Kháng cự trước các cuộc tấn công DoS

Bạn đã từng bị hút cạn hết sức lực ở một công ty và muốn trả thù? Bạn đã từng bị thôi việc và cảm thấy họ bất công? Khi còn thanh niên bạn từng đập quả bóng rổ vào hòm thư của ai đó vô cớ trong khi đang mượn xe của bạn mình?

Tất cả chúng ta đều là con người. Vào một lúc nào đó có thể chúng ta giận dữ và tìm cách trút giận. Động cơ có khi là trả thù, ghen tức, tham lam hay thậm chí đơn giản chỉ do buồn chán.

Vậy nhưng không phải lúc nào chúng ta cũng là người đi trút giận, đôi khi chúng ta lại là nạn nhân của chúng. Do bạn làm điều gì sai với ai đó? Nhiều khi chúng bị biến thành nạn nhân chẳng vì lý do gì cả. Chẳng hạn bạn đang điều hành một website có mức profile cao. Đó là cơ hội cho tất cả kẻ tấn công. Động cơ thì không thiếu, có thể là bất kỳ cái gì khiến chúng khó chịu. Bạn vẫn luôn phải duy trì website hoạt động 24 giờ/ngày và 7 ngày/tuần. Khi đó bạn phải tự mình chuẩn bị trong tay một số biện pháp phòng chống hiệu quả trước khi muôn hình vạn trạng kiểu tấn công phá sụp website của bạn.

Nguồn: information-age
Nói vậy nhưng quy lại thì có 3 kiểu tấn công server chủ yếu: do chủ đích phá hoại, ăn trộm hoặc từ chối dịch vụ. Bài báo này sẽ chuyển đến các bạn những kiến thức cơ bản nhất về kiểu tấn công từ chối dịch vụ - Denial of Service (DoS) và sử dụng dịch vụ IIS để chống lại nó như thế nào. Trong phạm vi giới hạn, chúng tôi chỉ xin dừng lại ở IIS mà tạm thời chưa bàn đến các lĩnh vực khác như cấu hình router hay kiểu chiếm quyền điều khiển DNS.

Nếu được cấu hình chính xác, một dịch vụ IIS có thể thực sự bảo vệ được bạn trước các kiểu tấn công mạng cơ bản. Thông thường kết hợp với các thủ tục bảo mật nói chung, bạn có thể bảo vệ được sever của mình trước hầu hết các cuộc tấn công này.

Denial of Service là gì?

Denial of Service - Tấn công từ chối dịch vụ đơn giản là cách thức khiến những vị khách thông thường tại một website không thể truy cập được website đó. Có thể thực hiện cách thức này theo kiểu chiếm dụng 100% băng thông, 100% CPU, 100% RAM, làm đầy ổ cứng, phá hoại nhân kernel hoặc các ứng dụng server, định hướng lại lưu lượng để người dùng không bao giờ tiếp cận được với website muốn sử dụng. Một vài năm trước đây người ta đã phát hiện một số lỗ hổng trong Windows NT và dịch vụ IIS bị tấn công theo kiểu này. Cũng có một số điểm yếu trong giao thức TCP/IP có thể bị lợi dụng để tấn công DoS từ một website. Chúng tôi sẽ không nêu ra cách thức một vụ tấn công hoạt động ra sao mà chủ yếu nhấn mạnh phương pháp có thể dùng để bảo vệ máy tính của bạn trước bất kỳ cuộc tấn công nào.

Cập nhật bản vá lỗi

Theo dõi nhiều chương trình bảo mật thường thức, bạn có thể có cho mình nhiều kinh nghiệm tự bảo vệ trước các cuộc tấn công. Biện pháp cơ bản nhất là phải luôn cập nhật vấn đề và bản vá lỗi mới nhất của nhà sản xuất. Quan trọng nhất là bản tin bảo mật của Microsoft dành cho Windows NT và IIS. Bạn cũng nên thường xuyên giám sát danh sách gửi thư và các website bảo mật để đối phó với các vấn đề bảo mật hiện tại khác.

Một hạn chế của phương thức này là có thể bạn được giới thiệu các mã không được kiểm tra cẩn thận, đầy đủ, có thể lại trở thành nguyên nhân các vấn đề cho server của bạn. Các bản vá lỗi nên được phân tích một cách cẩn thận và sao lưu trước khi áp dụng chúng.

