tấn công sẽ truyền một yêu cầu thuộc một loại nhất định, đây sẽ là điều kiện để bắt đầu tác động.

Ví dụ: Truy vấn DNS và ARP trong ngăn xếp TCP/IP.

Trong trường hợp xảy ra sự kiện, kẻ tấn công liên tục theo dõi trạng thái hệ điều hành của mục tiêu tấn công từ xa và khi một sự kiện nào đó xảy ra trong hệ thống này, nó sẽ bắt đầu ảnh hưởng đến nó.

Người khởi xướng cuộc tấn công là đối tượng bị tấn công.

Ví dụ: làm gián đoạn phiên của người dùng với máy chủ trong hệ điều hành mạng mà không đưa ra lệnh LOGOUT.

Trong trường hợp tấn công vô điều kiện, việc bắt đầu thực hiện nó là vô điều kiện đối với mục tiêu tấn công, nghĩa là cuộc tấn công được thực hiện ngay lập tức và bất kể trạng thái của hệ thống và đối tượng bị tấn công. Vì vậy, trong trường hợp này, kẻ tấn công là người khởi xướng cuộc tấn công.

4. Dựa trên sự có mặt phản hồi từ đối tượng bị tấn công

  • có phản hồi
  • không có phản hồi (tấn công một chiều)

Tấn công phản hồi- một cuộc tấn công trong đó kẻ tấn công nhận được phản hồi từ đối tượng bị tấn công đối với một phần hành động của mình. Những phản hồi này là cần thiết để có thể tiếp tục cuộc tấn công và/hoặc thực hiện nó hiệu quả hơn, ứng phó với những thay đổi xảy ra trên hệ thống bị tấn công.

Tấn công mà không có phản hồi- một cuộc tấn công xảy ra mà không phản ứng lại hành vi của hệ thống bị tấn công.

Ví dụ: từ chối dịch vụ (DoS).

5. Theo vị trí của kẻ tấn công so với đối tượng bị tấn công

  • nội đoạn
  • xen kẽ

Tấn công nội bộ phân đoạn- một cuộc tấn công trong đó chủ thể và đối tượng của cuộc tấn công nằm trong cùng một phân đoạn mạng, trong đó phân đoạn đó là sự kết hợp vật lý của các trạm sử dụng thiết bị liên lạc không cao hơn cấp độ liên kết.

Tấn công liên đoạn- một cuộc tấn công trong đó chủ thể và mục tiêu của cuộc tấn công nằm ở các phân đoạn mạng khác nhau.

6. Theo số lượng kẻ tấn công

  • phân phối
  • chưa được phân bổ

Tấn công phân tán- một cuộc tấn công được thực hiện bởi hai hoặc nhiều kẻ tấn công trên cùng một hệ thống máy tính, được thống nhất bởi một kế hoạch và thời gian duy nhất.

Tấn công không phân tánđược thực hiện bởi một kẻ tấn công.

7. Theo cấp độ của mô hình tham chiếu ISO/OSI nơi tác động được thực hiện

  • thuộc vật chất
  • ống dẫn
  • mạng
  • chuyên chở
  • phiên họp
  • tiêu biểu
  • áp dụng

2. Phân loại các phương pháp phát hiện và bảo vệ chống lại các cuộc tấn công

Phân loại phương tiện bảo mật

thông tin về cấp độ mô hình ISO/OSI

theo tiêu chuẩn ISO 7498-2.

Mức độ vật lý.

Các phương tiện được cung cấp ở cấp độ này được giới hạn ở tính bảo mật của kết nối và bảo mật luồng dữ liệu, theo ISO 7498-2. Tính bảo mật ở cấp độ này thường được cung cấp thông qua mã hóa bit. Các cơ sở này có thể được triển khai gần như minh bạch, nghĩa là không có sự xuất hiện của dữ liệu bổ sung (ngoại trừ việc thiết lập kết nối).

Tính toàn vẹn và xác thực thường không thể thực hiện được ở đây do thực tế là giao diện ở mức bit của lớp này không có khả năng mang dữ liệu bổ sung cần thiết để triển khai các phương tiện này. Tuy nhiên, việc sử dụng các công nghệ mã hóa thích hợp ở cấp độ này có thể cung cấpnguồn vốn này ở mức độ cao hơn.

Ví dụ, các mô hình mật mã như DES ở chế độ phản hồi đầu ra không cung cấp nhiềucó rất nhiều lỗi khi sửa đổi bản mã, vì vậy chế độ này sẽ là một lựa chọn tồi nếu bạn cần nhiều hơn là chỉ bảo mật. Ngược lại, chế độ DES, chẳng hạn như chế độ phản hồi bit được mã hóa đơn, cung cấp hiệu suất lỗi cần thiết và có thể cung cấp cơ sở phù hợp cho tính toàn vẹn và xác thực. Các phương tiện bảo mật lớp liên kết vật lý và dữ liệu thường được triển khai dưới dạng phần cứng bổ sung.

Lớp liên kết dữ liệu

Theo ISO 7498-2, các tiện ích được cung cấp ở lớp liên kết dữ liệu là tính bảo mật của kết nối và tính bảo mật của datagram.

Bảo mật lớp liên kết thường được cung cấp trên cơ sở điểm-điểm, tương tự như bảo mật lớp vật lý. Một lần nữa, phạm vi của quỹ nênkết thúc ở những nơi đặt các thực thể ngang hàng tương tác, tức là các hệ thống đầu cuối và thiết bị chuyển mạch. Trong môi trường mạng LAN (WAN), các phương tiện bảo mật cũng có thể được cung cấp để truyền quảng bá hoặc truyền phát đa hướng, dựa trên công nghệ mạng LAN, cũng như liên kết điểm-điểm.

Lớp mạng

Tính bí mật của lớp mạng có thể được cung cấp giữa các hệ thống đầu cuối trên mạng, bất kể các thiết bị chuyển mạch được sử dụng (ví dụ: các thiết bị chuyển mạch gói X.25). ISO 7498-2 lưu ý khả năng áp dụng một số biện pháp kiểm soát quyền riêng tư ở cấp độ này: bảo mật kết nối, bảo mật gói dữ liệu, bảo mật luồng dữ liệu, tính toàn vẹn (đối với các kết nối không khôi phục và đối với gói dữ liệu), xác thực nguồn dữ liệu và các thực thể giao tiếp cũng như kiểm soát truy cập.

Lớp vận chuyển

Đối với lớp vận chuyển, ISO 7498-2 xác định các biện pháp bảo mật sau: tính bảo mật (đối với các kết nối hoặc gói dữ liệu), tính toàn vẹn (bất cứ điều gì ngoại trừcác trường riêng lẻ), xác thực nguồn dữ liệu và các thực thể tương tác cũng như kiểm soát truy cập. Chỉ có một sự khác biệt giữa các phương tiện bí mật được cung cấp cho việc liên lạc datagram trênlớp vận chuyển và các tiện ích được cung cấp phía trên lớp mạng. Nó nằm ở khả năng cung cấp sự bảo vệ trong các hệ thống trung gian (sử dụng các cơ chế lớp mạng) chứ không chỉ ở các hệ thống cuối (sử dụng các cơ chế lớp vận chuyển).

