Không thể chống đỡ tấn công từ chối dịch vụ

Những vụ tấn công DDoS vào một số website doanh nghiệp và tổ chức ở VN rộ lên gần đây khiến các nạn nhân chi biết bức xúc nhưng không có cách nào đối phó hoặc truy tìm thủ phạm. Trao đổi với Roberto Preatoni và Carole Theriault, hai chuyên gia bảo mật quốc tế nổi tiếng, về vấn đề này.

- DDoS trở thành hoạt động tấn công phổ biến từ khi nào?

Roberto Preatoni là người sáng lập ra Diễn đàn bảo mật nổi tiếng Zone-H (http://www.zone-h.org/) với nickname là SyS64738. Ông còn là Giám đốc điều hành công ty an ninh hệ thống Domina Security hoạt động tại nhiều nước châu Âu. Preatoni cũng là một diễn giả uy tín tại nhiều đại hội bảo mật quốc tế thường niên như Defcon (Mỹ).

Roberto Preatoni: Từ cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên hệ điều hành Windows 98, đã phát hiện ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu. Phát hiện này sau đó ngay lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Trong khi đó, dạng DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server (kiểu này gọi là amplifier, tức là khuếch đại độ rộng mục tiêu), giả dạng là một gói ping để địa chỉ IP gốc được trá hình với IP của mục tiêu nạn nhân. Các server khi trả lời yêu cầu ping này khi đó sẽ làm “lụt” nạn nhân với những phản hồi (answer) gọi là pong.

Carole Theriault hiện là cố vấn công nghệ bảo mật cao cấp của hãng phần mềm an ninh Sophos (Anh). Bà cũng là một chuyên gia tư vấn uy tín tại nhiều diễn đàn và tạp chí về bảo mật trên thế giới

Carole Theriault: DDoS bắt nguồn từ dạng sơ khởi là DoS. DoS thì ít nguy hiểm hơn vì người quản trị hệ thống thường có thể xác định và phong tỏa máy host gây rắc rối. Trong khi đó, DDoS sử dụng nhiều nguồn phân tán để điều phối hoạt động tấn công vào mục tiêu. Rất khó xác định kết nối nào là hợp lệ và cái nào là thù địch.

- Một cuộc tấn công DDoS thông thường được khởi phát như thế nào?

Carole Theriault

Carole Theriault: Một lệnh truy cập được gửi tới server. Server xác thực và rồi chờ lệnh đó khẳng định việc xác thực nói trên trước khi cho phép máy tính của người sử dụng truy nhập. Trong các cuộc tấn công DDoS, server bị ngập bởi các lệnh truy cập của một lượng kết nối khổng lồ từ những địa chỉ không có thực và điều đó có nghĩa là server không thể tìm thấy người sử dụng có nhu cầu truy cập đích thực. Khi số lệnh truy cập lớn quá, server bị lụt và không thể xử lý được số lệnh mà nó đang được yêu cầu giải quyết. Một số loại virus và sâu mạng cũng đã gây tấn công DDoS. Các trường hợp đầu tiên là những virus phát tán e-mail số lượng lớn như Loveletter, Melissa, làm lụt mail server khiến các máy chủ không thể xử lý những yêu cầu hợp lệ. Hiện nay, nhiều loại sâu Internet lợi dụng lỗi trong máy tính (ví dụ virus Sasser năm 2004) để làm lụt các máy tính chạy Windows có khiếm khuyết, khiến PC không thể tải về các bản vá lỗi.

Roberto Preatoni

Roberto Preatoni: Nói chung, kẻ tấn công thường khống chế một máy tính từ xa bằng cách khai thác một khiếm khuyết nào đó. Máy tính này (về sau sẽ trở thành mầm của mạng lưới máy tính bị khống chế phục vụ tấn công DDoS, gọi là botnet) sẽ được cài đặt một quy trình ẩn nhằm đảm bảo nó luôn được kết nối trong một phòng chat bí mật, nơi mà tác giả ra lệnh cho nó. Máy tính này cũng đồng thời tìm cách quét trên Internet để tìm những computer khác có lỗ hổng, lây nhiễm phần mềm điều khiển từ xa vào chúng để tất cả những máy mới bị không chế sẽ cùng gia nhập vào chatroom nói trên và sẵn sàng nhận lệnh của hacker hoặc tham gia tìm kiếm trên Internet những PC có lỗi khác. Nói chung, chỉ trong vài ngày, mạng máy tính ma này sẽ tăng từ một cái lên hàng trăm hoặc hàng nghìn thành viên. Đến thời điểm lực lượng này đủ hùng hậu, chúng sẽ đồng loạt được sử dụng để thực hiện lệnh tấn công vào mục tiêu theo ý muốn của tác giả. Mục tiêu sẽ biến mất khỏi mạng, tức là offline hoàn toàn. Đồng thời tất cả những hoạt động tương tác trên môi trường Internet của nạn nhân cũng ngừng luôn.

