Payload là gì? Sự ảnh hưởng và cách phòng chống trong bảo mật
Theo tìm hiểu Payload là một thuật ngữ phổ biến mà những người quan tâm đến công nghệ đều ít nhất một lần được nghe đến, đồng thời có ý nghĩa quan trọng trong lĩnh vực an ninh mạng hiện nay. Cùng Bizfly Cloud tìm hiểu rõ hơn về Payload và những cách phòng chống những tác nhân gây hại của nó ra sao ngay tại bài viết dưới đây.
Payload là gì?
Trong công nghệ máy tính hay truyền thông, Payload được biết đến là phần dữ liệu vận chuyển một gói tin giữa 2 đối tác, mà trong đó không chứa dữ liệu giao thức hay siêu dữ liệu, nó chỉ được gửi đi để dùng cho việc chuyên chở payload. Payload gửi đi thường dưới dạng văn bản, dấu hiệu hay âm thanh. Khi đó, Payload thường nằm dưới phần đầu (header), và tùy theo giao thức mạng có thể có thêm phần cuối (trailer).
Trong an ninh mạng, Payload lại là một phần của một malware như sâu máy tính hay còn gọi là một loại virus, một đoạn code được chạy trên máy nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó điển hình như hủy bỏ dữ liệu, gửi spam hay mã hóa dữ liệu. Đặc biệt, Payload malware có thể được phân phối bởi một loạt các vector bao gồm worm, phishing và các cơ chế phân phối khác.
Ngoài ra, các tác giả phần mềm độc hại thường mã hóa payload để ẩn malware khỏi các sản phẩm để ngăn chặn các phần mềm độc hại.
Trong lĩnh vực lập trình máy tính, thuật ngữ này được sử dụng nhằm phân biệt giao thức overhead với dữ liệu thực tế.
Trong mạng máy tính, dữ liệu được vận chuyển chính là payload, nó thường được gói trong một frame, bao gồm framing bit và một frame check sequence. Điển hình như Ethernet frame, Point-to-Point Protocol (PPP) frame, Kênh sợi quang frame, và V.42 modem frame.
Payload được biết đến là phần dữ liệu vận chuyển một gói tin giữa 2 đối tác
Malware Payload ảnh hưởng như thế nào?
Để tạo ra phần mềm độc hại có thể thực thi được thì hầu hết mọi loại malware đều có thể được tích hợp vào một payload, thường là với sự trợ giúp của trình tạo payload. Các tác nhân độc hại, cũng như những người kiểm tra khả năng thâm nhập sẽ sử dụng trình tạo payload để kết hợp một malware có thể thực thi vào một payload để phân phối nhằm hướng tới các mục tiêu. Hơn thế, dự án Metasploit là một dự án mã nguồn mở bao gồm các tài nguyên sinh ra để nghiên cứu các lỗ hổng bảo mật, bao gồm một trình tạo payload.
Ngoài ra, trình tạo payload chấp nhận shellcode, ở đây thường là một chuỗi mã ngắn có thể kích hoạt một lệnh command shell để khai thác trên mục tiêu và tạo một file nhị phân thực thi nhằm cho phép phân phối payload.
Sau khi đã được phân phối và thực hiện, quá trình phân phối payload sẽ cho phép lây nhiễm hệ thống đã được nhắm mục tiêu từ trước. Tùy thuộc vào sự tồn tại của các hệ thống phát hiện malware và cơ sở của chúng trong việc phát hiện mã độc hại trong dữ liệu được truyền, khi đó malware được gửi qua email hoặc payload ứng dụng (application payload) khác để lây nhiễm mục tiêu. Điều quan trọng, Payload có thể chứa bất kỳ malware độc hại nào, bao gồm ransomware, botnet hoặc các loại virus hoặc worm khác.
