Các cuộc tấn công của lũ lụt: Đơn giản nhưng có sức tàn phá đáng kể

NộI Dung

• Thông tin cơ bản về giao thức TCP: Cách thức hoạt động của lũ lụt
• Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
• Slowloris
• Chiến thuật ứng phó chống lại các cuộc tấn công lũ lụt
• Vẫn cảnh giác, bảo vệ chống lại các cuộc tấn công

Nguồn: Aleutie / Dreamstime.com

Lấy đi:

Với 65.535 cổng TCP đáng kinh ngạc được cung cấp trên một địa chỉ IP duy nhất, thật dễ dàng để biết lý do tại sao có quá nhiều khai thác bảo mật trên Internet. Nhưng trong khi các cuộc tấn công của SYN hầu như không mới, chúng vẫn khó giải quyết.

Một mức độ rủi ro chấp nhận được là điều hiển nhiên khi bất kỳ doanh nghiệp nào tung ra một trang web và đưa nó lên internet, mở ra cánh cửa cho tất cả khách truy cập. Điều mà một số doanh nghiệp có thể không nhận ra là một số rủi ro là không thể vượt qua, ngay cả đối với các tập đoàn lớn và các cơ quan chính phủ. Trong thời gian từ giữa đến cuối thập niên 90, một loại tấn công có tác dụng phụ phá hủy được coi là tất cả nhưng không hòa tan - và nó tiếp tục là một vấn đề cho đến ngày nay.

Nó được gọi là một cuộc tấn công lũ SYN. Với 65.535 cổng TCP đáng kinh ngạc được cung cấp trên một địa chỉ IP duy nhất, tất cả các phần mềm này có thể khiến bất kỳ phần mềm nào nghe đằng sau các cổng đó dễ bị tổn thương, thật dễ dàng để biết tại sao có quá nhiều khai thác bảo mật trên internet. Lũ lụt dựa trên thực tế là các máy chủ web sẽ đáp ứng các yêu cầu rõ ràng hợp pháp cho các trang web, bất kể có bao nhiêu yêu cầu được thực hiện. Tuy nhiên, nếu kẻ tấn công thực hiện nhiều yêu cầu, sau đó khiến máy chủ web bị trói và không thể tiếp tục phục vụ các yêu cầu thực sự hợp pháp, thảm họa sẽ xảy ra và máy chủ web sẽ thất bại. Ở cấp độ cơ bản, đây là cách lũ lụt hoạt động. Dưới đây, hãy xem một số loại tấn công SYN phổ biến nhất và những gì các quản trị viên mạng và hệ thống có thể làm để giảm thiểu chúng.

Thông tin cơ bản về giao thức TCP: Cách thức hoạt động của lũ lụt

Nhờ thiếu rõ ràng bất kỳ kỹ thuật giảm thiểu rõ ràng nào, các cuộc tấn công SYN đã được các doanh nghiệp trực tuyến sợ hãi khi chúng lần đầu tiên được xác định trong tự nhiên.

Hạ cánh vững chắc dưới sự tấn công từ chối dịch vụ, điều khiến cho lũ lụt gây thất vọng nhất cho các hệ thống và quản trị viên mạng là, ít nhất, rõ ràng, lưu lượng tấn công tự thể hiện là lưu lượng truy cập hợp pháp.

Để đánh giá cao sự đơn giản - một số người có thể nói là vẻ đẹp - của hương vị tấn công này, chúng ta cần xem xét kỹ hơn một chút về giao thức chịu trách nhiệm cho một phần đáng kể của lưu lượng truy cập mạng, Giao thức điều khiển truyền (TCP).

Mục đích của một cuộc tấn công như vậy là để dễ dàng hấp thụ tất cả các tài nguyên có sẵn của máy chủ web bằng cách thuyết phục máy chủ phục vụ dữ liệu của mình cho khách truy cập hợp pháp. Kết quả là, dịch vụ bị từ chối cho các máy chủ người dùng hợp pháp.

Các kết nối TCP, được sử dụng để xem các trang web và tweet, trong số hàng triệu chức năng trực tuyến khác, được bắt đầu với cái gọi là bắt tay ba chiều. Tiền đề cho việc bắt tay rất đơn giản và một khi cả hai bên được kết nối, giao thức tinh vi này cho phép các chức năng như giới hạn tốc độ dữ liệu mà máy chủ sẽ cung cấp cho người nhận dựa trên lượng băng thông mà người nhận có sẵn.

