TABATECH' Technical Blog

CoPP là gì ? Cách chống DDoS UDP TCP bằng CoPP Control Panel Policing

Một ngày đẹp trời bạn bị tấn công UDP Reflection với băng thông đầu vào lên tới 100Gbps, hay bị tấn công DDoS TCP với tần suất cực cao. Switch/Router CPU full 95%, đồng thời gói tin bị drop liên tục.

Bài viết này hướng dẫn các bạn bảo vệ hệ thống mạng của mình khỏi các cuộc tấn công DoS/DdoS quy mô lớn bằng cách thiết lập Policy chặn ở mạng biên của mạng ( Border Network ).

Cách này thường được sử dụng cho các hệ thống mạng DataCenter quy mô lớn, nơi cung cấp dịch vụ lớn ra cho người dùng sử dụng. Kỹ thuật mà TABATECH đề cập hôm nay là CoPP (Control Panel Policy).

CoPP (Control Panel Policing) là gì

CoPP- Control Panel Policing là tính năng bảo mật trên các dòng Switch/Router Cisco gồm IOS và NX-OS, ngăn chặn tấn công DoS/DdoS vào hệ thống mạng. Khi có tấn công DDoS vào hệ thống, thiết bị mạng thường bị CPU cao do phải xử lý rất nhiều gói tin.

CoPP sẽ bảo vệ tránh sử dụng dụng CPU quá mức bằng cách đặt ngưỡng sử dụng theo băng thông hoặc theo pps (packet per second)

Cách sử dụng CoPP để chặn tấn công DDoS

CoPP sử dụng framwork MQC (Modular QoS CLI) để định nghĩa loại traffic và gắn policy tới traffic đã phân loại. MQC sử dụng nhiều class-map để định nghĩa các packet thành một loại traffic nào đó. Sau đó dùng policy-map để đưa ra quyết định đối với các traffic này.

Chỉ có policy-map có tên là “system-cpp-policy” được attach tới control-panel. Trong policy-map này chứa nhiều class-map có sẵn, gồm các class-map trong bảng bên dưới.

Chú ý:
– Trong policy-map có nhiều class-map, bao gồm các class-map có sẵn và class-map bạn định nghĩa.

– Bạn tạo được class-map cho riêng bạn, nhưng tên quy ước phải bắt đầu bằng “system-cpp-”
– system-cpp-policy được attach tới control-panel và không detach được.
– Khuyến cáo: tạo policy-map “ system-cpp-policy” thông qua macro system-cpp “macro global description system-cpp”
– CoPP không được bật trừ khi global QoS được bật và policy được set.

 

Cấu hình CoPP để chặn tấn công DDoS

Mặc định chức năng CoPP bị tắt, bạn cần bật nó và cấu hình policy cho CoPP 

Switch# config terminal
# Enable qos gobale
Switch(config)# qos 

#Attaches the system-cpp-policy policy-map to the control-plane.
Switch(config)# macro global apply system-cpp 

#Truy cập vào mode policy-map
Switch(config)#policy-map system-cpp-policy 

#Tạo class-map
Switch(config-pmap)#  class system-cpp-tcpconnect 

# Dùng police để gắn các action tới  traffic class, ở đây: nếu vượt quá ngưỡng thì drop gói.
Switch(config-pmap-c)# police 640000 4000 conform transmit exceed drop
#Cú pháp: lệnh:
Switch(config-pmap-c)# police 
[aggregate name] rate burst 
[conform-action {drop | transmit}] 
[{exceed-action {drop | transmit}}]

  

