Tweet
Lỗ hổng bảo mật của IP
IP là giao thức connectionless (không kết nối) được dùng chủ yếu để định tuyến thông tin trên Internet. Vai trò của IP là cung cấp dịch vụ best-effort để chuyển dữ liệu đến đích. IP phụ thuộc vào các tầng cao hơn trong bộ giao thức TCP/IP để đảm bảo tính tin cậy và xác thực.
Các tầng phía trên IP sử dụng địa chỉ nguồn trong gói tin đến để nhận diện máy gửi. Khi cần phản hồi, máy nhận sẽ gửi trả lại thông qua địa chỉ nguồn này. Vấn đề là IP không xác minh địa chỉ nguồn này có thực sự thuộc về node gửi hay không. Do đó, kẻ tấn công có thể spoof (giả mạo) địa chỉ IP nguồn, khiến máy nhận tin rằng gói tin đến từ một nguồn đáng tin cậy.
Các công cụ tạo gói tin spoof IP được phát tán miễn phí trên Internet, ví dụ hping, cho phép tạo gói IP giả chỉ với một lệnh đơn giản và gửi đi khắp thế giới. Ngoài spoof ở tầng IP, kẻ tấn công còn có thể spoof ở các tầng khác, như ARP spoofing (liên kết sai MAC với IP của host hợp pháp để chuyển hướng lưu lượng) hoặc spoof trong SMTP (giả mạo địa chỉ email người gửi vì SMTP không xác thực nguồn).
Vì vậy, không thể tin tưởng bất kỳ gói tin nào. Mỗi gói phải được xác thực qua cơ chế phân loại và áp chính sách trong mạng.
Các dạng tấn công dựa trên địa chỉ IP
Câu hỏi ôn tập:
Tấn công IP nào được thực hiện đồng thời, phối hợp từ nhiều nguồn khác nhau?
→ Đáp án đúng: DDoS attack
IP là giao thức connectionless (không kết nối) được dùng chủ yếu để định tuyến thông tin trên Internet. Vai trò của IP là cung cấp dịch vụ best-effort để chuyển dữ liệu đến đích. IP phụ thuộc vào các tầng cao hơn trong bộ giao thức TCP/IP để đảm bảo tính tin cậy và xác thực.
Các tầng phía trên IP sử dụng địa chỉ nguồn trong gói tin đến để nhận diện máy gửi. Khi cần phản hồi, máy nhận sẽ gửi trả lại thông qua địa chỉ nguồn này. Vấn đề là IP không xác minh địa chỉ nguồn này có thực sự thuộc về node gửi hay không. Do đó, kẻ tấn công có thể spoof (giả mạo) địa chỉ IP nguồn, khiến máy nhận tin rằng gói tin đến từ một nguồn đáng tin cậy.
Các công cụ tạo gói tin spoof IP được phát tán miễn phí trên Internet, ví dụ hping, cho phép tạo gói IP giả chỉ với một lệnh đơn giản và gửi đi khắp thế giới. Ngoài spoof ở tầng IP, kẻ tấn công còn có thể spoof ở các tầng khác, như ARP spoofing (liên kết sai MAC với IP của host hợp pháp để chuyển hướng lưu lượng) hoặc spoof trong SMTP (giả mạo địa chỉ email người gửi vì SMTP không xác thực nguồn).
Vì vậy, không thể tin tưởng bất kỳ gói tin nào. Mỗi gói phải được xác thực qua cơ chế phân loại và áp chính sách trong mạng.
Các dạng tấn công dựa trên địa chỉ IP
- Man-in-the-Middle (MITM)
Kẻ tấn công chèn thiết bị vào luồng truyền giữa hai hệ thống, bắt và có thể chỉnh sửa gói tin trước khi gửi đến đích. MITM có thể vượt qua cả cơ chế xác thực nếu thực hiện sau khi phiên giao tiếp đã được thiết lập.- Biến thể eavesdropping: chỉ nghe lén, sao chép gói tin mà không chỉnh sửa.
- Session Hijacking
Kẻ tấn công sau khi thực hiện MITM sẽ chiếm quyền của phiên giao tiếp đang hoạt động, mạo danh người dùng hợp pháp. Nạn nhân có thể bị ngắt kết nối và không thể đăng nhập lại vì hệ thống báo “User ID đang được sử dụng”. - IP Address Spoofing
Giả mạo địa chỉ nguồn trong gói tin IP. Có hai dạng:- Non-blind spoofing: cần nhận phản hồi từ nạn nhân, thường dùng trong dự đoán số thứ tự (sequence number prediction), chiếm quyền phiên hợp lệ, kiểm tra trạng thái firewall.
- Blind spoofing: không cần phản hồi, thường dùng trong DoS.
- DoS (Denial of Service)
Mục tiêu là làm dịch vụ không thể phục vụ người dùng hợp pháp, ví dụ flood gói tin, overflow bộ nhớ đệm dịch vụ, hoặc khai thác lỗ hổng như teardrop attack (gửi gói IP fragment bị chồng lấn, khiến hệ thống lỗi khi tái lắp ráp). - DDoS (Distributed DoS)
Là DoS nhưng được thực hiện đồng thời, phối hợp từ nhiều nguồn khác nhau. Ví dụ nổi tiếng là smurf attack. - Resource Exhaustion Attack
Là một dạng DoS nhắm vào việc tiêu tốn tài nguyên của server hoặc thiết bị mạng (CPU, RAM, băng thông, bảng định tuyến, vty lines) đến mức dịch vụ phản hồi chậm hoặc ngừng.
Câu hỏi ôn tập:
Tấn công IP nào được thực hiện đồng thời, phối hợp từ nhiều nguồn khác nhau?
→ Đáp án đúng: DDoS attack
Attached Files