Cảnh báo: Hacker đang lợi dụng UPnP để tránh các biện pháp giảm thiểu cuộc tấn công DDoS.

Buzz

Ngày cập nhật gần nhất: 15/7/2025

Đọc tóm tắt

- Hacker sử dụng UPnP để né tránh giải pháp giảm thiểu cuộc tấn công DDoS.
- UPnP được sử dụng để che giấu cổng nguồn trong DDoS flood.
- Cảnh báo về việc hacker tận dụng UPnP để né tránh biện pháp giảm thiểu tấn công DDoS.
- UPnP hỗ trợ kẻ tấn công trong việc che giấu cổng nguồn.
- Kỹ thuật UPnProxy được áp dụng trong các cuộc tấn công DDoS.
- Các cuộc tấn công DDoS amplification sử dụng UPnProxy để ẩn cổng nguồn.
- Imperva phát hiện và thử nghiệm script in-house proof-of-concept.
- Lời khuyên cho người dùng router về việc vô hiệu hóa hỗ trợ UPnP nếu không sử dụng.
- Discord kỷ niệm 3 năm ra mắt với cải tiến mới cho Fortnite và nâng cao hiệu suất hoạt động.

Cảnh báo: Hacker sử dụng UPnP để né tránh các giải pháp giảm thiểu cuộc tấn công DDoS. Nguồn tin cho biết kẻ tấn công đang thử nghiệm phương thức mới để tránh một số giải pháp nhằm giảm thiểu các cuộc tấn công DDoS bằng cách sử dụng UPnP để che giấu cổng nguồn các gói mạng được gửi trong DDoS flood

Trong một báo cáo được công bố vào thứ Hai, Imperva thông báo họ đã phát hiện ít nhất 2 cuộc tấn công DDoS sử dụng kỹ thuật này.

Bằng cách che giấu các cổng gốc của các gói mạng, Imperva cho biết các hệ thống áp dụng giải pháp cũ để giảm thiểu DDoS dựa vào thông tin này để chặn các cuộc tấn công sẽ phải cập nhật các giải pháp phức tạp hơn dựa trên DPI (Deep Packet Inspection), với chi phí và tốc độ xử lý chậm hơn.

Cảnh báo: Hacker đang tận dụng UPnP để né tránh biện pháp giảm thiểu tấn công DDoS.

Phương thức UPnP hỗ trợ kẻ tấn công

Vấn đề chính là giao thức Universal Plug and Play (UPnP), sử dụng công nghệ phát triển để đơn giản hóa việc phát hiện các thiết bị cục bộ trên mạng.

Một trong những tính năng của giao thức này là khả năng chuyển tiếp kết nối từ Internet vào mạng cục bộ, UPnP thực hiện điều này bằng cách ánh xạ các kết nối (Internet) từ IP port: đến dịch vụ IP:port cục bộ.

Tính năng này không chỉ giúp vượt qua tường lửa NAT mà còn cho phép quản trị viên kiểm soát quyền truy cập từ xa vào các dịch vụ chỉ có sẵn trên mạng nội bộ.

Theo các nhà nghiên cứu tại Imperva, một số router quan tâm đến việc xác minh địa chỉ IP nội bộ và tuân thủ các quy tắc chuyển tiếp.

Nghĩa là nếu kẻ tấn công chiếm quyền kiểm soát bảng ánh xạ cổng, họ có thể sử dụng router như một proxy để định tuyến các địa chỉ IP Internet.

Loại tấn công này không còn xa lạ gì nữa. Akamai đã mô tả kỹ thuật này trước khi phát hiện botnet và các nhóm gián điệp mạng quốc gia sử dụng router gia đình để ẩn lưu lượng truy cập độc hại.

UpnP thường được sử dụng để hỗ trợ trong việc chơi game, đặc biệt là trong các trò chơi như Đế Chế, AOE 1, UnPlug n' Pray. Tuy nhiên, việc tắt UpnP có thể giúp người chơi khắc phục vấn đề không thể kết nối mạng trong trò chơi Đế Chế AOE.

Kỹ thuật UPnProxy thường được áp dụng trong các cuộc tấn công DDoS.

Các nhà nghiên cứu của Imperva cũng nhấn mạnh rằng kỹ thuật này có thể bị lạm dụng trong các cuộc tấn công DDoS để ẩn đi cổng nguồn, tạo ra các cuộc tấn công DDoS amplification, còn được gọi là cuộc tấn công DDoS reflection.

Các cuộc tấn công DDoS amplification thường dựa trên việc kẻ tấn công phát tán gói tin độc hại từ máy chủ từ xa đến máy tính nạn nhân thông qua địa chỉ IP giả mạo.

Trong chiến dịch tấn công DDoS amplification cũ, cổng nguồn thường là cổng của dịch vụ bị tấn công. Ví dụ, các gói tin từ máy chủ DNS trong cuộc tấn công DNS amplification thường có cổng nguồn là cổng 53, trong khi các cuộc tấn công NTP amplification thường sử dụng cổng 123.

Điều này giúp giảm thiểu nguy cơ phát hiện và chặn các cuộc tấn công DDoS amplification bằng cách chặn tất cả các gói tin đến từ một cổng nguồn cụ thể.

