DDoS có thể là ác mộng của các website năm 2011
Giới bảo mật lo ngại mọi chuyện sẽ còn tệ hơn nữa trong năm nay. Theo công ty Arbor Networks, các cuộc tấn công DDoS đã tăng 1.000% kể từ năm 2005. Ngay đầu tháng 3, WordPress, dịch vụ blog cho hàng triệu người trên toàn thế giới, đã bị đánh bằng "cuộc tấn công lớn nhất và kéo dài nhất trong suốt lịch sử năm 6 của công ty với quy mô lên tới hàng gigabit/giây và hàng chục triệu gói tin/giây" như lời nhà sáng lập Matt Mullenweg mô tả. Ông nhận định vụ việc có động cơ chính trị.
WordPress, một trong những nạn nhân mới nhất của DDoS.
Ngay sau đó, vào ngày 4/3, khoảng 40 trang web của các cơ quan chính phủ Hàn Quốc, trong đó có Văn phòng tổng thống, Bộ Ngoại giao, Cơ quan tình báo bị tê liệt vì chiêu thức DDoS.
DDoS trở thành hình thức tấn công phổ biến từ cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên Windows 98, nhận ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu.
Phát hiện trên lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Trong khi đó, dạng DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server, giả dạng là một gói ping để địa chỉ IP gốc được trá hình với IP của mục tiêu nạn nhân. Các server khi trả lời yêu cầu ping này khi đó sẽ làm "lụt" nạn nhân với những phản hồi (answer) gọi là pong.
DDoS gây nghẽn một website hay một cơ sở hạ tầng, khiến người sử dụng không thể truy cập giống như hiện tượng nghẽn mạng di động trong dịp lễ tết do có quá nhiều người gọi cùng lúc. Phương pháp này bị coi là "bẩn thỉu" nhưng đem lại hiệu quả tức thì: website bị tê liệt kéo dài cho tới khi cuộc tấn công chấm dứt.
Tại Việt Nam, một số nhóm hacker cũng đã cài đặt virus xâm nhập vào hệ thống mạng, đánh cắp thông tin nội bộ của các tổ chức. Chúng còn kiểm soát được các website chuyên download phần mềm nhằm cài đặt virus trên những máy tính truy cập vào các trang này để xây dựng mạng máy tính ma (botnet) và triển khai tấn công DDoS vào các hệ thống lớn trong nước. Từ cuối tháng 11/2005, cộng đồng mạng đã xôn xao khi diễn đàn hacker lớn nhất Việt Nam HVA trở thành mục tiêu của DDoS. Tiếp ngay sau đó, website của một số công ty tin học như Trần Anh, Mai Hoàng... cũng bị tấn công từ chối dịch vụ dai dẳng gần 10 ngày. Đầu tháng 10/2008, các trang 5giay và nhatnghe liên tục bị DDoS, thậm chí cả website của công ty bảo mật Bkav cũng bị tấn công vào 8/10/2008.
Chia sẻ với VnExpress.net, Carole Theriault, cố vấn công nghệ cao cấp của hãng bảo mật Sophos (Anh), nhận định bản chất của DDoS là không thể khống chế mà chỉ có giảm giảm bớt cường độ tấn công. Việc siết chặt quản lý cơ sở dữ liệu, ứng dụng và tường lửa có thể giúp phần nào ngăn ngừa rất nhiều cuộc tấn công từ chối dịch vụ. Khi đang bị tấn công, chủ website có thể mở rộng băng thông dù đây là giải pháp rất tốn kém. Ở những nước với hạ tầng công nghệ thông tin phát triển, có nhiều hãng đã cung cấp dịch vụ này trong trường hợp khẩn cấp hoặc vào giờ truy cập cao điểm cần tăng cường băng thông.
Các cuộc tấn công DDoS nổi tiếng trong lịch sử
- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN trở thành nạn nhân của DDoS.
- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học Maynooth ở nước này tấn công DDoS.
- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle Wolfenstein, Halo, Counter-Strike bị nhóm RUS tấn công với hệ thống điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus.
