CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Khám phá Thuật toán phát hiện định hướng phòng thủ mối đe dọa chung Corero-Juniper (TDD)
Giải pháp chống DDoS chung của Corero-Juniper Threat Defense Director (TDD) bảo vệ cơ sở hạ tầng mạng khỏi các cuộc tấn công DDoS quy mô lớn đang tiếp tục gia tăng về quy mô, tần suất và mức độ tinh vi. Ngày nay, giải pháp đã được triển khai và chứng minh trong nhiều lĩnh vực bao gồm nhà cung cấp dịch vụ, OTT, doanh nghiệp và viện nghiên cứu và giáo dục. Khách hàng đang trải nghiệm những lợi ích to lớn từ khả năng phát hiện hiệu quả của TDD và giảm thiểu thời gian thực các cuộc tấn công đa chiều thay đổi nhanh chóng. Trải nghiệm mới này thường đặt ra các câu hỏi, chẳng hạn như “Làm thế nào TDD có thể phát hiện các cuộc tấn công nhanh như vậy?”, “Tôi đã sử dụng giải pháp bảo vệ DDoS chính thống trong một thời gian dài và nhận thấy rất nhiều thông tin sai lệch, nhưng tôi thấy rất ít trong TDD , nó như thế nào?”, “TDD có thể bảo vệ mạng của tôi khỏi các cuộc tấn công zero-day không?”, “Có cơ sở dữ liệu tấn công nào mà tôi cần cập nhật thường xuyên không?” và nhiều cái khác.
Blog này cung cấp câu trả lời cho những câu hỏi này và giải thích cách TDD cung cấp khả năng bảo vệ DDoS tự động, nhanh chóng.
Để bắt đầu, hãy hiểu cách tiếp cận kế thừa để duy trì cơ sở dữ liệu chữ ký vectơ tấn công.
Một vectơ tấn công được xác định bởi sự kết hợp của các thuộc tính gói.
Ví dụ: Vector tấn công = (1) IP đích + (2) Số giao thức + (3) Cổng + (4) Tải trọng và hơn thế nữa.
Tuy nhiên, việc sử dụng cơ sở dữ liệu chữ ký được mã hóa cứng không phải là một giải pháp thông minh và linh hoạt để phát hiện các cuộc tấn công DDoS liên tục phát triển vì nó yêu cầu một cơ chế để tìm hiểu và kiểm tra lưu lượng một cách linh hoạt dựa trên hành vi lưu lượng trong mạng. Quy trình kiểm tra động của TDD, cùng với công cụ phân tích mạnh mẽ, SecureWatch Analytics (vSWA), được thiết kế cho mục đích này.
Hình 2 bên dưới cho thấy quy trình kiểm tra động được TDD áp dụng. Các gói thô được kiểm tra sâu sắc. Các thuộc tính được theo dõi một cách thông minh và công cụ phân tích tạo ra các chữ ký lưu lượng được áp dụng cho bộ lọc khớp linh hoạt của bộ định tuyến Juniper. Ví dụ: khi người dùng truy cập máy chủ http, bắt tay 3 bước TCP ban đầu sẽ kích hoạt ít nhất 3 chữ ký:
Theo cách tương tự, khi người dùng Mac bật ARMS trên MacOS, lưu lượng truy cập được kiểm tra bởi TDD sẽ tạo chữ ký của <IP>, udp, cổng src 3283, v.v. Việc kiểm tra và hình thành chữ ký là hoàn toàn năng động và tự động dựa trên hành vi chứ không phải giá trị tĩnh. Đây là lý do tại sao không cần cập nhật cơ sở dữ liệu thường xuyên với TDD.
Trong phần này, chúng tôi thảo luận về cơ chế phát hiện của TDD bằng cách tận dụng các phân tích mẫu lưu lượng truy cập chi tiết.
Ưu điểm của kiểm tra tràn gói sâu là nó không giới hạn ở 5-tuple. Nó có thể bao gồm TTL, độ dài, cờ điều khiển của gói, các trường trong tải trọng, v.v. Chữ ký rất hữu ích để phân tích các mẫu lưu lượng và hành vi mạng. Hãy xem xét lại lưu lượng máy chủ trong ví dụ trên.
Hình 4 dưới đây cho thấy biểu đồ chữ ký. Lưu lượng phù hợp với nhiều chữ ký được phân phối đồng đều và nhất quán. Trong thời gian bận rộn, lưu lượng truy cập đến gấp ba lần do người dùng FTP thường xuyên truy cập. Các hoạt động tạo ra nhiều chữ ký hơn cho mỗi giao dịch và tất cả chúng đều hoạt động bình thường với khối lượng tương tự như các hoạt động trong nền. Dựa vào đó, chúng tôi có thể kết luận với độ tin cậy cao rằng chúng là các giao dịch hợp pháp và máy chủ không có khả năng bị tấn công.
