Tin tặc không tìm ra cách mới để truy cập vào máy chủ của bạn mỗi ngày. Ném bom zip là một trong những cách đơn giản nhưng hiệu quả nhất để thực hiện việc này.
Tần suất các cuộc tấn công mạng đang gia tăng mỗi ngày. Việc phát triển các biện pháp an ninh mạng thúc đẩy các tác nhân đe dọa tìm ra những cách mới. Đây là điều tự nhiên trong thế giới ngày nay, nơi dữ liệu quý hơn vàng vì mọi thông tin hiện đều ở trong môi trường ảo và không có gì có thể tin tặc mũ đen sẽ không làm gì để có được nó.
Bom Zip là gì?
Để giải thích việc ném bom zip, trước tiên chúng ta phải giải thích tệp ZIP là gì. Tệp ZIP là một kho lưu trữ tệp lưu trữ nhiều tệp dưới dạng một. Đây là định dạng nén không mất dữ liệu, có nghĩa là dữ liệu được nén mà không làm giảm chất lượng. Các tệp ZIP thường được sử dụng để giảm kích thước tệp để lưu trữ hoặc truyền tải dễ dàng hơn.
Mặt khác, bom zip là một tệp ZIP độc hại được thiết kế để làm tràn ngập dữ liệu trên hệ thống máy tính. Bom Zip thường được tạo bằng cách lồng đệ quy các tệp ZIP vào nhau. Đánh bom zip hoạt động bằng cách khai thác cách nén các tệp zip. Các tệp Zip sử dụng thuật toán nén có tên Deflate, rất hiệu quả trong việc nén dữ liệu. Tuy nhiên, Deflate cũng có một điểm yếu: nó có thể được sử dụng để tạo các tệp có kích thước lớn hơn nhiều khi giải nén so với khi nén.
Để tạo bom zip, kẻ tấn công sẽ tạo một tệp ZIP chứa một số lượng lớn các tệp giống hệt nhau. Những tệp này có thể là bất cứ thứ gì, chẳng hạn như tệp văn bản hoặc hình ảnh trống. Sau đó, kẻ tấn công sẽ nén tệp ZIP nhiều lần, mỗi lần sử dụng một mức nén khác nhau.
Quá trình này có thể tạo một tệp ZIP rất nhỏ khi nén nhưng rất lớn khi giải nén. Ví dụ: tệp bom zip có kích thước chỉ vài kilobyte có thể mở rộng lên hàng trăm gigabyte hoặc thậm chí terabyte khi được giải nén.
Bom Zip đệ quy và không đệ quy
Bom zip đệ quy hoạt động bằng cách lồng các tệp zip vào nhau. Ví dụ: bom zip đệ quy có thể chứa tệp zip chứa tệp zip khác, v.v. Khi nạn nhân mở zipbomb, máy tính sẽ cố gắng trích xuất tất cả các tệp zip lồng nhau. Điều này có thể nhanh chóng làm quá tải tài nguyên của máy tính và khiến máy bị hỏng.
Bom zip không đệ quy không sử dụng các tệp zip lồng nhau. Thay vào đó, họ dựa vào một kỹ thuật gọi là chồng chéo các tập tin. Tệp chồng chéo là các tệp chứa cùng một dữ liệu nhưng ở các vị trí khác nhau trong tệp zip. Khi máy tính cố gắng trích xuất một zipbom không đệ quy, nó sẽ trích xuất cùng một dữ liệu nhiều lần. Điều này cũng có thể làm quá tải tài nguyên của máy tính và khiến máy bị hỏng.
Bom zip không đệ quy hiệu quả hơn vì chúng có thể nhỏ hơn nhiều so với bom zip đệ quy. Ví dụ: bom zip không đệ quy có thể mở rộng lên 1TB có thể nhỏ tới 10MB. Điều này là do bom zip không đệ quy không cần chứa nhiều bản sao của cùng một dữ liệu.
Bom zip được sử dụng như thế nào trong các cuộc tấn công mạng?
Bom Zip thường được sử dụng trong các cuộc tấn công từ chối dịch vụ. Tấn công từ chối dịch vụ là một loại tấn công nhằm mục đích làm cho hệ thống máy tính không khả dụng đối với người dùng dự kiến. Trong một cuộc tấn công từ chối dịch vụ, kẻ tấn công sẽ làm tràn lưu lượng truy cập hoặc dữ liệu vào hệ thống máy tính, khiến hệ thống bị hỏng hoặc bị quá tải.
Bom Zip cũng có thể được sử dụng để phát tán phần mềm độc hại hoặc đánh cắp dữ liệu. Ví dụ: kẻ tấn công có thể gửi bom zip đến một công ty nhằm vô hiệu hóa phần mềm chống vi-rút của công ty đó. Sau khi phần mềm chống vi-rút bị vô hiệu hóa, kẻ tấn công có thể gửi phần mềm độc hại khác đến máy tính của công ty.
Sau đó, khi không có đủ dung lượng để lưu trữ dữ liệu, đặc biệt xảy ra ở một công ty không làm được điều đó. lưu trữ dữ liệu, ban đầu hệ thống trở nên không ổn định và chậm lại, sau đó hoàn toàn bị hỏng. Việc ném bom zip như thế này có thể mất rất nhiều thời gian để khắc phục theo cách thủ công nếu không thực hiện sao lưu trong thời gian ngắn.