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng họ đứng đằng sau vụ tấn công.
- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự động.
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ.
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS.
Những vụ tấn công DDoS vào một số website doanh nghiệp và tổ chức ở VN rộ lên gần đây khiến các nạn nhân chi biết bức xúc nhưng không có cách nào đối phó hoặc truy tìm thủ phạm. VnExpress trao đổi với Roberto Preatoni và Carole Theriault, hai chuyên gia bảo mật quốc tế nổi tiếng, về vấn đề này.
- DDoS trở thành hoạt động tấn công phổ biến từ khi nào?
Roberto Preatoni là người sáng lập ra Diễn đàn bảo mật nổi tiếng Zone-H (www.zone-h.org) với nickname là SyS64738. Ông còn là Giám đốc điều hành công ty an ninh hệ thống Domina Security hoạt động tại nhiều nước châu Âu. Preatoni cũng là một diễn giả uy tín tại nhiều đại hội bảo mật quốc tế thường niên như Defcon (Mỹ).
- Roberto Preatoni: Từ cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên hệ điều hành Windows 98, đã phát hiện ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu. Phát hiện này sau đó ngay lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Trong khi đó, dạng DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server (kiểu này gọi là amplifier, tức là khuếch đại độ rộng mục tiêu), giả dạng là một gói ping để địa chỉ IP gốc được trá hình với IP của mục tiêu nạn nhân. Các server khi trả lời yêu cầu ping này khi đó sẽ làm lụt nạn nhân với những phản hồi (answer) gọi là pong.
Carole Theriault hiện là cố vấn công nghệ bảo mật cao cấp của hãng phần mềm an ninh Sophos (Anh). Bà cũng là một chuyên gia tư vấn uy tín tại nhiều diễn đàn và tạp chí về bảo mật trên thế giới.
- Carole Theriault: DDoS bắt nguồn từ dạng sơ khởi là DoS. DoS thì ít nguy hiểm hơn vì người quản trị hệ thống thường có thể xác định và phong tỏa máy host gây rắc rối. Trong khi đó, DDoS sử dụng nhiều nguồn phân tán để điều phối hoạt động tấn công vào mục tiêu. Rất khó xác định kết nối nào là hợp lệ và cái nào là thù địch.
- Một cuộc tấn công DDoS thông thường được khởi phát như thế nào?
Carole Theriault.
- Carole Theriault: Một lệnh truy cập được gửi tới server. Server xác thực và rồi chờ lệnh đó khẳng định việc xác thực nói trên trước khi cho phép máy tính của người sử dụng truy nhập. Trong các cuộc tấn công DDoS, server bị ngập bởi các lệnh truy cập của một lượng kết nối khổng lồ từ những địa chỉ không có thực và điều đó có nghĩa là server không thể tìm thấy người sử dụng có nhu cầu truy cập đích thực. Khi số lệnh truy cập lớn quá, server bị lụt và không thể xử lý được số lệnh mà nó đang được yêu cầu giải quyết. Một số loại virus và sâu mạng cũng đã gây tấn công DDoS. Các trường hợp đầu tiên là những virus phát tán e-mail số lượng lớn như Loveletter, Melissa, làm lụt mail server khiến các máy chủ không thể xử lý những yêu cầu hợp lệ. Hiện nay, nhiều loại sâu Internet lợi dụng lỗi trong máy tính (ví dụ virus Sasser năm 2004) để làm lụt các máy tính chạy Windows có khiếm khuyết, khiến PC không thể tải về các bản vá lỗi.
Roberto Preatoni.
