Một số kiểu tấn công từ chối dịch vụ.
Permanent Denial-of-Service Attack
Tấn công Permanent DoS (PDoS), còn được gọi là phlashing, tập trung hoàn toàn vào phần cứng và gây ra hư hỏng không thể đảo ngược cho phần cứng. Khác với các loại tấn công DoS khác, nó phá hoại phần cứng hệ thống, buộc nạn nhân phải thay thế hoặc cài đặt lại phần cứng. PDoS lợi dụng các lỗ hổng bảo mật trong một thiết bị để quản trị từ xa trên giao diện quản lý của phần cứng nạn nhân như máy in, bộ định tuyến và các thiết bị mạng khác.
Loại tấn công này nhanh chóng và gây hủy diệt mạnh mẽ hơn so với các cuộc tấn công DoS thông thường. Nó hoạt động với một lượng tài nguyên hạn chế, không giống như cuộc tấn công DDoS, trong đó hacker phóng một loạt zombie vào một mục tiêu bằng cách sử dụng phương pháp được gọi là “brick” (biến thành viên đá). Trong phương pháp này, hacker gửi email, IRC, tweet hoặc video chứa nội dung giả mạo về cập nhật phần cứng cho nạn nhân. Khi nạn nhân nhấp vào một liên kết hoặc cửa sổ pop-up liên quan đến cập nhật phần cứng giả mạo, nạn nhân cài đặt nó vào hệ thống của mình. Kết quả là hacker có hoàn toàn kiểm soát hệ thống của nạn nhân.
TCP SACK Panic Attack
Tấn công TCP Selective Acknowledgment (SACK) panic là một phương pháp tấn công từ xa, trong đó hacker cố gắng làm cho máy Linux mục tiêu bị sập bằng cách gửi các gói tin SACK với kích thước segment tối đa (MSS) bị hỏng. Kiểu tấn công này khai thác một lỗ hổng tràn số nguyên trong Linux Socket Buffer (SKB) có thể gây ra kernel panic. Thông thường, hệ thống Linux sử dụng phương pháp TCP SACK, trong đó người gửi được thông báo về các gói tin đã được người nhận xác nhận thành công. Do đó, người gửi chỉ cần gửi lại những gói tin chưa được người nhận xác nhận. Ở đây, Linux sử dụng một cấu trúc dữ liệu liên kết gọi là socket buffer để lưu dữ liệu cho đến khi được xác nhận hoặc nhận. Socket buffer có thể lưu trữ tối đa 17 segment. Sau đó, các gói tin đã được xác nhận được xóa ngay lập tức khỏi cấu trúc dữ liệu liên kết. Nếu socket buffer cố gắng lưu trữ nhiều hơn 17 segment, nó có thể gây ra kernel panic.
Tấn công TCP SACK panic tận dụng lỗ hổng của socket buffer này. Để đạt được điều này, hacker gửi các gói tin SACK được thiết kế đặc biệt theo trình tự đến máy mục tiêu bằng cách đặt MSS thành giá trị thấp nhất (48 byte). Giá trị MSS này sẽ tăng số lượng segment TCP cần được gửi lại. Việc gửi lại này làm cho socket buffer của máy mục tiêu vượt quá giới hạn 17 segment. Do đó, socket buffer vượt quá giới hạn và gây ra tràn số nguyên, gây ra kernel panic dẫn đến tình trạng DoS. Do lỗ hổng nằm trong ngăn xếp kernel, hacker cũng có thể thực hiện kiểu tấn công này đối với các container và máy ảo.
Distributed Reflection Denial-of-Service (DRDoS) Attack
Tấn công phân tán phản chiếu DoS (DRDoS), còn được gọi là cuộc tấn công giả mạo liên quan đến việc sử dụng nhiều máy trung gian và máy thứ cấp góp phần vào cuộc tấn công DDoS trong quá trình bắt tay ba bước TCP.
Tấn công này liên quan đến một máy tấn công, các nạn nhân trung gian (zombies), các nạn nhân thứ cấp (reflectors) và một máy mục tiêu. Hacker gửi yêu cầu đến các máy trung gian, sau đó các máy này phản chiếu lưu lượng tấn công đến máy mục tiêu.
