Ngày càng nhiều, những vụ tấn công từ chối dịch vụ đang được giới tội phạm mạng sử dụng để hạ gục kẻ thù và phá hoại công việc kinh doanh trực tuyến theo đặt hàng.
Nguồn: Pctipp |
Đầu năm nay, VeriSign đã nếm trải "thương đau" khi hệ thống mạng của hãng này vấp phải một làn sóng tấn công dồn dập và quy mô lớn chưa từng thấy. Mãi đến tận tuần trước, VeriSign mới phát hiện ra rằng những "sóng đạn" này không xuất phát từ máy tính botnet như thường lệ. Thay vào đó, họ đã phải "hứng đạn" từ máy chủ hệ thống tên miền DNS.
Vũ khí mới, hình thức mới
"DNS giờ đã trở thành vũ khí mới của DDOS", chuyên gia bảo mật Dan Kaminsky cho biết. Cùng với vũ khí mới, tấn công từ chối dịch vụ cũng có khá nhiều thay đổi, từ mục tiêu cho đến độ khó. "Giờ đây, ngay cả những kẻ không có máy tính nô lệ để sai khiến cũng có thể tiến hành tấn công".
Dù là tiến hành bằng mạng botnet hay máy chủ DNS, hệ thống mục tiêu (có thể là máy chủ Web, máy chủ tên hoặc máy chủ mail) đều chịu chung một kết cục - chúng bị cuốn phăng bởi một dòng dữ liệu khổng lồ, đồng loạt dồn về từ nhiều nơi trên mạng Internet. Hậu quả là website nạn nhân sẽ không thể truy cập được dưới bất cứ hình thức nào, hoặc là treo đơ khi cố gắng xử lý nguồn dữ liệu dồn về.
Hỏi nhanh - Đáp gọn |
Vì sao DNS có thể bị lợi dụng để thực hiện DDOS? Có tới 75% tổng số máy chủ DNS quá cởi mở trước những yêu cầu gửi về từ mạng Net. Tính năng phúc đáp yêu cầu này cần được vô hiệu hóa bởi nhà quản trị càng sớm càng tốt. Có chế tấn công DDOS sử dụng DNS như thế nào? Đầu tiên, hacker sử dụng botnet để gửi nhiều yêu cầu về máy chủ DNS, làm cho máy chủ "mở" ra. Những yêu cầu này được làm giả khéo léo để DNS tưởng rằng chúng xuất phát từ mục tiêu bị tấn công. Khi đó, máy chủ DNS sẽ phúc đáp tới chính địa chỉ mục tiêu và gây lụt địa chỉ này. Mức độ khuếch đại của DNS đến đâu? Một yêu cầu gửi đi từ mạng bot có thể được khuếch đại tới 70 lần bởi máy chủ DNS cỡ nhỏ. Vì sao sử dụng DNS lại giúp bảo vệ hacker? Vì lưu lượng dữ liệu gây lụt nạn nhân không xuất phát từ mạng botnet của hacker, mà lại từ máy chủ DNS. Chúng ta sẽ rất khó lần ra mạng máy tính thủ phạm thực sự. Tại sao không thể ngăn chặn được hình thức tấn công này? Bởi DNS đóng một vai trò sống còn với mạng Internet. Nếu một hãng tự chặn máy chủ DNS của mình, người dùng hợp pháp sẽ không thể gửi email cũng như truy cập vào website của hãng đó nữa. |
Ở một số trường hợp khác, chính các đối thủ của website mục tiêu đã tung tiền thuê hacker tiến hành tấn công DDOS, tất nhiên là một cách bí mật và kín kẽ.
Khác với máy tính nô lệ, máy chủ DNS là một "công dân tốt và giá trị" của mạng Internet. Hệ thống này giữ vai trò thiết yếu trong việc kết nối người dùng Web với nhau, lập bản đồ các tên miền ký tự như www.cnet.com với những địa chỉ IP bằng số mà máy tính thường sử dụng.
