|

Botnet tấn công trở lại với DDoS

Nono, phỏng theo PC1News
nguồn: http://www.pc1news.com/news
KD lược dịch

Botnet – một danh từ kỹ thuật dùng để đề cập đến một mạng lưới (net) bao gồm nhiều phần mềm robot (bot) hoạt động tự chủ, chạy theo thể  tự trị và tự động.  Thuật ngữ này thường được dùng để nói đến các dữ liệu nguy hiểm.  Tuy vậy, nó cũng có thể dùng để nói đến một mạng lưới bao gồm nhiều máy tính chạy cùng một dữ liệu với cùng một mục đích theo lối tính toán phân bố (distrubuted computing).

Botnet đang tấn công trở lại!  Tất cả những công ty, dịch vụ đang nghĩ rằng họ đã có một biện pháp tích cực chống lại các đợt tấn công bởi botnet hãy nên thận trọng đề phòng để khỏi bị hại bởi lối tấn công từ chối dịch vụ DoS (Denial of Service Attack).  Đúng, bạn có thể là mục tiêu kế tiếp của họ.

Lối tấn công từ chối dịch vụ là cách để khiến máy chủ không thể cung cấp dữ liệu đến với người truy cập vì bandwidth (thông lộ) của họ bị nghẽn.  Tấn công từ chối dịch vụ là một nổ lực với ý đồ xấu được dùng để khiến một trang mạng không thể hoạt động bình thường. Trang mạng của các nhà bank, ngõ liên kết của các dịch vụ thẻ tín dụng, và kể cả máy chủ phân giải tên miền DNS là những mục tiêu thường bị tấn công.  Botnet trong trường hợp này được sử dụng theo lối tính toán phân bố để cùng tấn công cho nên phương pháp này được gọi là DDoS.

Tấn công DDoS là một cách đánh phá mà trong đó, một số đông gồm rất nhiều máy tính cùng tấn công một máy duy nhất, đôi lúc khiến cho máy bị hại tê liệt hoàn toàn.  Đơn giản là khi kẻ tấn công sử dụng hàng nghìn máy máy tính bị họ xâm nhập và điều khiển (còn gọi là máy cương-thi zombie hoặc bot) để cùng tấn công một mục tiêu, đó là kiểu tấn công DDoS.  Các tội phạm trên mạng như Mạng Lưới Thương Mại Nga Xô rất nổi tiếng với lối tấn công DDoS này.

Đối với kẻ tấn công DDoS, cách đánh phá này rất tiện lợi vì nhiều máy tính ở nhiều nơi sẽ tạo nên số lượng lưu thông cao hơn nhiều sơ với cách đánh phá bằng 1 máy chủ.  Thêm vào đó, nguồn gốc đánh phá đến từ nhiều nơi khác nhau nên việc truy tìm máy chủ và vô hiệu hóa nó trở nên khó khăn hơn so với cách đánh phá từ một máy.  Sự tiện lợi này khiến thủ phạm trở thành “tàng hình”.  Các nhà nghiên cứu vẫn còn đang tìm kiếm một biện pháp hữu ích để ngăn ngừa lối đánh phá này.  Dưới đây là 3 dạng tấn công DDoS được sử dụng bởi các botnet:

Tấn công theo dạng làm tràn ngập Buffer (Buffer Overflow)

Đạng tấn công rất thông dụng này bao gồm việc gửi một số lượng lưu thông đến một trang mạng và số lượng này nhiều hơn số lượng mà buffer từ máy chủ của trang mạng này dự trù sẽ lưu trữ.  Buffer (số nhiều) là những nơi lưu trữ trong ổ cứng có thể dự trù để chứa số lượng dữ liệu nhất định.  Vì vậy, số lượng dữ liệu lớn hơn sẽ tràn ngập qua các buffer bên cạnh và kết quả là số dữ liệu đang được lưu trữ trong buffer này sẽ bị xóa đi.  Ngôn ngữ lập trình C và C++ có nguy cơ bị tấn công theo dạng này cao hơn các ngôn ngữ lập trình khác vì 2 ngôn ngữ này không có biện pháp phòng chống dữ liệu bị xóa được cài sẵn vào.  Trong vài trường hợp, số dữ liệu dư tràn ngập sang nơi khác có chứa code độc với khả năng kích hoạt những hoạt động nào đó; thí dụ như mệnh lệnh mới có thể được gửi đến đế ra lệnh cho máy tính bị xâm nhập gửi đi các dữ kiện nhạy cảm, gây hư hại các dữ liệu quan trọng, sửa đổi dữ liệu, hoặc truy cập vào trang mạng mục tiêu tấn công, v.v…

