Y Tá Đen - Kỹ thuật DDoS giúp laptop bình thường có thể hạ gục hệ thống máy chủ

14/06/2018

Ngay cả khi các máy chủ đó được trang bị những thiết bị tường lửa nổi tiếng, chúng vẫn có thể bị đánh gục nếu kẻ tấn công khai thác kỹ thuật này.

Nghe có vẻ khó tin, nhưng thay vì một mạng botnet khổng lồ, bạn chỉ cần một chiếc laptop với một đường kết nối Internet để phát động cuộc tấn công DDoS mạnh mẽ, hạ gục các máy chủ Internet quan trọng và các tường lửa hiện đại.

Các nhà nghiên cứu tại Trung tâm Điều hành Bảo mật TDC đã khám phá ra một kỹ thuật tấn công mới, cho phép những kẻ tấn công đơn lẻ với nguồn lực hạn chế (trong trường hợp này, là một laptop với một đường mạng băng thông có băng thông ít nhất 15 Mbps) có thể hạ gục các máy chủ cỡ lớn.

Được mệnh danh là kỹ thuật tấn công BlackNurse - Y Tá Đen hay tấn công tốc độ thấp “Ping of Death”, kỹ thuật này có thể được sử dụng để phát động hàng loạt cuộc tấn công từ chối dịch vụ DoS khối lượng thấp bằng cách gửi các gói tin ICMP hay các “ping” để làm ngập những bộ xử lý trên máy chủ. Ngay cả những máy chủ được bảo vệ bằng tường lửa từ Cisco, Palo Alto Networks, hay các công ty khác cũng bị ảnh hưởng bởi kỹ thuật tấn công này.

ICMP (Internet Control Message Protocol) là giao thức được các router và các thiết bị mạng lưới khác sử dụng để gửi đi và nhận lại các thông báo lỗi.

Ping of Death là kỹ thuật tấn công làm quá tải hệ thống mạng bằng cách gửi các gói tin ICMP có kích thước vượt quá 65.536 byte đến mục tiêu. Do kích thước này lớn hơn kích thước cho phép của các gói tin IP nên nó sẽ được chia nhỏ ra rồi gửi từng phần đến máy đích. Khi đến mục tiêu, nó sẽ được ráp lại thành gói tin hoàn chỉnh, do có kích thước quá mức cho phép, nó sẽ gây ra tràn bộ nhớ đệm và bị treo.

Theo một báo cáo kỹ thuật được công bố trong tuần này, kỹ thuật tấn công BlackNurse còn được biết đến dưới một cái tên truyền thống hơn: “tấn công gây lụt ping” và nó dựa trên các truy vấn ICMP Type 3 (hay lỗi Đích tới Không thể truy cập – Destination Unreachable) Code 3 (lỗi Cổng Không thể truy cập – Port Unreachable).

Các truy vấn này là những gói tin trả lời, thông thường sẽ trở lại nguồn ping khi cổng đích đến của mục tiêu không thể truy cập – hay Unreachable.

Dưới đây là cách kỹ thuật tấn công BlackNurse hoạt động:

Bằng cách gửi đi một gói tin ICMP Type 3 với một mã số là 3, một hacker có thể gây ra tình trạng từ chối dịch vụ (DoS) bằng cách làm quá tải các CPU trên một số loại tường lửa nhất định của máy chủ, cho dù chất lượng của đường Internet thế nào đi nữa.

Khối lượng truy cập bằng kỹ thuật BlackNurse rất nhỏ, chỉ từ 15 Mbps cho đến 18 Mbps (hay khoảng từ 40.000 đến 50.000 gói tin mỗi giây), đặc biệt khi so sánh với cuộc tấn công DDoS kỷ lục 1 Tbps nhắm vào nhà cung cấp dịch vụ Internet của Pháp OVH trong tháng Chín.

Trong khi đó, TDC cũng cho biết rằng khối lượng khổng lồ này không phải vấn đề quan trọng khi chỉ cần duy trì một dòng ổn định các gói tin ICMP từ 40K đến 50K đến được thiết bị mạng của nạn nhân là có thể phá hủy thiết bị mục tiêu.

