Vấn đề bảo đảm an toàn mạng của các nhà cung cấp dịch vụ Internet (Internet Service Provider – ISP) không chỉ là bảo vệ các dịch vụ của ISP, mà còn bảo vệ khách hàng, bảo vệ mạng lưới và bảo vệ các hạ tầng trọng yếu quốc gia. Bài viết này trình bày về các kiểu tấn công gây ảnh hưởng nhiều nhất đến hạ tầng mạng của ISP và các phương pháp phòng chống.

Dựa trên hạ tầng mạng lưới rộng lớn, ISP cung cấp dịch vụ Internet cho các tổ chức cá nhân, doanh nghiệp, chính phủ…. Chính vì vậy, trong các sự cố về an toàn thông tin xảy ra đối với cá nhân, doanh nghiệp, thì đa số luồng tấn công sẽ đi qua hạ tầng ISP đầu tiên. Do đó, việc chủ động phát hiện trước và chống tấn công từ phía ISP sẽ làm giảm nhẹ các đợt tấn công, hạn chế thiệt hại.

Bên cạnh đó, có nhiều tấn công chủ đích nhắm vào hạ tầng mạng ISP. Bởi nếu hạ tầng mạng ISP gặp vấn đề, thì mức độ ảnh hưởng dịch vụ sẽ rất lớn, làm ngưng trệ sản xuất kinh doanh và đôi khi liên quan đến các vấn đề chính trị. Ví dụ, vào tháng 10/2016, một đợt tấn công DDoS sử dụng botnet Mirai đã nhắm vào hạ tầng mạng các ISP của Liberia làm toàn bộ Internet của đất nước này bị tê liệt và ngưng trệ hoàn toàn việc sản xuất kinh doanh. Do đó, việc bảo đảm an toàn mạng ISP không chỉ là bảo vệ các dịch vụ của ISP, mà còn là khách hàng, mạng lưới và các hạ tầng trọng yếu của quốc gia.

Một số tấn công phổ biến trên mạng ISP

Có nhiều loại tấn công vào ISP, nhưng các kiểu tấn công sau có mức ảnh hưởng nhiều nhất: Tấn công từ chối dịch vụ (Distributed Denial of ServiceD - DDoS); Tấn công giả mạo IP (IP Spoofing); Tấn công rò rỉ định tuyến (Route leaking) và BGP Hijacking (Border Gateway Protocol Hijacking).

Hình 1. Mô hình các thành phần cấu thành mạng Internet toàn cầu

Một số thuật ngữ liên quan đến mạng ISP Internet (Interconnected networks): Mạng Internet là mạng liên kết của các mạng thành phần thuộc các quốc gia với nhau. PoP (Point of Precense): Các điểm, thiết bị định tuyến làm nhiệm vụ trung chuyển cửa ngõ của các ISP. NAP (Network Access Point): Các điểm trung chuyển, cửa ngõ, thường ở mức quốc gia. Router - Routing: Thiết bị định tuyến, làm nhiệm vụ định tuyến đường đi của các gói tin. Peering: Việc thiết lập định tuyến ngang hàng, theo mối quan hệ “win-win” đôi bên cùng có lợi nên thường không tính phí kết nối với nhau. Transit: Việc thiết lập kết nối trung chuyển, kết nối transit thường kèm theo điều kiện tính phí kết nối.

Tấn công DDoS

Tấn công DDoS thường được phân thành nhiều loại, xảy ra ở 2 tầng trong mô hình OSI là tầng giao vận và tầng ứng dụng. Tuy nhiên, tấn công DDoS gây ảnh hưởng đến hạ tầng ISP thường xảy ra ở tầng 4. Vì vậy, bài viết này chỉ đề cập đến các tấn công ở tầng giao vận. Các kiểu tấn công ở tầng 4 khi nhắm vào hạ tầng của một tổ chức, doanh nghiệp thường rất khó chống đỡ, vì đường tải lên (uplink) tới ISP của khách hàng có giới hạn. Việc chống các tấn công này phải có sự hỗ trợ của các ISP.

Một số kiểu tấn công cơ bản dựa trên hình thức tấn công về băng thông (Volumetric Attack) và tấn công về kết nối (Connection Attack).

