IP Fragmentation là gì?
IP Fragmentation là một cuộc tấn công từ chối dịch vụ Dos, ở đó kẻ tấn công sẽ lợi dụng khai thác các gói IP bị phân mảnh để phá vỡ các dịch vụ, biện pháp bảo mật, vô hiệu hóa các thiết bị, sau đó tiến hành tấn công hệ thống.
Cách thức hoạt động của một cuộc tấn công IP Fragmentation
Tấn công phân IP Fragmentation nhắm vào cách internet phân mảnh và truyền dữ liệu. Khi các gói dữ liệu vượt quá kích thước đơn vị truyền tối đa MTU, bộ định tuyến sẽ chia nhỏ chúng thành các phần nhỏ hơn, dễ truyền hơn. Các phần này sẽ được lắp ráp lại thành gói gốc ban đầu ngay khi chúng đến đích.
Trong một cuộc tấn công IP Fragmentation, kẻ tấn công sẽ khai thác quá trình này bằng các tạo ra các gói dữ liệu có vấn đề để lắp ráp lại sau khi phân mảnh. Chúng có thể tạo ra các phân mảnh chồng chéo hoặc không đầy đủ, thiếu thông tin quan trọng, khiến cho quá trình lắp ráp lại tiêu tốn tài nguyên hệ thống hoặc không thể thực hiện được.
Các gói dữ liệu lỗi như vậy được tạo ra nhằm gây ra sự nhầm lẫn và hỗn loạn cho hệ thống, khiến hệ thống tốn nhiều thời gian và cạn kiệt tài nguyên cho việc ghép các gói này lại với nhau, nhằm làm chậm hoặc sập hệ thống, bề mặt tấn công để khai thác thêm.
Dấu hiệu của các cuộc tấn công IP Fragmentation
Các cuộc tấn công IP Fragmentation vào hệ thống mạng khiến hệ thống phải sử dụng bộ nhớ, tài nguyên để lắp ráp các phân mảnh và làm quá tải hệ thống mục tiêu. Những cuộc tấn công như vậy có thể có nhiều dấu hiệu nhận biết khác nhau như sau:
- Tấn công dưới dạng UDP Flood: Kẻ tấn công sử dụng Botnet để gửi số lượng lớn các mảnh vỡ từ nhiều nguồn. Người nhận sẽ không thấy mảnh vỡ ban đầu, chỉ thấy rất nhiều gói tin không có tiêu đề giao thức. Chúng rất khó phát hiện vì nó thuộc các phiên hợp lệ, nhưng trong hầu hết các trường hợp sẽ là lưu lượng truy cập rác. Người nhận không biết mảnh vỡ nào là hợp lệ cả vì mảnh vỡ ban đầu đã bị mất.
- Tấn công DDoS UDP và ICMP Fragmentation: Các gói UDP hoặc ICMP giả sẽ được truyền đi. Các gói này được thiết kế giống như chúng lớn hơn MTU của mạng nhưng thực tế nó chỉ có một phần của các gói được gửi đi. Các gói UDP hoặc ICMP là giả và không thể lắp ráp được nên tài nguyên máy chủ bị cạn kiệt khiến máy chủ không thể tiếp cận lưu lượng truy cập hợp pháp.
- Tấn công DDoS TCP Fragmentation: Loại tấn công này nhắm đến các cơ chế lắp ráp lại TCP/IP. Các gói tin bị phân mảnh sẽ không được lắp ráp lại. Dẫn đến các gói dữ liệu chống chéo lên nhau và máy chủ mục tiêu bị quá tải và sẽ bị lỗi hoàn toàn.
Cách ngăn chặn tấn công IP Fragmentation hiệu quả
Sau đây là các biện pháp bảo vệ hệ thống của bạn khỏi các cuộc tấn công IP Fragmentation:
- Kiểm tra các gói tin đến bằng bộ định tuyến, máy chủ proxy được bảo mật, tường lửa hoặc hệ thống phát hiện xâm nhập. Phân tích các mẫu lưu lượng IP để kiểm tra bất thường.
- Đảm bảo rằng hệ điều hành và phần mềm bảo mật của bạn như Firewall và IPS được cập nhật, cài đặt các bản vá bảo mật mới nhất.
- Bạn có thể chặn các gói tin IP Fragmentation bằng cách từ chối kết nối của bạn với bất kỳ ai gửi chúng. Tuy nhiên, có một số kết nối lành tính sử dụng các gói tin phân mảnh nên việc vô hiệu hóa chúng có thể gây gián đoạn lưu lượng truy cập của bạn.
- Cấu hình IDS để nhận biết các dấu hiệu của cuộc tấn công IP Fragmentation và cảnh báo bạn về sự xâm nhập.
- Sử dụng các giao thức bảo mật mạnh mẽ như IPv6, có khả năng giảm thiểu tấn công phân mảnh tốt hơn so với IPv4.
- Sử dụng VPN để gia tăng thêm một lớp bảo mật bằng cách mã hóa lưu lượng truy cập trực tuyến của bạn. Giúp giữ sự riêng tư cho các hoạt động trực tuyến, tính toàn vẹn dữ liệu trong trường hợp bị tấn công IP Fragmentation.
Kết luận
IP Fragmentation là quá trình cần thiết để truyền các gói tin lớn nhưng nó cũng là cơ hội để các kẻ tấn công lợi dụng tấn công vào hệ thống của bạn. Do đó, để hệ thống luôn được an toàn, bạn cần áp dụng các biện pháp bảo mật song song để hỗ trợ các phân mảnh IP diễn ra an toàn, giảm các mối đe dọa dựa trên phân mảnh.
Như vậy, LANIT đã chia sẻ đến bạn chi tiết các thông tin về tấn công IP Fragmentation. Hy vọng rằng, những thông tin này sẽ giúp bạn chủ động trọng việc ứng phó với các cuộc tấn công DoS như IP Fragmentation và các cuộc tấn công tương tự khác.
Ngoài ra, nếu bạn có nhu cầu thuê VPS giá rẻ tại LANIT, tặng kèm Firewall anti DDoS, liên hệ ngay LANIT nhé!