Bắt đầu với gói SYN (viết tắt của đồng bộ hóa) được gửi từ khách truy cập hoặc máy khách, sau đó máy chủ sẽ phản hồi hiệu quả với gói SYN-ACK (hoặc xác nhận đồng bộ hóa), sau đó được xác nhận bởi khách truy cập, đó là gói ACK của riêng của nó trong phản ứng. Tại thời điểm đó, một kết nối đã được thiết lập và lưu lượng có thể lưu chuyển tự do.

Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn

Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.

Một cuộc tấn công lũ lụt đã phá vỡ sự trao đổi suôn sẻ này bằng cách không đưa ACK đến máy chủ sau khi đã gửi SYN-ACK ban đầu. Gói đó hoàn toàn bị bỏ qua hoặc phản hồi có thể chứa thông tin sai lệch như địa chỉ IP giả mạo, do đó buộc máy chủ phải thử và sau đó kết nối hoàn toàn với máy khác. Điều này đơn giản nhưng gây chết người cho bất kỳ máy chủ nào tôn trọng TCP.

Slowloris

Một biến thể của phương pháp tấn công này, khiến các tiêu đề trở lại vài năm trước, được gọi là Slowloris. Trang web Slowloris tự mô tả là "máy khách HTTP băng thông thấp, nhưng tham lam và độc hại!" Trang web chắc chắn làm cho việc đọc đáng lo ngại và mô tả làm thế nào một máy có thể "hạ gục máy chủ web của máy khác với băng thông tối thiểu và tác dụng phụ trên các dịch vụ và cổng không liên quan".

Nó tiếp tục giải thích rằng một cuộc tấn công như vậy không thực sự là một cuộc tấn công từ chối dịch vụ TCP. Điều này rõ ràng là do một kết nối TCP đầy đủ được tạo nhưng quan trọng hơn là chỉ có một yêu cầu HTTP một phần được thực hiện để kéo xuống một trang web từ máy chủ. Một tác dụng phụ là máy chủ web có thể trở lại trạng thái hoạt động bình thường rất nhanh so với các cuộc tấn công khác.

Cùng chung sở thích thiết kế các cuộc tấn công, tính năng này có thể cho phép kẻ tấn công triển khai một số cuộc tấn công ngắn khác trong một khoảng thời gian ngắn khi máy chủ vật lộn với lũ SYN và sau đó trả lại máy chủ như trước, mà không cần được chú ý.

Chiến thuật ứng phó chống lại các cuộc tấn công lũ lụt

Với một số trang web cao cấp đang được nhắm mục tiêu, rõ ràng rằng một kỹ thuật giảm thiểu là cần thiết và kịp thời. Vấn đề là làm cho một máy chủ hoàn toàn không thể chịu được các cuộc tấn công như vậy là khó khăn. Ví dụ, xem xét rằng ngay cả những gì được gọi là phá vỡ kết nối sẽ tiêu tốn tài nguyên máy chủ và có thể gây ra các vấn đề đau đầu khác.

Các nhà phát triển Linux và FreeBSD đã trả lời với một bổ sung kernel gọi là cookie SYN, vốn là một phần của kernel stock trong một thời gian dài. (Mặc dù, thật đáng ngạc nhiên, không phải tất cả các hạt nhân đều bật chúng theo mặc định.) Cookie SYN hoạt động với cái được gọi là số thứ tự TCP. Họ có cách sử dụng các số thứ tự ưu tiên khi kết nối ban đầu được thiết lập và cũng giảm thiểu lũ lụt bằng cách thả các gói SYN trong hàng đợi của chúng. Điều này có nghĩa là họ có thể xử lý nhiều kết nối hơn nếu họ phải. Kết quả là, hàng đợi không bao giờ trở nên quá tải - ít nhất là trên lý thuyết.

Một số đối thủ nói chuyện cởi mở với cookie SYN vì những thay đổi họ thực hiện đối với kết nối TCP. Do đó, các giao dịch cookie TCP (TCPCT) đã được giới thiệu để khắc phục bất kỳ thiếu sót nào của cookie.

Vẫn cảnh giác, bảo vệ chống lại các cuộc tấn công

Với số lượng vectơ tấn công ngày càng tăng được phát hiện và sau đó được khai thác trên internet, điều quan trọng là luôn luôn cảnh giác. Một số loại tấn công buộc cả những người có ý định tốt và những người có ý định độc hại khám phá các phương pháp mới để bảo vệ và tấn công các hệ thống. Một điều chắc chắn là những bài học rút ra từ các cuộc tấn công đơn giản nhưng tinh vi, chẳng hạn như lũ lụt, khiến các nhà nghiên cứu bảo mật thậm chí còn quan tâm hơn đến cách các giao thức và phần mềm tường lửa sẽ phát triển trong tương lai. Chúng tôi chỉ có thể hy vọng nó có lợi cho internet nói chung.