Tấn công mạng là gì

Home » Tài Liệu Kỹ Thuật » Tấn công mạng là gì? Các loại tấn công mạng phổ biến hiện nay

Tấn công mạng là gì?

Các cuộc tấn công mạng là các hành động trái phép đối với các tài sản digital bên trong mạng của một tổ chức. Các bên tấn công thường thực hiện các cuộc tấn công mạng này nhằm thay đổi, phá hủy hoặc đánh cắp dữ liệu cá nhân.

Có hai kiểu tấn công mạng chính là: passive và active. Trong các cuộc tấn công mạng passive, các bên tấn công có quyền truy cập trái phép vào mạng, theo dõi và đánh cắp dữ liệu cá nhân mà không thực hiện bất kỳ thay đổi nào. Các cuộc tấn công mạng active liên quan đến việc sửa đổi, mã hóa hoặc làm hỏng dữ liệu.

Bạn đang xem: Tấn công mạng là gì

Khi xâm nhập, các bên tấn công có thể tận dụng các hoạt động tấn công khác, chẳng hạn như phần mềm độc hại và tấn công endpoint, để tấn công vào mạng một tổ chức. Với việc ngày càng có nhiều tổ chức áp dụng cách làm việc từ xa, các mạng trở nên dễ bị đánh cắp và phá hủy dữ liệu hơn.

Mục đích của tấn công mạng 

Một tấn công mạng (cyber attack) là bất kỳ loại hành động tấn công nào nhằm vào hệ thống thông tin máy tính, cơ sở hạ tầng, mạng máy tính hoặc thiết bị máy tính cá nhân, sử dụng các phương pháp khác nhau để đánh cắp, thay đổi hoặc phá hủy dữ liệu hay hệ thống thông tin.

1. Denial-of-service (DoS) và các cuộc tấn công distributed denial-of-service (DDoS)

Một cuộc tấn công DDos sẽ chiếm đoạt tài nguyên (resource) của hệ thống khiến nó không thể phản hồi các yêu cầu dịch vụ. Cuộc tấn công DDoS cũng là một cuộc tấn công vào tài nguyên của hệ thống, nhưng nó được thực hiện từ một số lượng lớn các host khác mà bị nhiễm phần mềm độc hại do hacker kiểm soát.

Không giống như các cuộc tấn công được tạo ra để cho phép kẻ tấn công có được quyền truy cập, DDoS không mang lại lợi ích trực tiếp cho kẻ tấn công. Đối với một số hacker, chỉ cần đạt được việc từ chối dịch vụ là đủ hài lòng. Tuy nhiên, nếu resource bị tấn công thuộc về một đối thủ cạnh tranh kinh doanh, thì lợi ích mang lại cho kẻ tấn công là không hề nhỏ. Một mục đích khác của tấn công DDoS có thể là đưa một hệ thống offline để có thể khởi chạy một loại tấn công khác. Điển hình là chiếm quyền điều khiển hijacking.

Có nhiều kiểu tấn công DoS và DDoS khác nhau, phổ biến nhất là tấn công TCP SYN flood, tấn công Teardrop, tấn công Smurf, tấn công ping-of-death và botnet.

Tấn công TCP SYN flood

Trong cuộc tấn công này, hacker khai thác việc sử dụng bộ nhớ buffer trong quá trình handshake khởi tạo phiên bản TCP (Transmission Control Protocol). Hacker làm quá tải queue in-process của hệ thống mục tiêu với các yêu cầu kết nối, nhưng nó không phản hồi khi hệ thống mục tiêu trả lời các yêu cầu đó. Điều này khiến hệ thống mục tiêu hết thời gian chờ đợi phản hồi từ thiết bị của kẻ tấn công, điều này khiến hệ thống gặp sự cố hoặc không sử dụng được vì hàng đợi queue bị đầy.

Có một số biện pháp đối phó với cuộc tấn công TCP SYN flood:

Đặt các server sau một firewall được định cấu hình để ngăn các gói SYN gửi đến.Tăng kích thước của queue kết nối và giảm thời gian chờ trên các kết nối đang mở.Tấn công Teardrop

Cuộc tấn công này làm cho các trường độ dài và độ lệch phân mảnh trong các gói Internet Protocol (IP) tuần tự chồng lên nhau trên host bị tấn công. Mặc dù hệ thống bị tấn công cố gắng tạo lại các gói trong quá trình này nhưng không thành công. Hệ thống mục tiêu sau đó trở nên nhầm lẫn và bị treo.

Nếu người dùng không có các bản vá (patch) để bảo vệ khỏi cuộc tấn công DDoS này, hãy vô hiệu hóa SMBv2 và chặn các cổng port 139 và 445.

Xem thêm: Thoái Hóa Cột Sống Nên Ăn Gì Để Hỗ Trợ Điều Trị Bệnh, Thoái Hóa Cột Sống Kiêng Ăn Gì Để Nhanh Khỏi Bệnh

Tấn công Smurf

Cuộc tấn công này liên quan đến việc sử dụng giả mạo IP (IP spoofing) và ICMP để bão hòa lưu lượng truy cập vào mạng mục tiêu. Phương pháp tấn công này sử dụng các yêu cầu ICMP echo được nhắm mục tiêu vào các địa chỉ IP quảng bá broadcast. Các yêu cầu ICMP này bắt nguồn từ địa chỉ của “người dùng” giả mạo. Ví dụ: nếu địa chỉ của người dùng dự định là 10.0.0.10, hacker sẽ giả mạo yêu cầu ICMP echo từ 10.0.0.10 đến địa chỉ quảng bá broadcast 10.255.255.255. Yêu cầu này sẽ chuyển đến tất cả các IP trong phạm vi, với tất cả các phản hồi sẽ quay trở lại 10.0.0.10, làm quá tải mạng. Quá trình này có thể lặp lại và có thể được tự động hóa nhằm tạo ra một lượng lớn tắc nghẽn mạng.

