Network Monitoring [IPS/IDS]-[Lý thuyết] #3: Tìm hiểu các giao thức liên quan

Mục Lục​

I. Giới Thiệu​

II. Các giao thức mạng liên quan đến IPS/IDS​

III. Những thách thức khi phân tích giao thức​

---

I. Giới Thiệu​

Trong thế giới mạng ngày nay, các hệ thống Phát hiện và Ngăn chặn xâm nhập (IDS/IPS) không còn là một lớp bảo vệ tùy chọn, chúng là tuyến phòng thủ bắt buộc trong một hệ thống an ninh mạng vững chắc. Nhưng liệu bạn có biết rằng IDS/IPS không chỉ hoạt động ở một tầng duy nhất của mô hình mạng?
Thực tế, IDS/IPS có khả năng can thiệp và giám sát tại nhiều tầng trong mô hình OSI/TCP-IP, từ tầng data link cho đến tầng application. Mỗi tầng mạng có các giao thức đặc trưng và cũng bị khai thác bởi các kiểu tấn công khác nhau. Do đó, hiểu rõ cách IPS/IDS vận hành tại từng tầng sẽ giúp bạn triển khai và tối ưu khả năng phòng thủ mạng hiệu quả hơn.

II. Các giao thức mạng liên quan đến IPS/IDS​

1. Layer 2 – Data Link​

Giao thức tiêu biểu:

• ARP (Address Resolution Protocol)
• Ethernet (MAC)

Các kiểu tấn công phổ biến:

• ARP Spoofing / ARP Poisoning: Giả mạo gói ARP để chuyển hướng lưu lượng mạng.
• MAC Flooding: Gửi hàng loạt frame với MAC giả để làm đầy bảng CAM của switch.

IPS/IDS có thể can thiệp như sau:

• Phân tích frame ARP để phát hiện mẫu ARP giả.
• Theo dõi số lượng MAC mới xuất hiện trên một cổng để phát hiện MAC flooding.

Khả năng ngăn chặn:

• Ngăn chặn được: Dễ dàng phát hiện các gói ARP bất thường nếu kết hợp với các kỹ thuật như Dynamic ARP Inspection (DAI).
• Gặp khó khăn: Một số biến thể ARP spoofing tinh vi (kết hợp cùng delay hoặc gửi đều) có thể qua mặt IDS.

2. Layer 3 – Network​

Giao thức tiêu biểu:

• IPv4, IPv6
• ICMP (Internet Control Message Protocol)

Các kiểu tấn công phổ biến:

• IP Spoofing: Giả địa chỉ IP nguồn.
• ICMP Flood (Ping Flood): DDoS bằng gói ICMP.
• ICMP Tunneling: Che giấu dữ liệu trong gói ICMP.
• IP Fragmentation Attack: Chia nhỏ gói IP để né tránh hệ thống phát hiện.

IPS/IDS có thể can thiệp như sau:

• Phân tích header IP để xác định địa chỉ bất thường.
• Xác định gói bị phân mảnh bất thường hoặc lặp fragment.
• Giới hạn tốc độ ICMP để giảm tấn công DDoS.

Khả năng ngăn chặn:

• Ngăn chặn được: ICMP Flood, IP Spoofing, Fragmentation bất thường với cấu hình đúng.
• Gặp khó khăn: ICMP tunneling nếu mã hóa tốt hoặc chia nhỏ gói tin lén lút.

3. Layer 4 – Transport​

Giao thức tiêu biểu:

• TCP (Transmission Control Protocol)
• UDP (User Datagram Protocol)

Các kiểu tấn công phổ biến:

• TCP SYN Flood: Gửi nhiều SYN để làm đầy bảng trạng thái kết nối.
• Port Scanning (TCP, UDP): Dò quét cổng dịch vụ đang mở.
• UDP Flood: Gửi hàng loạt gói UDP đến các cổng ngẫu nhiên.

IPS/IDS có thể can thiệp như sau:

• Phân tích handshake TCP để xác định tấn công SYN Flood.
• Theo dõi pattern scan cổng theo IP/timeframe.
• Giới hạn tốc độ gói UDP theo địa chỉ/cổng.

Khả năng ngăn chặn:

• Ngăn chặn được: SYN Flood, UDP Flood, Port Scanning nhanh.
• Gặp khó khăn: Port scanning ngụy trang, tấn công low & slow (rất chậm), DDoS lớn có thể gây quá tải hệ thống.

4. Layer 7 – Application​

Giao thức tiêu biểu:

• HTTP/HTTPS, FTP, SMTP, DNS, SMB, SSH, Telnet, RDP...

Các kiểu tấn công phổ biến:

• SQL Injection (SQLi), XSS, LFI/RFI, Web Shells
• DNS Tunneling, DNS Amplification
• Brute-force (SSH, FTP, RDP)
• Malware tải qua HTTP (Command & Control)

IPS/IDS có thể can thiệp như sau:

• Phân tích payload HTTP để tìm mẫu SQLi, XSS.
• Theo dõi DNS query bất thường (trường dài, tần suất cao).
• Phát hiện hành vi brute-force qua số lượng kết nối thất bại.
• So khớp mẫu C2 traffic từ danh sách IOC.

Khả năng ngăn chặn:

• Ngăn chặn được: Web attack phổ biến (SQLi, XSS, Path Traversal), DNS Amplification, Brute-force.
• Gặp khó khăn:
  • Mã hóa (HTTPS, SSH): Không thấy được nội dung nếu không bật SSL Inspection.
  • Zero-day / Polymorphic Malware: Không có chữ ký rõ ràng.
  • Tấn công logic: Rất khó phát hiện nếu không hiểu ứng dụng.

III. Những thách thức khi phân tích giao thức​

• Mã hóa mạnh mẽ (HTTPS, SSH): Không thể thấy payload nếu không giải mã được.
• Tài nguyên tính toán: Phân tích tầng ứng dụng với tốc độ cao rất tốn CPU.
• Evasion Techniques: Sử dụng fragmentation, encoding lạ, DNS/ICMP tunneling.
• False Positives/Negatives: Phát hiện sai, gây mất kết nối dịch vụ hợp lệ.
• Cập nhật không kịp thời: Không theo kịp mẫu tấn công mới.

Kết luận​

IPS/IDS là công cụ vô cùng mạnh mẽ khi được triển khai đúng cách, nhờ khả năng quan sát đa tầng mạng và xử lý tấn công ở nhiều cấp độ khác nhau. Tuy nhiên, việc hiểu rõ mỗi tầng, giao thức và kỹ thuật tấn công là điều bắt buộc để cấu hình và tối ưu hệ thống hiệu quả.
Không có giải pháp hoàn hảo, nhưng bằng cách kết hợp kiến thức mạng, nhận diện mẫu tấn công và tối ưu cấu hình hệ thống, chúng ta có thể xây dựng một lớp phòng thủ chủ động và thích ứng với mọi mối đe dọa.

#IPS/IDS #IPS #IDS #IDPS