- Có bao nhiêu dạng DDoS được ghi nhận cho tới nay? 

Roberto Preatoni: Nhìn chung, có thể phân nhóm tấn công từ chối dịch vụ theo các dạng HTTP flood (tấn công địa chỉ web), Database flood (tấn công cơ sở dữ liệu), TCP-IP protocol flood (tấn công giao thức TCP-IP), Bandwidth flood (tấn công băng thông), Mail bombing (tấn công mail), SMS bombing (tấn công tin nhắn SMS).

Carole Theriault: Phân loại cụ thể thì rất khó. Một số chuyên gia nói có 3 loại. Nhiều người khác thì cho rằng có tới 12. Đặc điểm chính của DDoS là gây quá tải hệ thống, làm tê liệt dịch vụ, khiến ta không thể xử lý những giao dịch hợp lệ. Vì thế, theo tôi, có thể nhìn nhận DDoS dưới các dạng như tấn công Internet Control Message Protocol (ICMP), làm lụt User Datagram Protocol (UDP), làm lụt Transmission Control Protocol (TCP), tấn công ứng dụng qua khiếm khuyết…

- Tình hình DDoS nói chung trên Internet trong những năm gần đây ra sao?

Roberto Preatoni: Các hoạt động tấn công từ chối dịch vụ không ngừng gia tăng và ngày càng phổ biến trong giới hacker trẻ, những người thích tận hưởng cảm giác của kẻ chinh phạt, và cũng rất phổ biến trong giới tội phạm mạng, những kẻ thích tận hưởng mùi tiền kiếm được từ những hoạt động này.

Carole Theriault: Đúng là trong khi một số cuộc tấn công DDoS chỉ mang tính gây rối thì nhiều trường hợp lại là hoạt động tống tiền. Khi thương mại điện tử ngày càng phát triển, các doanh nghiệp phải dựa nhiều vào website thì nguy cơ họ bị tống tiền cũng càng lớn mỗi khi tội phạm tấn công trang web và đòi tiền. Rất khó biết thiệt hại tài chính kiểu này nhiều đến đâu vì phần lớn doanh nghiệp nạn nhân chấp nhận nộp tiền và ỉm vụ việc đi vì bản thân họ cũng không muốn gây điều tiếng ầm ĩ. Trong tương lai, những cuộc tấn công như thế này sẽ còn tiếp tục khi mà khả năng kiếm tiền vẫn còn. Nhiều trang web nổi tiếng trên thế giới như của Google, Microsoft đã nhiều lần là nạn nhân của DDoS.

- Vậy cần làm gì để đương đầu với DDoS? 

Roberto Preatoni: Chỉ có thể làm giảm bớt cường độ tấn công. Không có cách đối phó nào trừ khi website của bạn được đặt (host) trên những hệ thống đắt tiền và hùng mạnh như Akamai. Việc siết chặt quản lý cơ sở dữ liệu, ứng dụng và tường lửa có thể giúp phần nào ngăn ngừa rất nhiều cuộc tấn công từ chối dịch vụ, hoặc ít nhất cũng hạn chế bớt những yếu tố gây ảnh hưởng website nhưng không phải là tấn công phá hoại.

Carole Theriault: Cần phải sử dụng một hệ thống có bảo vệ, với các ứng dụng thường xuyên được cập nhật bản vá lỗi, thiết lập tường lửa hợp lý để lọc các gói dữ liệu và ngăn chặn bên thứ 3 không hợp lệ truy nhập hệ thống. Sử dụng phần mềm diệt virus cập nhật cũng là một điều nên làm.

Khi đang bị tấn công, bạn cũng có thể mở rộng băng thông mặc dù đây là một giải pháp rất tốn kém. Ở những nước với hạ tầng công nghệ thông tin phát triển đã có nhiều hãng cung cấp dịch vụ này trong trường hợp khẩn cấp hoặc vào những giờ truy cập cao điểm cần tăng cường băng thông.

Một biện pháp khác là thiết lập router theo dõi trên mạng, phát hiện trước khi một luồng thông tin đến được các máy chủ web của website. Router này sẽ lọc những gói dữ liệu đi ra và đảm bảo địa chỉ IP nguồn của tất cả các gói dữ liệu đó là cân bằng với vùng địa chỉ IP của công ty đó và không bị giả mạo.

Tuy nhiên, nơi tốt nhất để ngăn chặn tấn công từ chối dịch vụ lại không nằm ở mạng của doanh nghiệp mà là ở nhà cung cấp dịch vụ ISP. Ví dụ, họ có thể hạn chế băng thông của một luồng thông tin cụ thể nào đó vào bất cứ lúc nào. Đáng tiếc là không phải tất cả các ISP đều làm việc này. Có lẽ tốt nhất là các doanh nghiệp nên thảo luận rõ với ISP về vấn đề bảo vệ an ninh website trước khi ký hợp đồng với họ.

Phan Khương