Quá trình của cuộc tấn công DRDoS diễn ra như sau. Đầu tiên, hacker chỉ đạo các zombies gửi một luồng gói tin (TCP SYN) với địa chỉ IP của mục tiêu chính là địa chỉ IP nguồn đến các máy không bị chiếm đoạt khác (các nạn nhân thứ cấp hoặc reflectors) để thuyết phục chúng thiết lập kết nối với mục tiêu chính. Kết quả là các reflectors gửi một lưu lượng lớn gói tin (SYN/ACK) đến mục tiêu chính để thiết lập kết nối mới với nó vì chúng tin rằng mục tiêu yêu cầu điều đó. Máy mục tiêu chính loại bỏ các gói SYN/ACK nhận được từ các reflectors vì chúng không gửi gói SYN. Trong khi đó, các reflectors đợi phản hồi ACK từ máy mục tiêu chính. Giả sử gói tin bị mất, các máy reflector gửi lại gói SYN/ACK cho máy mục tiêu chính để thiết lập kết nối cho đến khi quá thời gian chờ. Bằng cách này, máy mục tiêu bị ngập bởi lưu lượng lớn từ các máy reflector. Tổng băng thông kết hợp của các máy reflector này làm quá tải máy mục tiêu.
Tấn công DRDoS là một cuộc tấn công thông minh vì nó rất khó hoặc thậm chí là không thể để truy tìm kẻ tấn công. Thay vì tấn công trực tiếp mục tiêu chính, những nạn nhân thứ cấp (reflectors) dường như là những kẻ tấn công. Cuộc tấn công này hiệu quả hơn tấn công DDoS thông thường vì nhiều nạn nhân trung gian và nạn nhân thứ cấp tạo ra băng thông tấn công lớn.
DDoS Extortion/Ransom DDoS (RDDoS) Attack
Tấn công DDoS đòi tiền chuộc cũng được gọi là ransom DDoS (RDDoS). Trong đó, hacker đe dọa mục tiêu bằng một cuộc tấn công DDoS và yêu cầu trả một số tiền chuộc cụ thể. Thông thường, hacker giả mạo những cuộc tấn công này, tuyên bố rằng chúng có công cụ có khả năng tấn công DDoS với khả năng cao có thể gây ra thiệt hại tiềm năng cho hoạt động kinh doanh của tổ chức.
Một số công cụ tấn công DDoS
High Orbit Ion Cannon (HOIC)
HOIC là một ứng dụng tấn công mạng stress và DoS/DDoS được viết bằng ngôn ngữ BASIC. Nó được thiết kế để tấn công đồng thời lên đến 256 URL mục tiêu. Nó gửi các yêu cầu HTTP POST và GET tới một máy tính sử dụng giao diện người dùng được lấy cảm hứng từ lulz. Các tính năng của nó gồm:
- Tấn công HTTP flooding đa luồng tốc độ cao
- Tấn công đồng thời lên đến 256 URL
- Hệ thống scripting tích hợp để triển khai “boosters/“, đó là các kịch bản được thiết kế để đánh bại các biện pháp chống lại DDoS và tăng cường đầu ra của DoS
- Có thể di chuyển sang Linux/Mac với một số sửa lỗi nhỏ
- Có khả năng chọn số luồng trong cuộc tấn công đang diễn ra
- Có khả năng điều chỉnh tốc độ tấn công cho từng mục tiêu với ba cài đặt: LOW, MEDIUM và HIGH.
Low Orbit Ion Cannon (LOIC)
LOIC là một ứng dụng kiểm tra sức chịu đựng mạng và tấn công DoS. Các cuộc tấn công LOIC có thể được gọi là tấn công DOS dựa trên ứng dụng vì chúng chủ yếu nhắm vào các ứng dụng web. LOIC có thể được sử dụng trên một trang web mục tiêu để tạo ra một lượng lớn gói tin TCP, gói tin UDP hoặc yêu cầu HTTP nhằm gây gián đoạn dịch vụ.
