Một số kiểu tấn công vào hạ tầng mạng ISP và giải pháp phòng chống tấn công

ISP (Internet Service Provider) là các nhà cung cấp dịch vụ Internet. Dựa trên hạ tầng mạng lưới rộng lớn, họ cung cấp dịch vụ Internet cho các tổ chức cá nhân, doanh nghiệp, chính phủ…. Chính vì vậy, trong các sự cố về an toàn thông tin (ATTT) xảy ra đối với cá nhân, doanh nghiệp, thì đa số luồng tấn công sẽ đi qua hạ tầng ISP trước. Do đó, việc chủ động phát hiện trước và chống tấn công từ phía ISP sẽ làm giảm nhẹ các đợt tấn công, hạn chế được các thiệt hại.

Bên cạnh đó, có nhiều tấn công nhắm chủ đích vào các ISP. Lý do bởi nếu hạ tầng mạng ISP có vấn đề, mức độ ảnh hưởng dịch vụ sẽ rất lớn, làm ngưng trệ sản xuất kinh doanh và đôi khi liên quan đến cả vấn đề chính trị. Ví dụ, vào tháng 10/2016, một đợt tấn công DDoS sử dụng Mirai botnet đã nhắm vào hạ tầng mạng các ISP của Liberia làm toàn bộ Internet của đất nước này bị tê liệt và ngưng trệ hoàn toàn việc sản xuất kinh doanh.

Như vậy, vấn đề bảo đảm ATTT với mạng ISP không chỉ là bảo vệ các dịch vụ của ISP, mà còn là bảo vệ khách hàng, bảo vệ mạng lưới và bảo vệ các hạ tầng trọng yếu quốc gia.

Có nhiều loại tấn công vào ISP, nhưng các kiểu tấn công sau ảnh hưởng nhiều nhất đến hạ tầng mạng: Tấn công DDoS; Tấn công IP Spoofing; Tấn công Route leaking và BGP Hijacking.

Một số thuật ngữ liên quan đến mạng ISP
Internet (Interconnected networks): Mạng Internet là mạng liên kết của các mạng thành phần thuộc các quốc gia với nhau.
PoP (Point of Precense): Các điểm, thiết bị định tuyến làm nhiệm vụ trung chuyển cửa ngõ của các ISP.
NAP (Network Access Point): Các điểm trung chuyển, cửa ngõ, thường ở mức quốc gia.
Router - Routing: Thiết bị định tuyến, làm nhiệm vụ định tuyến đường đi của các gói tin.
Peering: Việc thiết lập định tuyến ngang hàng, theo mối quan hệ “win-win” đôi bên cùng có lợi nên thường không tính phí kết nối với nhau.
Transit: Việc thiết lập kết nối trung chuyển, kết nối transit thường kèm theo điều kiện tính phí kết nối.

Tấn công DDoS vào hạ tầng ISP và phương pháp giảm thiểu tấn công

Tấn công từ chối dịch vụ DDoS thường có nhiều loại, xảy ra ở 2 layer theo mô hình OSI là Layer 4 (transport) và Layer 7 (Application). Tuy nhiên, tấn công làm ảnh hưởng đến hạ tầng ISP thường xảy ra ở layer 4, nên bài viết chỉ đề cập đến các tấn công ở tầng này. Các kiểu tấn công ở layer 4 khi nhắm vào hạ tầng của một tổ chức, doanh nghiệp thường rất khó chống đỡ, vì đường tải lên (uplink) tới ISP của khách hàng có giới hạn. Việc chống các tấn công kiểu này phải có sự hỗ trợ của các nhà mạng ISP.

Một số kiểu tấn công cơ bản bao gồm tấn công về băng thông (volumetric attack) và tấn công về kết nối (connection attack).

