Tấn công UDP Flood SYN Flood là gì?

Tác giả NetworkEngineer, T.Hai 04, 2021, 02:06:48 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 3 Khách đang xem chủ đề.

Tấn công UDP Flood SYN Flood là gì?


1. UDP Flood.

Một cuộc tấn công tràn ngập UDP là một loại tấn công từ chối dịch vụ. Tương tự như các cuộc tấn công lũ lụt thông thường khác, ví dụ: lũ lụt ping, lũ lụt HTTP và lũ lụt SYN, kẻ tấn công sẽ gửi một số lượng lớn các gói dữ liệu giả mạo đến hệ thống đích. Mục tiêu là áp đảo mục tiêu đến mức không còn có thể đáp ứng các yêu cầu hợp pháp. Khi đạt đến điểm này, dịch vụ sẽ tạm dừng.

2. Một cuộc tấn công UDP Flood là gì?

UDP Flood là một cuộc tấn công DoS theo thể tích. Tương tự như lũ lụt ping, ý tưởng là áp đảo hệ thống mục tiêu với một lượng lớn dữ liệu đến. Do đó, UDP Flood khác với ping chết làm hỏng hệ thống mục tiêu do khai thác lỗi bộ nhớ và từ SYN Flood liên kết tài nguyên trên máy chủ. Một điểm chung của tất cả các cuộc tấn công DoS đã đề cập trước đây là chúng nhằm áp đảo mục tiêu và do đó phủ nhận nó được sử dụng hợp pháp.

UDP Flood đã trở thành một vấn đề được công chúng quan tâm sau một số cuộc tấn công ngoạn mục vào các tổ chức quốc tế. Ngoài Church of Scientology, các công ty liên quan đến lĩnh vực truyền thông và tài chính cũng bị tấn công. Các trang web và dịch vụ được nhắm mục tiêu đã sụp đổ theo dòng dữ liệu tràn vào và đôi khi không có sẵn cho người dùng của họ trong nhiều giờ. Trong các cuộc tấn công này, một công cụ mạnh mẽ có tên là Low Orbit Ion Cannon (LOIC) đã được sử dụng như một vũ khí để giải phóng UDP Flood.

3. Cách thức hoạt động của cuộc tấn công UDP Flood.

Cuộc tấn công tràn ngập UDP phụ thuộc vào một đặc điểm cụ thể của các giao thức dữ liệu người dùng (UDP) được sử dụng trong cuộc tấn công. Nếu gói UDP được nhận trên máy chủ, hệ điều hành sẽ kiểm tra cổng được chỉ định cho các ứng dụng lắng nghe. Nếu không tìm thấy ứng dụng nào, máy chủ phải thông báo cho người gửi. Vì UDP là một giao thức không có kết nối, máy chủ sử dụng Giao thức Thông báo Điều khiển Internet (ICMP) để thông báo cho người gửi rằng không thể gửi gói tin.

Trong trường hợp tấn công UDP Flood, quá trình sau sẽ xảy ra:

  • Một kẻ tấn công gửi các gói tin UDP với một IP giả mạo địa chỉ người gửi đến các cảng ngẫu nhiên trên hệ thống đích.
  • Về phía hệ thống, quy trình sau đây phải được lặp lại cho mỗi gói tin đến.
  • Kiểm tra cổng được chỉ định trong gói UDP để tìm ứng dụng nghe, vì nó là một cổng được chọn ngẫu nhiên, điều này thường không phải như vậy.
  • Gửi một gói ICMP "không thể truy cập đích" đến người gửi được cho là, vì địa chỉ IP đã bị giả mạo, các gói này thường được nhận bởi một số người ngoài cuộc ngẫu nhiên.


4. Các biện pháp bảo mật để bảo vệ bạn trước các cuộc tấn công của UDP Flood.

Một cuộc tấn công mạng theo thể tích có thể được xác định bởi sự tăng đột biến về lưu lượng truy cập mạng đến. Lưu lượng mạng được giám sát thường xuyên bởi các nhà cung cấp mạng và các bên chuyên môn khác. Điều này đảm bảo rằng các bước có thể được thực hiện để giảm thiểu thiệt hại nếu có bất kỳ dấu hiệu của một cuộc tấn công.

Sau đây là một số biện pháp có thể được thực hiện để bảo vệ hiệu quả chống lại các cuộc tấn công của UDP Flood:

  • Giới hạn tốc độ ICMP: Giới hạn này được đặt trên các phản hồi ICMP thường được thực hiện ở cấp hệ điều hành.
  • Lọc mức tường lửa trên máy chủ: Điều này cho phép các gói đáng ngờ bị từ chối. Tuy nhiên, tường lửa cũng có thể sụp đổ khi bị tấn công bởi UDP Flood.
  • Lọc các gói UDP, ngoại trừ DNS, ở cấp độ mạng: Các yêu cầu DNS thường được thực hiện bằng UDP. Là một phần của biện pháp này, bất kỳ nguồn nào khác tạo ra lượng lớn lưu lượng UDP đều được coi là đáng ngờ. Các gói được đề cập bị từ chối.

Để giảm thiểu các cuộc tấn công sắp xảy ra, các nhà khai thác máy chủ sử dụng các dịch vụ đám mây chuyên dụng như Cloudflare. Chúng phân phối lưu lượng mạng qua một số lượng lớn các trung tâm dữ liệu được phân phối trên toàn cầu. Điều này cung cấp nhiều băng thông hơn để tạo ra một lớp đệm hơn là có thể chịu được cú sốc của lượng dữ liệu đến trong trường hợp bị tấn công. Ngoài ra, các luồng dữ liệu được lọc theo mặc định để ngăn chặn nhiều cuộc tấn công.