DDoS Case Study
Botnet điện thoại di động
Các thiết bị Android có thể bị ảnh hưởng đối với các phần mềm độc hại khác nhau như Trojan, bot, Remote Access Trojans (RATs), và nhiều loại khác, thường được tìm thấy trong các phần mềm bên thứ ba. Các thiết bị Android không được bảo mật này đang trở thành mục tiêu chính cho hacker nhằm mở rộng mạng lưới botnet của họ vì chúng rất dễ bị tấn công. Hacker gắn một server độc hại vào gói ứng dụng Android (APK), mã hóa nó và loại bỏ các tính năng và quyền không mong muốn trước khi phân phối gói độc hại đến người dùng. Khi các nạn nhân bị lừa tải xuống và cài đặt các ứng dụng như vậy, thiết bị của nạn nhân sẽ bị hacker chiếm đoạt và tích hợp vào botnet.
DDoS Attack trên Microsoft Azure
Microsoft Azure là một nền tảng điện toán đám mây được thiết kế để quản lý ứng dụng thông qua đám mây từ các trung tâm dữ liệu của Microsoft. Vào tháng 8 năm 2021, Microsoft đã gặp phải một cuộc tấn công DDoS với tốc độ 2,4 Tbps, gây cho dịch vụ của Azure không khả dụng đối với khách hàng trong hơn 10 phút. Cuộc tấn công này lớn hơn 140% so với cuộc tấn công 1 Tbps trước đó được phát hiện và giảm thiểu trên Azure vào quý 3 năm 2020.
Timeline
Tấn công DDoS diễn ra trong tuần cuối tháng 8 năm 2021. Cuộc tấn công phản chiếu UDP này khiến dịch vụ Azure không khả dụng từ 14:30 đến 14:40 đối với khách hàng ở châu Âu. Tuy nhiên, nền tảng bảo vệ DDoS của Azure đã giảm thiểu cuộc tấn công bằng cách liên tục giám sát cơ sở hạ tầng tại nhiều điểm trên mạng. Nó phát hiện ra một sự bất thường trong tỷ lệ lưu lượng vào và thông báo cho các chuyên gia bảo mật.
Phần đầu tiên của cuộc tấn công đạt đỉnh vào lúc 2:30 PM với tốc độ 2.4 Tbps từ 70,000 nguồn khác nhau, tiếp theo là một đợt tăng đột ngột lên 0.55 Tbps vào khoảng 2:35 PM và một đợt tăng đột ngột thứ ba lên 1.7 Tbps sau đó một chút khoảng 2:40 PM. Hình vẽ dưới đây thể hiện ba đỉnh khác nhau trong khoảng thời gian 10 phút.
Kỹ thuật tấn công
Đây là một cuộc tấn công phản chiếu UDP từ một số lượng lớn gói UDP giả mạo, đạt đỉnh tại 2.4 Tbps. Các gói tin UDP chứa địa chỉ IP giả mạo giống với địa chỉ IP nguồn, cùng nhau tăng kích thước tấn công. Các gói tin UDP giả mạo được gửi đến máy chủ trung gian, từ đó bắt đầu phản hồi đến các địa chỉ IP nguồn gây trễ dịch vụ. Cuộc tấn công bắt nguồn từ các quốc gia châu Á – Thái Bình Dương, bao gồm Malaysia, Việt Nam, Đài Loan, Nhật Bản và Trung Quốc, cũng như từ Hoa Kỳ. Cuộc tấn công nhằm tạo ra sự hỗn loạn Azure và làm gián đoạn hoạt động của nó.
Phản hồi từ phía Microsoft
Microsoft cho biết nền tảng bảo vệ DDoS của Azure sẽ được thiết kế để chống các cuộc tấn công DDoS trong tương lai, đã có khả năng xác định và giảm thiểu cuộc tấn công này. Họ cũng khẳng định dịch vụ bảo vệ có thể hấp thụ một số lượng lớn các cuộc tấn công DDoS trước khi chúng tiếp cận khách hàng. Công ty cũng khẳng định rằng nền tảng bảo vệ này cung cấp các tính năng an ninh bổ sung vượt xa đáng kể.
Các bạn có thể tìm đọc bài viết trước [CEH] Module 10 – Phần 2: Một số kiểu tấn công từ chối dịch vụ DoS/DDoS.