Lớp phiên

ISO 7498-2 không cho phép cung cấp cơ sở vật chất ở cấp độ phiên học. Cấp độ này cung cấp ít phương tiện tương tác hơn so với vận chuyển hoặccấp độ ứng dụng. Dựa trên nguyên tắc rằng không có ý nghĩa gì trong việc cung cấp bí mật mà không nhất quán với khả năng tương tác cơ bản ở lớp đó, người ta có thể phản đối việc cung cấp bí mật ở lớp phiên. Ngoài ra, có thể lập luận rằng các tính năng bảo mật được cung cấp tốt hơn ở các lớp truyền tải, trình bày hoặc ứng dụng.

Cấp đại diện

Vì lớp này được sử dụng để chuyển đổi dữ liệu giữa biểu diễn thông thường và biểu diễn mạng, nên việc mã hóa dữ liệu ở lớp này thay vì ở lớp ứng dụng sẽ có lợi. Nếu ứng dụng thực hiện mã hóa, nó sẽ bảo vệcấp đại diện từ việc thực hiện chức năng này. Đây là lập luận chống lại việc triển khai mã hóa cấp ứng dụng cho các ứng dụng giao tiếp trực tiếp (thay vì thông qua trung gian). Một giải pháp thay thế cho vấn đề này là sao chép các khả năng của lớp trình bày trên các ứng dụng. Trong ngăn xếp TCP/IP, do các chức năng trình bày được nhúng trong các ứng dụng chứ không phải trong một lớp riêng biệt nên xung đột này được giải quyết.

Lớp ứng dụng

ISO 7498-2 nêu rõ rằng tất cả các khả năng bí mật có thể được cung cấp ở lớp ứng dụng và việc kiểm soát những người tham gia giao tiếp chỉ có thể được cung cấp ở lớp này. Tuy nhiên, việc cung cấp một số vốnở cấp độ này gây ra vấn đề do xung đột với năng lực của cấp đại diện. Hạn chế này được khắc phục đối với các ứng dụng phân phối dữ liệu nhiều giai đoạn, chẳng hạn như email hoặcsách tham khảo (thông số kỹ thuật X.400 và X.500). Xung đột này cũng được khắc phục trong ngăn xếp TCP/IP, trong đó các chức năng trình bày thường được đưa vào các ứng dụng.

Trên thực tế, các ứng dụng như email và công cụ thư mục chỉ có thể được bảo mật bằng cách sử dụng tính bảo mật của lớp ứng dụng. Email yêu cầu bảo mật ở cấp độ này vì nhiều lý do.

Đầu tiên, một số tính năng bí mật mà nó sử dụng chỉ có thể được cung cấp ở cấp độ này, chẳng hạn như kiểm soát người tham gia. Thứ hai, tin nhắn thường được gửi đến các nhóm người nhận (truyền đa hướng).lớp ứng dụng) và việc phân phối được thực hiện theo nhiều giai đoạn bằng cách sử dụng các chuyển mạch tin nhắn. Sự bảo vệ ở mức độ thấp hơn thường chỉ được cung cấp trong thời gian thực cho các liên kết điểm-điểm.

Đối với emailViệc sử dụng các cơ chế bí mật ở mức thấp hơn có thể cung cấp sự bảo vệ từ người gửi sang chuyển đổi tin nhắn (MTA), bảo vệ giữa các MTA, giữa MTA và người nhận, nhưng chỉ tăng dần. Việc đảm bảo quyền riêng tư của tác giả-người đọc từ đầu đến cuối yêu cầu sử dụng các công nghệ dành riêng cho email.

Đối với các công cụ thư mục, các vấn đề tương tự sẽ ngăn cản các công cụ bảo mật cấp thấp hơn đáp ứng đầy đủ các yêu cầu về quyền riêng tư. Ví dụ: một yêu cầu từ người dùng đến máy chủ thư mục có thể được chuyển hướng đến các máy chủ khác trong quá trình đưa ra phản hồi. Nếu máy chủ thư mục cuối cùng nhận được yêu cầu phải đưa ra quyết định cấp quyền truy cập dựa trên danh tính của người yêu cầu thì quyết định này không thể được đưa ra dựa trên thông tin từ các giao thức lớp thấp hơn.

Hơn nữa, nếu không tin cậy các máy chủ đã chuyển tiếp yêu cầu này, máy chủ phản hồi không thể chắc chắn vềrằng yêu cầu chưa được sửa đổi. Do đó, ứng dụng này, giống như email, minh họa nguyên nhân cốt lõi của tính bảo mật ở cấp độ ứng dụng, tức là không có khả năng đáp ứng các yêu cầu bảo mật chỉ dựa trên khả năng của lớp thấp hơn.

Phân loại các phương pháp phát hiện tấn công

Bằng công nghệ phát hiện

· phát hiện bất thường

Cách tiếp cận này tập trung vào việc hình thành một mô hình thống kê về hành vi bình thường của người dùng. Sự sai lệch khỏi khuôn mẫu là một dấu hiệu của sự tấn công. Cách tiếp cận này gặp phải vấn đề là nó tạo ra quá nhiều cảnh báo sai.

· phát hiện lạm dụng

Với phương pháp này, hệ thống sẽ tìm kiếm các chữ ký đã biết và đưa ra cảnh báo khi tìm thấy chúng. Đáng tin cậy và khả thi hơn. Hầu hết tất cả các hệ thống phát hiện tấn công được cung cấp trên thị trường hiện nay đều dựa trên phương pháp này. Bây giờ có những thay đổi trong sự phát triển của cách tiếp cận đầu tiên.

Theo mức độ phát hiện

Phát hiện các cuộc tấn công ở cấp độ mạng

Hệ thống phát hiện tấn công lớp mạng sử dụng các gói mạng thô làm nguồn dữ liệu để phân tích. Thông thường, Hệ thống phát hiện xâm nhập (IDS) cấp mạng sử dụng bộ điều hợp mạng hoạt động ở chế độ không liên tục và phân tích lưu lượng truy cập trong thời gian thực khi nó đi qua phân đoạn mạng. Mô-đun nhận dạng tấn công sử dụng bốn phương pháp nổi tiếng để nhận dạng dấu hiệu tấn công:

· Tuân thủ lưu lượng truy cập với mẫu (chữ ký), biểu thức hoặc mã byte biểu thị một cuộc tấn công hoặc hành động đáng ngờ;

· Giám sát tần suất các sự kiện hoặc vượt quá giá trị ngưỡng;

· Tương quan của nhiều sự kiện có mức độ ưu tiên thấp;

· Phát hiện các bất thường về mặt thống kê.

