Tấn công mạng là bất kỳ loại hành động tấn công nào nhằm vào hệ thống thông tin máy tính, cơ sở hạ tầng, mạng máy tính hoặc thiết bị máy tính cá nhân, sử dụng các phương pháp khác nhau để lấy cắp, thay đổi hoặc phá hủy dữ liệu hoặc hệ thống thông tin.
Các cuộc tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS)
Một cuộc tấn công từ chối dịch vụ áp đảo hệ thống để nó không thể phản hồi các yêu cầu dịch vụ. Một cuộc tấn công DDoS cũng là một cuộc tấn công vào tài nguyên hệ thống, nhưng nó được thực hiện từ một số lượng lớn các máy chủ khác bị nhiễm phần mềm độc hại do kẻ tấn công điều khiển.
Không giống như các cuộc tấn công được thiết kế để cho phép kẻ tấn công đạt được hoặc tăng quyền truy cập, từ chối dịch vụ không mang lại lợi ích trực tiếp cho kẻ tấn công. Đối với một số người trong số họ, điều này là đủ để có được sự hài lòng của việc từ chối dịch vụ. Tuy nhiên, nếu tài nguyên bị tấn công thuộc về một đối thủ cạnh tranh kinh doanh, thì lợi ích cho kẻ tấn công có thể là hoàn toàn thực tế. Một mục đích khác của cuộc tấn công doS có thể là đưa hệ thống vào trạng thái ngoại tuyến để một kiểu tấn công khác có thể bị tấn công. Một ví dụ phổ biến là chiếm quyền điều khiển phiên mà tôi sẽ mô tả sau.
>>> Tìm hiểu chi tiết: https://digitalfuture.vn/tong-hop-cac-loai-ma-doc-va-cach-thuc-tan-cong-mang-thuong-gap
Có nhiều kiểu tấn công doS và DDoS khác nhau; phổ biến nhất là TCP SYN lũ, tấn công xé rách, tấn công smurf, tấn công ping-death và botnet.
Cuộc tấn công tràn ngập TCP SYN
Trong cuộc tấn công này, kẻ tấn công sử dụng không gian đệm trong quá trình bắt tay để bắt đầu phiên Giao thức điều khiển truyền (TCP). Thiết bị của kẻ tấn công làm ngập hàng đợi nhỏ của hệ thống mục tiêu với các yêu cầu kết nối, nhưng không phản hồi khi hệ thống mục tiêu phản hồi các yêu cầu đó. Điều này làm cho hệ thống mục tiêu hết thời gian chờ đợi phản hồi từ thiết bị của kẻ tấn công, làm cho hệ thống bị sập hoặc không sử dụng được khi hàng đợi kết nối đầy.
Có một số biện pháp đối phó với cuộc tấn công tràn ngập TCP SYN:
Đặt các máy chủ sau tường lửa được định cấu hình để ngăn các gói SYN đến.
Tăng kích thước của hàng đợi kết nối và giảm thời gian chờ trên các kết nối đang mở.
Moat tấn công
Cuộc tấn công này làm cho trường lệch độ dài và trường phân mảnh trong các gói Giao thức Internet (IP) liên tiếp chồng lên nhau trên máy chủ bị tấn công; hệ thống bị tấn công cố gắng thiết kế ngược các gói trong quá trình này, nhưng không thành công. Sau đó, hệ thống mục tiêu bị nhầm lẫn và bị cắt.
Nếu người dùng không có các bản vá để bảo vệ khỏi cuộc tấn công doS này, hãy tắt SMBv2 và chặn các cổng 139 và 445.
Xì trum tấn công
Cuộc tấn công này liên quan đến việc sử dụng giả mạo IP và ICMP để bão hòa lưu lượng truy cập mạng mục tiêu. Phương pháp tấn công này sử dụng các yêu cầu ICMP echo nhắm mục tiêu đến các địa chỉ IP quảng bá. Các yêu cầu ICMP này đến địa chỉ nạn nhân không có thật. Ví dụ: nếu địa chỉ mục tiêu dự kiến là 10.0.0.10, kẻ tấn công sẽ giả mạo yêu cầu tiếng vọng ICMP từ 10.0.0.10 đến địa chỉ quảng bá 10.255.255.255. Yêu cầu này sẽ chuyển đến tất cả các IP trong phạm vi, với tất cả các phản hồi trở lại 10.0.0.10, áp đảo mạng. Quá trình này có thể lặp lại và có thể được tự động hóa để tạo ra một lượng lớn tắc nghẽn mạng.
Để bảo vệ các thiết bị của bạn khỏi cuộc tấn công này, bạn cần phải tắt các chương trình phát sóng IP trên bộ định tuyến. Điều này sẽ ngăn chặn yêu cầu ping ICMP trên các thiết bị mạng. Một tùy chọn khác là cấu hình hệ thống đầu cuối để chúng không phản hồi các gói ICMP từ các địa chỉ quảng bá.
Ping tấn công chết chóc
Kiểu tấn công này sử dụng các gói IP để “ping hệ thống đích có kích thước IP lớn hơn 65.535 byte. Các gói IP có kích thước này không được phép, vì vậy kẻ tấn công sẽ phân mảnh gói IP. Sau khi hệ thống đích khôi phục gói, nó có thể bị tràn bộ đệm và các tai nạn khác.
Các cuộc tấn công chết người bằng ping có thể bị chặn bằng một bức tường lửa sẽ kiểm tra các gói IP bị phân mảnh để có kích thước tối đa.
Botnet
Botnet là hàng triệu hệ thống bị nhiễm phần mềm độc hại do tin tặc điều khiển để thực hiện các cuộc tấn công DDoS. Các chương trình hoặc hệ thống thây ma này được sử dụng để khởi động các cuộc tấn công vào các hệ thống mục tiêu, thường áp đảo băng thông và khả năng của hệ thống mục tiêu. Các cuộc tấn công DDoS này rất khó theo dõi vì các mạng botnet nằm ở các vị trí địa lý khác nhau.
Botnet có thể được giảm thiểu:
Lọc RFC3704 sẽ từ chối lưu lượng truy cập từ các địa chỉ giả mạo và giúp đảm bảo rằng lưu lượng truy cập đến đúng mạng nguồn của nó. Ví dụ, bộ lọc RFC3704 sẽ thả các gói từ địa chỉ danh sách bogon.
Lọc lỗ đen làm giảm lưu lượng truy cập không mong muốn trước khi nó đi vào mạng an toàn. Khi một cuộc tấn công DDoS được phát hiện, máy chủ giao thức Border Gateway (BGP) phải gửi các bản cập nhật định tuyến đến các bộ định tuyến của ISP để chúng định tuyến tất cả lưu lượng truy cập đến máy chủ của nạn nhân đến giao diện null0 trong bước tiếp theo.
