Cách khiến cả thế giới gửi báo cáo lạm dụng đến người bạn thân nhất của bạn

 (delroth.net)
1 điểm bởi GN⁺ 2024-10-30 | 1 bình luận | Chia sẻ qua WhatsApp

Giới thiệu

  • Bài viết này nói về trải nghiệm cá nhân liên quan đến bảo mật, mạng và các báo cáo lạm dụng.
  • Tác giả đã nhận được báo cáo rằng máy chủ của mình bị nhiễm mã độc, nhưng sau khi điều tra đã xác nhận không có vấn đề gì.

Khởi đầu sự việc

  • Tác giả nhận được email từ Hetzner cho biết địa chỉ IP của mình đã bị báo cáo lạm dụng.
  • Trên máy chủ có phát hiện các nỗ lực kết nối SSH bất thường, nhưng thực tế không phải là kết nối từ máy chủ ra bên ngoài mà là các gói TCP reset được gửi từ bên ngoài vào máy chủ.

IP spoofing

  • Trên Internet, IP spoofing là hành vi gửi gói tin bằng cách giả mạo địa chỉ IP nguồn.
  • BCP38 khuyến nghị chỉ cho phép các địa chỉ IP được mong đợi khi truyền gói IP giữa các mạng, nhưng không phải mọi mạng đều tuân theo điều này.

Suy đoán về động cơ

  • Kẻ tấn công giả mạo IP nguồn để gửi yêu cầu kết nối đến cổng 22, từ đó làm phát sinh các báo cáo lạm dụng tự động.
  • Đây có thể là một cuộc tấn công nhắm vào một số node trong mạng Tor.

Liên hệ với Tor

  • Tor relay có vai trò chuyển tiếp lưu lượng đã được ẩn danh và không kết nối trực tiếp với Internet bên ngoài.
  • Tuy nhiên, một số người dùng Internet không thích Tor và có thể có những nỗ lực nhằm vô hiệu hóa nó.

Kết luận

  • Internet đã có vấn đề từ 25 năm trước và đến nay vẫn vậy.
  • IP spoofing vẫn là một vấn đề, và các quy tắc bảo mật như BCP38 vẫn chưa được thực thi đúng cách.
  • Nếu bạn nhận được những báo cáo lạm dụng như vậy, bạn sẽ biết cách giải thích với nhà cung cấp dịch vụ lưu trữ rằng máy chủ mới là nạn nhân.

# Tóm tắt của GN⁺

  • Bài viết bàn về vấn đề bảo mật liên quan đến IP spoofing và giải thích mối liên hệ với mạng Tor.
  • Nhấn mạnh tầm quan trọng của bảo mật Internet và sự cần thiết của BCP38.
  • Các dự án có chức năng tương tự có thể bao gồm nhiều công cụ mạng bảo mật khác nhau được đề xuất.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-10-30
Ý kiến trên Hacker News

  • Vấn đề giả mạo IP rất khó giải quyết vì cả tác nhân độc hại lẫn người dùng vô tội đều có thể dùng cùng một lời biện minh

    • Internet đã có vấn đề này từ 25 năm trước và đến nay vẫn chưa được giải quyết
    • Vấn đề địa chỉ IP bị giả mạo vẫn còn tồn tại ngay cả trong năm 2024, và cộng đồng Internet không ép buộc các quy tắc bảo mật để xử lý việc này

  • Trước đây đã triển khai các quy tắc tường lửa cơ bản, nhưng vẫn phát sinh sự cố do các gói tin bị giả mạo

    • Đã nhận các gói tin giả mạo từ một IP cụ thể và phải điều chỉnh quy tắc tường lửa để xử lý
    • Việc vận hành nhiều địa chỉ IP là quan trọng, và nếu ISP áp dụng lọc theo nguồn thì sẽ đổi sang ISP khác

  • Nếu tìm được nhà cung cấp truyền tải không áp dụng lọc BCP38, bạn có thể gửi gói tin với bất kỳ IP nguồn nào mình muốn

    • Nguồn gốc của BCP38 có từ năm 1998, nhưng đến nay vẫn còn các nhà cung cấp mạng không triển khai nó
    • Để ngăn chặn giả mạo, cần từ chối lưu lượng từ mọi AS không triển khai BCP38

  • Lý thuyết của ai đó ghét các relay Tor có vẻ không có nhiều giá trị

    • Có thể đây là nỗ lực vận hành relay độc hại trong khi cố loại bỏ các relay hợp pháp

  • Đây là vấn đề tương tự swatting, dựa vào việc cơ quan chức năng thực hiện hành động nghiêm trọng dựa trên nguồn gốc của một vấn đề chưa được xác minh

    • Điểm khác biệt là khiếu nại được đưa ra thông qua một bên không liên quan

  • Trước đây đã từng quét các bộ phản xạ DrDoS, và nhà cung cấp đám mây đã nhận một lượng lớn khiếu nại

    • Máy chủ gửi các gói quét giả mạo sẽ không bị phát hiện và có thể quét Internet lặp đi lặp lại
    • Có thể truy vết nguồn gốc của các gói giả mạo, nhưng cần có sự hợp tác với nhà cung cấp truyền tải

  • Hệ thống không nên tự động báo cáo lạm dụng chỉ vì một gói tin đơn lẻ, mà chỉ nên báo cáo khi lưu lượng đạt mức từ chối dịch vụ

    • Với SSH, trước khi bắt tay diễn ra thì chưa thể xem là một nỗ lực kết nối hợp lệ

  • Giả mạo IP là vấn đề tương tự như swatting, patent trolling và vu khống người vô tội

    • Đây là cách dùng cơ chế bảo vệ chống lạm dụng như một vũ khí để tấn công mục tiêu mình ghét
    • Cơ quan chức năng có thể trở thành điểm yếu và bị các tác nhân độc hại vũ khí hóa

  • Nếu chiếm quyền cuộc tấn công và gửi gói tin đến tất cả mọi người, có thể khiến nhà cung cấp bị ngập trong email báo lạm dụng đến mức cuộc tấn công không còn hiệu quả

    • Honeypot có thể không gửi email báo lạm dụng, hoặc nhà cung cấp có thể lọc chúng đi