- Roberto Preatoni: Nói chung, kẻ tấn công thường khống chế một máy tính từ xa bằng cách khai thác một khiếm khuyết nào đó. Máy tính này (về sau sẽ trở thành mầm của mạng lưới máy tính bị khống chế phục vụ tấn công DDoS, gọi là botnet) sẽ được cài đặt một quy trình ẩn nhằm đảm bảo nó luôn được kết nối trong một phòng chat bí mật, nơi mà tác giả ra lệnh cho nó. Máy tính này cũng đồng thời tìm cách quét trên Internet để tìm những computer khác có lỗ hổng, lây nhiễm phần mềm điều khiển từ xa vào chúng để tất cả những máy mới bị không chế sẽ cùng gia nhập vào chatroom nói trên và sẵn sàng nhận lệnh của hacker hoặc tham gia tìm kiếm trên Internet những PC có lỗi khác. Nói chung, chỉ trong vài ngày, mạng máy tính ma này sẽ tăng từ một cái lên hàng trăm hoặc hàng nghìn thành viên. Đến thời điểm lực lượng này đủ hùng hậu, chúng sẽ đồng loạt được sử dụng để thực hiện lệnh tấn công vào mục tiêu theo ý muốn của tác giả. Mục tiêu sẽ biến mất khỏi mạng, tức là offline hoàn toàn. Đồng thời tất cả những hoạt động tương tác trên môi trường Internet của nạn nhân cũng ngừng luôn.
- Có bao nhiêu dạng DDoS được ghi nhận cho tới nay?
- Roberto Preatoni: Nhìn chung, có thể phân nhóm tấn công từ chối dịch vụ theo các dạng HTTP flood (tấn công địa chỉ web), Database flood (tấn công cơ sở dữ liệu), TCP-IP protocol flood (tấn công giao thức TCP-IP), Bandwidth flood (tấn công băng thông), Mail bombing (tấn công mail), SMS bombing (tấn công tin nhắn SMS).
- Carole Theriault: Phân loại cụ thể thì rất khó. Một số chuyên gia nói có 3 loại. Nhiều người khác thì cho rằng có tới 12. Đặc điểm chính của DDoS là gây quá tải hệ thống, làm tê liệt dịch vụ, khiến ta không thể xử lý những giao dịch hợp lệ. Vì thế, theo tôi, có thể nhìn nhận DDoS dưới các dạng như tấn công Internet Control Message Protocol (ICMP), làm lụt User Datagram Protocol (UDP), làm lụt Transmission Control Protocol (TCP), tấn công ứng dụng qua khiếm khuyết
- Tình hình DDoS nói chung trên Internet trong những năm gần đây ra sao?
- Roberto Preatoni: Các hoạt động tấn công từ chối dịch vụ không ngừng gia tăng và ngày càng phổ biến trong giới hacker trẻ, những người thích tận hưởng cảm giác của kẻ chinh phạt, và cũng rất phổ biến trong giới tội phạm mạng, những kẻ thích tận hưởng mùi tiền kiếm được từ những hoạt động này.
- Carole Theriault: Đúng là trong khi một số cuộc tấn công DDoS chỉ mang tính gây rối thì nhiều trường hợp lại là hoạt động tống tiền. Khi thương mại điện tử ngày càng phát triển, các doanh nghiệp phải dựa nhiều vào website thì nguy cơ họ bị tống tiền cũng càng lớn mỗi khi tội phạm tấn công trang web và đòi tiền. Rất khó biết thiệt hại tài chính kiểu này nhiều đến đâu vì phần lớn doanh nghiệp nạn nhân chấp nhận nộp tiền và ỉm vụ việc đi vì bản thân họ cũng không muốn gây điều tiếng ầm ĩ. Trong tương lai, những cuộc tấn công như thế này sẽ còn tiếp tục khi mà khả năng kiếm tiền vẫn còn. Nhiều trang web nổi tiếng trên thế giới như của Google, Microsoft đã nhiều lần là nạn nhân của DDoS.
- Vậy cần làm gì để đương đầu với DDoS?
- Roberto Preatoni: Chỉ có thể làm giảm bớt cường độ tấn công. Không có cách đối phó nào trừ khi website của bạn được đặt (host) trên những hệ thống đắt tiền và hùng mạnh như Akamai. Việc siết chặt quản lý cơ sở dữ liệu, ứng dụng và tường lửa có thể giúp phần nào ngăn ngừa rất nhiều cuộc tấn công từ chối dịch vụ, hoặc ít nhất cũng hạn chế bớt những yếu tố gây ảnh hưởng website nhưng không phải là tấn công phá hoại.