"Đóng cửa" các dịch vụ không cần thiết

Các ứng dụng phần mềm server và các dịch vụ sẽ có nhiều lỗi hơn khi chạy nhiều cùng một lúc. Hãy tắt tất cả các dịch vụ không có mục đích sử dụng rõ ràng trên website của bạn. Nếu bạn không cần giao thức nạc danh FTP, hãy vô hiệu hoá nó cho đến khi cần thiết. Tương tự như thế cho Terminal Server, NetBIOS, Telnet và Mail servers. Nếu bạn muốn web server hoạt động, hãy loại bỏ tất cả mọi thứ ngoại trừ các chương trình đặc biệt đang dùng để chạy và quản trị server.

Tương tự cho thành phần ánh xạ mở rộng ISAPI và các ứng dụng mẫu trên IIS. Hãy loại bỏ mọi ánh xạ mở rộng không cần thiết để dùng một web root sáng sủa nhất.

Bảo dưỡng

Hãy nâng cấp các dịch vụ lập lịch tiến trình và tiện ích xoá đĩa để các thư mục temp và bộ gói trong máy bạn có nhiều không gian đĩa lưu trữ. Bạn cũng nên thường xuyên giám sát kích thước bản ghi log và các file gói trải rộng trên nhiều volume hoặc drive nếu có thể.

Khoá các dịch vụ mạng

Lời khuyên cơ bản nhất để bảo vệ tính bảo mật và lượng thời gian của một web server là loại bỏ giao thức NetBIOS. Có một số kiểu tấn công nhắm vào NetBIOS và giải pháp tốt nhất là loại trừ hoàn toàn nó ra khỏi web server. Các giao thức và client khác (như Client cho Microsoft Networks) nên xem xét cẩn thận khi cho phép chúng hoạt động trên một web server.

Khi cấu hình adaptor network, bạn nên tự mình thiết lập điạ chỉ IP, cổng mạng, dịch vụ DNS thay vì để mặc định. Bởi nó rất dễ bị khai thác từ các lỗ hổng của DHCP.

Mặc dù hiếm khi làm việc, nhưng hãy sử dụng bộ lọc TCP/IP trên server. Bạn chỉ nên cho phép các cổng sẽ sử dụng như 80, 443 hay 21 cho các dịch vụ FTP. Nếu cung cấp đúng giới hạn, bạn cũng có thể sử dụng thêm ứng dụng tường lửa của nhóm thứ ba.

Dưới đây là một số thiết lập đăng ký có thể dùng tham khảo cho dịch vụ IIS:

Khoá đăng kýKiểuGiá trị
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtectREG_DWORD2
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscoveryREG_DWORD0
HCLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NoNameReleaseOnDemandREG_DWORD1
HCLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetectREG_DWORD0
HCLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTimeREG_DWORD300,000
HCLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscoveryREG_DWORD0
HCLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirects REG_DWORD0

Nếu các thiết lập này không ngăn chặn được các cuộc tấn công, tốt hơn là điều khiển qua các tham số TCP/IP. Hãy xem trong các bộ tài nguyên để có thêm chi tiết về tất cả các thiết lập liên quan.

Sử dụng thành phần Performance Counters and Alerts (Bộ đếm và chương trình cảnh báo thực thi)

Học cách sử dụng thành phần Performance Counters and Alerts của Windows 2000 có thể cung cấp cho bạn biện pháp hiệu quả chống lại các vụ tấn công DoS. Đó là một số bộ đếm thực thi có thể chỉ ra một cách thông minh vụ tấn công DoS. Ví dụ các bộ đếm giám sát dữ liệu vi xử lý, RAM, đĩa cứng, TCP hay ICMP có thể cung cấp cái nhìn thấu suốt về sự tồn tại của server. Bằng cách bổ sung thêm các cảnh báo để giới hạn trước, có thể chắc chắn rằng bạn sẽ nhận được một số cảnh báo đúng trong trường hợp có vụ tấn công.

Bây giờ thì, nếu như ai đó có âm mưu phá sụp website của bạn, bằng một số biện pháp phòng ngừa, bạn hoàn toàn ở thế chủ động khi chúng đến. Hầu hết các kỹ thuật này đều thực hiện rất đơn giản, nhưng phải tiến hành thường xuyên hằng ngày. Ít nhất cũng để bạn có thể biết được thế giới bảo mật đang diễn biến như thế nào và chủ động đối phó với những người muốn phá hoại bạn ra sao.

Thứ Năm, 28/09/2006 14:22
31 👨 343
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp