Mít Đặc trò chuyện với Biết Tuốt: Dạo này tớ thấy có nhiều tấn công lên các trang web nổi tiếng quá nhỉ. Các trang tớ hay vào như Twitter, Facebook, Blogger đều bị tấn công. Không biết dữ liệu của tớ trên đó có bị làm sao không. Tớ đăng nhiều hình ảnh lên đó lắm.
Biết Tuốt:Ờ, mấy trang của chính phủ cũng bị tấn công nữa. Đúng là khó có thể ngăn chặn các tấn công DDoS được.
Mít Đặc: Tớ cũng không hiểu tấn công DDoS là thế nào. Mấy trang đó lớn như thế, đúng ra hệ thống của họ phải trang bị hiện đại để chống lại tấn công chứ.
Biết Tuốt:Ờ, mấy trang của chính phủ cũng bị tấn công nữa. Đúng là khó có thể ngăn chặn các tấn công DDoS được.
Mít Đặc: Tớ cũng không hiểu tấn công DDoS là thế nào. Mấy trang đó lớn như thế, đúng ra hệ thống của họ phải trang bị hiện đại để chống lại tấn công chứ.
Biết Tuốt: Đúng thế, hệ thống họ lớn, nhưng cũng giống như mười người chúng ta chui vào nhà cùng lúc thì có cái cửa nào chịu nổi chứ. Nguyên lý tấn công DDoS là dựa trên điều này. DDoS là viết tắt của distributed-denial-ofservice, còn gọi là tấn công từ chối dịch vụ phân bố. Từ này xuất phát từ DoS, tấn công từ chối dịch vụ.
Mít Đặc: Là như thế nào?
Biết Tuốt: Có thể nói ngắn gọn là tin tặc cố gắng bằng cách nào đó làm tràn ngập đường truyền hoặc tốc độ xử lý của hệ thống các website và làm cho các website này tạm thời không thể truy cập được.
Mít Đặc: Tớ nghĩ hệ thống website có thể xử lý được hàng triệu người dùng truy cập cùng lúc. Như trang Facebook chẳng hạn, họ có tới vài trăm triệu người dùng thì sao lại không thể xử lý được.
Biết Tuốt: Đúng là họ có hệ thống phần cứng mạnh, đường truyền tốt, tuy nhiên với số lượng hàng chục ngàn hoặc hàng triệu kết nối đến máy chủ cùng lúc, lại lặp lại liên tục thì hệ thống cũng sẽ đạt tới ngưỡng của nó. Hàng triệu kết nối này là xuất phát từ hàng triệu máy tính khác nhau.
Mít Đặc: Quan trọng thế nào? Không phải tấn công xuất phát từ một máy tính hay một tin tặc nào đó à. Chẳng lẽ hàng triệu người cùng lúc tấn công một website.
Biết Tuốt: Hiển nhiên là không, tấn công không xuất phát từ một máy tính mà từ hàng triệu máy tính khác nhau. Các máy tính này được điều khiển bởi một máy chủ hay nhiều máy chủ khác nhau. Nhưng các lệnh tấn công có thể phát động từ chỉ một người duy nhất.
Mít Đặc: Làm sao một người có thể điều khiển được hàng triệu máy tính cùng lúc, tớ thấy khó tin quá.
Mít Đặc: Là như thế nào?
Biết Tuốt: Có thể nói ngắn gọn là tin tặc cố gắng bằng cách nào đó làm tràn ngập đường truyền hoặc tốc độ xử lý của hệ thống các website và làm cho các website này tạm thời không thể truy cập được.
Mít Đặc: Tớ nghĩ hệ thống website có thể xử lý được hàng triệu người dùng truy cập cùng lúc. Như trang Facebook chẳng hạn, họ có tới vài trăm triệu người dùng thì sao lại không thể xử lý được.
Biết Tuốt: Đúng là họ có hệ thống phần cứng mạnh, đường truyền tốt, tuy nhiên với số lượng hàng chục ngàn hoặc hàng triệu kết nối đến máy chủ cùng lúc, lại lặp lại liên tục thì hệ thống cũng sẽ đạt tới ngưỡng của nó. Hàng triệu kết nối này là xuất phát từ hàng triệu máy tính khác nhau.
Mít Đặc: Quan trọng thế nào? Không phải tấn công xuất phát từ một máy tính hay một tin tặc nào đó à. Chẳng lẽ hàng triệu người cùng lúc tấn công một website.
Biết Tuốt: Hiển nhiên là không, tấn công không xuất phát từ một máy tính mà từ hàng triệu máy tính khác nhau. Các máy tính này được điều khiển bởi một máy chủ hay nhiều máy chủ khác nhau. Nhưng các lệnh tấn công có thể phát động từ chỉ một người duy nhất.
Mít Đặc: Làm sao một người có thể điều khiển được hàng triệu máy tính cùng lúc, tớ thấy khó tin quá.
Biết Tuốt: Thông thường các máy tính này bị lây nhiễm một phần mềm độc hại. Phần mềm này biến máy tính đó thành một botnet hay còn gọi là zombies, slave. Người chủ động tấn công sẽ gửi các lệnh thực thi thông qua các máy chủ trung gian, hoặc thông qua các kênh IRC (Internet Relay Chat), và hơn thế nữa có thể thông qua mạng kênh peer-to-peer như các loại sâu mới Conficker chẳng hạn.
Mít Đặc: Làm sao để biến một máy tính thành botnet được?
Mít Đặc: Làm sao để biến một máy tính thành botnet được?
Biết Tuốt: Có rất nhiều cách để biến một máy tính thành botnet để điều khiển. Thông thường người có chủ ý sẽ gửi một thư rác đến nạn nhân với file đính kèm chứa phần mềm độc hại, hoặc một liên kết URL dẫn đến trang web chứa phần mềm độc. Các phần mềm độc này thường là worm, Trojan hoặc backdoor. Chúng sẽ được cài ngầm vào máy tính khi người dùng mở file đính kèm hoặc kích vào liên kết trong email. Hoặc một cách khác nữa là phần mềm lạ có thể tự động tải về và cài đặt lên máy tính nạn nhân qua các lỗ hổng bảo mật của trình duyệt web như IE, Firefox… mà nạn nhân không hề hay biết.
Mít Đặc: Sao lại không biết. Phần mềm nào cài vào máy tớ là tớ biết hết.
Biết Tuốt: Không phải thế. Các phần mềm này không cài đặt bình thường, mà nó tiềm ẩn trong máy tính. Có thể chúng cũng không thể hiện bất kì một hành vi bất thường nào khác làm cho cậu để ý thấy. Chúng chỉ nằm ẩn bên dưới và chờ lệnh tấn công.
Mít Đặc: Nhưng lúc tấn công, máy tính nạn nhân có biết mình đang tấn công vào hệ thống người khác không.
Biết Tuốt: Nguy hiểm là ở đây. Nạn nhân cũng khó biết mình đang bị biến thành botnet và tấn công vào máy chủ của người khác.
Mít Đặc: Vậy để tập hợp được vài triệu botnet thì cũng phải là một quá trình lâu dài nhỉ.
Biết Tuốt: Tớ cũng khó biết được làm thế nào tập hợp được số lượng botnet lớn như vậy. Có thể các tin tặc thuê botnet lẫn nhau.
Mít Đặc: Thật là nguy hiểm, nhiều lúc máy tớ cũng là botnet mà tớ không biết được. Nhưng thường với một trang web bình thường thì khoảng bao nhiêu botnet có thể tấn công được nó.
Biết Tuốt: Con số botnet ước đoán cũng khó xác định. Với khoảng 25.000 đến 50.000 botnet là có thể đánh hạ được một website bình thường, còn các trang web nhỏ hơn thì cần khoảng 5.000 đến 10.000 botnet là đủ.
Mít Đặc: Với tầm cỡ như Google, Facebook, Twitter thì cần khoảng bao nhiêu.
Mít Đặc: Sao lại không biết. Phần mềm nào cài vào máy tớ là tớ biết hết.
Biết Tuốt: Không phải thế. Các phần mềm này không cài đặt bình thường, mà nó tiềm ẩn trong máy tính. Có thể chúng cũng không thể hiện bất kì một hành vi bất thường nào khác làm cho cậu để ý thấy. Chúng chỉ nằm ẩn bên dưới và chờ lệnh tấn công.
Mít Đặc: Nhưng lúc tấn công, máy tính nạn nhân có biết mình đang tấn công vào hệ thống người khác không.
Biết Tuốt: Nguy hiểm là ở đây. Nạn nhân cũng khó biết mình đang bị biến thành botnet và tấn công vào máy chủ của người khác.
Mít Đặc: Vậy để tập hợp được vài triệu botnet thì cũng phải là một quá trình lâu dài nhỉ.