Sau khi phát hiện một cuộc tấn công, mô-đun phản hồi sẽ cung cấp nhiều tùy chọn để thông báo, cảnh báo và biện pháp đối phó để đáp lại cuộc tấn công. Các tùy chọn này khác nhau tùy theo hệ thống, nhưng thường bao gồm: thông báo cho quản trị viên qua bảng điều khiển hoặc email, chấm dứt kết nối với máy chủ tấn công và/hoặc ghi lại phiên để phân tích và thu thập bằng chứng sau này.

Ưu điểm của hệ thống phát hiện tấn công ở cấp độ mạng

IDS cấp độ mạng có nhiều ưu điểm mà các hệ thống phát hiện xâm nhập cấp hệ thống thiếu. Trên thực tế, nhiều khách hàng sử dụng hệ thống phát hiện xâm nhập lớp mạng do chi phí thấp và phản hồi kịp thời. Dưới đây là những lý do chính khiến việc phát hiện tấn công ở cấp độ mạng trở thành thành phần quan trọng nhất trong việc thực thi chính sách bảo mật hiệu quả.

1.Chi phí vận hành thấp . IDS lớp mạng phải được cài đặt tại các vị trí quan trọng trên mạng để kiểm soát lưu lượng truy cập giữa nhiều hệ thống. Các hệ thống lớp mạng không yêu cầu cài đặt phần mềm phát hiện xâm nhập trên mọi máy chủ. Do số lượng vị trí cài đặt IDS để giám sát toàn bộ mạng là nhỏ nên chi phí vận hành chúng trong mạng doanh nghiệp thấp hơn chi phí vận hành các hệ thống phát hiện tấn công ở cấp hệ thống.

2.Phát hiện các cuộc tấn công bị bỏ sót ở cấp hệ thống . IDS lớp mạng kiểm tra các tiêu đề gói mạng để tìm hoạt động đáng ngờ hoặc thù địch. IDS cấp hệ thống không xử lý các tiêu đề gói, do đó chúng không thể phát hiện các kiểu tấn công này. Ví dụ: nhiều cuộc tấn công mạng như từ chối dịch vụ và tấn công xé mạng chỉ có thể được xác định bằng cách phân tích các tiêu đề gói khi chúng truyền qua mạng. Kiểu tấn công này có thể được xác định nhanh chóng bằng cách sử dụng IDS lớp mạng để xem lưu lượng truy cập trong thời gian thực. IDS lớp mạng có thể kiểm tra nội dung của phần thân dữ liệu của gói, tìm kiếm các lệnh hoặc cú pháp cụ thể được sử dụng trong các cuộc tấn công cụ thể. Ví dụ: khi tin tặc cố gắng sử dụng chương trình Back Orifice trên các hệ thống chưa bị ảnh hưởng bởi nó, sự thật này có thể được phát hiện bằng cách kiểm tra nội dung của phần thân dữ liệu của gói. Như đã thảo luận ở trên, các hệ thống cấp hệ thống không hoạt động ở cấp độ mạng và do đó không thể nhận ra các cuộc tấn công như vậy.

3.Hacker khó xóa dấu vết về sự hiện diện của mình hơn . IDS lớp mạng sử dụng lưu lượng truy cập trực tiếp để phát hiện các cuộc tấn công trong thời gian thực. Vì vậy, hacker không thể xóa dấu vết về sự hiện diện của anh ta. Dữ liệu được phân tích không chỉ bao gồm thông tin về phương thức tấn công mà còn bao gồm thông tin có thể giúp xác định kẻ tấn công và chứng minh điều đó trước tòa. Bởi vì nhiều tin tặc rất quen thuộc với nhật ký nên họ biết cách thao túng các tệp này để che giấu dấu vết hoạt động của mình, làm giảm hiệu quả của các hệ thống cấp hệ thống yêu cầu thông tin này để phát hiện một cuộc tấn công.

4.Phát hiện và phản hồi theo thời gian thực . IDS cấp độ mạng phát hiện các cuộc tấn công đáng ngờ và thù địch KHI CHÚNG XẢY RA và do đó cung cấp thông báo và phản hồi nhanh hơn nhiều so với IDS cấp hệ thống. Ví dụ: một hacker khởi động một cuộc tấn công từ chối dịch vụ lớp mạng dựa trên TCP có thể bị chặn lại bởi IDS lớp mạng gửi cờ Reset đã đặt trong tiêu đề gói TCP để chấm dứt kết nối với máy chủ tấn công trước khi cuộc tấn công gây ra sự phá hủy hoặc thiệt hại cho mục tiêu. IDS cấp hệ thống thường không nhận ra các cuộc tấn công cho đến khi cuộc tấn công được ghi lại và phản hồi sau khi cuộc tấn công được ghi lại. Tại thời điểm này, các hệ thống hoặc tài nguyên quan trọng nhất có thể đã bị xâm phạm hoặc hệ thống chạy IDS cấp hệ thống có thể bị xâm phạm. Thông báo theo thời gian thực cho phép bạn phản hồi nhanh chóng theo các thông số được xác định trước. Những phản ứng này bao gồm từ việc cho phép xâm nhập ở chế độ giám sát để thu thập thông tin về cuộc tấn công và kẻ tấn công, cho đến việc chấm dứt cuộc tấn công ngay lập tức.

5.Phát hiện các cuộc tấn công thất bại hoặc mục đích đáng ngờ . IDS lớp mạng được cài đặt bên ngoài tường lửa có thể phát hiện các cuộc tấn công nhắm mục tiêu vào tài nguyên phía sau tường lửa, mặc dù tường lửa có thể đẩy lùi những nỗ lực này. Các hệ thống cấp hệ thống không nhận thấy các cuộc tấn công được phản ánh không tiếp cận được máy chủ phía sau tường lửa. Thông tin bị mất này có thể là quan trọng nhất khi đánh giá và cải thiện các chính sách bảo mật.

6.Tính độc lập của hệ điều hành . IDS cấp độ mạng độc lập với hệ điều hành được cài đặt trên mạng công ty. Hệ thống phát hiện xâm nhập cấp hệ thống yêu cầu hệ điều hành cụ thể hoạt động bình thường và tạo ra kết quả cần thiết.

Phát hiện tấn công cấp hệ thống

Vào đầu những năm 1980, trước khi mạng phát triển, phương pháp phát hiện tấn công phổ biến nhất là xem lại nhật ký các sự kiện cho thấy hoạt động đáng ngờ. Các hệ thống phát hiện tấn công cấp hệ thống hiện đại vẫn là một công cụ mạnh mẽ để hiểu các cuộc tấn công trong quá khứ và xác định các kỹ thuật thích hợp để giảm thiểu việc khai thác trong tương lai. IDS cấp hệ thống hiện đại vẫn sử dụng nhật ký nhưng chúng đã trở nên tự động hơn và bao gồm các kỹ thuật phát hiện phức tạp dựa trên nghiên cứu toán học mới nhất.

