Tấn công "Từ chối dịch vụ": Nỗi ám ảnh của các website

"Kính gửi quý báo: đúng 7 giờ tối hôm nay, chúng tôi sẽ tiến hành cuộc tấn công vào trang web báo điện tử của quý báo bằng hình thức DoS (tấn công từ chối dịch vụ), với mục đích... kiểm tra khả năng phòng thủ của quý báo. Xin báo trước: các dữ liệu sẽ không bị tổn thất nhưng trang web sẽ buộc phải ngừng hoạt động trong thời gian chúng tôi tiến hành cuộc tấn công!".

 

Cách đây 2 tuần, lời đe dọa trên đã được gửi đến Báo Thanh Niên, tác giả tự xưng là "Nhóm hacker miền Trung". Đến “giờ G” tối hôm đó, website Báo Thanh Niên vẫn hoạt động bình thường. Có thể "Nhóm hacker miền Trung" đột nhiên thay đổi kế hoạch vào giờ cuối hoặc lời đe dọa đó chỉ  là trò đùa của kẻ rỗi hơi. Cho dù cuộc tấn công đã không xảy ra nhưng kiểu hack từ chối dịch vụ như lời "đe dọa” trên luôn là nỗi ám ảnh của các website.

 

Mặc dù kẻ tấn công theo hình thức DoS không thể chiếm quyền truy cập hệ thống hay có thể thay đổi, nhưng nếu một hệ thống không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại đó cũng là vô nghĩa! Đã từng xảy ra các vụ tấn công DoS nổi đình nổi đám vào các site thương mại hàng đầu thế giới như Yahoo, Amazone, eBay hay thậm chí là cả Microsoft vài năm trước gây thiệt hại hàng triệu USD. Gần đây, nhiều trang web trong nước, trong đó có một số báo điện tử, đã trở thành nạn nhân của hình thức tấn công này. Hậu quả là người sử dụng không thể truy cập vào trang web, ảnh hưởng không nhỏ đến hoạt động của website.

 

Tấn công từ chối dịch vụ DoS (Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Đối với các hệ thống bảo mật tốt, khó thâm nhập, tấn công từ chối dịch vụ được hacker sử dụng như cú dứt điểm để triệt hạ hệ thống đó. Tùy phương thức thực hiện mà DoS được biết dưới nhiều tên gọi khác nhau: cổ điển nhất là kiểu DoS (Denial of Service) tấn công bằng cách lợi dụng sự yếu kém của giao thức TCP (Transmision Control Protocol); sau đó là DDoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán; mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service). 

 

Để thực hiện "Tấn công từ chối dịch vụ phân tán DDoS", kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn, mục đích chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó. Riêng "Tấn công từ chối dịch vụ phản xạ DRDoS" chỉ mới xuất hiện gần đây nhưng lại là loại  nguy hiểm nhất. Nếu được thực hiện bởi các hacker chuyên nghiệp, không một hệ thống nào có thể đứng vững được trước nó. Đáng nói hơn, hiện cũng đã xuất hiện nhiều loại virus, worm, trojan có chức năng tự động thực hiện tấn công DoS.

 

Ngoài ra còn có các biến thể khác như: Broadcast Storms, SYN, Finger, Ping, Flooding... với mục tiêu chiếm dụng các tài nguyên của hệ thống như: Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU... làm hoạt động của hệ thống bị quá tải dẫn đến không đáp ứng được các yêu cầu (request) hợp lệ nữa. Đặc biệt, biến thể đang là "mốt" hiện nay là hình thức Flood - làm "ngập lụt". Kẻ tấn công sử dụng các script (đoạn mã) dạng tập tin flash, gắn vào các web forum có đông người truy cập. Mỗi thành viên khi truy cập vào các forum đó sẽ vô tình kích hoạt tập tin flash thực hiện các cuộc tấn công DoS vào những mục tiêu xác định. Không ít kẻ tấn công trong nước hiện nay còn viết các phần mềm có khả năng tự động hóa quá trình làm tràn ngập các form nhập liệu, tự động gửi request (yêu cầu) liên tục đến máy chủ khiến hệ thống bị quá tải. 

 

Tấn công từ chối dịch vụ thường rất khó phòng chống do tính bất ngờ và thường phải phòng chống trong thế bị động "trận đánh" đã diễn ra. Các quản trị hệ thống nên thường xuyên cập nhật các bản vá lỗi phần mềm, các chương trình chống virus, trojan, worm mới nhất cho hệ thống. Tắt tất cả các dịch vụ không cần thiết trên hệ thống và đóng tất cả các cổng (port) dịch vụ không có nhu cầu sử dụng. Thiết lập thêm máy chủ dự phòng ở địa chỉ khác để luân chuyển ngay khi xảy ra sự cố, hệ thống sẽ không bị gián đoạn hoạt động. Dùng router/firewall để hạn chế, loại bỏ các gói tin không hợp lệ, giảm lượng lưu thông trên mạng và tải của hệ thống. Đối với các website có sử dụng form nhập liệu nên cài thêm tính năng "Mã xác nhận" (security code); giới hạn IP đăng ký ở cùng thời điểm... để hạn chế bị flood dữ liệu. Ngoài ra, cần thông tin cho các nhà cung cấp dịch vụ Internet (ISP) để chặn ngay các gói dữ liệu không hợp lệ từ xa. Đặc biệt, đóng vai trò quan trọng hơn cả vẫn là  các quản trị viên với việc phải theo dõi, giám sát chặt chẽ hệ thống để kịp thời phân tích, tìm nguyên nhân để đối phó khi có sự cố xảy ra và đừng quên thường xuyên cập nhật kiến thức mới...

 

Tố Tâm - Thanh Nghị 

Thứ Hai, 12/09/2005 10:40
31 👨 721