Vậy tin tốt ở đây là gì? Các nhà nghiên cứu cho biết: “Khi cuộc tấn công diễn ra, người dùng trong mạng nội bộ LAN sẽ không thể gửi hay nhận các truy cập đi và đến Internet nữa. Tất cả tường lửa mà chúng tôi đã thấy đều phục hồi sau khi cuộc tấn công dừng lại.”

Tuy vậy, điều này có nghĩa là, kỹ thuật tấn công DoS khối lượng thấp này vẫn rất hiệu quả bởi vì nó không chỉ gây lụt tường lửa bằng các truy cập, mà còn buộc các CPU phải tải với mức độ cao, thậm chí hạ gục các máy chủ offline nếu cuộc tấn công có đủ công suất mạng.

Các nhà nghiên cứu cho rằng không nên nhầm lẫn BlackNurse với các cuộc tấn công gây lụt ping dựa trên các gói tin ICMP Type 8 Code 0 (hay những gói tin ping thường xuyên). Các nhà nghiên cứu giải thích:

Kỹ thuật tấn công BlackNurse thu hút sự chú ý của chúng tôi bởi vì trong cuộc thử nghiệm giải pháp chống DDoS, ngay cả khi tốc độ truy cập và khối lượng các gói tin mỗi giây ở mức độ rất thấp, cuộc tấn công này cũng có thể làm dừng mọi hoạt động của khách hàng chúng tôi.”

Thậm chí, kỹ thuật tấn công này cũng có thể áp dụng cho các doanh nghiệp được trang bị tường lửa và có đường kết nối Internet lớn. Chúng tôi hy vọng rằng các thiết bị tường lửa chuyên nghiệp sẽ có thể xử lý được các cuộc tấn công này.”

Các thiết bị bị ảnh hưởng

Kỹ thuật tấn công BlackNurse có hiệu quả với các sản phẩm sau:

- Thiết bị tường lửa Cisco ASA 5506, 5515, 5525 (ở các cài đặt mặc định).

- Thiết bị tường lửa Cisco ASA 5550 (đời cũ) và 5515-X (thế hệ mới nhất).

- Cisco Router 897 (có thể bị giảm nhẹ).

- SonicWall (cấu hình sai có thể bị thay đổi và giảm nhẹ).

- Một số thiết bị chưa xác định từ Palo Alto.

- Router Zyxel NWA3560-N (tấn công không dây từ mạng LAN nội bộ).

- Thiết bị tường lửa Zyxel Zywall USG50.

Làm thế nào để giảm nhẹ cuộc tấn công BlackNurse?

Vẫn còn tin tốt cho bạn – có một số cách có thể đánh trả lại các cuộc tấn công BlackNurse.

TDC đề nghị một số biện pháp giảm nhẹ và các quy tắc IDS SNORT (hệ thống phát hiện xâm nhập theo mã nguồn mở SNORT) có thể sử dụng để phát hiện các cuộc tấn công BlackNurse. Hơn nữa, các code PoC (proof-of-concept: mã bằng chứng của khái niệm) đã được các kỹ sư OVH đăng tải lên GitHub, cũng có thể sử dụng để thử nghiệm thiết bị của các nhà quản trị mạng trong việc chống lại BlackNurse.

Để giảm nhẹ các cuộc tấn công BlackNurse vào tường lửa và các thiết bị khác, TDC khuyến cáo người dùng nên lập ra một danh sách các nguồn đáng tin cậy, được phép gửi và nhận gói tin ICMP. Tuy nhiên, cách tốt nhất để giảm nhẹ cuộc tấn công chỉ đơn giản là vô hiệu hóa gói tin ICMP Type 3 Code 3 trên giao diện WAN.

Công ty Palo Alto Networks cũng phát hành một tuyên bố, cho biết các thiết bị của mình chỉ bị ảnh hưởng theo “các kịch bản rất cụ thể, không phải trong thiết lập mặc định và trái với các thông lệ thường thấy.” Công ty cũng đã liệt kê một số khuyến cáo cho khách hàng của mình.