- Carole Theriault: Cần phải sử dụng một hệ thống có bảo vệ, với các ứng dụng thường xuyên được cập nhật bản vá lỗi, thiết lập tường lửa hợp lý để lọc các gói dữ liệu và ngăn chặn bên thứ 3 không hợp lệ truy nhập hệ thống. Sử dụng phần mềm diệt virus cập nhật cũng là một điều nên làm.
Khi đang bị tấn công, bạn cũng có thể mở rộng băng thông mặc dù đây là một giải pháp rất tốn kém. Ở những nước với hạ tầng công nghệ thông tin phát triển đã có nhiều hãng cung cấp dịch vụ này trong trường hợp khẩn cấp hoặc vào những giờ truy cập cao điểm cần tăng cường băng thông.
Một biện pháp khác là thiết lập router theo dõi trên mạng, phát hiện trước khi một luồng thông tin đến được các máy chủ web của website. Router này sẽ lọc những gói dữ liệu đi ra và đảm bảo địa chỉ IP nguồn của tất cả các gói dữ liệu đó là cân bằng với vùng địa chỉ IP của công ty đó và không bị giả mạo.
Tuy nhiên, nơi tốt nhất để ngăn chặn tấn công từ chối dịch vụ lại không nằm ở mạng của doanh nghiệp mà là ở nhà cung cấp dịch vụ ISP. Ví dụ, họ có thể hạn chế băng thông của một luồng thông tin cụ thể nào đó vào bất cứ lúc nào. Đáng tiếc là không phải tất cả các ISP đều làm việc này. Có lẽ tốt nhất là các doanh nghiệp nên thảo luận rõ với ISP về vấn đề bảo vệ an ninh website trước khi ký hợp đồng với họ.
Mình thấy là bắt đầu từ năm 2010 là khởi đầu gian khó cho PTU rồi đấy , nhiều sự việc vô hình chung lại ảnh hưởng nhiều đến PTU k lúc nào lại nhiều như lúc này . Lúc này chính là lúc thử lòng cho dân PTU
Giới bảo mật lo ngại mọi chuyện sẽ còn tệ hơn nữa trong năm nay. Theo công ty Arbor Networks, các cuộc tấn công DDoS đã tăng 1.000% kể từ năm 2005. Ngay đầu tháng 3, WordPress, dịch vụ blog cho hàng triệu người trên toàn thế giới, đã bị đánh bằng "cuộc tấn công lớn nhất và kéo dài nhất trong suốt lịch sử năm 6 của công ty với quy mô lên tới hàng gigabit/giây và hàng chục triệu gói tin/giây" như lời nhà sáng lập Matt Mullenweg mô tả. Ông nhận định vụ việc có động cơ chính trị.
Ngay sau đó, vào ngày 4/3, khoảng 40 trang web của các cơ quan chính phủ Hàn Quốc, trong đó có Văn phòng tổng thống, Bộ Ngoại giao, Cơ quan tình báo bị tê liệt vì chiêu thức DDoS.
DDoS trở thành hình thức tấn công phổ biến từ cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên Windows 98, nhận ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu.
Phát hiện trên lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Trong khi đó, dạng DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server, giả dạng là một gói ping để địa chỉ IP gốc được trá hình với IP của mục tiêu nạn nhân. Các server khi trả lời yêu cầu ping này khi đó sẽ làm "lụt" nạn nhân với những phản hồi (answer) gọi là pong.
DDoS gây nghẽn một website hay một cơ sở hạ tầng, khiến người sử dụng không thể truy cập giống như hiện tượng nghẽn mạng di động trong dịp lễ tết do có quá nhiều người gọi cùng lúc. Phương pháp này bị coi là "bẩn thỉu" nhưng đem lại hiệu quả tức thì: website bị tê liệt kéo dài cho tới khi cuộc tấn công chấm dứt.