Thông thường, IDS cấp hệ thống giám sát hệ thống, sự kiện và nhật ký bảo mật (nhật ký bảo mật hoặc nhật ký hệ thống) trên các mạng chạy Windows NT hoặc Unix.Khi bất kỳ tệp nào trong số này thay đổi, IDS sẽ so sánh các mục mới với dấu hiệu tấn công để xem có khớp hay không. Nếu tìm thấy sự trùng khớp như vậy, hệ thống sẽ gửi cảnh báo đến quản trị viên hoặc kích hoạt các cơ chế phản hồi được chỉ định khác. IDS cấp hệ thống không ngừng phát triển, dần dần kết hợp ngày càng nhiều phương pháp phát hiện mới. Một phương pháp phổ biến như vậy là kiểm tra tổng kiểm tra của hệ thống khóa và các tệp thực thi theo định kỳ để kiểm tra các thay đổi trái phép. Tính kịp thời của phản hồi liên quan trực tiếp đến tần suất khảo sát. Một số sản phẩm lắng nghe các cổng đang hoạt động và thông báo cho quản trị viên khi ai đó cố gắng truy cập chúng.

Ưu điểm của hệ thống phát hiện tấn công cấp hệ thống

Mặc dù các hệ thống phát hiện xâm nhập ở cấp độ hệ thống không nhanh bằng các hệ thống ở cấp độ mạng nhưng chúng mang lại những lợi thế mà các hệ thống sau này không có. Những lợi ích này bao gồm phân tích chặt chẽ hơn, chú ý hơn đến dữ liệu sự kiện của từng máy chủ và chi phí triển khai thấp hơn.

1.Xác nhận sự thành công hay thất bại của cuộc tấn công . Do IDS cấp hệ thống sử dụng nhật ký chứa dữ liệu về các sự kiện thực sự diễn ra nên IDS thuộc lớp này có thể xác định với độ chính xác cao liệu một cuộc tấn công có thực sự thành công hay không. Về vấn đề này, IDS cấp hệ thống cung cấp sự bổ sung tuyệt vời cho các hệ thống phát hiện xâm nhập cấp mạng. Sự kết hợp này cung cấp cảnh báo sớm về việc bắt đầu một cuộc tấn công bằng cách sử dụng thành phần mạng và sự thành công của nó khi sử dụng thành phần hệ thống.

2.Kiểm soát hoạt động của một nút cụ thể . IDS cấp hệ thống giám sát hoạt động của người dùng, quyền truy cập tệp, thay đổi quyền đối với tệp, nỗ lực cài đặt chương trình mới và/hoặc nỗ lực giành quyền truy cập vào các dịch vụ đặc quyền. Ví dụ: IDS cấp hệ thống có thể giám sát tất cả các hoạt động đăng nhập và đăng xuất của người dùng, cũng như các hành động mà mỗi người dùng thực hiện khi kết nối với mạng. Rất khó để hệ thống lớp mạng cung cấp mức độ chi tiết sự kiện này. Công nghệ phát hiện xâm nhập ở cấp hệ thống cũng có thể giám sát các hoạt động thường chỉ được thực hiện bởi quản trị viên. Hệ điều hành ghi lại mọi sự kiện khi tài khoản người dùng được thêm, xóa hoặc sửa đổi. IDS cấp hệ thống có thể phát hiện thay đổi tương ứng ngay khi nó xảy ra. IDS cấp hệ thống cũng có thể kiểm tra các thay đổi chính sách bảo mật ảnh hưởng đến cách hệ thống theo dõi nhật ký của chúng, v.v.

Cuối cùng, hệ thống phát hiện xâm nhập cấp hệ thống có thể giám sát các thay đổi đối với các tệp hệ thống chính hoặc tệp thực thi. Các nỗ lực ghi đè các tệp như vậy hoặc cài đặt ngựa Trojan có thể bị phát hiện và dừng lại. Các hệ thống lớp mạng đôi khi bỏ lỡ loại hoạt động này.

3.Phát hiện các cuộc tấn công mà hệ thống lớp mạng bỏ sót . IDS cấp hệ thống có thể phát hiện các cuộc tấn công mà các công cụ cấp mạng không thể phát hiện được. Ví dụ: các cuộc tấn công bắt nguồn từ chính máy chủ bị tấn công không thể bị phát hiện bởi các hệ thống phát hiện tấn công cấp mạng.

4.Rất phù hợp cho các mạng được mã hóa và chuyển mạch . Do IDS cấp hệ thống được cài đặt trên nhiều máy chủ khác nhau trong mạng doanh nghiệp nên nó có thể khắc phục một số thách thức gặp phải khi vận hành các hệ thống cấp mạng trên mạng chuyển mạch và mạng được mã hóa.

Chuyển mạch cho phép các mạng quy mô lớn được quản lý dưới dạng nhiều phân đoạn mạng nhỏ. Do đó, có thể khó xác định vị trí tốt nhất để cài đặt IDS lớp mạng. Đôi khi việc quản lý cổng và cổng nhân bản, mở rộng cổng lưu lượng truy cập trên thiết bị chuyển mạch có thể hữu ích, nhưng những phương pháp này không phải lúc nào cũng có thể áp dụng được. Việc phát hiện các cuộc tấn công ở cấp độ hệ thống đảm bảo hoạt động hiệu quả hơn trong các mạng chuyển mạch, bởi vì... cho phép bạn chỉ đặt IDS trên các nút khi cần thiết.

Một số loại mã hóa nhất định cũng đặt ra thách thức đối với các hệ thống phát hiện xâm nhập lớp mạng. Tùy thuộc vào nơi thực hiện mã hóa (liên kết hoặc người đăng ký), IDS lớp mạng có thể vẫn “mù” trước một số cuộc tấn công nhất định. IDS cấp hệ thống không có giới hạn này. Ngoài ra, hệ điều hành và IDS cấp hệ thống sẽ phân tích lưu lượng truy cập đến được giải mã.

5.Phát hiện và phản hồi gần thời gian thực . Mặc dù tính năng phát hiện tấn công ở cấp hệ thống không cung cấp phản hồi thực sự theo thời gian thực nhưng nó có thể đạt được ở quy mô gần như thời gian thực khi được triển khai chính xác. Không giống như các hệ thống cũ kiểm tra trạng thái và nội dung của nhật ký theo các khoảng thời gian định trước, nhiều IDS cấp hệ thống hiện đại nhận được ngắt từ HĐH ngay khi mục nhật ký mới xuất hiện. Mục nhập mới này có thể được xử lý ngay lập tức, giảm đáng kể thời gian từ khi nhận ra một cuộc tấn công đến khi phản ứng lại nó. Vẫn có độ trễ giữa thời gian hệ điều hành ghi một sự kiện vào nhật ký và thời điểm nó được hệ thống phát hiện xâm nhập nhận ra, nhưng trong nhiều trường hợp, kẻ tấn công có thể bị phát hiện và dừng lại trước khi xảy ra bất kỳ thiệt hại nào.

6.Không yêu cầu phần cứng bổ sung . Hệ thống phát hiện xâm nhập cấp hệ thống được cài đặt trên cơ sở hạ tầng mạng hiện có, bao gồm máy chủ tệp, máy chủ Web và các tài nguyên khác được sử dụng. Khả năng này có thể làm cho IDS cấp hệ thống trở nên rất hiệu quả về mặt chi phí vì chúng không yêu cầu một nút khác trên mạng tham gia, duy trì và quản lý.