Trong khi đó, Cisco cho biết họ không cho rằng hành vi trong báo cáo là một vấn đề an ninh, mà cảnh báo rằng:

Chúng tôi khuyến cáo mọi người thiết lập giấy phép cho các gói tin không thể truy cập ICMP Type 3. Từ chối các thông điệp không thể truy cập ICMP giúp vô hiệu hóa giao thức Path MTU Discovery cho gói tin ICMP. Những việc này có thể ngăn chặn IPSec (Internet Protocol Security: tập hợp các giao thức để bảo mật cho quá trình truyền tin) và truy cập theo giao thức PPTP (Point-To-Point Tunneling Protocol: Là giao thức được dùng để truyền dữ liệu giữa các mạng riêng ảo VPN).”

Hơn nữa, nhà cung cấp phần mềm độc lập NETRESEC cũng công bố một bản phân tích chi tiết về BlackNurse với tựa đề: “Kỹ thuật tấn công gây ngập lụt từ những năm 90 đã quay trở lại.” Bên cạnh các cảnh báo trên, Viện Sans cũng thông báo một bản ghi nhớ ngắn về cuộc tấn công của BlackNurse, thảo luận về cuộc tấn công và những gì người dùng nên làm để giảm nhẹ nó.

Theo TheHackerNews

 

Tin liên quan

08/11/2019

Viettel IDC ra mắt Website mới với những cập nhật tối ưu hóa trải nghiệm người dùng!

Với mong muốn mang đến cho khách hàng những trải nghiệm sử dụng dịch vụ tốt nhất, bắt đầu từ ngày 08/11/2019, Viettel IDC ra mắt Website với giao diện hoàn toàn mới cùng với những cải tiến tối ưu như: Đăng ký và quản lý dịch vụ trên cùng 1 giao diện; bảo mật 2 lớp khi đăng nhập; hỗ trợ đa thiết bị

24/09/2019

Viettel vào top 500 thương hiệu giá trị nhất thế giới

Viettel trở thành thương hiệu duy nhất của Việt Nam và là 1 trong 8 thương hiệu của ASEAN lọt vào danh sách 500 thương hiệu giá trị nhất thế giới.

20/09/2019

Viettel IDC bắt tay Akamai cung cấp giải pháp tăng tốc kết nối dữ liệu cho doanh nghiệp nội dung số

Với mong muốn đồng hành cùng doanh nghiệp nội dung số như truyền hình OTT, Viettel IDC và Akamai đã hợp tác cung cấp các giải pháp về tăng tốc kết nối dữ liệu (Media, Web Performance) và chống tấn công mạng (Cloud Security).

19/09/2019

Dịch vụ truyền hình OTT: Nâng cao khả năng cạnh tranh cho doanh nghiệp Việt

Sự xuất hiện ngày càng nhiều ứng dụng truyền hình trả tiền OTT nước ngoài là thách thức và cơ hội chuyển mình của các nhà cung cấp dịch vụ nội dung...

17/09/2019

Viettel IDC nhận 3 giải thưởng chuyển đổi số

Các giải thuộc hạng mục sản phẩm, dịch vụ, giải pháp công nghệ số tiêu biểu được trao trong Vietnam Digital Awards 2019, hôm 6/9/2019, tại Hà Nội.

28/08/2019

Hệ thống trung tâm dữ liệu Viettel IDC đạt thêm một chứng chỉ quốc tế

Ngoài các chứng chỉ quốc tế đã đạt được trước đây như ISO 9001, ISO 27001, TIA 942 rated 3 (Tiêu chuẩn thiết kế, triển khai Trung tâm dữ liệu),...

24/08/2019

Khởi động kế hoạch thành lập Câu lạc bộ Điện toán đám mây và Trung tâm dữ liệu Việt Nam

Trong khuôn khổ hội thảo Viet Nam OpenInfra Days 2019 được tổ chức hôm nay, ngày 24/8, Hiệp hội Internet Việt Nam (VIA) đã công bố khởi động kế...

14/08/2019

Shared Hosting hay Cloud Hosting - Ưu nhược điểm và trường hợp sử dụng của từng loại hình

Cả Shared Hosting và Cloud Server đều có điểm chung: Nhà cung cấp dịch vụ lưu trữ web, máy chủ và trang web. Tuy nhiên chúng cũng có rất nhiều sự...

25/07/2019

[Thông báo] Viettel IDC cần thanh lý nội thất văn phòng

Kính gửi các khách hàng và đối tác của Viettel IDC, Hiện nay, để phục vụ quá trình mở rộng và cải tạo văn phòng, Viettel IDC có một số nội thất văn...