Tấn công về băng thông

Ngập lụt UDP (UDP flood)

Tấn công UDP flood lợi dụng cơ chế phi kết nối (connectionless) của UDP, tin tặc gửi liên tiếp các bản tin UDP trên cổng ngẫu nghiên hoặc trên một cổng cố định. Tấn công khuếch đại (amplification attack) là 1 ví dụ của UDP flood, theo đó tin tặc gửi các bản tin DNS/NTP liên tục đến các máy chủ DNS/NTP chạy dịch vụ mà có lỗ hổng, với IP nguồn là IP giả mạo của nạn nhân. Các máy chủ DNS/NTP gửi trả lại các bản tin phản hồi (response) với luồng được khuếch đại đến nạn nhân và gây nghẽn băng thông hạ tầng.

Hình 2. Tấn công UDP Flood 

Ngập lụt ICMP (ICMP flood)

Với hình thức tấn công này, tin tặc liên tục gửi các bản tin ICMP với kích thước lớn từ IP nguồn giả mạo IP của nạn nhân. Hành động này khiến các bản tin trả về từ các thiết bị trung gian như hệ thống mạng, tường lửa, máy chủ… đến nạn nhân làm nghẽn hạ tầng.

Hình 3. Tấn công ICMP Flood

Tấn công về kết nối

Ngập lụt SYN (SYN flood) là một ví dụ điển hình của loại hình tấn công kết nối tại tầng giao vận. Kiểu tấn công này làm cạn kiệt tài nguyên của mục tiêu tại các thiết bị trạng thái (stateful) như tường lửa, máy chủ,… vì làm vượt quá các ngưỡng về kết nối. Tấn công này lợi dụng cơ chế hướng kết nối (connection-oriented) của giao thức TCP khi thực hiện quá trình bắt tay 3 bước. Để thực hiện tấn công, tin tặc gửi liên tục gói tin có cờ SYN mà không gửi ACK (thường sử dụng IP nguồn giả mạo). Điều này dẫn đến việc quá tải tại mục tiêu, bởi mục tiêu luôn trong trạng thái chờ ACK.

Hình 4. Quá trình bắt tay 3 bước của TCP thông thường và quá trình tấn công SYN Flood

Tấn công BGP hijacking

Bản chất của BGP hijacking là việc chiếm quyền sở hữu một dải IP không phải của mình (dải IP không được quy hoạch cho cá nhân, đơn vị, mạng lưới…) nhằm các mục đích khác nhau như làm mất dịch vụ, chặn bắt lưu lượng…. Tin tặc quảng bá một đường ra Internet với đường origin (trường AS Path và AS Origin) là của mình.

Hình 5. Tấn công BGP Hijacking

Tấn công Route Leaking

Bản chất của việc route leaking là việc thay đổi tuyến đường của một dải mạng, làm lưu lượng đến dải mạng đó phải đi qua mạng chủ đích. Điều này làm gây mất dịch vụ, ngưng trệ, hoặc chặn bắt lưu lượng mạng. Route leaking xảy ra thường là do việc cấu hình quảng bá định tuyến nhầm trên các router chạy BGP như quảng bá các đường đi cụ thể hơn….

Hình 6. Tấn công BGP Route leaking

Một số phương pháp phòng chống tấn công vào mạng ISP

Phòng chống tấn công IP spoofing

Unicast Reverse Path Forwarding (URPF) là giải pháp được thực hiện tại lớp mạng, sử dụng tính năng URPF trên các bộ định tuyến lớp biên để kiểm tra IP nguồn của gói tin đến và so sánh với bảng FIB. Gói tin được xử lý bởi 2 trạng thái là strict mode và loose mode. Tuy nhiên, giải pháp này chỉ phù hợp với các mạng nhỏ, các trường hợp bộ định tuyến lớp biên có nhiều tuyến đường ra mạng bên ngoài, khi gói tin yêu cầu và gói tin trả lời đi theo các interface khác nhau sẽ không hiệu quả.

Hình 7. Cơ chế URPF

Giải pháp xây dựng hệ thống SYN Proxy

Đây là giải pháp hiệu quả để kiểm tra các kết nối nửa (half connection), ngăn chặn các gói tin yêu cầu giả mạo IP nguồn, chưa hoàn thiện phiên TCP. Theo đó, sẽ xây dựng một hệ thống SYN Proxy đứng giữa kết nối từ client đến server, nhằm kiểm tra quá trình bắt tay 3 bước có được thiết lập hay không.

