Câu Chuyện Một Phen Hú Vía
Vào thứ Sáu tuần trước, Long Béo tình cờ phát hiện một tín hiệu ARP lạ lùng lan tràn khắp mạng nội bộ trong phòng máy. Một địa chỉ IP 192.168.0.120, hoàn toàn không nằm trong danh sách cấu hình của chúng tôi, liên tục phát quảng bá qua các switch. Khi quét bằng nmap, chúng tôi phát hiện máy chủ bí ẩn này cung cấp đầy đủ các dịch vụ từ SSH, HTTP, HTTPS đến VNC. Thế nhưng mỗi lần định kết nối vào để điều tra, kết nối lại bị ngắt một cách khó hiểu. Điều khiến chúng tôi càng thêm bối rối là địa chỉ MAC tương ứng với IP đó cứ thay đổi như ma trận.
Những hiện tượng kỳ quái này khiến cả nhóm không khỏi lo lắng: “Liệu đây có phải là cuộc tấn công từ hacker?” Hệ thống tường lửa của chúng tôi tuy được thiết lập nghiêm ngặt, nhưng cũng biết đâu có kẽ hở nào chưa phát hiện? Dù vậy, với kiến trúc mạng phân tầng và quy trình bảo mật từng bước, khả năng xâm nhập diện rộng gần như không thể xảy ra. Đặc biệt là các máy chủ không cho phép kết nối từ mạng ngoài, muốn lây nhiễm chúng bắt buộc phải qua mặt được những máy chủ đã mở cổng từ Internet vào.
Tuy nhiên, sau nhiều giờ truy tìm, chúng tôi vẫn chưa thể xác định được thủ phạm. Khi kiểm tra bảng ARP trên switch, hàng loạt địa chỉ IP lạ xuất hiện như nấm mọc sau mưa ở khắp các cổng kết nối. Đến lúc này, ngay cả thiết bị switch cũng trở thành tình nghi số một. “Liệu có lỗ hổng ẩn nào trong giao thức ARP mà chúng ta chưa biết?” - Tí Nhện cau mày suy nghĩ. Lý thuyết mạng học nói rằng địa chỉ MAC chỉ được học từ cổng vật lý nơi gói tin đến, ví dụ máy cắm ở cổng 1 không thể giả mạo được MAC của thiết bị ở cổng 2. Vậy mà thực tế lại cho thấy một rừng địa chỉ MAC vô danh đang tung hoành ngang dọc trong hệ thống.
Chúng tôi đành triển khai chiến thuật “đóng băng” từ từ. Vì không thể ngắt điện các máy chủ đang chạy dịch vụ quan trọng, cả nhóm phải mày mò thiết lập các quy tắc filter trên switch để chặn từng địa chỉ MAC đáng ngờ. Hai chiếc switch mắc nối tiếp nhau đều gặp triệu chứng giống nhau, chúng tôi quyết định cô lập chúng để tìm “ổ dịch”. Bằng chứng dần tập trung về một cái tên bất ngờ nhất: một máy chủ Linux vốn được coi là “bất khả xâm phạm” vì cấu hình bảo mật cao.
Cả nhóm lao vào kiểm tra kỹ lưỡng. Vì không thể dừng máy, cậu bạn Ốc Sên phải viết riêng một tool nhỏ để quét toàn bộ hệ thống, từ danh sách thiết bị mạng ảo đến các file handler trong kernel. “Nếu đây là phần mềm gián điệp, thì đây chắc chắn là loại siêu đẳng cấp!” - Ốc thở dài. “Phải tự viết lại stack mạng từ đầu mới mong qua mặt được công cụ quét của chúng ta.”
Đêm hôm đó, khi đã chặn gần hết các MAC lạ, chúng tôi tiến hành bước cuối cùng. Trên máy Linux, chúng tôi thiết lập ARP static binding cho địa chỉ còn lại, đồng thời dùng SSH tunnel chuyển tiếp cổng 80 và 443 về văn phòng. Khi trang web bí ẩn hiện ra, cả nhóm đồng loạt bật cười: đó chính là giao diện quản lý iDRAC được tích hợp sẵn trong các server DELL!
Hóa ra vấn đề nằm ở bản cấu hình mặc định của nhà sản xuất. Toàn bộ server cùng lô đều mang chung địa chỉ IP quản lý, dẫn đến xung đột khi cùng kết nối vào một switch. Những tín hiệu ARP “ma” kia chính là tiếng kêu cứu từ các card mạng tích hợp iDRAC, thứ mà nhân viên kỹ thuật phòng máy không thể phát hiện vì được thiết kế ẩn hoàn toàn. Phải đến tận khi tận mục sở thị, chúng tôi mới hiểu vì sao sự cố tưởng như nghiêm trọng lại có nguồn gốc giản đơn đến thế.