Trong dạng tấn công mới, kẻ hacker thường sử dụng một botnet để gửi cùng lúc nhiều yêu cầu về máy chủ DNS, khiến cho máy chủ mở ra. Những yêu cầu này được làm giả khéo léo để máy chủ DNS tưởng rằng chúng đến từ mục tiêu bị hại (đang bị lụt trong dòng dữ liệu). Theo quy trình thông thường, máy chủ DNS sẽ phúc đáp (hay phân giải từ địa chỉ ký tự sang chuỗi số IP) lại địa chỉ mạng đó, và dồn tất cả các kết quả truy vấn (request) phân giải địa chỉ tới mục tiêu bị hại.
Sử dụng máy chủ DNS có rất nhiều lợi ích với kẻ tấn công. Chúng không chỉ che giấu được hệ thống thật sự của mình, khiến cho nạn nhân rất khó truy ra được nguồn gốc của vụ tấn công, mà quan trọng hơn, máy chủ DNS sẽ khuếch đại sức mạnh của vụ tấn công lên hàng chục lần so với botnet.
Hình thức bẩn thỉu
Việc sử dụng máy chủ DNS để khuếch đại cường độ tấn công có thể so sánh với việc nhồi nhét hộp thư của ai đó bằng cách viết thật nhiều mail rồi gửi chúng đi. Tuy nhiên, mail thì rất dễ bị truy ra nguồn gốc, hơn nữa, bạn cũng mất rất thời gian ngồi viết.
Cách hiệu quả hơn là gửi đi một loạt bưu thiếp xin phúc đáp (kiểu như các tạp chí), có điền sẵn địa chỉ người gửi là mục tiêu sẽ bị tấn công. Máy chủ DNS sẽ bị lừa và nó sẽ phúc đáp lại yêu cầu đó.
Thường thì người ta vẫn có thể chặn đứng các vụ tấn công DDOS bằng mạng botnet nhờ việc chặn dòng dữ liệu gửi đi từ máy tính zombie (Việc nhận dạng zombie là khả thi). Tuy nhiên, chặn yêu cầu từ máy chủ DNS thì đau đầu hơn nhiều. Bởi lẽ, máy chủ DNS có vai trò cực lớn trong sự vận hành bình thường của mạng Internet. Nếu chặn lưu lượng (đi và đến) của máy chủ DNS, bạn sẽ vô tình ngăn cả người dùng hợp pháp gửi email hoặc ghé thăm các website khác.
"Đó là lý do khiến cho hình thức tấn công này thật bẩn thỉu", giám đốc công nghệ Rob Fleischman của Simplicita phát biểu. "Chắc chắn trong tương lai, hệ thống DNS sẽ còn bị lạm dụng nhiều, và chúng ta cần có cơ chế kiểm soát bảo mật cho DNS nhiều hơn".
Không thể lười nhác
Hiện có khoảng 7,5 triệu máy chủ DNS đang hoạt động, và số lượng máy chủ "hiếu khách", sẵn sàng nhận mọi yêu cầu từ bên ngoài không thể ước lượng được, có thể là 600.000 mà cũng có thể là 5,6 triệu máy.
Lời khuyên mà giới bảo mật đưa ra là những tổ chức nào đang sử dụng máy chủ DNS nên tắt ngay tính năng "đệ quy" nói trên, hoặc là điều chỉnh cài đặt bảo mật để chỉ có người hữu trách mới truy cập được tính năng này. Còn mục tiêu của các vụ tấn công DDOS có thể tự bảo vệ mình bằng cách ứng dụng những công nghệ phòng thủ đặc biệt của những hãng như Prolexic Technologies.
DNS đang ngày càng bị khai thác rộng rãi trong các vụ tấn công DDOS và đã đến lúc các nhà quản trị không thể lười nhác làm ngơ được nữa.
Thiên Ý