CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội


Khám phá Thuật toán phát hiện định hướng phòng thủ mối đe dọa chung Corero-Juniper (TDD)

14/08/2023
Bookmark Tin tức

Khám phá Thuật toán phát hiện định hướng phòng thủ mối đe dọa chung Corero-Juniper (TDD)

Giải pháp chống DDoS chung của Corero-Juniper Threat Defense Director (TDD) bảo vệ cơ sở hạ tầng mạng khỏi các cuộc tấn công DDoS quy mô lớn đang tiếp tục gia tăng về quy mô, tần suất và mức độ tinh vi. Ngày nay, giải pháp đã được triển khai và chứng minh trong nhiều lĩnh vực bao gồm nhà cung cấp dịch vụ, OTT, doanh nghiệp và viện nghiên cứu và giáo dục. Khách hàng đang trải nghiệm những lợi ích to lớn từ khả năng phát hiện hiệu quả của TDD và giảm thiểu thời gian thực các cuộc tấn công đa chiều thay đổi nhanh chóng. Trải nghiệm mới này thường đặt ra các câu hỏi, chẳng hạn như “Làm thế nào TDD có thể phát hiện các cuộc tấn công nhanh như vậy?”, “Tôi đã sử dụng giải pháp bảo vệ DDoS chính thống trong một thời gian dài và nhận thấy rất nhiều thông tin sai lệch, nhưng tôi thấy rất ít trong TDD , nó như thế nào?”, “TDD có thể bảo vệ mạng của tôi khỏi các cuộc tấn công zero-day không?”, “Có cơ sở dữ liệu tấn công nào mà tôi cần cập nhật thường xuyên không?” và nhiều cái khác.

Blog này cung cấp câu trả lời cho những câu hỏi này và giải thích cách TDD cung cấp khả năng bảo vệ DDoS tự động, nhanh chóng.

Bảo trì cơ sở dữ liệu DDoS kế thừa

Để bắt đầu, hãy hiểu cách tiếp cận kế thừa để duy trì cơ sở dữ liệu chữ ký vectơ tấn công.

Một vectơ tấn công được xác định bởi sự kết hợp của các thuộc tính gói.

Ví dụ: Vector tấn công = (1) IP đích + (2) Số giao thức + (3) Cổng + (4) Tải trọng và hơn thế nữa.

Các công cụ chống DDoS truyền thống chỉ có thể kiểm tra các tiêu đề gói và sử dụng các mục nhập được mã hóa cứng để xác định các vectơ tấn công, sau đó các vectơ này sẽ được so khớp với các gói trên cơ sở IP cho mỗi điểm đến. Ví dụ: tấn công phản chiếu và khuếch đại DNS dựa trên UDP với cổng nguồn cố định 53. Các cuộc tấn công này cũng thường có cờ QUERY ANY được đặt, nhưng điều này yêu cầu kiểm tra tải trọng gói, điều mà hầu hết các giải pháp DDoS không thể đạt được. Khi một cuộc tấn công mới hoặc cuộc tấn công zero-day được thực hiện bởi những kẻ tấn công trong tự nhiên, nhóm nạn nhân được nhắm mục tiêu đầu tiên phải chịu đựng và báo cáo vụ việc cho các nhà cung cấp bảo mật. Sau đó, các nhà cung cấp sẽ điều tra vectơ DDoS mới và cung cấp các biện pháp đối phó giảm thiểu, thường bằng cách sử dụng cơ sở dữ liệu chữ ký được mã hóa cứng.

Kiểm tra đường dẫn động

Tuy nhiên, việc sử dụng cơ sở dữ liệu chữ ký được mã hóa cứng không phải là một giải pháp thông minh và linh hoạt để phát hiện các cuộc tấn công DDoS liên tục phát triển vì nó yêu cầu một cơ chế để tìm hiểu và kiểm tra lưu lượng một cách linh hoạt dựa trên hành vi lưu lượng trong mạng. Quy trình kiểm tra động của TDD, cùng với công cụ phân tích mạnh mẽ, SecureWatch Analytics (vSWA), được thiết kế cho mục đích này.