Tấn công kiểu xì trum (Smurf Attack)

Dạng tấn công này bao gồm việc gửi rất nhiều gói tín hiệu đòi kiểm tra IP (ping request), còn gọi là kiểm tra tín hiệu dội ICMP (ICMP echo request).  Các gói tín hiệu đòi kiểm tra này được gửi đến một địa chỉ subnet broadcast để tung đi khắp nơi, lẫn trong gói tín hiệu này là địa chỉ nguồn “giả mạo” được sửa thành mục tiêu muốn đánh phá.  Khi router chuyển các gói tin này đi đến các IP của các máy bị xâm nhập, các máy này lập tức cùng trả lời, nhân số lượng lưu thông của mục tiêu bằng số lượng máy cương-thi và làm nghẽn thông lộ của mục tiêu bị đánh phá.  (Tấn công kiểu này tương đương với việc gọi rất nhiều pager và để lại số điện thoại của người mình muốn phá.  Chủ nhân các máy pager sẽ liên tục gọi vào đường dây mà họ thấy trên pager.. làm nghẽn thông tin điện thoại của kẻ bị hại – KD)  Nếu số lượng trả lời đủ lớn, trang mạng mục tiêu bị hại sẽ không thể phân biệt hoặc chấp nhận các yêu cầu truy cập hợp lệ khác nữa.

Tấn công theo dạng thác lũ SNY (SNY Flood)

Dạng tấn công này bao gồm việc gửi nhiều gói tín hiệu TCP/SNY yêu cầu được truy cập vào mục tiêu đánh phá.  Tất nhiên là địa chỉ nguồn đã bị chỉnh sửa thành đia chỉ giả.  Gói tín hiệu này yêu cầu máy của trang mạng mục tiêu mở một đường kết với địa chỉ “dỏm” trong đó.  Máy server của mục tiêu sẽ gửi tín hiệu TCP để mở một đường kết nhưng chỉ là phân nửa thôi và chờ đợi máy xin truy cập trả lời.  Nhưng vì địa chỉ máy xin truy cập là giả server bị hại sẽ phải chờ.  Thông thường là phải chờ khoảng 3 phút.  Trong lúc đó thì danh sách chờ người xin truy cập của máy server bị hại sẽ ngày càng đầy, các tín hiệu xin truy cập khác sẽ bị bác bỏ, bất kể hợp thức hay không.  Tấn công theo dạng thác lũ SNY thường không làm tê liệt máy bị hại nhưng vẫn khiến người sử dụng không thể truy cập vào trang mạng.  (Tấn công kiểu này tương đương với việc để tin nhắn cho người bị hại bảo họ phải gọi nhiều số ĐT giả, người bị hại sẽ nhấc ĐT gọi từng số và chờ đến khi biết được sẽ không ai trả lời – KD)


Đường truyền bị chậm một cách không bình thường, trang mạng không truy cập được, số lượng spam gia tăng đều là những dấu hiệu thông thường cho thấy đang bị tấn công.  Nhưng nhận diện một cuộc tấn công DoS hoặc DDoS không phải chuyện đơn giản.  Người sử dụng thường nhầm lẫn việc trang mạng bị tấn công với những lỗi kỹ thuật của mạng hoặc sự chậm trễ gây nên khi đang bảo quản máy chủ.

Thật không có phương pháp hữu hiệu nào để phòng chống lối tấn công này hay sao?  Biện pháp thông dụng để ngăn cản bao gồm thiết lập một hệ thống để sàng lọc hoặc “đánh hơi” trực tuyến.  Hệ thống này ghi nhận những dạng sự kiện mà máy chủ nhận được.  Khi nào hệ thống này thấy được có một dạng truy cập nào cứ tái hiện hoài thì sẽ tư động ngăn chặn các tín hiệu tương tự không cho đột nhập; theo đó, đề phòng các thông lộ bị nghẽn.