7.Giá thấp . Mặc dù các hệ thống phát hiện xâm nhập ở cấp độ mạng cung cấp phân tích lưu lượng của toàn bộ mạng nhưng chúng thường khá tốn kém. Chi phí của một hệ thống phát hiện xâm nhập có thể vượt quá 10.000 USD. Mặt khác, hệ thống phát hiện xâm nhập cấp hệ thống có giá hàng trăm đô la cho mỗi tác nhân và người mua có thể mua nếu người mua chỉ cần giám sát một số nút của doanh nghiệp mà không cần giám sát các cuộc tấn công mạng.

Mục tiêu của bất kỳ cuộc tấn công nào là loại bỏ đối thủ cạnh tranh đang lấy đi khách hàng hoặc đơn giản là những khách truy cập duy nhất. Nhiều quản trị web không phải lúc nào cũng chỉ sử dụng phương pháp “mũ trắng” để quảng bá đứa con tinh thần của mình. Chúng ta không thể làm gì nếu không có “người da đen”. Thông qua việc quảng bá bằng phương pháp đen, chủ sở hữu của một công ty hoặc chỉ một trang web được thăng hạng lên TOP kết quả tìm kiếm bằng cách tiêu diệt đối thủ cạnh tranh của mình.

Nhưng điều tồi tệ nhất là các trang web hoàn toàn vô tội có thể trở thành nạn nhân của một cuộc tấn công, thậm chí có thể cả những trang web mới được tạo gần đây; điều này có thể xảy ra nếu toàn bộ máy chủ bị tấn công. Nhân tiện, đây chính là lý do tại sao bạn cần mua IP chuyên dụng cho trang web của mình. Và mặc dù những cuộc tấn công này có thể bị pháp luật trừng phạt nhưng điều này không ngăn được phần lớn.

Không thể bảo vệ trang web của bạn 100%. Nếu những kẻ tấn công có ngân sách lớn cho vấn đề này và mong muốn mạnh mẽ thì khó có điều gì có thể ngăn cản chúng.

Mục tiêu tấn công

Có một số mục tiêu chính:

— Trộm cắp mật khẩu người dùng, truy cập vào các phần đã đóng;

- “Phá hủy” máy chủ. Mục tiêu là đưa nó về trạng thái không hoạt động;

— Nhận quyền truy cập không giới hạn vào máy chủ;

— Cấy các liên kết, nhiều loại virus và những thứ khác vào mã;

— Hạ thấp trang web trong kết quả tìm kiếm cho đến khi nó biến mất hoàn toàn.

Ngoài những điều trên, các cuộc tấn công được chia thành nội bộ và bên ngoài. ĐẾN nội bộ có thể bao gồm nhiều cách hack khác nhau để truy cập một trang web hoặc máy chủ và ra bên ngoài, vu khống hoặc spam.

Có thể chống lại các kiểu tấn công nội bộ khá tích cực. Đối với những cái bên ngoài, mọi thứ phức tạp hơn nhiều. Vấn đề là chủ máy chủ không thể kiểm soát được tình hình, điều này khiến anh ta rất dễ bị tổn thương.

Các loại tấn công

tấn công Ddos

Tôi xin lỗi, đây là loại kinh tởm nhất. Hậu quả của một cuộc tấn công như vậy sẽ là máy chủ bị dừng hoàn toàn và thậm chí có thể là một số máy chủ. Điều tồi tệ nhất là không có biện pháp bảo vệ DDoS hoàn chỉnh 100%. Nếu cuộc tấn công không yếu thì máy chủ sẽ không hoạt động cho đến khi cuộc tấn công dừng lại.

Một tính năng đặc trưng khác của các cuộc tấn công DDoS là tính sẵn có của nó. Để “áp đảo” máy chủ của đối thủ, bạn không cần phải là hacker chuyên nghiệp. Để làm được điều này, bạn chỉ cần có tiền hoặc botnet của riêng mình (Botnet là mạng lưới các máy tính bị nhiễm virus). Và đối với một DDoS yếu, vài máy tính là đủ.

Ddos – dịch từ viết tắt này nghe giống như “từ chối dịch vụ phân tán”. Mục đích của cuộc tấn công là truy cập đồng thời, rất lớn vào máy chủ, xảy ra từ nhiều máy tính.

Đọc thêm: Cách bán hàng nhanh chóng trên Avito

Như chúng ta biết, bất kỳ máy chủ nào cũng có giới hạn tải tối đa và nếu vượt quá mức tải này, đó là điều mà một cuộc tấn công DDoS thực hiện, thì máy chủ sẽ “chết”.

Điều thú vị nhất là người dùng mạng bình thường tham gia vào các cuộc tấn công mà không hề hay biết. Và càng có nhiều người dùng mới trên Internet thì đội quân botnet càng lớn và kết quả là lực lượng tấn công sẽ tăng theo cấp số nhân. Nhưng ngày nay, tin tặc đã chuyển hướng nỗ lực từ tấn công DDoS sang các thủ đoạn lừa đảo để trực tiếp kiếm tiền.

Sức mạnh của các cuộc tấn công được đo bằng lưu lượng truy cập được gửi đến máy chủ của đối thủ cạnh tranh mỗi giây. Các cuộc tấn công có lưu lượng truy cập lớn hơn vài GB/giây rất khó chống lại. Lưu lượng truy cập này rất khó lọc, gần như không thể. Những cuộc tấn công mạnh mẽ như vậy thường không kéo dài, nhưng ngay cả một ngày ngừng hoạt động của một công ty lớn cũng có thể gây ra thiệt hại nghiêm trọng dưới hình thức sụt giảm doanh số và danh tiếng.

Nhân tiện, không chỉ các máy chủ riêng lẻ bị tấn công mà còn cả các mạng quốc gia, do đó mạng bị cắt ở toàn bộ khu vực.

Để phòng ngừa, bạn nên đặt trang web của mình trên các máy chủ có nguồn cung cấp tài nguyên ấn tượng để bạn có thời gian hành động.

Là phương pháp đơn giản chống lại các cuộc tấn công yếu, chúng tôi có thể khuyến nghị:
— cung cấp thay vì trang chính của trang web (nếu cuộc tấn công nhắm vào nó) một trang có chuyển hướng. Vì kích thước của nó nhỏ hơn nhiều nên tải trên máy chủ sẽ ít hơn rất nhiều; — nếu số lượng kết nối từ một IP vượt quá một số nhất định, hãy đưa nó vào danh sách đen;
— giảm số lượng máy khách (MaxClients) được kết nối đồng thời với máy chủ;
— chặn giao thông nước ngoài, vì các cuộc tấn công thường đến từ các nước châu Á;

Bạn cần có một kênh độc lập riêng với máy chủ, qua đó bạn có thể truy cập kênh đó nếu kênh chính không có sẵn. Tất cả phần mềm máy chủ phải được cập nhật thường xuyên và cài đặt tất cả các bản vá sắp tới.

