Tấn công DrDoS sử dụng CHARGEN.

[tepriu]

Như những bài trước tôi đã giới thiệu về kiểu tấn công khuếch đại sử dụng các cách thức khác nhau, hôm nay tôi sẽ tiếp tục giới thiệu một dạng tấn công khuếch đại khác sử dụng phương thức Chargen.

​

CHARGEN là gì?​

Giao thức sinh kí tự (Character Generator Protocol – Chargen) là một dịch vụ của giao thức internet được định nghĩa trong RFC 864 vào năm 1983 bởi Jon Postel. CHARGEN đơn giản là một dịch vụ sinh kí tự, gửi dữ liệu đi mà cần quan tâm đến đầu vào.

Cách CHARGEN hoạt động​

Dịch vụ tạo kí tự dựa trên giao thức UDP. Một máy chủ lắng nghe UDP cổng 19. Khi một gói tin được nhận sẽ có gói tin trả lời chứa một số ngẫu nhiên của kí tự (từ 0 đến 512). Dịch vụ này chỉ gửi gói tin đáp ứng mỗi khi nhận được một gói tin gửi tới nó.
Chargen có thể được sử dụng để kiểm tra băng thông, hệ thống tải hoặc kết nối mạng.

Tuy nhiên gói tin Chargen dễ dàng bị giả mạo IP nguồn. Việc này sẽ bị kẻ tấn công khai thác và sẽ sử dụng vào mục đích xấu.

Cách thức tấn công​

Để thực hiện phương pháp tấn công này, tôi sẽ kích hoạt dịch vụ Chargentrên máy ảo chạy Ubuntu 14.04, chargen nằm trong gói xinetd.

Muốn kích hoạtChargen, ta chỉ cần để giá trị tham số “disable = no”ở phần service chargen có giá trị “id=chargen –dgram” trong file /etc/xinetd.d/chargen.

Tôi sử dụng đoạn script Python PoC có trên mạng để thử nghiệm.

Dùng Wireshare bắt gói tin

Ta thấy gói tin gửi đi chỉ có dung lượng 60bytes, tuy nhiên gói tin nhận về lên tới 1066 bytes, như vậy là độ khuếch đại lên 17, 8 lần.

Cách phòng chống​

Nếu bạn là nạn nhân, thì bạn cách duy nhất bạn phải làm đó là đóng kết nối UDP cổng 19 để không nhận những gói tin Chargen gửi đến.

Nếu bạn là người bị lợi dụng, thì bạn hãy Disable chức năng Chargen trên Server của mình để tránh bị kẻ xấu lợi dụng.