Network Layer (Tầng Mạng): Chức năng, nhiệm vụ, hình thức tấn công, rủi ro và cách phòng tránh

Chức năng:

• Xác định đường đi (routing) để truyền dữ liệu từ nguồn đến đích qua nhiều mạng.
• Quản lý địa chỉ IP và định tuyến dữ liệu qua các thiết bị định tuyến (routers).
• Xử lý việc phân chia gói dữ liệu thành các phần nhỏ hơn (fragmentation) để truyền qua mạng và ghép lại tại đích.

Nhiệm vụ:

• Định tuyến (Routing): Tìm đường đi tối ưu để truyền dữ liệu từ nguồn đến đích qua nhiều mạng.
• Đánh địa chỉ (Addressing): Quản lý và gán địa chỉ IP cho các thiết bị trong mạng.
• Phân mảnh và lắp ráp (Fragmentation and Reassembly): Chia nhỏ các gói dữ liệu để truyền qua mạng và ghép lại tại đích.

Hình thức tấn công:

1. IP Spoofing

Kỹ thuật tấn công:

• Kẻ tấn công gửi các gói tin với địa chỉ IP nguồn giả mạo, làm cho các thiết bị nhận gói tin tưởng rằng nó được gửi từ một nguồn hợp pháp.

Rủi ro:

• Nghe lén dữ liệu
• Tấn công từ chối dịch vụ (DoS)
• Tấn công Man-in-the-Middle
• Truy cập trái phép vào hệ thống

Cách phòng tránh:

• Sử dụng các biện pháp xác thực IP
• Cấu hình lọc IP dựa trên Access Control Lists (ACLs)
• Triển khai các giải pháp IDS/IPS để phát hiện và ngăn chặn các gói tin giả mạo

2. ICMP Flooding

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các gói ICMP Echo Request (ping) tới một máy chủ mục tiêu, làm nó quá tải và không thể xử lý các yêu cầu hợp pháp.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn hoạt động mạng

Cách phòng tránh:

• Cấu hình firewall để giới hạn số lượng gói ICMP
• Sử dụng các biện pháp hạn chế tốc độ ICMP trên các router và switch
• Triển khai các giải pháp chống DDoS

3. Route Injection

Kỹ thuật tấn công:

• Kẻ tấn công chèn các thông tin định tuyến giả mạo vào bảng định tuyến của router, làm thay đổi đường đi của lưu lượng mạng.

Rủi ro:

• Chuyển hướng lưu lượng mạng
• Nghe lén dữ liệu
• Gián đoạn hoạt động mạng
• Tấn công Man-in-the-Middle

Cách phòng tránh:

• Sử dụng các biện pháp xác thực BGP
• Cấu hình bảo mật định tuyến với các giao thức như RPKI
• Giám sát và kiểm tra bảng định tuyến thường xuyên

4. Smurf Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các gói ICMP Echo Request tới một mạng đích, với địa chỉ IP nguồn giả mạo là của mục tiêu. Mạng đích sau đó phản hồi lại gói tin này, làm mục tiêu quá tải.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn hoạt động mạng

Cách phòng tránh:

• Cấu hình router và firewall để không cho phép chuyển tiếp các gói tin có địa chỉ IP nguồn là broadcast
• Triển khai các biện pháp chống DDoS
• Giới hạn và kiểm tra các gói tin ICMP

5. OSPF (Open Shortest Path First) Poisoning

Kỹ thuật tấn công:

• Kẻ tấn công chèn các thông tin định tuyến giả mạo vào giao thức OSPF để làm sai lệch bảng định tuyến.

Rủi ro:

• Chuyển hướng lưu lượng mạng
• Nghe lén dữ liệu
• Gián đoạn hoạt động mạng
• Tấn công Man-in-the-Middle

Cách phòng tránh:

• Sử dụng xác thực OSPF
• Triển khai các biện pháp kiểm tra tính toàn vẹn của thông tin định tuyến
• Giám sát và kiểm tra cấu hình OSPF thường xuyên

6. DHCP Starvation

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các yêu cầu DHCP với các địa chỉ MAC giả mạo, làm cạn kiệt pool địa chỉ IP của máy chủ DHCP.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn hoạt động mạng
• Khó khăn trong truy cập tài nguyên hợp pháp

Cách phòng tránh:

• Cấu hình DHCP snooping trên các switch
• Giới hạn số lượng địa chỉ IP được cấp phát cho mỗi cổng
• Sử dụng biện pháp xác thực máy chủ DHCP

7. DNS Spoofing (DNS Cache Poisoning)

Kỹ thuật tấn công:

• Kẻ tấn công chèn thông tin giả mạo vào bộ nhớ cache của máy chủ DNS, làm cho các truy vấn DNS trả về địa chỉ IP của máy chủ giả mạo thay vì máy chủ hợp pháp.