Một số loại tấn công DDoS có thể bị kích động bởi các công cụ tìm kiếm hoặc các robot khác đang tích cực lập chỉ mục trang web. Nếu công cụ trang web không được tối ưu hóa, số lượng truy cập trang lớn trong thời gian ngắn sẽ gây ra quá nhiều tải cho máy chủ.

Hack máy chủ và đăng liên kết hoặc virus

Nhiều quản trị viên web mới vào nghề chỉ phát hiện ra các liên kết ẩn trên trang web của họ khi những liên kết này đã dẫn đến hậu quả tiêu cực - ví dụ: trang web bị nhà cung cấp dịch vụ lưu trữ chặn, bị loại khỏi chỉ mục của công cụ tìm kiếm hoặc khiếu nại về miền. Sau đó, người ta phát hiện ra rằng trang web đã bị tấn công và các liên kết được đăng trên đó nhằm mục đích quảng bá các tài nguyên khác hoặc để phát tán vi-rút và Trojan.

Đọc thêm: Điều gì sẽ xảy ra nếu tất cả máy tính trên hành tinh biến mất?...

Có khả năng chính máy chủ lưu trữ đã bị hack. Nhưng trong hầu hết các trường hợp, những thứ khó chịu như vậy xuất hiện trên các trang web thông qua các lỗ hổng trong công cụ của trang web hoặc do sơ suất của quản trị viên web khi lưu trữ mật khẩu.

Liên kết ẩn là một trong những lý do phổ biến khiến công cụ tìm kiếm bị trừng phạt; đặc biệt, có thể có sự bi quan đáng kể (giảm tất cả các vị trí vài trăm điểm), sẽ cực kỳ khó thoát ra. Nếu không chỉ các liên kết được chèn mà còn cả mã vi-rút, thì chủ nhà lưu trữ có thể chỉ cần xóa trang web mà không cần cảnh báo. Tài nguyên và địa chỉ IP của nó cũng có thể bị công ty Spamhouse đáng ngờ (nếu không muốn nói là lừa đảo) đưa vào danh sách đen, điều đó có nghĩa là dấu chấm hết, vì gần như không thể thoát ra khỏi đó.

Cách phòng ngừa rất đơn giản - theo dõi các bản cập nhật động cơ, cài đặt tất cả các phiên bản mới và các bổ sung thường xuyên xuất hiện. Và đơn giản là bạn không thể lưu trữ mật khẩu trên máy tính của mình ở dạng văn bản rõ ràng. Điều tương tự cũng áp dụng cho tất cả phần mềm máy chủ.

Tên có thể đoán trước được của các thư mục và tệp dịch vụ gây ra một mối nguy hiểm nhất định. (Vị trí tài nguyên có thể dự đoán được). Chỉ cần tìm kiếm, hacker sẽ xác định được vị trí của họ - và anh ta sẽ có lợi thế. Ở đây đáng để hy sinh sự thuận tiện cho sự an toàn.

SQL tiêm

Việc kẻ tấn công thực thi truy vấn SQL trên máy chủ của người khác, sử dụng các lỗ hổng động cơ, sự không hoàn hảo trong mã chương trình. Bản chất của lỗ hổng bảo mật là một truy vấn sql tùy ý có thể được truyền vào tham số GET. Do đó, tất cả các tham số chuỗi phải được thoát (mysql_real_escape_string) và được bao quanh bởi dấu ngoặc kép.

Bằng cách sử dụng tính năng tiêm, tin tặc có thể thực hiện hầu hết mọi hành động với cơ sở dữ liệu - xóa nó, giành quyền truy cập vào dữ liệu và mật khẩu người dùng, v.v.

Bản chất của cuộc tấn công XSS là chèn mã tùy ý vào một trang được tạo bởi tập lệnh. Điều này có hiệu quả nếu biến được truyền trong địa chỉ trang không được kiểm tra sự hiện diện của các ký tự như dấu ngoặc kép.

Mối nguy hiểm chính là đánh cắp cookie và do đó giành được quyền truy cập vào tài khoản người dùng. Tin tặc cũng có thể lấy thông tin về hệ thống của khách truy cập, lịch sử các trang web đã truy cập, v.v. Cũng có thể tiêm không chỉ một tập lệnh java mà còn cả một liên kết tới một tập lệnh php được lưu trữ trên máy chủ của bên thứ ba, điều này rất quan trọng. nguy hiểm hơn.

Có một thời, phương pháp này được sử dụng trong SEO “mũ đen” để có được liên kết miễn phí. Điều này không đặc biệt gây hại cho chủ sở hữu trang web.

Thư rác với địa chỉ và chi tiết trang web

Nhìn chung, phương pháp này vô hại, nhưng ở đây một lần nữa Spamhouse nói trên lại phát huy tác dụng. Chỉ với một khiếu nại, trang web và IP của nó có thể bị đưa vào danh sách đen và chủ nhà cung cấp dịch vụ sẽ buộc phải từ chối dịch vụ. Và việc gửi đi hàng trăm nghìn bức thư có địa chỉ của bất kỳ trang web nào đều tốn một xu. Diễn đàn, bình luận, v.v. cũng có thể là thư rác và sẽ vô cùng khó khăn để chứng minh rằng các đối thủ cạnh tranh đã làm điều này.

Quy mô của các cuộc tấn công DDoS đã tăng khoảng 50 lần trong vài năm qua. Đồng thời, những kẻ tấn công nhắm mục tiêu vào cả cơ sở hạ tầng cục bộ và nền tảng đám mây công cộng, nơi tập trung các giải pháp của khách hàng.

Darren Anstee, phát ngôn viên của Arbor Networks, một công ty giải pháp an ninh mạng, cho biết: “Các cuộc tấn công được thực hiện thành công có tác động trực tiếp đến hoạt động kinh doanh của khách hàng và mang tính hủy diệt”.

Đồng thời, tần suất tấn công cũng tăng lên. Vào cuối năm 2014, con số của chúng là 83 nghìn và trong quý đầu tiên của năm 2015, con số này đã tăng lên 126 nghìn. Do đó, trong tài liệu hôm nay, chúng tôi muốn xem xét các loại tấn công DDoS khác nhau, cũng như các cách để bảo vệ chống lại. họ.

Đặt lại TCP

TCP Reset được thực hiện bằng cách thao tác các gói RST trên kết nối TCP. Gói RST là tiêu đề báo hiệu rằng cần phải kết nối lại. Điều này thường được sử dụng khi phát hiện thấy một số lỗi hoặc bạn muốn dừng tải dữ liệu. Kẻ tấn công có thể làm gián đoạn kết nối TCP bằng cách liên tục gửi gói RST có giá trị hợp lệ, khiến không thể thiết lập kết nối giữa nguồn và đích.

Kiểu tấn công này có thể được ngăn chặn bằng cách giám sát từng gói được truyền và đảm bảo rằng chuỗi số đến đúng thứ tự. Hệ thống phân tích lưu lượng truy cập sâu có thể xử lý việc này.