Hầu hết mọi loại malware đều có thể được tích hợp vào một payload
Tải trọng gói IP so với tải trọng phần mềm độc hại
Gói IP có thể chứa một tải trọng bao gồm các lệnh do người dùng cuối cung cấp, chẳng hạn như yêu cầu về nội dung web; thông thường, nó sẽ mang một trọng tải bao gồm các dữ liệu thực tế được truyền bởi một máy chủ để có thể đáp ứng được yêu cầu của người dùng. Ngoài ra, giới hạn tải trọng trên PDU thường được chỉ định bởi thông số kỹ thuật giao thức có liên quan và kích thước tối đa của tải trọng cho một PDU riêng lẻ thay đổi không thường xuyên (nếu có).
Với kích thước tối đa cho tải trọng mạng có thể được xác định bằng cách trừ đi lượng dữ liệu cần thiết cho các tiêu đề giao thức (và rơ moóc, trong trường hợp giao thức có sử dụng chúng) từ kích thước đơn vị truyền tối đa (viết tắt MTU) cho giao thức. Khi đó, MTU cho các gói IP có thể thay đổi theo hệ thống và mạng; tiêu chuẩn IP ban đầu (RFC 791) sẽ được chỉ định tất cả các máy chủ phải chấp nhận các gói lớn tới 576 byte, với tải trọng dữ liệu là 512 byte và 64 byte dành cho tiêu đề.
Ngoài ra, MTU mặc định được chấp nhận chung cho các gói IPv4 cuối cùng đã được điều chỉnh lên tới 1.500 byte để tương thích với các phân đoạn Ethernet; khi đó, MTU lớn hơn (hoặc nhỏ hơn) cũng có thể được chỉ định cho các hệ thống riêng lẻ.
Thêm nữa, kích thước tải trọng tối đa cho các gói IP bị giới hạn bởi tổng chiều dài trong tiêu đề của gói IP; thường có chiều dài 16 bit, nó được hiểu là giá trị tối đa có thể là 216, khi đó giá trị cao nhất có thể cho chiều dài gói là 65,535 - và không có tải trọng nào có thể lớn hơn số đó trừ đi số byte cần thiết cho tiêu đề gói.
Ngày nay, giới hạn tải trọng giao thức mạng rất quan trọng vì chúng có thể ảnh hưởng đến hiệu suất của giao thức. Nếu tải trọng nhỏ hơn có nghĩa là phải tạo ra nhiều gói hơn khi truyền đi cho một khối lượng dữ liệu.
Trường hợp tải trọng lớn hơn sẽ cắt giảm nhu cầu tạo ra nhiều gói hơn - nhưng cũng yêu cầu phải có môi trường mạng nhanh và đáng tin cậy để có khả năng cung cấp khối lượng dữ liệu lớn mà không bị chậm trễ do lỗi hoặc điều kiện mạng mang tính chất tạm thời.
Cách phòng chống Payload
Do có rất nhiều phương pháp khác nhau để phân phối và thực thi các payload độc hại nên sẽ không có phương pháp nào phòng chống một cách triệt để được chúng. Khi đó, ngoài việc cảnh giác với các mưu đồ lừa đảo (hay còn gọi là phishing) và các cuộc tấn công social engineering khác, chúng ta nên thực hiện các biện pháp bảo mật bất cứ khi nào tải xuống file hoặc nhận bất kỳ loại dữ liệu nào từ Internet về. Hãy nhớ luôn quét virus trên các file đã tải, ngay cả khi chúng xuất phát từ một nguồn đáng tin cậy.
Trên đây là những thông tin về "Payload là gì?" mà chúng tôi muốn gửi đến bạn. Hy vọng sau khi đọc xong bài viết này, bạn có thể biết cách phòng chống payload cũng như cẩn thận hơn khi tải các file tài liệu trên Internet về máy tính.
Ngoài ra, nếu như có bất kỳ thắc mắc bạn hãy liên hệ ngay với chúng tôi để được giải đáp ngay nhé. Hãy theo dõi chúng tôi để cập nhật tin tức mới nhất mỗi ngày.
