Transport Layer (Tầng Giao Vận): Chức năng, nhiệm vụ, hình thức tấn công, rủi ro và cách phòng tránh

Chức năng:

• Đảm bảo dữ liệu được truyền tải chính xác và đáng tin cậy từ đầu cuối này đến đầu cuối khác.
• Cung cấp các dịch vụ kiểm soát lưu lượng (flow control) và xử lý lỗi (error handling).
• Sử dụng các giao thức như TCP (Transmission Control Protocol) và UDP (User Datagram Protocol).

Nhiệm vụ:

• Truyền tải đáng tin cậy (Reliable Data Transfer): Đảm bảo dữ liệu được truyền tải chính xác và đầy đủ.
• Kiểm soát luồng (Flow Control): Điều chỉnh tốc độ truyền tải dữ liệu để tránh quá tải mạng.
• Kiểm soát lỗi (Error Control): Phát hiện và xử lý lỗi trong quá trình truyền dữ liệu.
• Đa kênh (Multiplexing): Quản lý nhiều luồng dữ liệu từ các ứng dụng khác nhau trên cùng một kết nối mạng.

Hình thức tán công:

1. TCP SYN Flood Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các yêu cầu kết nối TCP SYN tới máy chủ mục tiêu nhưng không hoàn thành quá trình bắt tay ba bước, làm cho máy chủ mục tiêu sử dụng hết tài nguyên để giữ các kết nối chưa hoàn thành.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn dịch vụ mạng
• Giảm hiệu suất hệ thống

Cách phòng tránh:

• Triển khai SYN cookies để bảo vệ bộ nhớ máy chủ khỏi bị quá tải bởi các kết nối chưa hoàn thành.
• Cấu hình tường lửa để phát hiện và chặn các lưu lượng SYN bất thường.
• Sử dụng các giải pháp chống DDoS để giám sát và giảm thiểu lưu lượng tấn công.

2. UDP Flood Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các gói UDP tới các cổng ngẫu nhiên trên máy chủ mục tiêu, làm cho máy chủ phải kiểm tra các cổng và trả lời với các gói ICMP Destination Unreachable.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn dịch vụ mạng
• Sử dụng tài nguyên hệ thống quá mức

Cách phòng tránh:

• Cấu hình tường lửa để chặn các gói UDP không mong muốn.
• Sử dụng các giải pháp chống DDoS để phát hiện và giảm thiểu lưu lượng tấn công.
• Giới hạn băng thông UDP trên mạng để kiểm soát lưu lượng.

3. TCP Reset Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi các gói TCP với cờ RST (Reset) giả mạo để kết thúc các kết nối TCP hợp lệ giữa các thiết bị.

Rủi ro:

• Gián đoạn các kết nối TCP hợp lệ
• Mất dữ liệu hoặc thông tin
• Gián đoạn dịch vụ mạng

Cách phòng tránh:

• Sử dụng mã hóa SSL/TLS để bảo vệ các kết nối TCP khỏi bị làm giả.
• Triển khai các giải pháp IDS/IPS để phát hiện và ngăn chặn các gói RST giả mạo.
• Cấu hình tường lửa để lọc các gói tin không hợp lệ.

4. TCP Session Hijacking

Kỹ thuật tấn công:

• Kẻ tấn công chiếm quyền kiểm soát một phiên TCP hợp lệ bằng cách đoán hoặc đánh cắp các thông tin phiên, như số thứ tự gói tin.

Rủi ro:

• Trộm cắp thông tin nhạy cảm
• Nghe lén dữ liệu
• Chuyển hướng lưu lượng mạng

Cách phòng tránh:

• Sử dụng mã hóa SSL/TLS để bảo vệ các phiên TCP.
• Triển khai xác thực mạnh (như xác thực hai yếu tố).
• Giám sát các phiên TCP để phát hiện hành vi bất thường.

5. DNS Amplification Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi các truy vấn DNS nhỏ với địa chỉ IP nguồn giả mạo (là địa chỉ của nạn nhân) tới các máy chủ DNS mở, làm cho các máy chủ này trả về các phản hồi lớn hơn nhiều tới nạn nhân.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn dịch vụ mạng
• Sử dụng tài nguyên hệ thống quá mức

Cách phòng tránh:

• Cấu hình máy chủ DNS để không trả lời các truy vấn từ các nguồn không tin cậy.
• Sử dụng các giải pháp chống DDoS để phát hiện và giảm thiểu lưu lượng tấn công.
• Triển khai BCP 38 để ngăn chặn các gói tin giả mạo rời khỏi mạng.

6. HTTP Flood Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các yêu cầu HTTP hợp lệ tới máy chủ web, làm cho máy chủ không thể xử lý các yêu cầu hợp pháp từ người dùng.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn dịch vụ web
• Giảm hiệu suất hệ thống

Cách phòng tránh:

• Sử dụng các giải pháp chống DDoS để giám sát và giảm thiểu lưu lượng tấn công.
• Triển khai các WAF (Web Application Firewall) để lọc các yêu cầu HTTP không mong muốn.
• Cấu hình hệ thống máy chủ để giới hạn số lượng yêu cầu từ một địa chỉ IP nhất định.

7. Slowloris Attack

Kỹ thuật tấn công:

• Kẻ tấn công mở nhiều kết nối HTTP tới máy chủ và gửi dữ liệu với tốc độ rất chậm, làm cho máy chủ giữ các kết nối mở trong thời gian dài và không thể xử lý các yêu cầu mới.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn dịch vụ web
• Giảm hiệu suất hệ thống

Cách phòng tránh:

• Cấu hình máy chủ để giới hạn thời gian và số lượng kết nối từ một địa chỉ IP.
• Sử dụng các giải pháp chống DDoS để giám sát và giảm thiểu lưu lượng tấn công.
• Triển khai các WAF để phát hiện và ngăn chặn các kết nối chậm bất thường.

8. ICMP Flood Attack

Kỹ thuật tấn công:

• Kẻ tấn công gửi một lượng lớn các gói ICMP Echo Request (ping) tới mục tiêu, làm cho mục tiêu phải xử lý và trả lời tất cả các yêu cầu, dẫn đến quá tải.

Rủi ro:

• Tấn công từ chối dịch vụ (DoS)
• Gián đoạn dịch vụ mạng
• Sử dụng tài nguyên hệ thống quá mức

Cách phòng tránh:

• Cấu hình tường lửa để giới hạn số lượng gói ICMP.
• Sử dụng các biện pháp hạn chế tốc độ ICMP trên các router và switch.
• Triển khai các giải pháp chống DDoS để giám sát và giảm thiểu lưu lượng tấn công.

Bằng cách hiểu rõ các kỹ thuật tấn công và thực hiện các biện pháp phòng tránh nêu trên, các tổ chức có thể bảo vệ hệ thống mạng của mình khỏi các tấn công tầng 4 theo mô hình OSI một cách hiệu quả hơn.