Ngày nay, mục tiêu chính của việc hack thiết bị là tổ chức các cuộc tấn công DDoS hoặc gây thiệt hại bằng cách hạn chế người dùng truy cập vào một trang web trên Internet. Do đó, chính các nhà khai thác viễn thông, nhà cung cấp Internet và các công ty khác, trong đó có Chuyên gia VAS, cũng đưa ra và tổ chức các giải pháp bảo vệ chống lại DDoS - giám sát lưu lượng truy cập theo thời gian thực để theo dõi các bất thường và bùng nổ trong việc sử dụng băng thông, chức năng Carrier Grade NAT cho phép bạn “ẩn » thiết bị của người đăng ký khỏi những kẻ xâm nhập, chặn quyền truy cập vào thiết bị đó từ Internet, cũng như các hệ thống thông minh và thậm chí tự học khác.

Các khái niệm cơ bản của an ninh mạng là tính sẵn sàng, tính toàn vẹn và tính bảo mật. tấn công Từ chối dịch vụ (DoS)ảnh hưởng đến sự sẵn có của nguồn thông tin. Việc từ chối dịch vụ được coi là thành công nếu nó dẫn đến việc không có sẵn nguồn thông tin. Sự khác biệt giữa sự thành công của một cuộc tấn công và tác động lên tài nguyên mục tiêu là tác động đó gây ra thiệt hại cho nạn nhân. Ví dụ: nếu một cửa hàng trực tuyến bị tấn công, việc từ chối dịch vụ kéo dài có thể gây ra tổn thất tài chính cho công ty. Trong mỗi trường hợp cụ thể, hoạt động DoS có thể trực tiếp gây hại hoặc tạo ra mối đe dọa và nguy cơ mất mát tiềm ẩn.

Đầu tiên D V. DDoS có nghĩa phân phối: tấn công từ chối dịch vụ phân tán. Trong trường hợp này, chúng ta đang nói về một lượng lớn yêu cầu độc hại đến máy chủ của nạn nhân từ nhiều nơi khác nhau. Thông thường, các cuộc tấn công như vậy được tổ chức thông qua botnet.

Trong bài viết này, chúng ta sẽ xem xét kỹ hơn các loại lưu lượng truy cập DDoS và các loại tấn công DDoS nào tồn tại. Đối với mỗi loại tấn công, các khuyến nghị ngắn gọn để ngăn chặn và khôi phục chức năng sẽ được cung cấp.

Các loại lưu lượng truy cập DDoS

Loại lưu lượng đơn giản nhất là yêu cầu HTTP. Ví dụ: với sự trợ giúp của các yêu cầu như vậy, bất kỳ khách truy cập nào cũng có thể giao tiếp với trang web của bạn thông qua trình duyệt. Cơ sở của yêu cầu là tiêu đề HTTP.

tiêu đề HTTP. Tiêu đề HTTP là các trường mô tả loại tài nguyên nào đang được yêu cầu, chẳng hạn như URL, biểu mẫu hoặc JPEG. Tiêu đề HTTP cũng thông báo cho máy chủ web loại trình duyệt đang được sử dụng. Các tiêu đề HTTP phổ biến nhất là CHẤP NHẬN, NGÔN NGỮ và TÁC NHÂN NGƯỜI DÙNG.

Người yêu cầu có thể sử dụng bao nhiêu tiêu đề tùy thích, cung cấp cho chúng những thuộc tính mong muốn. Những kẻ tấn công DDoS có thể sửa đổi những tiêu đề này và nhiều tiêu đề HTTP khác, khiến chúng khó bị phát hiện. Ngoài ra, các tiêu đề HTTP có thể được viết theo cách để kiểm soát các dịch vụ bộ nhớ đệm và proxy. Ví dụ: bạn có thể hướng dẫn máy chủ proxy không lưu thông tin vào bộ nhớ đệm.

NHẬN HTTP

  • Yêu cầu HTTP(S) GET là phương thức yêu cầu thông tin từ máy chủ. Yêu cầu này có thể yêu cầu máy chủ chuyển một số tệp, hình ảnh, trang hoặc tập lệnh để hiển thị nó trên trình duyệt.
  • Lũ HTTP(S) GET là phương thức tấn công DDoS của lớp ứng dụng (7) của mô hình OSI, trong đó kẻ tấn công gửi một luồng yêu cầu mạnh mẽ đến máy chủ nhằm làm quá tải tài nguyên của nó. Kết quả là, máy chủ không chỉ không thể đáp ứng các yêu cầu của hacker mà còn cả các yêu cầu từ khách hàng thực.

BÀI ĐĂNG HTTP

  • Yêu cầu POST HTTP(S) là một phương thức trong đó dữ liệu được đặt trong phần thân của yêu cầu để xử lý tiếp theo trên máy chủ. Yêu cầu HTTP POST mã hóa thông tin được truyền và đặt nó vào một biểu mẫu, sau đó gửi nội dung này đến máy chủ. Phương pháp này được sử dụng khi cần chuyển một lượng lớn thông tin hoặc tập tin.
  • Lũ HTTP(S) POST là một kiểu tấn công DDoS trong đó số lượng yêu cầu POST áp đảo máy chủ đến mức máy chủ không thể đáp ứng tất cả các yêu cầu. Điều này có thể dẫn đến việc sử dụng tài nguyên hệ thống ở mức cao đặc biệt, có thể dẫn đến sự cố máy chủ.

Mỗi yêu cầu HTTP được mô tả ở trên có thể được truyền qua giao thức bảo mật HTTPS. Trong trường hợp này, tất cả dữ liệu được gửi giữa máy khách (kẻ tấn công) và máy chủ đều được mã hóa. Hóa ra “bảo mật” ở đây rơi vào tay những kẻ tấn công: để xác định một yêu cầu độc hại, trước tiên máy chủ phải giải mã nó. Những thứ kia. bạn phải giải mã toàn bộ luồng yêu cầu, trong đó có rất nhiều yêu cầu trong một cuộc tấn công DDoS. Điều này tạo thêm tải trên máy chủ nạn nhân.

lũ SYN(TCP/SYN) thiết lập kết nối nửa mở với máy chủ. Khi nạn nhân nhận được gói SYN trên một cổng mở, nó phải phản hồi bằng gói SYN-ACK và thiết lập kết nối. Sau đó, người khởi tạo sẽ gửi phản hồi kèm gói ACK cho người nhận. Quá trình này thường được gọi là bắt tay. Tuy nhiên, trong cuộc tấn công SYN Flood, việc bắt tay không thể hoàn thành vì kẻ tấn công không phản hồi SYN-ACK của máy chủ nạn nhân. Các kết nối như vậy vẫn ở trạng thái nửa mở cho đến khi hết thời gian chờ, hàng đợi kết nối đầy và các máy khách mới không thể kết nối với máy chủ.

Lũ UDP thường được sử dụng cho các cuộc tấn công DDoS băng thông rộng do tính chất không phiên của chúng, cũng như sự dễ dàng tạo thông báo Giao thức 17 (UDP) bằng nhiều ngôn ngữ lập trình khác nhau.