Tại Việt Nam, một số nhóm hacker cũng đã cài đặt virus xâm nhập vào hệ thống mạng, đánh cắp thông tin nội bộ của các tổ chức. Chúng còn kiểm soát được các website chuyên download phần mềm nhằm cài đặt virus trên những máy tính truy cập vào các trang này để xây dựng mạng máy tính ma (botnet) và triển khai tấn công DDoS vào các hệ thống lớn trong nước. Từ cuối tháng 11/2005, cộng đồng mạng đã xôn xao khi diễn đàn hacker lớn nhất Việt Nam HVA trở thành mục tiêu của DDoS. Tiếp ngay sau đó, website của một số công ty tin học như Trần Anh, Mai Hoàng... cũng bị tấn công từ chối dịch vụ dai dẳng gần 10 ngày. Đầu tháng 10/2008, các trang 5giay và nhatnghe liên tục bị DDoS, thậm chí cả website của công ty bảo mật Bkav cũng bị tấn công vào 8/10/2008.
Chia sẻ với VnExpress.net, Carole Theriault, cố vấn công nghệ cao cấp của hãng bảo mật Sophos (Anh), nhận định bản chất của DDoS là không thể khống chế mà chỉ có giảm giảm bớt cường độ tấn công. Việc siết chặt quản lý cơ sở dữ liệu, ứng dụng và tường lửa có thể giúp phần nào ngăn ngừa rất nhiều cuộc tấn công từ chối dịch vụ. Khi đang bị tấn công, chủ website có thể mở rộng băng thông dù đây là giải pháp rất tốn kém. Ở những nước với hạ tầng công nghệ thông tin phát triển, có nhiều hãng đã cung cấp dịch vụ này trong trường hợp khẩn cấp hoặc vào giờ truy cập cao điểm cần tăng cường băng thông.
Các cuộc tấn công DDoS nổi tiếng trong lịch sử
- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN trở thành nạn nhân của DDoS.
- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học Maynooth ở nước này tấn công DDoS.
- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle Wolfenstein, Halo, Counter-Strike bị nhóm RUS tấn công với hệ thống điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus.
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng họ đứng đằng sau vụ tấn công.
- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự động.
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ.
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS.
Những vụ tấn công DDoS vào một số website doanh nghiệp và tổ chức ở VN rộ lên gần đây khiến các nạn nhân chi biết bức xúc nhưng không có cách nào đối phó hoặc truy tìm thủ phạm. VnExpress trao đổi với Roberto Preatoni và Carole Theriault, hai chuyên gia bảo mật quốc tế nổi tiếng, về vấn đề này.
- DDoS trở thành hoạt động tấn công phổ biến từ khi nào?
Roberto Preatoni là người sáng lập ra Diễn đàn bảo mật nổi tiếng Zone-H (www.zone-h.org) với nickname là SyS64738. Ông còn là Giám đốc điều hành công ty an ninh hệ thống Domina Security hoạt động tại nhiều nước châu Âu. Preatoni cũng là một diễn giả uy tín tại nhiều đại hội bảo mật quốc tế thường niên như Defcon (Mỹ).
- Roberto Preatoni: Từ cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên hệ điều hành Windows 98, đã phát hiện ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu. Phát hiện này sau đó ngay lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Trong khi đó, dạng DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server (kiểu này gọi là amplifier, tức là khuếch đại độ rộng mục tiêu), giả dạng là một gói ping để địa chỉ IP gốc được trá hình với IP của mục tiêu nạn nhân. Các server khi trả lời yêu cầu ping này khi đó sẽ làm lụt nạn nhân với những phản hồi (answer) gọi là pong.
Carole Theriault hiện là cố vấn công nghệ bảo mật cao cấp của hãng phần mềm an ninh Sophos (Anh). Bà cũng là một chuyên gia tư vấn uy tín tại nhiều diễn đàn và tạp chí về bảo mật trên thế giới.
- Carole Theriault: DDoS bắt nguồn từ dạng sơ khởi là DoS. DoS thì ít nguy hiểm hơn vì người quản trị hệ thống thường có thể xác định và phong tỏa máy host gây rắc rối. Trong khi đó, DDoS sử dụng nhiều nguồn phân tán để điều phối hoạt động tấn công vào mục tiêu. Rất khó xác định kết nối nào là hợp lệ và cái nào là thù địch.