#show policy-map  system-cpp-policy 
  Policy Map system-cpp-policy 
    Class system-cpp-dot1x 
    Class system-cpp-bpdu-range 
     police cir 50000 bc 1562 
       conform-action transmit 
       exceed-action drop 
    Class system-cpp-cdp 
    Class system-cpp-sstp 
    Class system-cpp-mcast-cfm 
    Class system-cpp-ucast-cfm 
    Class system-cpp-ospf 
    Class system-cpp-igmp 
    Class system-cpp-pim 
    Class system-cpp-all-systems-on-subnet 
    Class system-cpp-all-routers-on-subnet 
    Class system-cpp-ripv2 
    Class system-cpp-hsrpv2 
    Class system-cpp-ip-mcast-linklocal 
    Class system-cpp-dhcp-cs 
    Class system-cpp-dhcp-sc 
    Class system-cpp-dhcp-ss 
    Class system-cpp-icmpv6-rs 
    Class system-cpp-icmpv6-ra 
    Class system-cpp-icmpv6-rr 
    Class system-cpp-dhcpv6-cs 
    Class system-cpp-dhcpv6-sc 
    Class system-cpp-icmpv6-ns 
    Class system-cpp-icmpv6-na 
    Class system-cpp-tcpconnect 
     police cir 640000 bc 4000 
       conform-action transmit 
       exceed-action drop 
    Class class-default

 

Giới hạn của CoPP & Monitor

Chỉ áp dụng với chiều vào CoPP.

Control Panel Traffic chỉ áp dụng được policy khi sử dụng với CoPP,

Monitor

Switch# show policy-map control-plane  
 Control Plane 

  Service-policy input: system-cpp-policy 
    Class-map: system-cpp-bpdu-range (match-all)  
      197924 packets 
      Match: access-group name system-cpp-bpdu-range 
      police: 
          cir 50000 bps, bc 1562 bytes 
        conformed 1508096 bytes; actions: 
          transmit 
        exceeded 0 bytes; actions: 
          drop 
        conformed 0000 bps, exceeded 0000 bps 

    Class-map: system-cpp-tcpconnect (match-all)  
      17751372 packets 
      Match: access-group name system-cpp-tcpconnect 
      police: 
          cir 640000 bps, bc 4000 bytes 
        conformed 359275369 bytes; actions: 
          transmit 
        exceeded 1058649780 bytes; actions: 
          drop 
        conformed 97000 bps, exceeded 76000 bps 
          
    Class-map: class-default (match-any)  
      32371016 packets 
      Match: any
Read More

Hiểu về tấn công DDoS UDP

Tấn công DDoS UDP là gì?

Tương tự như dạng tấn công ddos gây ngập lụt gói ICMP, dạng tấn công UDP xảy ra khi kẻ tấn công gửi một lượng lớn các gói tin UDP với địa chỉ nguồn giả mạo là IP máy bị tấn công (Victim). Theo giao thức, các máy tính nhận được các gói tin UDP này sẽ đọc thông tin header trong gói và gửi theo địa chỉ đích là máy bị tấn công, máy tính vô tình gửi 1 gói UDP trả lời (UDP Datagram response) tới máy bị tấn công.

Theo đó khi khối lượng máy tính tham gia trả gói UDP response rất lớn khoảng 10.000 máy, chúng sẽ làm máy nạn nhân bị quá tải, không còn khả năng phục vụ, thậm chí CPU tăng đột biến do phải xử lý gói UDP quá lớn.

Cách phòng chống tấn công DDoS UDP

Trên Router/SW/Firewall:

  • Chỉ mở các kết nối UDP cần thiết, ví dụ UDP port 80 không dùng thì cần tắt bỏ.
  • Limit lượng pps trên mỗi nguồn IP hoặc nhiều nguồn IP, khi qúa ngưỡng request tiếp theo sẽ không phục vụ nữa.   Ví dụ giới hạn 500 packet UDP trên giây bằng iptables, dùng lệnh sau:
#Outbound UDP Flood protection in a user defined chain.
iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP


Trên server:

  • Tắt các dịch vụ không sử dụng, ví dụ: tắt DNS nếu không cần thiết
  • Rào chính sách bảo mật trên firewall, chỉ allow một số port cần thiết.

Xem thêm bài viết tổng quan về tấn công DDoS: https://tabatech.vn/cach-phong-chong-tan-cong-ddos/ 

Read More

Lỗ hổng bảo mật leo thang quyền CVE-2017-1000253

CVE-2017-1000253

Lỗ hổng leo thang quyền mang số hiệu CVE-2017-1000253 vừa được Redhat công bố,
Lỗ hổng được tìm thấy trong cách mà Linux kernel thực hiện load các file ELF  (Executable and Linkable Format), một hiện tượng stack corruption xay ra khi cấp phát bộ nhớ thiếu.