Tấn công về băng thông (volumetric attack)

UDP flood

Tấn công UDP flood lợi dụng cơ chế connectionless của UDP, tin tặc gửi liên tiếp các bản tin UDP trên port ngẫu nhiên hoặc trên một port cố định. Tấn công khuếch đại (amplification attack) là 1 ví dụ của UDP flood, theo đó tin tặc gửi các bản tin DNS/NTP… liên tục đến các máy chủ DNS/NTP… chạy dịch vụ mà có lỗ hổng, với IP nguồn là IP giả mạo của victim. Các máy chủ DNS/NTP… gửi trả lại các bản tin response với luồng được khuếch đại đến victim và khiến victim bị nghẽn băng thông hạ tầng.

ICMP flood

Attacker liên tục gửi các bản tin ICMP với kích thước lớn với IP nguồn giả mạo IP của nạn nhân. Hành động này khiến các bản tin trả về từ các thiết bị trung gian như hệ thống  mạng, tường lửa, máy chủ,… đến nạn nhân làm nghẽn hạ tầng.

Tấn công về kết nối (connection attack)

SYNC flood là một ví dụ điển hình của loại hình tấn công về connection tại layer 4. Kiểu tấn công này làm cạn kiệt tài nguyên của mục tiêu tại các thiết bị state-full như Firewall, máy chủ,… vì làm vượt quá các ngưỡng về kết nối. Tấn công này lợi dụng cơ chế connection-oriented của giao thức TCP. Theo đó, quá trình bắt tay TCP có cơ chế bắt tay 3 bước. Tuy nhiên, tin tặc gửi các bản tin TCP nhưng không hoàn thiện quá trình bắt tay 3 bước bằng cách gửi liên tục SYNC mà không gửi ACK, thường với IP nguồn giả mạo.

Phương pháp phòng chống tấn công DDoS vào mạng ISP

Có thể áp dụng một số giải pháp liên quan đến các thiết bị định tuyến trên mạng lưới để chống tấn công DDoS vào mạng ISP như: Remote-triggered black hole (RTBH) hay BGP flowspec.

Remote-triggered black hole (RTBH)

Một black hole là một IP không tồn tại. Trên các thiết bị định tuyến lớp biên, tạo sẵn một route tới black hole qua null. Trên router trigger định tuyến, khi xảy ra DDoS, thực hiện tạo một route đến IP bị tấn công dựa trên destination-based hoặc source-based với next hop là black hole và inject vào BGP. Các thiết bị định tuyến lớp biên sẽ drop lưu lượng tấn công ngay tại biên, luồng lưu lượng bị chặn mà không chảy vào trong mạng. Hết tấn công, xóa đường đi trên thiết bị kích hoạt định tuyến. Ưu điểm của giải pháp này là cứu nhanh mạng lưới, nhược điểm là mất dịch vụ của IP bị black hole.

BGP flowspec

BGP flowspec là một tính năng mới, được hỗ trợ trên một số thiết bị định tuyến đời mới như của Cisco, Juniper,…. Cách thức xử lý gần giống như giải pháp RTBH, tuy nhiên thiết bị kích hoạt định tuyến có thể cập nhật bản tin BGP xuống các thiết bị định tuyến lớp biên theo một chính sách nhất định (không chỉ đơn thuần là định tuyến như RTBH), vì vậy lưu lượng tấn công sẽ bị chặn lọc chính xác đến dịch vụ, kiểu tấn công (như theo cổng, theo phân mảnh,…). Giải pháp này có ưu điểm là cứu được mạng lưới và IP bị tấn công không mất dịch vụ. Tuy nhiên, để xử lý được vẫn cần xác định IP bị tấn công (hệ thống xác định - detection).

Xây dựng giải pháp hoàn chỉnh kết hợp phần mềm và lớp mạng: Hệ thống cleaning system

Đây là hệ thống chống tấn công DDoS theo có thể xử lý theo 2 option:

+ Option 1: Sẽ chặn ngay lưu lượng tấn công ngay tại lớp biên mà không chạy vào trong hạ tầng mạng bên trong của ISP -> sử dụng phương án chặn từ lớp network

+ Option 2: Lưu lượng độc hại được divert qua hệ thống lọc scrubber để làm sạch.

Hệ thống có thể xây dựng làm các thành phần sau:

- Hệ thống detection: Sử dụng các công nghệ NetFlow, data mining để xác định các cuộc tấn công.