Tuy nhiên, bằng cách sử dụng UPnProxy, kẻ tấn công có thể thay đổi bảng ánh xạ cổng của các router dễ bị tấn công và sử dụng chúng để ẩn đi cổng nguồn của các cuộc tấn công DDoS và tấn công nạn nhân.

Để hiểu rõ hơn về các cuộc tấn công DDoS, bạn có thể tham khảo bài viết Cách thức hoạt động để bảo vệ khỏi cuộc tấn công DDoS tại đây.

Các cuộc tấn công DDoS hiện đang sử dụng cổng nguồn che giấu đã xuất hiện tự nhiên.

Imperva thông báo rằng họ đã thành công trong việc phát triển và thử nghiệm script in-house proof-of-concept, và đã sao chép một trong hai cuộc tấn công DDoS mà họ phát hiện trong tự nhiên.

Mã PoC đã được phát triển để tìm kiếm các router có file rootDesc.xml phơi nhiễm - nơi chứa cấu hình port mapping, và thêm các quy tắc port mapping tùy chỉnh để che giấu cổng nguồn, sau đó tiến hành cuộc tấn công DDoS amplification. Tuy nhiên, công ty đã quyết định không phát hành mã PoC vì một số lý do.

Các cuộc tấn công mà Imperva phát hiện trong tự nhiên được cho là sử dụng giao thức UpnP để ẩn cổng nguồn, tận dụng giao thức DNS và NTP trong DDoS flood. Tuy nhiên, kỹ thuật này không khả thi cho kỹ thuật DDoS amplification mà kẻ tấn công đã chọn sử dụng.

'Hy vọng rằng những phát hiện này sẽ giúp ngành công nghiệp giảm thiểu các cuộc tấn công bằng cách chuẩn bị các chiến lược, giải pháp tốt nhất để ngăn chặn các kỹ thuật tấn công được mô tả trước khi chúng trở nên phổ biến hơn', nhóm nghiên cứu của Imperva chia sẻ.

'Chúng tôi cũng mong rằng những phát hiện này sẽ cung cấp thông tin bổ sung cho các cơ quan nghiên cứu bảo mật để tập trung vào các mối đe dọa bảo mật liên quan đến UPnP và nâng cao nhận thức về bảo mật cho các nhà sản xuất và nhà phân phối IoT'.

Trong tương lai, kỹ thuật này chắc chắn sẽ trở nên phổ biến hơn. Lời khuyên dành cho người dùng router là nếu phát hiện lỗ hổng UpnProxy, hãy ngay lập tức vô hiệu hóa hỗ trợ UpnP nếu không sử dụng tính năng này.

Discord hiện là một trong những ứng dụng nhắn tin, trò chuyện hàng đầu, đặc biệt là đối với cộng đồng game thủ. Sau nhiều năm phát triển và cập nhật liên tục, Discord đã kỷ niệm 3 năm ra mắt với các cải tiến mới cho Fortnite và nâng cao hiệu suất hoạt động, đảm bảo sự ổn định khi số người sử dụng tăng lên từng ngày.

Các câu hỏi thường gặp

Hacker sử dụng kỹ thuật nào để né tránh tấn công DDoS?

Hacker đang sử dụng kỹ thuật UPnP để né tránh các biện pháp giảm thiểu tấn công DDoS. Bằng cách này, họ có thể che giấu cổng nguồn của các gói mạng và làm khó việc phát hiện và chặn các cuộc tấn công.

Tại sao giao thức UPnP lại được xem là nguy hiểm trong bảo mật mạng?

Giao thức UPnP có khả năng cho phép kẻ tấn công chiếm quyền kiểm soát bảng ánh xạ cổng trên router. Điều này giúp họ sử dụng router như một proxy để ẩn lưu lượng truy cập độc hại, tạo ra mối đe dọa lớn cho mạng nội bộ.

Những biện pháp nào giúp người dùng bảo vệ mạng khỏi tấn công DDoS?

Người dùng nên vô hiệu hóa UPnP nếu không cần thiết, cập nhật firmware cho router thường xuyên và sử dụng các giải pháp bảo mật mạng mạnh mẽ. Ngoài ra, việc theo dõi lưu lượng mạng cũng rất quan trọng để phát hiện sớm các hành vi đáng ngờ.

Có những loại tấn công DDoS nào đang phổ biến hiện nay?

Các loại tấn công DDoS phổ biến hiện nay bao gồm DDoS amplification và DDoS reflection. Những cuộc tấn công này thường sử dụng các giao thức như DNS và NTP để tạo ra lưu lượng lớn nhằm tấn công các máy chủ mục tiêu.

Làm thế nào để phát hiện và ngăn chặn các cuộc tấn công DDoS?

Để phát hiện và ngăn chặn các cuộc tấn công DDoS, người quản trị mạng cần áp dụng các công nghệ giám sát như DPI (Deep Packet Inspection) và triển khai các giải pháp bảo mật chuyên dụng. Việc phân tích lưu lượng mạng có thể giúp phát hiện sớm các dấu hiệu của cuộc tấn công.

Tại sao người dùng nên tắt UPnP trên router của mình?

Có, người dùng nên tắt UPnP trên router của mình nếu không cần thiết, vì điều này giúp giảm thiểu nguy cơ bị tấn công. UPnP có thể tạo ra lỗ hổng bảo mật lớn, cho phép kẻ tấn công chiếm quyền kiểm soát và ẩn các hoạt động độc hại.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]