- Một cuộc tấn công DDoS thông thường được khởi phát như thế nào?
Carole Theriault.
- Carole Theriault: Một lệnh truy cập được gửi tới server. Server xác thực và rồi chờ lệnh đó khẳng định việc xác thực nói trên trước khi cho phép máy tính của người sử dụng truy nhập. Trong các cuộc tấn công DDoS, server bị ngập bởi các lệnh truy cập của một lượng kết nối khổng lồ từ những địa chỉ không có thực và điều đó có nghĩa là server không thể tìm thấy người sử dụng có nhu cầu truy cập đích thực. Khi số lệnh truy cập lớn quá, server bị lụt và không thể xử lý được số lệnh mà nó đang được yêu cầu giải quyết. Một số loại virus và sâu mạng cũng đã gây tấn công DDoS. Các trường hợp đầu tiên là những virus phát tán e-mail số lượng lớn như Loveletter, Melissa, làm lụt mail server khiến các máy chủ không thể xử lý những yêu cầu hợp lệ. Hiện nay, nhiều loại sâu Internet lợi dụng lỗi trong máy tính (ví dụ virus Sasser năm 2004) để làm lụt các máy tính chạy Windows có khiếm khuyết, khiến PC không thể tải về các bản vá lỗi.
Roberto Preatoni.
- Roberto Preatoni: Nói chung, kẻ tấn công thường khống chế một máy tính từ xa bằng cách khai thác một khiếm khuyết nào đó. Máy tính này (về sau sẽ trở thành mầm của mạng lưới máy tính bị khống chế phục vụ tấn công DDoS, gọi là botnet) sẽ được cài đặt một quy trình ẩn nhằm đảm bảo nó luôn được kết nối trong một phòng chat bí mật, nơi mà tác giả ra lệnh cho nó. Máy tính này cũng đồng thời tìm cách quét trên Internet để tìm những computer khác có lỗ hổng, lây nhiễm phần mềm điều khiển từ xa vào chúng để tất cả những máy mới bị không chế sẽ cùng gia nhập vào chatroom nói trên và sẵn sàng nhận lệnh của hacker hoặc tham gia tìm kiếm trên Internet những PC có lỗi khác. Nói chung, chỉ trong vài ngày, mạng máy tính ma này sẽ tăng từ một cái lên hàng trăm hoặc hàng nghìn thành viên. Đến thời điểm lực lượng này đủ hùng hậu, chúng sẽ đồng loạt được sử dụng để thực hiện lệnh tấn công vào mục tiêu theo ý muốn của tác giả. Mục tiêu sẽ biến mất khỏi mạng, tức là offline hoàn toàn. Đồng thời tất cả những hoạt động tương tác trên môi trường Internet của nạn nhân cũng ngừng luôn.
- Có bao nhiêu dạng DDoS được ghi nhận cho tới nay?
- Roberto Preatoni: Nhìn chung, có thể phân nhóm tấn công từ chối dịch vụ theo các dạng HTTP flood (tấn công địa chỉ web), Database flood (tấn công cơ sở dữ liệu), TCP-IP protocol flood (tấn công giao thức TCP-IP), Bandwidth flood (tấn công băng thông), Mail bombing (tấn công mail), SMS bombing (tấn công tin nhắn SMS).
- Carole Theriault: Phân loại cụ thể thì rất khó. Một số chuyên gia nói có 3 loại. Nhiều người khác thì cho rằng có tới 12. Đặc điểm chính của DDoS là gây quá tải hệ thống, làm tê liệt dịch vụ, khiến ta không thể xử lý những giao dịch hợp lệ. Vì thế, theo tôi, có thể nhìn nhận DDoS dưới các dạng như tấn công Internet Control Message Protocol (ICMP), làm lụt User Datagram Protocol (UDP), làm lụt Transmission Control Protocol (TCP), tấn công ứng dụng qua khiếm khuyết
- Tình hình DDoS nói chung trên Internet trong những năm gần đây ra sao?
