Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công -

Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công -

Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công -

Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công -

Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công -
Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công -
(028) 35124257 - 0933 427 079

Bên Trong Bộ Não của NGFW: Cách IPS "Giải Phẫu" Từng Gói Tin Để Phát Hiện Tấn Công

31-07-2025
Trong hệ thống tường lửa thế hệ tiếp theo (Next-Generation Firewall – NGFW), công nghệ Intrusion Prevention System (IPS) không đơn thuần chỉ dựa vào địa chỉ IP hay cổng để chặn lưu lượng đáng ngờ. Thay vào đó, nó sử dụng kỹ thuật phân tích sâu gói tin (Deep Packet Inspection – DPI) để tái cấu trúc, phân tích và xác định các mối đe dọa tiềm ẩn với độ chính xác cao. IPS hoạt động như một lớp an ninh chủ động, giúp phát hiện các hành vi độc hại ẩn sâu bên trong dữ liệu truyền tải, kể cả khi các hành vi đó vượt qua các bộ lọc thông thường.
Firepower NGFW triển khai IPS theo nhiều giai đoạn kỹ thuật khắt khe, bao gồm các loại phân tích chính sau:
 
1. Bóc tách gói tin (Packet Disassembly)
Khi một gói tin đi qua NGFW, hệ thống sẽ:
  • Chặn tạm thời để phân tích thay vì cho phép đi qua ngay.
  • Tách riêng header (IP, TCP, UDP, HTTP…) khỏi phần payload.
  • Nếu là lưu lượng được mã hóa (ví dụ: HTTPS), NGFW sẽ giải mã SSL/TLS nếu tính năng SSL Inspection được bật.
Việc bóc tách cho phép IPS nhìn rõ hơn về nội dung thực sự bên trong gói tin, từ đó tránh bị “qua mặt” bởi các kỹ thuật che giấu như tunneling hoặc mã hóa nội dung.
 
2. Tái cấu trúc phiên làm việc (Flow Reassembly)
Các kết nối TCP thường chia nhỏ dữ liệu thành nhiều gói:
  • IPS sẽ tái lắp ráp toàn bộ phiên giao tiếp (TCP stream) để đảm bảo phân tích đầy đủ.
  • Nhờ đó, các đoạn mã độc bị phân mảnh hoặc chia nhỏ trong nhiều gói mới bị phát hiện đầy đủ.
Ví dụ: Một payload chứa shellcode được chia ra trong 5 gói TCP, hệ thống IPS sẽ hợp nhất lại trước khi phân tích.
 
3. Phân tích nội dung (Payload Inspection)
Sau khi tái tạo phiên, IPS sử dụng các công cụ sau:
  • Signature-based detection: So khớp với mẫu tấn công có sẵn (Snort rules).
  • Protocol decoders: Hiểu rõ cách hoạt động của các giao thức (HTTP, DNS, SMB…) để phát hiện bất thường.
  • Heuristic/Behavioral detection: Nhận diện hành vi lạ chưa từng ghi nhận (zero-day attack).
Thông tin được ghi nhận bao gồm:
  • Thời điểm, địa chỉ IP nguồn/đích, cổng dịch vụ.
  • Loại tấn công: buffer overflow, remote code execution, port scan…
  • Tham chiếu Snort SID để tra cứu chi tiết mẫu tấn công.
4. Tác động và phản ứng (Action & Enforcement)
Khi phát hiện mối đe dọa, IPS thực hiện hành động dựa trên chính sách:
  • Drop: Loại bỏ gói tin ngay lập tức.
  • Reset: Ngắt kết nối hai chiều giữa client và server.
  • Alert: Ghi nhật ký và gửi cảnh báo đến quản trị viên hoặc SIEM.
IPS có thể tùy biến hành động theo mức độ nghiêm trọng của mỗi chữ ký (severity level).
 
5. Đóng gói lại và chuyển tiếp (Repackaging & Forwarding)
Nếu gói tin không có dấu hiệu nguy hiểm:
  • IPS sẽ đóng gói lại dữ liệu, gắn đúng header và các tham số kỹ thuật (checksum, sequence number…).
  • Dữ liệu được chuyển tiếp đến đích mà không ảnh hưởng đến tính toàn vẹn của phiên.
Đây là bước quan trọng để đảm bảo không làm gián đoạn giao tiếp hợp lệ trong môi trường sản xuất.
 
Tình huống thực tế:
Một user trong mạng nội bộ truy cập website và tải về một file PDF. Payload trong TCP stream bị chia thành nhiều đoạn. Trong một trong các đoạn, ẩn bên trong là shellcode khai thác lỗ hổng Adobe Reader cũ.
  • IPS tiến hành tái cấu trúc TCP stream.
  • Phân tích payload phát hiện đoạn mã độc, khớp với một Snort signature (SID 2100456).
  • Kết nối bị reset, và một bản ghi Intrusion Event được tạo, với chi tiết về IP, file, SID và hành vi bị phát hiện.
 
Tổng kết
Công nghệ IPS trên Firepower NGFW không đơn giản là "nhìn vào tiêu đề", mà là quá trình phân tích chi tiết từng gói dữ liệuxây dựng lại toàn bộ luồng thông tin, và phát hiện hành vi độc hại một cách chủ động và thông minh. Điều này làm cho hệ thống trở nên cực kỳ mạnh mẽ trong việc ngăn chặn tấn công tinh vi, và đóng vai trò cốt lõi trong kiến trúc phòng thủ mạng hiện đại.

Thông tin khác

FORM ĐĂNG KÝ MUA HÀNG
Đặt hàng
icon-cart
0