Tấn công Teardrop là gì và cách ngăn chặn chúng

Một cuộc tấn công teardrop DDoS đang diễn ra.

Tấn công teardrop là một loại tấn công Từ chối dịch vụ (DoS) sử dụng các gói dữ liệu phân mảnh để làm tràn máy chủ hoặc mạng của nạn nhân. Vì máy chủ không thể tập hợp lại các gói tin, gây ra tình trạng quá tải và hệ quả là hệ thống bị tắt.

Các cuộc tấn công teardrop thường nhắm vào các máy chủ đang có một lỗ hổng bảo mật TCP/IP. Cuối cùng, chúng khai thác cách các gói IP được phân mảnh và tập hợp lại nhằm tránh các biện pháp kiểm soát bảo mật truyền thống trên máy chủ cục bộ hoặc mạng. Do nhiều tổ chức thường chạy phần mềm hệ thống chưa được vá hoặc lỗi thời, do đó các cuộc tấn công teardrop rất đắc lực trong việc khai thác những lỗ hổng bảo mật này. Kết quả là chúng ta thường thấy các cuộc tấn công teardrop hơn trong hạ tầng của chính quyền địa phương, bệnh viện và ngân hàng nhỏ, đặc biệt là những người sử dụng hệ điều hành rất cũ (như Windows 95 hoặc cũ hơn).

Hướng dẫn này khám phá các cuộc tấn công teardrop một cách chi tiết: chúng là gì, cách chúng hoạt động và cách phòng chống chúng, để bạn có thể giảm thiểu nguy cơ trở thành nạn nhân của chúng – hoặc các cuộc tấn công tương tự – trong tương lai.

Các cuộc tấn công Teardrop bắt nguồn từ đâu?

Hãy hình dung bạn đang làm việc thường ngày, làm việc ở nhà (hoặc ở văn phòng), chỉ chú tâm đến công việc kinh doanh của mình thì đột nhiên máy cục bộ của bạn tắt mà không báo trước. Hay mạng cục bộ của bạn bị ngắt trong toàn bộ văn phòng và bạn không thể truy cập bất kỳ dữ liệu cục bộ nào mình cần. Đây là những gì xảy ra trong các cuộc tấn công Từ chối dịch vụ và tấn công Từ chối dịch vụ phân tán.

Vừa gây phiền toái vừa có khả năng nghiêm trọng, các cuộc tấn công mạng DDoS không phải là điều hiếm ở Hoa Kỳ. Vào tháng 9 năm 2017, Google (và phần lớn cơ sở hạ tầng kỹ thuật số của hãng) là nạn nhân của các cuộc tấn công này trong sáu tháng, lên tới 2,54 terabit/giây. GitHub từng là nạn nhân trong năm 2015 và 2018, thậm chí AWS còn chứng kiến một cuộc tấn công vào năm 2020 lên tới 2,3 terabit/giây.

Thật không may đối với đại đa số người dùng ngày nay, các cuộc tấn công DDoS và DoS có nhiều dạng khác nhau. Kể từ khi xuất hiện lần đầu, những cuộc tấn công này đã phát triển đáng kể, cũng như phần lớn bối cảnh an ninh mạng trong 20 năm qua. Một trong những dạng tấn công khó nắm bắt nhất được cho là tấn công teardrop. Được đặt tên theo cách gia tăng, cuộc tấn công teardrop thành công có thể khiến máy tính của bạn (hoặc hệ thống được kết nối với máy tính đó) bị xóa hoàn toàn và không phản hồi nếu bạn không cẩn thận.

Tấn công Teardrop diễn ra như thế nào?

Hệ thống kỹ thuật số thông thường được xây dựng để xử lý một lượng dữ liệu nhất định đến cùng một lúc. Do đó, dữ liệu hoặc lưu lượng truy cập mạng thường được chia thành mảnh nhỏ và sau đó được gắn thẻ bằng một số cụ thể trong trường được gọi là trường chỉ vị trí phân mảnh. Việc sắp xếp lại các mảnh này theo đúng thứ tự khi chúng đến nơi là điều bình thường khi không có cuộc tấn công.