Hình 2 bên dưới cho thấy quy trình kiểm tra động được TDD áp dụng. Các gói thô được kiểm tra sâu sắc. Các thuộc tính được theo dõi một cách thông minh và công cụ phân tích tạo ra các chữ ký lưu lượng được áp dụng cho bộ lọc khớp linh hoạt của bộ định tuyến Juniper. Ví dụ: khi người dùng truy cập máy chủ http, bắt tay 3 bước TCP ban đầu sẽ kích hoạt ít nhất 3 chữ ký:

  • <http IP>, tcp, dst port 80, length=64, SYN
  • <http IP>, tcp, dst port 80, length=64, SYN-ACK
  • <http IP>, tcp, dst port 80, length=64, ACK

Theo cách tương tự, khi người dùng Mac bật ARMS trên MacOS, lưu lượng truy cập được kiểm tra bởi TDD sẽ tạo chữ ký của <IP>, udp, cổng src 3283, v.v. Việc kiểm tra và hình thành chữ ký là hoàn toàn năng động và tự động dựa trên hành vi chứ không phải giá trị tĩnh. Đây là lý do tại sao không cần cập nhật cơ sở dữ liệu thường xuyên với TDD.

Hình 1: (Trái) Quy trình kiểm tra động không có mã hóa cứng chữ ký. (Phải) Chữ ký được hình thành giống với bộ lọc kết hợp linh hoạt JUNOS

Phân tích mẫu lưu lượng truy cập

Trong phần này, chúng tôi thảo luận về cơ chế phát hiện của TDD bằng cách tận dụng các phân tích mẫu lưu lượng truy cập chi tiết.

Hình 2: Minh họa phân tích sơ bộ theo khối lượng IP

Phân tích theo IP + Dịch vụ (Cổng)

Giờ đây, nếu nhà điều hành phân tích lưu lượng máy chủ thông minh hơn theo dịch vụ, cụ thể là FTP, DNS hoặc SSH, thì đóng góp của từng dịch vụ có thể được minh họa và ngưỡng giảm thiểu của từng dịch vụ có thể được thiết lập riêng lẻ. Khi lưu lượng truy cập tăng đột biến, chúng tôi có thể xác định rằng lưu lượng đáng ngờ là do FTP gây ra và biện pháp đối phó giảm thiểu không ảnh hưởng đến các dịch vụ DNS và SSH. Độ chính xác tương đương với flowspec (5-tuple). Tuy nhiên, chúng tôi vẫn không thể biết liệu lưu lượng truy cập tăng đột biến có hợp pháp hay không. Đó có thể là một sự kiện hợp pháp, ví dụ: chiến dịch tiếp thị hoặc di chuyển dữ liệu, nơi yêu cầu quyền truy cập FTP không?

Phân tích theo Chữ ký

Ưu điểm của kiểm tra tràn gói sâu là nó không giới hạn ở 5-tuple. Nó có thể bao gồm TTL, độ dài, cờ điều khiển của gói, các trường trong tải trọng, v.v. Chữ ký rất hữu ích để phân tích các mẫu lưu lượng và hành vi mạng. Hãy xem xét lại lưu lượng máy chủ trong ví dụ trên.

Hình 4 dưới đây cho thấy biểu đồ chữ ký. Lưu lượng phù hợp với nhiều chữ ký được phân phối đồng đều và nhất quán. Trong thời gian bận rộn, lưu lượng truy cập đến gấp ba lần do người dùng FTP thường xuyên truy cập. Các hoạt động tạo ra nhiều chữ ký hơn cho mỗi giao dịch và tất cả chúng đều hoạt động bình thường với khối lượng tương tự như các hoạt động trong nền. Dựa vào đó, chúng tôi có thể kết luận với độ tin cậy cao rằng chúng là các giao dịch hợp pháp và máy chủ không có khả năng bị tấn công.

Hình 4: (Ở trên) Minh họa phân tích theo chữ ký. (Dưới đây) Số lượng chữ ký tăng trong giờ cao điểm.

Loại bỏ dương tính giả

Các giá trị ngưỡng khác nhau có thể được thiết lập để phân biệt các họ chữ ký, chẳng hạn như phản xạ dựa trên UDP, TCP SYN được gửi tới một cổng dịch vụ, yêu cầu và trả lời ICMP, v.v. Việc phát hiện và giảm thiểu được kích hoạt bởi các ngưỡng chữ ký cụ thể chính xác hơn tiền tố /32 hoặc luồng ngưỡng lưu lượng dựa trên (5-tuple). Phân biệt phẫu thuật theo cách này tránh được các kết quả dương tính giả và đảm bảo độ chính xác của bảo vệ không bị ảnh hưởng bởi những thay đổi về tỷ lệ lưu lượng truy cập hợp pháp.