Biết Tuốt: Tớ cũng khó biết được làm thế nào tập hợp được số lượng botnet lớn như vậy. Có thể các tin tặc thuê botnet lẫn nhau.
Mít Đặc: Thật là nguy hiểm, nhiều lúc máy tớ cũng là botnet mà tớ không biết được. Nhưng thường với một trang web bình thường thì khoảng bao nhiêu botnet có thể tấn công được nó.
Biết Tuốt: Con số botnet ước đoán cũng khó xác định. Với khoảng 25.000 đến 50.000 botnet là có thể đánh hạ được một website bình thường, còn các trang web nhỏ hơn thì cần khoảng 5.000 đến 10.000 botnet là đủ.
Mít Đặc: Với tầm cỡ như Google, Facebook, Twitter thì cần khoảng bao nhiêu.
Biết Tuốt: Theo tớ thì cũng phải lên đến 500.000 hay 10.000.000 botnet mới đủ. Cậu thử tưởng tượng một botnet tạo ra một kết nối 1KB đến máy chủ web, 1.000.000 botnet tạo ra kết nối 1GB. Chưa kể đến một botnet có thể tạo hàng trăm kết nối đồng thời,liên tục và đều đặn. Điều này làm cho hệ thống không thể xử lý nổi cũng như đường truyền bị quá tải.
Mít Đặc: Nhưng tớ không cũng không hiểu người ta tấn công làm gì nhỉ. Website có thể không truy cập được nhưng người tấn công cũng chẳng có lợi gì.
Mít Đặc: Nhưng tớ không cũng không hiểu người ta tấn công làm gì nhỉ. Website có thể không truy cập được nhưng người tấn công cũng chẳng có lợi gì.
Biết Tuốt: Mục đích của tấn công thường khó biết, có thể là một cách thể hiện đẳng cấp của tin tặc, hoặc tin tặc được thuê để hạ uy tín của một trang web, hoặc nhằm vào mục đích khủng bố chẳng hạn. Các website bị tấn công sẽ không truy cập được trong một thời gian, gây thiệt hại lớn cho họ và người dùng.
Mít Đặc: Vậy người ta không có cách nào để chống tấn công DDoS à?
Biết Tuốt: Hiện tại rất khó để chống tấn công DDoS. Có nhiều công ty nâng cao khả năng xử lý bằng cách mua nhiều máy chủ, tăng băng thông đường truyền, hoặc đặt dữ liệu trên một vùng máy chủ dự trữ khác. Hoặc website có thể giới hạn số lượng kết nối đồng thời, ngăn chặn thông tin mà tin tặc dùng để tấn công. Hoặc công ty bị tấn công có thể nhờ can thiệp từ các nhà cung cấp dịch vụ ISP để giới hạn băng thông từ các máy tính xuất phát tấn công. Hay họ có thể sử dụng các phần mềm chống tấn công DoS, nhận dạng mẫu tấn công và tự động ngắt kết nối từ các địa chỉ xuất phát tấn công.
Mít Đặc: Nếu vậy tớ thấy hay nhất là người dùng đừng bao giờ biến thành botnet để cho người khác lợi dụng tấn công.
Mít Đặc: Vậy người ta không có cách nào để chống tấn công DDoS à?
Biết Tuốt: Hiện tại rất khó để chống tấn công DDoS. Có nhiều công ty nâng cao khả năng xử lý bằng cách mua nhiều máy chủ, tăng băng thông đường truyền, hoặc đặt dữ liệu trên một vùng máy chủ dự trữ khác. Hoặc website có thể giới hạn số lượng kết nối đồng thời, ngăn chặn thông tin mà tin tặc dùng để tấn công. Hoặc công ty bị tấn công có thể nhờ can thiệp từ các nhà cung cấp dịch vụ ISP để giới hạn băng thông từ các máy tính xuất phát tấn công. Hay họ có thể sử dụng các phần mềm chống tấn công DoS, nhận dạng mẫu tấn công và tự động ngắt kết nối từ các địa chỉ xuất phát tấn công.
Mít Đặc: Nếu vậy tớ thấy hay nhất là người dùng đừng bao giờ biến thành botnet để cho người khác lợi dụng tấn công.
Biết Tuốt: Cậu nghĩ vậy đúng rồi, cậu phải thường xuyên cập nhật bản vá của phần mềm cũng như hệ điều hành trên máy cậu, cài phần mềm chống virus, malware, và phải cẩn thận khi mở file đính kèm cũng như kích vào các liên kết lạ trong email.