Tuy nhiên, trong một cuộc tấn công teardrop, tội phạm mạng đã chèn một lỗ hổng vào trường chỉ vị trí phân mảnh, làm gián đoạn quá trình sắp xếp lại. Kết quả là hệ thống của bạn thu thập một lượng lớn dữ liệu phân mảnh bị hỏng và không thể tập hợp lại đúng cách. Thật không may, hệ thống của bạn chỉ đơn giản là bị quá tải và bị sập mà không có cảnh báo (đầy đủ).

Ví dụ về các cuộc tấn công Teardrop

Trong những năm qua, đã có một số cuộc tấn công đáng chú ý vào các hệ thống lớn, có thể không xa lạ với nhiều người trong ngành bảo mật mạng. Chúng bao gồm (và không giới hạn ở):

Windows NT và 95: các cuộc tấn công teardrop lần đầu tiên có tác động lớn trên Windows 3.1x, NT và 95 vào cuối những năm 1990, khiến Microsoft phải phát hành một bản vá để khắc phục lỗ hổng này nhằm ứng phó với nhiều trường hợp lỗi hệ thống.
Hệ thống gia đình: những kiểu tấn công này thường xuyên xảy ra trên cả hệ thống Windows và Linux cũ, chủ yếu có trong Windows 95 và trong nhân Linux trước phiên bản 2.1.63.
Android/Rowhammer: một cuộc tấn công có bản chất tương tự như cuộc tấn công teardrop được gọi là RAMpage đã đe dọa mọi thiết bị Android được phát hành từ năm 2012 đến 2018.

Phòng chống tấn công teardrop

Có một số cách khác nhau để ngăn chặn cuộc tấn công teardrop vào mạng hoặc hệ thống cục bộ của bạn. Lời khuyên về an ninh mạng dưới đây sẽ có hiệu quả đối với một số mối đe dọa kỹ thuật số và phần mềm độc hại khác nhau, không chỉ các cuộc tấn công teardrop.

Cập nhật hệ điều hành của bạn

Trước hết, bạn nên cập nhật tất cả phần mềm và hệ điều hành của mình, đồng thời đảm bảo tải xuống tất cả các bản vá bảo mật có sẵn từ các nhà phát triển liên quan. Như đã giải thích trước đó, các lỗ hổng bảo mật hệ thống là phương tiện xâm nhập thông thường cho các cuộc tấn công teardrop, vì vậy đây là cách dễ dàng để bảo vệ máy cục bộ và mạng rộng hơn của bạn.

Chặn cổng

Nếu bạn không thể vá phần mềm cũ hoặc các ứng dụng quan trọng, một trong những cách tốt nhất để ngăn chặn các cuộc tấn công teardrop là vô hiệu hóa cổng 139 và 445. Bằng cách này, bạn sẽ chặn mọi thông báo máy chủ tiềm ẩn nguy hiểm trong hệ thống không thể nhận các bản cập nhật bảo mật từ nhà cung cấp của chúng.

Kích hoạt tường lửa của bạn

Một trong những cách đơn giản nhất để ngăn chặn cuộc tấn công teardrop (và để bảo vệ máy cục bộ của bạn nói chung) là đảm bảo bạn đã cài đặt giải pháp tường lửa hoặc bảo mật mạng toàn diện và uy tín trên máy hoặc mạng của mình. Bạn nên sử dụng phần mềm bảo mật chuyên dụng của chúng tôi Kaspersky Premium, có thể cung cấp cho bạn tường lửa không thể xâm nhập, được cập nhật thường xuyên cũng như được trợ giúp và hỗ trợ nhất quán.

Câu hỏi thường gặp