Đọc thêm về DDoS ở đây:
Bác nào muốn tìm hiểu thêm về biện pháp ngăn ngừa, đọc thêm ở đây:
•    A Survey on Solutions to Distributed Denial of Service Attacks (www.ecsl.cs.sunysb.edu/tr/TR201.pdf)
•    A Survey of Bots Used for Distributed Denial of Service Attacks (http://pubs.doc.ic.ac.uk/DDOS-Bots/)

Phần bình loạn của tớ:

Kể từ trung tuần tháng 12 năm 2009 cho đến nay, phong trào đánh phá các trang mạng báo điện tử lề trái lại rộn lên.  Nhiều trang như BauxiteVietnam.info, Danchimviet.com, Blog Osin, DânLuận.org, Talawas, MinhBiện.org cùng nhiều trang khác hoặc bị chiếm tên miền, hoặc bị thay đổi nền trang nhà, hoặc bị liên tiếp tấn công theo dạng DDoS.

Tấn công theo dạng DDoS đòi hỏi rất nhiều máy bot.  Thường thì các trang mạng bị hại có thể biết được các máy này ở đâu.  Theo mình biết được từ một vài người quen, phần lớn phát xuất từ Việt Nam và hầu như tất cả phần còn lại là từ Trung Quốc.  Và số lượng máy đánh DDoS có khi lên đến hàng chục nghìn.

Thông thường thì máy của bạn khi kết nối mạng sẽ chạy nhiều update từ Windows, từ phần mềm chống virút, và có thể là Adobe hoặc các phần mềm khác.  Nhưng ngoài những update mình có thể nhìn ra này, nếu bạn không sử dụng máy và chỉ để nó mở mà cái đèn báo lưu thông của mạng cử nhấp nháy mãi, khả năng máy của bạn bị xâm nhập rất cao.  Nên tìm các phần mềm phòng chống Autobot, Spyware, Virus để quét máy.

Sau khi Google tuyên bố tin tức về âm mưu xâm nhập của hacker Trung Quốc, Cybersitter hôm 13/1 đã nhờ tổ hợp luật Gipson Hoffman & Pancione khởi kiện đòi bòi thường $2.2 tỉ vì đã xâm nhập và ăn cắp khoảng 3000 lines of code và sử dụng trong duyệt trình kiểm duyệt Green Dam do Cty phần mềm TQ phổ biến.

TQ năm vừa qua tuyên bố là tất cả laptop bán ở TQ bắt buộc phải được cài đặt duyệt trình Green Dam này nhưng đã phải hủy bỏ kế hoạch này vào tháng 7 khi bị nhiều tổ chức nhân quyền, người sử dụng, và các cty sản xuất phản đối. Cybersitter cũng cho biết rằng tin tặc tấn công họ tuy không rõ nguồn gốc nhưng phát xuất từ Trung Quốc. [phỏng theo tin Reuters]

Đôi lúc mình tự hỏi nếu mình mua một máy tính ở tiệm, sao mình biết được cái thằng đại lý bán lẻ kia đã không cho phép “ai đó” mở cái ổ cứng ra cài thêm thằng bot vào?  VN có muốn bắt chước TQ hay k?  Cái máy mình mua cũng đã là của mình đâu, an ninh muốn “muợn” thì cứ mượn… khi trả lại thì sao mình biết là không có con bot nào trong đó?  Sử dụng để tấn công DDoS có khi đến mấy mươi nghìn máy cương-thi, quái…. máy đâu mà nhiều thế?  Không biết mấy cái dịch vụ có tình nguyện “hiến dâng” tài sản của mình để sử dụng cho “công cuộc chung” hay không?

Mình cũng muốn đặt câu hỏi rằng một chính quyền nếu đã không thao túng hoặc dung túng một bầy tin tặc (cũng như đã từng thao túng một đám côn đồ) để sử dụng vào các mục đích có lợi cho mình có còn là một “chính” quyền nữa hay không.  Có người trên mạng đã đề nghị gọi họ với cái tên “Ngụy quyền” mà họ đã từng dùng để gọi kẻ thù.

Phản hồi