Lỗ hổng được cho là rất quan trọng!

An application is built as Position Independent Executable (PIE), the loader can allow part of that application’s data segment to map over the memory area reserved for its stack resulting in corruption of the stack, with possible privilege escalation.

<< from Redhat site

Các phiên bản bị ảnh hưởng, bao gồm:

All versions of CentOS 7 before 1708 (released on September 13, 2017)
All versions of Red Hat Enterprise Linux 7 before7.4 (released on August 1, 2017)
All versions of CentOS 6 and RedHat Enterprise Linux 6

Phiên bản không bị ảnh hưởng:

Kernel 3.10.0-693 and later

Cách fix CVE-2017-1000253

Cách 1: – Upgrade Kernel tới phiên bản mới nhất trong dòng bạn đang dùng.

yum update

Cách 2: set thông số sysctl trong kernel, chú ý khi set thông số này vì có thể ảnh hưởng tới ứng dụng của bạn đang chạy.

vm.legacy_va_layout=1

  

Thông tin tham khảo:

https://access.redhat.com/security/cve/cve-2017-1000253https://access.redhat.com/security/vulnerabilities/3189592

 

Read More

Bảo mật wordpress tốt nhất

    Website sử dụng nền tảng WordPress giờ đã là một xu thế trên thế giới, cộng đồng người dùng hay các công ty sử dụng nó, đóng góp hay kinh doanh qua các plugin, code, theme,..

WordPress có tính mở, và chắc chắn rồi code của nó luôn có lỗ hổng, điều này được minh chứng qua nhiều phiên bản wordpress phát hành luôn đi kèm với bản vá security fix, và hầu hết các lỗ hổng này chúng tôi thấy đều rất quan trọng.

     Để bảo mật một website cần những bước can thiệp tới hệ điều hành, phần cứng, dịch vụ khá phức tạp, đó còn chưa kể tới quá trình kiểm thử hệ thống. Tuy nhiên bảo vệ wordpress có những cách khá dễ dàng mà chỉ cần qua một số click chuột.

 

Bảo mật wordpress như thế nào?

(more…)

Read More

CVE-2017-6074: Lỗ hổng kernel nghiêm trọng tồn tại suốt 11 năm

Lỗ hổng CVE-2017-6074 được tìm ra bởi nhà nghiên cứu bảo mật Andrey Konovalo. Lỗ hổng này đặt ở mức nghiêm trọng, nó khiến máy chủ bị leo thang quyền hạn, tấn công từ chối dịch vụ DoS, và còn những ảnh hưởng khác.

Lỗ hổng này là một dạng lỗ hổng user-after-free, xuất hiện trong code triển khai DCCP (Datagram Congestion Control Protocol). Qúa trình giải phóng bộ nhớ DCCP 2 lần khiến người dùng có thể thay đổi bộ nhớ Kernel, điều này làm hệ điều hành bị đơ, người dùng vượt quyền hạn từ người dùng thường lên root.

Các server nằm trên hệ thống của TABATECH đã được vá lỗ hổng nghiêm trọng này!

Cách vá lỗ hổng

  • Nâng cấp kernel (recommend).
  • Đối với các hệ thống không load DCCP module thì có thể xử lý bằng cách tắt module này đi bằng lệnh:
echo >> /etc/modprobe.d/disable-dccp.conf

 

TABATECH.VN sẵn sàng lắng nghe và tư vấn miễn phí cho bạn, đứng ngần ngại liên hệ với chúng tôi!
Thành công của chúng tôi là giải quyết được vấn đề của bạn!