Hình 5: Phát hiện và giảm thiểu DDoS bằng các chữ ký chi tiết giúp loại bỏ các thông báo sai

Khi một tài sản được bảo vệ đang bị tấn công, TDD sẽ tạo một chữ ký riêng phù hợp với các thuộc tính gói phổ biến. Ví dụ: sự gia tăng đột ngột của các gói UDP, đến từ một cổng 1121 nguồn cố định với kích thước 1500B lớn và cùng TTL, có khả năng là một cuộc tấn công phản xạ và khuếch đại. Điều này dễ dàng minh họa hành vi độc hại bằng các phân tích chi tiết.

Hình 6: Minh họa vector tấn công bằng phân tích

“Corero có hơn một thập kỷ kinh nghiệm tập trung vào DDoS và đã phát triển các cách phát hiện lưu lượng tấn công có độ chính xác cao mà không phụ thuộc vào chữ ký mẫu cố định.” – Sean Newman, Phó Giám đốc Quản lý Sản phẩm, Corero Network Security

Xử lý tấn công Zero-Day

Như chúng ta đã thấy, TDD tận dụng một quy trình kiểm tra động và phân tích chữ ký chi tiết để phát hiện sự bất thường trong mạng. Giải pháp này cũng có khả năng xác định hành vi độc hại và giảm thiểu hướng tấn công. Năm 2018, tội phạm mạng đã lợi dụng lỗ hổng máy chủ Memecached để khởi động các cuộc tấn công DDoS số lượng lớn, trong ngày. Giải pháp của Corero đã phát hiện tốc độ cao của các gói phản hồi UDP kích thước lớn. Giải pháp đã giảm thiểu thành công và chính xác các cuộc tấn công này mà không cần bất kỳ bản cập nhật phần mềm hoặc cấu hình nào. Corero SOC sau đó đã truy xuất véc-tơ tấn công, phát hiện ra đây là hành vi lạm dụng dịch vụ Memecache và đặt tên cho cuộc tấn công là DDoS phản chiếu và khuếch đại Memecached. Do đó, một tên quy tắc mới đã được tạo cho mục đích báo cáo và bảng điều khiển trong bản phát hành phần mềm tiếp theo.

Một ví dụ thực tế
 
Nhìn thấy là tin tưởng. Vì vậy, hãy xem phân tích lưu lượng khách hàng thực.
 
Hình 8 bên dưới cho thấy một mẫu lưu lượng truy cập thông thường được ghi lại bởi công cụ Phân tích Đồng hồ Bảo mật (vSWA) của TDD. Các mô hình là thống nhất mà không có bất kỳ đột biến. Tốc độ gói dao động từ 5kpps đến 10kpps. Độ lệch chữ ký thấp.
Hình 7: Phân tích vSWA của chữ ký lưu lượng bình thường
 

Giảm thiểu hoàn toàn tự động

Một giải pháp chống DdoS hiệu quả sẽ phát hiện và giảm thiểu các cuộc tấn công một cách chính xác. Chúng tôi đã thảo luận về cách TDD phát hiện các cuộc tấn công. Bây giờ, hãy đề cập một chút về giảm thiểu. Khả năng phân tích lưu lượng truy cập của TDD cho phép nó phân biệt các chữ ký độc hại. Các chữ ký này có thể nằm ở lớp trên, chẳng hạn như cờ DNS QUERY và một vài bit trong tải trọng NTP. Để chặn chính xác các gói độc hại, cần phải kiểm tra gói sâu trong bộ giảm thiểu. TDD tận dụng các bộ định tuyến của Juniper để đạt được điều này trên quy mô lớn. Bằng cách sử dụng khả năng kiểm tra gói sâu của giải pháp thông qua Trio silicon của Juniper, các gói tấn công bị chặn bởi các bộ lọc tường lửa phù hợp linh hoạt. Việc hình thành và thực thi bộ lọc hoàn toàn tự động và được tạo bởi các chữ ký được phân tích. Do đó, người vận hành không cần phải lo đăng nhập và xây dựng bộ lọc giảm thiểu từng chút một theo cách thủ công.

Kết luận

Tội phạm mạng không đứng yên. Thủ đoạn tiến hành DdoS của chúng ngày càng phát triển và tinh vi hơn. Một giải pháp kế thừa dựa trên cơ sở dữ liệu chữ ký được mã hóa cứng không thể bắt kịp xu hướng. Với kiểm tra động và phân tích lưu lượng chi tiết, Corero TDD kết hợp với các giải pháp Juniper phát hiện và giảm thiểu chính xác DDoS thể tích trong bất kỳ mạng nào hỗ trợ doanh nghiệp và dịch vụ.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

 Email: info@datech.vn

• Website: https://datech.vn