- Scrubber: Sử dụng các công nghệ DPI cho hệ thống lọc lưu lượng.

- Chuyển hướng và ngăn chặn trên lớp mạng: Các thiết bị định tuyến sử dụng các công nghệ như RTBH, BGPflow spec.

IP spoofing và chống IP spoofing

Như đã trình bày, trong các tấn công ngập lụt SYNC, tin tặc chủ yếu giả mạo IP nguồn, chính vì vậy việc chống IP spoofing chính là hạn chế được các tấn công DDoS ngập lụt SYNC.

• Giải pháp chống IP Spoofing ở lớp mạng:Unicast Reverse Path Forwarding (URPF)

• Giải pháp này sử dụng tính năng URPF trên các Router lớp biên, kiểm tra IP nguồn của gói tin đến trùng với bảng FIB, với 2 chế độ: strict mode - interface đến khác với interface tương ứng với nguồn trong bảng FIB thì bỏ, hoặc loose mode - khác hoặc không có trong FIB thì bỏ. Tuy nhiên, giải pháp này chỉ phù hợp với các mạng nhỏ, các trường hợp bộ định tuyến lớp biên có nhiều tuyến đường ra mạng bên ngoài, khi gói tin yêu cầu và gói tin trả lời đi theo các interface khác nhau sẽ không hiệu quả.

Giải pháp xây dựng hệ thống SYNC Proxy

Đây là giải pháp hiệu quả để kiểm tra các kết nối nửa (half connection), ngăn chặn các gói tin yêu cầu giả mạo IP, chưa hoàn thiện phiên TCP. Theo đó, sẽ xây dựng một hệ thống SYNC Proxy đứng giữa kết nối từ client đến server, nhằm kiểm tra quá trình bắt tay 3 bước có được thiết lập hay không.

BGP hijacking, route leaking và cách giảm thiểu tấn công

Tấn công BGP hijacking

Bản chất của BGP hijacking là việc chiếm quyền sở hữu một dải IP không phải của mình (dải IP không được quy hoạch cho cá nhân, đơn vị, mạng lưới,…) nhằm các mục đích khác nhau như làm mất dịch vụ, chặn bắt lưu lượng,... Tin tặc quảng bá một đường ra Internet với đường origin (trường AS Path và AS Origin) là của mình.

Tấn công route leaking

Bản chất của việc route leaking là việc thay đổi tuyến đường của một dải mạng, làm lưu lượng đến dải mạng đó phải transit đi qua mạng của mình, gây mất dịch vụ, ngưng trệ, hoặc nhằm mục đích chặn bắt lưu lượng. Route leaking xảy ra thường là do việc cấu hình quảng bá định tuyến nhầm trên các router chạy BGP như quảng bá các route specific hơn,...

Phòng chống BGP hijacking và route leaking

Để chống BGP hijacking, có thể xây dựng hạ tầng RPKI (Resource Public Key Infrastructure), hoặc sử dụng BGPsec (RFC-8205) tuy nhiên chưa hoàn thiện.

Để chống route leaking, giải pháp chính hiện nay phụ thuộc vào chính sách qảng bá định tuyến (route filtering) giữa các ISP và giữa ISP với các Upstream provider.

Đối với 1 nhà mạng ISP phải đảm bảo 1 số policy tối thiểu:

+Không được quảng bá những đường truyền nhận từ các peering trong nước qua quốc tế,

+Không được quảng bá những đường truyền nhận từ quốc tế về và quảng bá lại cho nhà cung cấp dịch vụ cấp trên, chỉ được quảng bá dải địa chỉ IP của nhà mạng và các AS thuê kênh transit.

Đối với nhà cung cấp dịch vụ cấp trên: Cần giới hạn số lượng route nhận từ nhà mạng quảng bá sang, chỉ nhận đúng dải địa chỉ IP tương ứng với AS của nhà mạng được cấp phát theo cơ quan đăng ký Internet khu vực (regional Internet registry - RIR).

Author: Trinh Hoai Nam