TABATECH.VN

Read More

Lỗ hổng bảo mật Dirty Cow leo quyền trong hầu hết kernel - CVE-2016-5195

Lỗ hổng DirtyCow đang tồn tại trên hầu hết các kernel linux, bao gồm cả Android.
Lỗ hổng này cho phép Hacker tấn công leo thang đặc quyền. Nghĩa là từ người dùng có quyền thường (normal users) có thể viết và chỉnh sửa các file mà lẽ ra người dùng Admin mới chỉnh sửa được (admin users). Ví dụ các file /etc/passwd, /etc/shadow,.. sẽ có thể thay đổi bởi những người dùng thường.

Các server nằm trên hệ thống của TABATECH đã được vá lỗ hổng nghiêm trọng này!

Các distro bị ảnh hưởng bao gồm:

  1. Red Hat Enterprise Linux 7.x
  2. Red Hat Enterprise Linux 6.x
  3. Red Hat Enterprise Linux 5.x
  4. CentOS Linux 7.x
  5. CentOS Linux 6.x
  6. CentOS Linux 5.x
  7. Debian Linux wheezy
  8. Debian Linux jessie
  9. Debian Linux stretch
  10. Debian Linux sid
  11. Ubuntu Linux precise (LTS 12.04)
  12. Ubuntu Linux trusty
  13. Ubuntu Linux xenial (LTS 16.04)
  14. Ubuntu Linux yakkety
  15. Ubuntu Linux vivid/ubuntu-core
  16. SUSE Linux Enterprise 11 and 12.

Làm thế nào để vá lỗ hổng DirtyCow?

(more…)

Read More

Cách phòng chống tấn công DDoS hiệu quả

Hôm nay TABATECH.VN đưa ra cách nhìn nhận tổng quát về dạng tấn công DDoS và đi sâu vào giải pháp để phòng chống dạng tấn công này. Đây là những kinh nghiệm vận hành từ đội ngũ chuyên gia bảo mật TABATECH.VN, mong có thể mang đến cộng đồng cách nhìn rộng và tổng quan về cách phòng chống tấn công DDoS.

Ở Việt Nam có rất nhiều website từng bị tấn công DDoS gây thiệt hại rất lớn, có những lúc bị tiêu thụ hết 10Gbps thậm chí 30Gbps băng thông Internet tiêu biểu như dantri.com.vn, vietnamnet.vn, muachung.vn, tuoitre.com.vn,.. Tấn công DDoS tấn công vào hạ tầng dịch vụ của các báo lớn, các tổ chức chỉnh phủ,.. nhằm một mục đích nào đó.
Đối với những Sysadmin quản trị hệ thống có nhiều kinh nghiệm cũng không khỏi lúng túng khi gặp loại tấn công DDoS trên hệ thống mình quản lý. Lý do: vì chúng đa dạng, thực hiện trên quy mô lớn, tính chất phân tán và có thể kẻ tấn công thực hiện nhiều loại tấn công cùng một lúc. Do vậy hiện cũng không có giải pháp toàn diện cụ thể nào để ngăn chặn loai tấn công này.

(more…)
Read More

Cách bảo mật website hiệu quả

    Bảo mật website là 1 khái niệm rộng, để làm được tốt công việc này đòi hỏi hiểu biết rộng và sâu về nhiều lĩnh vực như mạng (network), hệ thống thông tin (information system) và lập trình (programming).
Nhiều hệ thống thông tin hiện nay thường chỉ áp dụng 1 cách thức bảo mật nào đó như sử dụng tường lửa (firewall) hay đơn giản cài antivirus thì cho rằng hệ thống của họ đã an toàn, có thể chống chọi được hầu hết các mối nguy hại.

Chỉ như vậy thôi chưa đủ, những kẻ tấn công thường am hiểu về bảo mật. chúng có những cách thức tấn công rất tinh vi nhằm vào một mục đích cụ thể. Cho dù chúng sử dụng cách nào đi nữa, công việc của những nhà quản trị, những người vận hành hệ thống hãy thiệt lập các cơ chế bảo mật để hệ thống được hoạt động an toàn và hiệu quả.

 

Cách bảo mật website hiệu quả? Làm thế nào để bảo mật website tốt nhất?

(more…)
Read More