Để bảo vệ thiết bị của bạn khỏi cuộc tấn công như thế này, bạn cần phải tắt các broadcast IP được phát trực tiếp tại các bộ định tuyến router. Điều này sẽ ngăn chặn yêu cầu broadcast ICMP echo trên các thiết bị mạng. Một tùy chọn khác là định cấu hình hệ thống cuối để ngăn chúng phản hồi các gói ICMP từ các địa chỉ broadcast.

Tấn công Ping of death

Loại tấn công này sử dụng các gói IP để ping một hệ thống mục tiêu có kích thước IP tối đa là 65,535 byte. Các gói IP có kích thước này không được cho phép, vì vậy hacker sẽ phân mảnh gói IP. Khi hệ thống mục tiêu tập hợp lại gói tin, nó có thể bị quá tải bộ đệm và các sự cố khác.

Các cuộc tấn công ping of death có thể bị chặn bằng cách sử dụng một firewall để kiểm tra các gói IP bị phân mảnh (fragmented) về kích thước tối đa.

Botnets

Botnet là hàng triệu hệ thống bị nhiễm phần mềm độc hại dưới sự kiểm soát của hacker để thực hiện các cuộc tấn công DDoS. Các bot hoặc hệ thống zombie này được sử dụng để thực hiện các cuộc tấn công chống lại hệ thống mục tiêu, thường làm quá tải băng thông bandwidth và khả năng xử lý của hệ thống mục tiêu. Các cuộc tấn công DDoS này rất khó truy dấu vết vì các botnet nằm ở nhiều vị trí địa lý khác nhau.

Botnet có thể được giảm thiểu bằng cách:

Lọc RFC3704, nơi mà sẽ từ chối lưu lượng truy cập từ các địa chỉ giả mạo (spoof) và giúp đảm bảo rằng lưu lượng truy cập có thể truy dấu đến đúng mạng nguồn của nó. Ví dụ, bộ lọc RFC3704 sẽ để các gói từ địa chỉ danh sách bogon.Bộ lọc black hole, làm giảm lưu lượng truy cập không mong muốn trước khi nó đi vào mạng được bảo vệ. Khi một cuộc tấn công DDoS được phát hiện, máy chủ BGP (Border Gateway Protocol) sẽ gửi các bản cập nhật routing đến các bộ định tuyến router ISP để chúng định tuyến tất cả lưu lượng truy cập đến các server người dùng và sử dụng interface null0 ở bước tiếp theo.

2. Tấn công Man-in-the-middle (MitM)

Một tấn công MitM xảy ra khi một hacker tự chèn vào giữa các giao tiếp của client và server. Dưới đây là một số kiểu tấn công man-in-the-middle phổ biến:

Session hijacking (chiếm quyền điều khiển)

Trong kiểu tấn công MitM này, hacker chiếm quyền điều khiển một phiên bản giữa client và server mạng đáng tin cậy. Ví dụ, cuộc tấn công có thể diễn ra như thế này:

Máy client kết nối với server.Máy tính của hacker giành được quyền kiểm soát máy client.Máy tính của hacker ngắt kết nối máy client khỏi server.Hacker thay thế địa chỉ IP của client bằng địa chỉ IP của chính nó và giả mạo sequence number của client.Máy tính của hacker tiếp tục trao đổi dữ liệu với server và lúc đó server tin rằng nó vẫn đang giao tiếp với máy client.
*
*

Không có biện pháp bảo vệ mạng nào thành công 100% và hacker cuối cùng sẽ thành công trong việc xâm nhập mạng của bạn. Nhận ra điều này và áp dụng Depception Technology, tạo ra mồi nhử decoy trên mạng của bạn, dụ những kẻ tấn công “tấn công” vào chúng và cho phép bạn quan sát các kế hoạch và kỹ thuật của chúng. Bạn có thể sử dụng mồi nhử decoy để phát hiện các mối đe dọa trong tất cả các giai đoạn của quá trình tấn công, file dữ liệu, thông tin xác thực và kết nối mạng.

Cynet 360 là một giải pháp bảo mật tích hợp với Deception technology built-in, cung cấp cả các file mồi nhử decoy sẵn có và khả năng tạo những mồi nhử để đáp ứng nhu cầu bảo mật cụ thể của bạn, đồng thời tính đến nhu cầu bảo mật của môi trường của bạn.

Những cuộc tấn công mạng ngày nay đang trở nên phổ biến, vì thế bạn phải biết và nắm rõ các loại tấn công mạng để có thể phòng chống một cách an toàn nhằm bảo vệ thông tin cá nhân. Qua bài viết này, nhlhockeyshopuk.com hy vọng bạn biết rõ các khái niệm và những loại hình thức tấn công mạng cũng như biết cách cải thiện bảo mật thông tin cá nhận.