Hình 8. Cơ chế SYN Proxy phát hiện tấn công giả mạo IP nguồn

Phòng chống BGP hijacking và route leaking

Hình 9. Triển khai RPKI

Để chống route leaking, giải pháp chính hiện nay phụ thuộc vào các chính sách cấu hình lựa chọn tuyến (route filtering) từ 2 phía ISP và nhà cung cấp dịch vụ cấp trên (upstream provider). Đối với ISP, không được quảng bá những đường truyền nhận từ các peering trong nước qua quốc tế, không được quảng bá những đường truyền nhận từ quốc tế về và quảng bá lại cho nhà cung cấp dịch vụ cấp trên, chỉ được quảng bá dải địa chỉ IP của ISP và các AS thuê kênh transit. Đối với nhà cung cấp dịch vụ cấp trên, cần giới hạn số lượng route nhận từ ISP quảng bá sang, chỉ nhận đúng dải địa chỉ IP tương ứng với AS của ISP được cấp phát theo cơ quan đăng ký Internet khu vực (regional Internet registry - RIR).

Bên cạnh đó, có thể áp dụng một số giải pháp liên quan đến các thiết bị định tuyến để chống tấn công DDoS vào mạng ISP như: lỗ đen được kích hoạt từ xa (Remote-triggered black hole - RTBH) hay BGP flowspec.

Remote-triggered black hole

Một black hole (lỗ đen) là một IP không được sử dụng (unused IP). Trên các thiết bị định tuyến lớp biên, tạo sẵn một đường tới black hole qua null. Trên thiết bị kích hoạt (trigger) định tuyến, khi xảy ra DDoS, thực hiện tạo một đường đến IP bị tấn công (destination-based) hoặc dải IP tấn công (source-based) với bước kế tiếp (next hop) là black hole và chèn vào BGP. Các thiết bị định tuyến lớp biên sẽ bỏ lưu lượng tấn công ngay tại biên, luồng lưu lượng bị chặn mà không chảy vào trong mạng. Khi tấn công kết thúc, xóa đường đi trên thiết bị kích hoạt định tuyến. Ưu điểm của giải pháp này là khắc phục tấn công DDoS tức thì. Tuy nhiên, giải pháp này gây mất dịch vụ của IP bị black hole.

Hình 10. Sử dụng RTBH để chặn lưu lượng tấn công

BGP flowspec

Đây là một tính năng mới, được hỗ trợ trên một số thiết bị định tuyến đời mới của Cisco, Juniper. … Cách hoạt động của tính năng này gần giống như giải pháp RTBH. Tuy nhiên, thiết bị kích hoạt định tuyến có thể cập nhật bản tin BGP xuống các thiết bị định tuyến lớp biên theo một chính sách nhất định (không chỉ đơn thuần là định tuyến như RTBH). Vì vậy, lưu lượng tấn công sẽ bị chặn chính xác đến dịch vụ, hình thức tấn công. Giải pháp này có ưu điểm là chống được được mạng lưới và IP bị tấn công không mất dịch vụ. Tuy nhiên, để xử lý được vẫn cần xác định IP bị tấn công.

Hình 11. Sử dụng BGP flowspec để chặn lưu lượng tấn công DDoS

Hệ thống làm sạch

Hệ thống làm sạch (cleaning system) được xây dựng dựa trên việc kết hợp phần mềm và lớp mạng. Đây là hệ thống chống tấn công DDoS theo 2 lớp. Lớp 1 thực hiện chặn lưu lượng độc hại tại lớp biên mà không làm ảnh hưởng đến lưu lượng an toàn. Tại lớp 2, lưu lượng độc hại sẽ được chuyển hướng (divert) qua hệ thống lọc (scrubber) để làm sạch.

Hệ thống có thể xây dựng dựa trên 3 thành phần chính:

- Hệ thống phát hiện (detection): Sử dụng các công nghệ NetFlow, khai phá dữ liệu (data mining) để xác định các cuộc tấn công.

- Scrubber: Sử dụng các công nghệ Kiểm tra sâu gói (Deep Packet Inspection - DPI) cho hệ thống lọc lưu lượng.

- Chuyển hướng và ngăn chặn trên lớp mạng: Các thiết bị định tuyến sử dụng các công nghệ như RTBH, BGPflow spec.

Hình 12. Mô hình hệ thống làm sạch lưu lượng để chặn DDoS, kết hợp RTBH, BGP flowspec

Trong thời đại của cuộc cách mạng công nghiệp lần thứ 4 với sự bùng nổ về các thiết bị IoT, thì việc tấn công làm ảnh hưởng hạ tầng mạng lưới trở nên đơn giản hơn rất nhiều. Do đó, vai trò của các ISP trở nên rất quan trọng và ISP phải chuẩn bị sẵn sàng cho việc chống các kiểu tấn công vào hạ tầng mạng lưới.