- Roberto Preatoni: Các hoạt động tấn công từ chối dịch vụ không ngừng gia tăng và ngày càng phổ biến trong giới hacker trẻ, những người thích tận hưởng cảm giác của kẻ chinh phạt, và cũng rất phổ biến trong giới tội phạm mạng, những kẻ thích tận hưởng mùi tiền kiếm được từ những hoạt động này.
- Carole Theriault: Đúng là trong khi một số cuộc tấn công DDoS chỉ mang tính gây rối thì nhiều trường hợp lại là hoạt động tống tiền. Khi thương mại điện tử ngày càng phát triển, các doanh nghiệp phải dựa nhiều vào website thì nguy cơ họ bị tống tiền cũng càng lớn mỗi khi tội phạm tấn công trang web và đòi tiền. Rất khó biết thiệt hại tài chính kiểu này nhiều đến đâu vì phần lớn doanh nghiệp nạn nhân chấp nhận nộp tiền và ỉm vụ việc đi vì bản thân họ cũng không muốn gây điều tiếng ầm ĩ. Trong tương lai, những cuộc tấn công như thế này sẽ còn tiếp tục khi mà khả năng kiếm tiền vẫn còn. Nhiều trang web nổi tiếng trên thế giới như của Google, Microsoft đã nhiều lần là nạn nhân của DDoS.
- Vậy cần làm gì để đương đầu với DDoS?
- Roberto Preatoni: Chỉ có thể làm giảm bớt cường độ tấn công. Không có cách đối phó nào trừ khi website của bạn được đặt (host) trên những hệ thống đắt tiền và hùng mạnh như Akamai. Việc siết chặt quản lý cơ sở dữ liệu, ứng dụng và tường lửa có thể giúp phần nào ngăn ngừa rất nhiều cuộc tấn công từ chối dịch vụ, hoặc ít nhất cũng hạn chế bớt những yếu tố gây ảnh hưởng website nhưng không phải là tấn công phá hoại.
- Carole Theriault: Cần phải sử dụng một hệ thống có bảo vệ, với các ứng dụng thường xuyên được cập nhật bản vá lỗi, thiết lập tường lửa hợp lý để lọc các gói dữ liệu và ngăn chặn bên thứ 3 không hợp lệ truy nhập hệ thống. Sử dụng phần mềm diệt virus cập nhật cũng là một điều nên làm.
Khi đang bị tấn công, bạn cũng có thể mở rộng băng thông mặc dù đây là một giải pháp rất tốn kém. Ở những nước với hạ tầng công nghệ thông tin phát triển đã có nhiều hãng cung cấp dịch vụ này trong trường hợp khẩn cấp hoặc vào những giờ truy cập cao điểm cần tăng cường băng thông.
Một biện pháp khác là thiết lập router theo dõi trên mạng, phát hiện trước khi một luồng thông tin đến được các máy chủ web của website. Router này sẽ lọc những gói dữ liệu đi ra và đảm bảo địa chỉ IP nguồn của tất cả các gói dữ liệu đó là cân bằng với vùng địa chỉ IP của công ty đó và không bị giả mạo.
Tuy nhiên, nơi tốt nhất để ngăn chặn tấn công từ chối dịch vụ lại không nằm ở mạng của doanh nghiệp mà là ở nhà cung cấp dịch vụ ISP. Ví dụ, họ có thể hạn chế băng thông của một luồng thông tin cụ thể nào đó vào bất cứ lúc nào. Đáng tiếc là không phải tất cả các ISP đều làm việc này. Có lẽ tốt nhất là các doanh nghiệp nên thảo luận rõ với ISP về vấn đề bảo vệ an ninh website trước khi ký hợp đồng với họ.
Mình thấy là bắt đầu từ năm 2010 là khởi đầu gian khó cho PTU rồi đấy , nhiều sự việc vô hình chung lại ảnh hưởng nhiều đến PTU k lúc nào lại nhiều như lúc này . Lúc này chính là lúc thử lòng cho dân PTU
) độc