Lũ lụt ICMP. Giao thức thông báo điều khiển Internet (ICMP) được sử dụng chủ yếu cho các thông báo lỗi và không được sử dụng để truyền dữ liệu. Các gói ICMP có thể đi kèm với các gói TCP khi kết nối với máy chủ. ICMP Flood là phương thức tấn công DDoS ở lớp 3 của mô hình OSI, sử dụng các thông điệp ICMP để làm quá tải kênh mạng của người bị tấn công.

lũ MAC- một kiểu tấn công hiếm gặp trong đó kẻ tấn công gửi nhiều khung Ethernet trống với các địa chỉ MAC khác nhau. Các bộ chuyển mạch mạng xem xét từng địa chỉ MAC riêng biệt và do đó dự trữ tài nguyên cho từng địa chỉ đó. Khi tất cả bộ nhớ trên công tắc được sử dụng, nó sẽ ngừng phản hồi hoặc tắt. Trên một số loại bộ định tuyến, một cuộc tấn công tràn MAC có thể khiến toàn bộ bảng định tuyến bị xóa, do đó làm gián đoạn toàn bộ mạng.

Phân loại và mục tiêu tấn công DDoS theo cấp độ OSI

Internet sử dụng mô hình OSI. Tổng cộng, có 7 cấp độ trong mô hình, bao gồm tất cả các phương tiện truyền thông: bắt đầu từ môi trường vật lý (cấp 1) và kết thúc bằng cấp ứng dụng (cấp 7), tại đó các chương trình “giao tiếp” với nhau.

Các cuộc tấn công DDoS có thể xảy ra ở mỗi cấp độ trong số bảy cấp độ. Chúng ta hãy xem xét kỹ hơn về họ.

Lớp OSI 7:Đã áp dụng

Phải làm gì: Giám sát ứng dụng - giám sát phần mềm có hệ thống sử dụng một bộ thuật toán, công nghệ và phương pháp tiếp cận cụ thể (tùy thuộc vào nền tảng mà phần mềm được sử dụng) để xác định các lỗ hổng ứng dụng trong 0 ngày (tấn công lớp 7). Bằng cách xác định các cuộc tấn công như vậy, chúng có thể được ngăn chặn một lần và mãi mãi và truy tìm nguồn gốc của chúng. Điều này được thực hiện đơn giản nhất trên lớp này.

Lớp OSI 6:Điều hành

Phải làm gì: Để giảm thiểu thiệt hại, hãy xem xét các biện pháp như phân phối cơ sở hạ tầng mã hóa SSL (tức là lưu trữ SSL trên một máy chủ tốt, nếu có thể) và kiểm tra lưu lượng truy cập ứng dụng để phát hiện các cuộc tấn công hoặc vi phạm chính sách trên nền tảng ứng dụng. Một nền tảng tốt sẽ đảm bảo rằng lưu lượng truy cập được mã hóa và gửi trở lại cơ sở hạ tầng ban đầu với nội dung được giải mã nằm trong bộ nhớ an toàn của nút pháo đài an toàn.

Lớp OSI 5: Phiên họp

Phải làm gì: Luôn cập nhật chương trình cơ sở phần cứng của bạn để giảm nguy cơ gặp mối đe dọa.

Lớp OSI 4: Chuyên chở

Phải làm gì: Lọc lưu lượng DDoS, còn gọi là blackholing, là một phương pháp thường được các nhà cung cấp sử dụng để bảo vệ khách hàng (chúng tôi tự sử dụng phương pháp này). Tuy nhiên, cách tiếp cận này làm cho trang web của khách hàng không thể truy cập được đối với cả lưu lượng truy cập độc hại và lưu lượng truy cập của người dùng hợp pháp. Tuy nhiên, việc chặn truy cập được các nhà cung cấp sử dụng để chống lại các cuộc tấn công DDoS nhằm bảo vệ khách hàng khỏi các mối đe dọa như thiết bị mạng bị chậm và lỗi dịch vụ.

Lớp OSI 3: Mạng

Phải làm gì: Giới hạn số lượng yêu cầu được xử lý thông qua giao thức ICMP và giảm tác động có thể có của lưu lượng này đến tốc độ của Tường lửa và băng thông Internet.

Lớp OSI 2:ống dẫn

Phải làm gì: Nhiều thiết bị chuyển mạch hiện đại có thể được cấu hình theo cách giới hạn số lượng địa chỉ MAC ở những địa chỉ đáng tin cậy vượt qua kiểm tra xác thực, ủy quyền và kế toán trên máy chủ (giao thức AAA) và sau đó được lọc.

OSI Lớp 1: Thuộc vật chất

Phải làm gì: Sử dụng phương pháp tiếp cận có hệ thống để giám sát hiệu suất của thiết bị mạng vật lý.

Giảm thiểu các cuộc tấn công DoS/DDoS quy mô lớn

Mặc dù một cuộc tấn công có thể xảy ra ở mọi cấp độ, nhưng các cuộc tấn công ở lớp 3-4 và 7 của mô hình OSI đặc biệt phổ biến.

  • Tấn công DDoS ở cấp độ 3 và 4 - tấn công cơ sở hạ tầng - các kiểu tấn công dựa trên việc sử dụng khối lượng lớn, luồng dữ liệu mạnh (lũ lụt) ở cấp cơ sở hạ tầng mạng và cấp độ truyền tải nhằm làm chậm máy chủ web và “lấp đầy” kênh và cuối cùng ngăn người dùng khác truy cập tài nguyên. Các kiểu tấn công này thường bao gồm lũ lụt ICMP, SYN và UDP.
  • Tấn công DDoS ở cấp độ 7 là cuộc tấn công liên quan đến việc làm quá tải một số thành phần cụ thể của cơ sở hạ tầng máy chủ ứng dụng. Các cuộc tấn công lớp 7 đặc biệt tinh vi, ẩn giấu và khó phát hiện do chúng giống với lưu lượng truy cập web hữu ích. Ngay cả các cuộc tấn công Lớp 7 đơn giản nhất, chẳng hạn như cố gắng đăng nhập bằng tên người dùng và mật khẩu tùy ý hoặc lặp lại các tìm kiếm tùy ý trên các trang web động, đều có thể tải CPU và cơ sở dữ liệu một cách nghiêm trọng. Những kẻ tấn công DDoS cũng có thể liên tục thay đổi dấu hiệu của các cuộc tấn công Lớp 7, khiến chúng càng khó nhận ra và loại bỏ hơn.

Một số hành động và thiết bị để giảm thiểu các cuộc tấn công:

  • Tường lửa kiểm tra gói động
  • Cơ chế proxy SYN động
  • Giới hạn số lượng SYN mỗi giây cho mỗi địa chỉ IP
  • Giới hạn số lượng SYN mỗi giây cho mỗi địa chỉ IP từ xa
  • Cài đặt màn hình lũ ICMP trên tường lửa
  • Cài đặt màn hình lũ UDP trên tường lửa
  • Giới hạn tốc độ của các bộ định tuyến gần tường lửa và mạng