HTML5 Ping bị khai thác để thực hiện tấn công DDoS

0
48 views

Đơn vị bảo mật Imperva vừa phát hiện một cuộc tấn công từ chối dịch vụ theo hình thức mới, trong đó tin tặc đã lợi dụng một thuộc tính của HTML5 thường được sử dụng để khởi động một cuộc tấn công DDoS tạo ra hơn 70 triệu yêu cầu tác động vào một trang web mục tiêu cụ thể trong vòng 4 giờ.

ddos attacks html5 ping
ddos attacks html5 ping

Đây là một kiểu tấn công từ chối dịch vụ (DDoS) mới dưới hình thức lợi dụng một thuộc tính của HTML5 để tấn công các website có mục tiêu.

Theo ghi nhận của công ty bảo mật Imperva đã thông báo vào ngày 11 tháng 4 rằng họ đã phát hiện ra một chiến dịch mà tin tặc lợi dụng thuộc tính <a> thẻ ping trong một cuộc tấn công DDoS tạo ra 70 triệu yêu cầu truy cập trong 4 giờ. Thuộc tính ping này thường được các trang web sử dụng như một cơ chế để thông báo cho một trang web nếu người dùng theo một liên kết nhất định trên một trang. Thông thường, ping là một hành động đơn lẻ, nhưng Imperva phát hiện ra rằng tin tặc đã tìm ra cách khuếch đại ping thành nhiều luồng dữ liệu liên tục, tạo thành một cuộc tấn công DDoS.

“Kẻ tấn công, có thể đã sử dụng kỹ thuật mạng xã hội, đã buộc người dùng truy cập trang web chứa JavaScript độc hại”, Vitaly Simonovich, nhà nghiên cứu bảo mật tại Imperva, chia sẻ. “Tập lệnh này đã tạo các liên kết với trang đích trong thuộc tính ‘ping’ và nhấp vào nó mà không có sự tác động nào của người dùng. Hành động nhấp chuột được tạo tự động phản ánh là ping trở lại nạn nhân, quá trình này xảy ra liên tục trong toàn bộ thời gian người dùng truy cập trên trang web.”

Phân tích về cuộc tấn công của Imperva đã giải thích rằng khi người dùng nhấp vào link liên kết này, một yêu cầu POST với phần thân ping ping sẽ được gửi đến các URL được chỉ định trong thuộc tính của HTML5. Nó cũng sẽ bao gồm các tiêu đề trong Ping Ping-From, xông vào Ping và các loại nội dung.

“Chúng tôi quan sát các cuộc tấn công DDoS hàng ngày,” Simonovich nói. “Chúng tôi đã phát hiện ra cuộc tấn công này vào tháng trước. Tuy nhiên, khi chúng tôi nhìn lại nhật ký của mình, chúng tôi nhận thấy rằng lần đầu tiên cuộc tấn công xảy ra trên mạng của chúng tôi vào tháng 12 năm 2018, nó đã sử dụng tính năng ping này.”

Cuộc tấn công mà Imperva tìm thấy đang được huy động sử dụng 4.000 IP bởi người dùng, với phần lớn trong số họ đến từ Trung Quốc. Chiến dịch kéo dài 4 giờ, với mức cao nhất là 7.500 yêu cầu trên mỗi giây (RPS), kết quả là có đến hơn 70 triệu yêu cầu đánh vào trang web của nạn nhân mục tiêu này.

Cách thức tấn công Ping áp đảo máy chủ

Với một ping đơn giản thì tự nó không đủ để làm phiền với một máy chủ web để xử lý và trên thực tế, đối với các máy chủ web chuyên dụng thì thường xuyên tiếp nhận các yêu cầu ping. Các yêu cầu Ping cũng có băng thông thấp và cũng không thể có khả năng hình thành một cuộc tấn công DDoS trên quy mô lớn, nhằm mục đích áp đảo băng thông thực tế của máy chủ web mục tiêu.

Tuy nhiên, cuộc tấn công DDoS được phát hiện bởi Imperva không phải là một ping cơ bản và, theo Simonovich, nó có thể tác động đến một máy chủ ứng dụng web theo một số cách:

Nhắm vào các mục tiêu máy chủ web sử dụng RPS cao, máy chủ sẽ buộc phải xử lý cuộc tấn công DDoS và không đủ băng thông và tài nguyên để tiếp nhận xử lý truy cập hợp pháp.

Nhắm mục tiêu các ứng dụng trên web bằng cách tìm một điểm tiếp cận có thể sẽ gây ra mức tiêu thụ tài nguyên cao. Ví dụ: form đăng nhập sẽ gây ra một lượng truy vấn cho cơ sở dữ liệu.

“Cuộc tấn công được thực hiện trên lớp ứng dụng nhằm mục đích làm tắc nghẽn tài nguyên máy chủ bằng cách xử lý một số yêu cầu HTTP,” Simonovich giải thích. “Như vậy, băng thông tấn công không phải là tài nguyên yếu nhất trong chuỗi, mà là CPU hoặc bộ nhớ của máy chủ.”

Ông nói thêm rằng mặc dù 7.500 RPS chưa là gì so với những cuộc tấn công DdoS quy mô lớn hiện nay, nó có thể đạt tới 100.000 RPS trở lên, nhưng nó đủ để gây tắc nghẽn việc truy cập cho một trang web có hệ thống máy chủ tầm trung.

Những cách để bảo vệ chống lại Ping DDoS

Có một số điều mà các tổ chức có thể làm để giảm thiểu rủi ro của cuộc tấn công Ping DDoS. Imperva khuyến nghị rằng các tổ chức nếu không cần nhận yêu cầu ping trên máy chủ web thì hãy chặn mọi yêu cầu web có chứa Ping Ping-To và và hoặc Ping Ping-Từ Tiêu đề HTTP trên các thiết bị cạnh (tường lửa, WAF, v.v.). Các dịch vụ DDoS, bao gồm cả dịch vụ mà Imperva cung cấp, cũng có thể được sử dụng để giúp hạn chế rủi ro.

“Những kẻ tấn công sẽ liên tục tìm kiếm các phương pháp mới và tinh vi hơn để lợi dụng sơ hở từ người truy cập hợp pháp để qua mặt các cơ chế bảo vệ hệ thống”, Simonovich nói. “Việc sử dụng chức năng ping là một ví dụ điển hình cho điều này, đặc biệt là vì hầu hết các trình duyệt theo mặc định đều hỗ trợ nó. Thách thức mà những kẻ tấn công đang phải đối mặt là làm thế nào để lừa người dùng hợp pháp truy cập trang độc hại và ở lại trang này càng lâu càng tốt để làm cho cuộc tấn công chạy dài hơn. ”

Tại Việt Nam vấn nạn DDoS vẫn diễn ra thường xuyên nên chúng tôi hi vọng với thông tin này có thể giúp các bạn hiểu rõ những nguy cơ và cách phòng tránh những cuộc tấn công như thế này trong tương lai.

Comment của bạn

avatar
  Subscribe  
Notify of