Một hệ thống ổn định là giấc mơ của hacker và việc lấy được dữ liệu cá nhân/công ty sẽ dễ dàng hơn nhiều sau một cuộc tấn công như vậy.
Làm thế nào để bạn tự bảo vệ mình khỏi vụ đánh bom Zip?
Có một số bước bạn có thể thực hiện để bảo vệ máy chủ của mình khỏi cuộc tấn công bằng bom zip:
- Giới hạn kích thước của tập tin tải lên
- Kiểm tra kích thước chưa nén của file tải lên trước khi giải nén
- Giải nén tập tin zip vào một thư mục tạm thời
- Sử dụng tường lửa ứng dụng web (WAF)
Giới hạn kích thước của tập tin tải lên
Hầu hết các máy chủ web đều có giới hạn tích hợp về kích thước của tệp được tải lên. Giới hạn này phải được đặt thành giá trị đủ lớn để đáp ứng việc tải lên tệp hợp pháp nhưng đủ nhỏ để ngăn chặn bom zip được tải lên.
Để giới hạn kích thước tệp được tải lên trong Apache, bạn có thể sử dụng lệnh sau:
LimitRequestBody 1048576
Điều này sẽ giới hạn kích thước của tệp được tải lên ở mức 1 MB. Bạn có thể điều chỉnh giới hạn để đáp ứng nhu cầu của bạn.
Kiểm tra kích thước chưa nén của file tải lên trước khi giải nén
Một quả bom zip có thể được nén đến kích thước rất nhỏ, nhưng nó sẽ mở rộng đến kích thước lớn hơn nhiều khi được giải nén. Bạn có thể sử dụng thư viện zip để kiểm tra kích thước chưa nén của tệp zip trước khi giải nén. Nếu kích thước không nén lớn hơn một ngưỡng nhất định thì tệp sẽ bị từ chối.
Ví dụ: trong Python, bạn có thể sử dụng đoạn mã sau:
nhập tệp zip
def check_uncompression_size(zip_file):
tổng_size = 0
với zipfile.ZipFile(zip_file, 'r') là zip_ref:
để biết thông tin trong zip_ref.infolist():
tổng_size += info.file_size
trả lại tổng_sizenếu check_uncompression_size('my_file.zip') > 10000000:
# Tệp zip quá lớn, hãy từ chối nó
vượt qua
khác:
# Tệp zip được giải nén an toàn
extract_zip_file('my_file.zip')
Giải nén tập tin zip vào một thư mục tạm thời
Điều này sẽ ngăn bom zip lấp đầy ổ cứng máy chủ của bạn. Bạn có thể sử dụng đoạn mã sau trên Python để tạo thư mục tạm thời và giải nén tệp zip vào đó:
nhập tempfile
def extract_zip_file(zip_file):
temp_dir = tempfile.mkdtemp()
với zipfile.ZipFile(zip_file, 'r') là zip_ref:
zip_ref.extractall(temp_dir)# Làm gì đó với file được giải nén
vượt qua
Sử dụng tường lửa ứng dụng web (WAF)
WAF có thể được cấu hình để phát hiện và chặn các cuộc tấn công bằng bom zip. Để thiết lập tường lửa ứng dụng web (WAF), bạn sẽ cần:
- Chọn giải pháp WAF. Có nhiều giải pháp WAF khác nhau, cả thương mại và nguồn mở. Bạn nên chọn giải pháp đáp ứng nhu cầu cụ thể của mình, chẳng hạn như các loại tấn công bạn muốn chống lại, quy mô và độ phức tạp của ứng dụng web cũng như ngân sách của bạn. Các giải pháp WAF phổ biến nhất năm 2023 như sau:
- Triển khai giải pháp WAF. Khi bạn đã chọn giải pháp WAF, bạn sẽ cần triển khai nó trước ứng dụng web của mình. Điều này có thể liên quan đến việc định cấu hình máy chủ web hoặc bộ cân bằng tải của bạn để định tuyến lưu lượng truy cập qua WAF
- Định cấu hình quy tắc WAF. Hầu hết các giải pháp WAF đều đi kèm với một bộ quy tắc được cấu hình sẵn để bảo vệ khỏi các cuộc tấn công ứng dụng web phổ biến. Bạn cũng có thể tạo các quy tắc tùy chỉnh của riêng mình để bảo vệ khỏi các cuộc tấn công hoặc mối đe dọa cụ thể
- Theo dõi nhật ký WAF. Điều quan trọng là phải theo dõi nhật ký WAF để xác định bất kỳ cuộc tấn công nào đang bị chặn hoặc cố gắng thực hiện. Điều này sẽ giúp bạn đảm bảo rằng WAF hoạt động bình thường và xác định mọi mối đe dọa mới có thể xuất hiện
Hãy nhớ rằng, bất kỳ bước nào bạn thực hiện để đảm bảo an ninh mạng cho bạn và nhân viên của bạn đều không phải là bước bổ sung. Dữ liệu có giá trị bằng vàng và bạn là một thợ kim hoàn hiện đại.
Tín dụng hình ảnh nổi bật: rawpixel.com/Freepik.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://dataconomy.com/2023/11/07/what-is-a-zip-bomb-how-does-it-work/