Hình 4: (Ở trên) Minh họa phân tích theo chữ ký. (Dưới đây) Số lượng chữ ký tăng trong giờ cao điểm.
Các giá trị ngưỡng khác nhau có thể được thiết lập để phân biệt các họ chữ ký, chẳng hạn như phản xạ dựa trên UDP, TCP SYN được gửi tới một cổng dịch vụ, yêu cầu và trả lời ICMP, v.v. Việc phát hiện và giảm thiểu được kích hoạt bởi các ngưỡng chữ ký cụ thể chính xác hơn tiền tố /32 hoặc luồng ngưỡng lưu lượng dựa trên (5-tuple). Phân biệt phẫu thuật theo cách này tránh được các kết quả dương tính giả và đảm bảo độ chính xác của bảo vệ không bị ảnh hưởng bởi những thay đổi về tỷ lệ lưu lượng truy cập hợp pháp.
Hình 5: Phát hiện và giảm thiểu DDoS bằng các chữ ký chi tiết giúp loại bỏ các thông báo sai
Khi một tài sản được bảo vệ đang bị tấn công, TDD sẽ tạo một chữ ký riêng phù hợp với các thuộc tính gói phổ biến. Ví dụ: sự gia tăng đột ngột của các gói UDP, đến từ một cổng 1121 nguồn cố định với kích thước 1500B lớn và cùng TTL, có khả năng là một cuộc tấn công phản xạ và khuếch đại. Điều này dễ dàng minh họa hành vi độc hại bằng các phân tích chi tiết.
Hình 6: Minh họa vector tấn công bằng phân tích
“Corero có hơn một thập kỷ kinh nghiệm tập trung vào DDoS và đã phát triển các cách phát hiện lưu lượng tấn công có độ chính xác cao mà không phụ thuộc vào chữ ký mẫu cố định.” – Sean Newman, Phó Giám đốc Quản lý Sản phẩm, Corero Network Security
Như chúng ta đã thấy, TDD tận dụng một quy trình kiểm tra động và phân tích chữ ký chi tiết để phát hiện sự bất thường trong mạng. Giải pháp này cũng có khả năng xác định hành vi độc hại và giảm thiểu hướng tấn công. Năm 2018, tội phạm mạng đã lợi dụng lỗ hổng máy chủ Memecached để khởi động các cuộc tấn công DDoS số lượng lớn, trong ngày. Giải pháp của Corero đã phát hiện tốc độ cao của các gói phản hồi UDP kích thước lớn. Giải pháp đã giảm thiểu thành công và chính xác các cuộc tấn công này mà không cần bất kỳ bản cập nhật phần mềm hoặc cấu hình nào. Corero SOC sau đó đã truy xuất véc-tơ tấn công, phát hiện ra đây là hành vi lạm dụng dịch vụ Memecache và đặt tên cho cuộc tấn công là DDoS phản chiếu và khuếch đại Memecached. Do đó, một tên quy tắc mới đã được tạo cho mục đích báo cáo và bảng điều khiển trong bản phát hành phần mềm tiếp theo.
Một giải pháp chống DdoS hiệu quả sẽ phát hiện và giảm thiểu các cuộc tấn công một cách chính xác. Chúng tôi đã thảo luận về cách TDD phát hiện các cuộc tấn công. Bây giờ, hãy đề cập một chút về giảm thiểu. Khả năng phân tích lưu lượng truy cập của TDD cho phép nó phân biệt các chữ ký độc hại. Các chữ ký này có thể nằm ở lớp trên, chẳng hạn như cờ DNS QUERY và một vài bit trong tải trọng NTP. Để chặn chính xác các gói độc hại, cần phải kiểm tra gói sâu trong bộ giảm thiểu. TDD tận dụng các bộ định tuyến của Juniper để đạt được điều này trên quy mô lớn. Bằng cách sử dụng khả năng kiểm tra gói sâu của giải pháp thông qua Trio silicon của Juniper, các gói tấn công bị chặn bởi các bộ lọc tường lửa phù hợp linh hoạt. Việc hình thành và thực thi bộ lọc hoàn toàn tự động và được tạo bởi các chữ ký được phân tích. Do đó, người vận hành không cần phải lo đăng nhập và xây dựng bộ lọc giảm thiểu từng chút một theo cách thủ công.
Tội phạm mạng không đứng yên. Thủ đoạn tiến hành DdoS của chúng ngày càng phát triển và tinh vi hơn. Một giải pháp kế thừa dựa trên cơ sở dữ liệu chữ ký được mã hóa cứng không thể bắt kịp xu hướng. Với kiểm tra động và phân tích lưu lượng chi tiết, Corero TDD kết hợp với các giải pháp Juniper phát hiện và giảm thiểu chính xác DDoS thể tích trong bất kỳ mạng nào hỗ trợ doanh nghiệp và dịch vụ.
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
• Email: info@datech.vn
• Website: https://datech.vn