Rủi ro:

• Nghe lén dữ liệu
• Tấn công Man-in-the-Middle
• Chuyển hướng lưu lượng đến trang web giả mạo
• Phân phối phần mềm độc hại

Cách phòng tránh:

• Sử dụng DNSSEC (DNS Security Extensions) để xác thực các phản hồi DNS
• Cấu hình các máy chủ DNS để không chấp nhận các phản hồi DNS không liên quan đến truy vấn đã gửi
• Triển khai giải pháp giám sát và kiểm tra bộ nhớ cache DNS

8. BGP Hijacking

Kỹ thuật tấn công:

• Kẻ tấn công công bố các đường dẫn BGP giả mạo, làm thay đổi luồng lưu lượng internet và chuyển hướng nó qua mạng của kẻ tấn công.

Rủi ro:

• Chuyển hướng lưu lượng mạng
• Nghe lén dữ liệu
• Tấn công Man-in-the-Middle
• Gián đoạn hoạt động mạng

Cách phòng tránh:

• Sử dụng RPKI (Resource Public Key Infrastructure) để xác thực thông tin BGP
• Giám sát các tuyến đường BGP và phát hiện các thông tin định tuyến bất thường
• Cấu hình chính sách BGP chặt chẽ để xác thực các tuyến đường nhận được từ các peer BGP

9. Man-in-the-Middle (MitM)

Kỹ thuật tấn công:

• Kẻ tấn công chèn mình vào luồng giao tiếp giữa hai bên để nghe lén, sửa đổi, hoặc đánh cắp dữ liệu.

Rủi ro:

• Nghe lén dữ liệu
• Đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm
• Chuyển hướng lưu lượng đến các trang web giả mạo

Cách phòng tránh:

• Sử dụng mã hóa mạnh cho tất cả các giao tiếp (TLS/SSL)
• Triển khai xác thực hai yếu tố (2FA)
• Sử dụng VPN để mã hóa lưu lượng mạng

10. IP Fragmentation Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi các gói tin bị phân mảnh với mục đích làm quá tải hoặc gây lỗi trên thiết bị đích khi cố gắng lắp ráp lại các gói tin.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Khai thác lỗ hổng trong phần mềm mạng để chiếm quyền điều khiển

Cách phòng tránh:

• Cấu hình firewall để kiểm tra và chặn các gói tin bị phân mảnh không hợp lệ
• Cập nhật phần mềm và thiết bị mạng để vá các lỗ hổng bảo mật
• Triển khai các giải pháp IDS/IPS để phát hiện và ngăn chặn các cuộc tấn công dựa trên phân mảnh

11. RIP Attack

Kỹ thuật tấn công:

• Kẻ tấn công chèn các bản cập nhật định tuyến RIP giả mạo vào bảng định tuyến của mạng, làm thay đổi đường đi của lưu lượng mạng.

Rủi ro:

• Chuyển hướng lưu lượng mạng
• Nghe lén dữ liệu
• Gián đoạn hoạt động mạng

Cách phòng tránh:

• Sử dụng xác thực RIP
• Cấu hình bảo mật định tuyến chặt chẽ
• Giám sát và kiểm tra bảng định tuyến thường xuyên

12. DHCP Snooping Attack

Kỹ thuật tấn công:

• Kẻ tấn công lợi dụng thiếu cấu hình DHCP snooping để cấp phát địa chỉ IP giả mạo, dẫn đến các cuộc tấn công Man-in-the-Middle hoặc từ chối dịch vụ (DoS).

Rủi ro:

• Nghe lén dữ liệu
• Tấn công Man-in-the-Middle
• Gián đoạn hoạt động mạng

Cách phòng tránh:

• Kích hoạt DHCP snooping trên các switch
• Giới hạn số lượng địa chỉ IP có thể được cấp phát trên mỗi cổng
• Sử dụng các biện pháp xác thực máy chủ DHCP

Bằng cách hiểu rõ các kỹ thuật tấn công và biện pháp phòng tránh, các tổ chức có thể xây dựng một hệ thống mạng bảo mật và hiệu quả, giảm thiểu nguy cơ bị tấn công từ các lỗ hổng Layer 3.