1. Khái
niệm DoS & DDoS
Một tấn công “từ chối dịch vụ” (DoS - Denial of Services) được đặc trưng bởi một sự cố gắng hiển nhiên của những kẻ tấn công ngăn những người dùng hợp pháp sử dụng một dịch vụ. Các tấn công DoS có nhiều dạng khác nhau, như “làm ngập” một mạng, ngắt kết nối giữa 2 máy, …. Tổng quát, các tấn công này dựa trên ít nhất một trong các thành phần sau: sự tiêu thụ các tài nguyên hiếm, hạn chế và không thể tái sinh, và sự phá huỷ hoặc thay đổi các thông tin cấu hình. Các tấn công như vậy có thể làm dừng một cách hiệu quả một máy tính hoặc một network, toàn bộ một tổ chức hoặc công ty, do đó, dẫn đến không có khả năng cung cấp các dịch vụ, tổn hại kinh tế và mất mát dữ liệu.
DDoS là “Distributed – Denial – of – Service” nghĩa là, nhiều máy tính “zombie” tấn công vào một máy (hoặc nhiều hơn), thường dưới sự điều khiển của một “master”, điều khiển bởi kẻ tấn công.
2. Tóm tắt lịch sử và xu hướng
Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn nhân, ngăn những người khác được phục vụ. Điều này được thực hiện chủ yếu bằng cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods. Sau đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông điệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời. (Smurf attack, IP spoofing…).
Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động hoá sự đồng bộ, kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên được công bố rộng rãi, Trinoo. Nó dựa trên tấn công UDP flood và các giao tiếp master-slave (khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa). Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công như vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào các site công cộng tháng 2/2000. Trong thời gian 3 ngày, các site Yahoo.com, amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn công (ví dụ như Yahoo bị ping với tốc độ 1 GB/s). Người ta phát hiện rằng khoảng 50 máy tính ở Stanford University và cả các máy tính ở University of California at Santa Barbara nằm trong số các máy tính “zombie” gửi ping trong các tấn công DoS này.
Trong các tháng tiếp theo, các tấn công phổ biến khác được tổ chức chông lại các site được sử dụng rộng rãi (thương mại và chính phủ):
a. Một nghiên cứu trong 3 tuần vào tháng 2/2001 cho thấy có khoảng 4000 tấn công DoS mỗi tuần. Hầu hết tấn công DoS không được công bố trên phương tiện thông tin và cũng không bị truy tố.
b. Tháng 5/2001, các hacker đã làm quá tải các router của Weather.com và của công ty Web hosting của nó với các lưu thông giả. Để chống lại cuộc tấn công, weather.com đã chuyển đến một router riêng và đã cài đặt phần mềm lọc để bảo vệ các switch và server, cũng như phần mềm phát hiện xâm nhập để ghi lại tất cả các hoạt động đang diễn ra. Công ty này phải mất 7 giờ để đưa site hoạt động trở lại.
c. 5/2001 và 1/2002 – hai tấn công lớn vào website grc.com. Các tấn công này là duy nhất do các phân tích kỹ càng đã được thực hiện về chúng bởi Steve Gibson, một trong những người chủ của site này. Ông đã xuất bản hai bài báo chi tiết, mô tả sự tiến hóa của các tấn công này, cách mà đội ngũ của ông phân tích chúng và cách họ vượt qua chúng.
d. 4/2002 – hàng ngàn máy tính trên toàn thế giới đã làm ngập mọi website tin tức gaming nổi tiếng với hàng trăm yêu cầu cho một file không xác định 11081109.exe. Tấn công đáng ngạc nhiên này đã làm down hầu hết các site tin tức phổ biến, bao gồm Shacknews, Bluesnews, Gamespy và nhiều site khác. Ngay cả các site không phải gaming cũng bị ảnh hưởng, do hầu hết các điểm routing lớn bị ngập hoặc shut down do lưu thông lớn.
e. Vài tấn công này còn được thúc đẩy bởi động cơ chính trị - các ví dụ điển hình có thể tìm thấy ở Trung Đông, những người ủng hộ Israel đã tiến hành một tấn công DDoS lên site của Hezbollah vào 9/2000, ngược lại, những người ủng hộ Palestin đã thành công trong việc làm “crashing” site của Bộ Ngoại giao Israel trong vài ngày, và làm tràn ngập lưu thông trong các ISP chính.
3. Mối đe doạ không cân xứng
Các tấn công DoS có thể được thực hiện với các tài nguyên giới hạn để chống lại một site lớn, phức tạp. Ví dụ, một kẻ tấn công với một PC cũ và modem chậm cũng có thể phá một máy hoặc network nhanh hơn và phức tạp hơn. Hiện tại, một số lượng lớn hệ thống có thể bị khai thác đang tồn tại với chế độ bảo mật kém trên Internet. Các tấn công có thể mở rộng vượt qua các giới hạn địa lý và quốc gia, làm tăng khó khăn cho việc ngăn chặn các kẻ tấn công.
Hơn nữa, kỹ thuật tấn công được phát triển trong một môi trường nguồn mở và tiến hoá nhanh chóng. Trái lại, phần lớn các phần mềm được viết ngày nay cho các ứng dụng khác nhau lại được thực hiện bởi những lập trình viên thiếu kinh nghiệm, và nhắm đến việc “tăng tốc” thị trường, hoặc cho phép các tính năng phức tạp – nhưng không an toàn. Nhiều quản trị hệ thống không được đào tạo tốt.
Vài thí dụ tốt có thể được thấy khi một cuộc điều tra lớn của FBI sau các cuộc tấn công vào Yahoo.com, cnn.com … tháng 2/2000 dẫn đến việc bắt giữ một cậu bé 15 tuổi từ Canada. Cuộc tấn công vào grc.com server (5/2001) được thực hiện bởi một đứa 13 tuổi. Tất cả những điều này nhấn mạnh các thách thức trong việc đối phó với các tấn công DoS, và giải thích tại sao chúng thường được gọi là “mối đe doạ không cân xứng”.
4. Phân loại
Các tấn công DoS khai thác đặc điểm bất đối xứng của vài loại lưu thông mạng. Một phương pháp tấn công tìm cách để khiến mục tiêu tấn công sử dụng nhiều tài nguyên để xử lý lưu thông hơn là kẻ tấn công gửi đi lưu thông đó. Một phương pháp khác là điều khiển nhiều kẻ tấn công. Do đó các tấn công DoS có thể được phân loại thành ba nhóm – Tấn công băng thông/thông lượng (Bandwidth/Throughput attack), Tấn công giao thức (Protocol attack) và tấn công lỗ hổng phần mềm (Software Vulnerability attack).
Một tấn công “từ chối dịch vụ” (DoS - Denial of Services) được đặc trưng bởi một sự cố gắng hiển nhiên của những kẻ tấn công ngăn những người dùng hợp pháp sử dụng một dịch vụ. Các tấn công DoS có nhiều dạng khác nhau, như “làm ngập” một mạng, ngắt kết nối giữa 2 máy, …. Tổng quát, các tấn công này dựa trên ít nhất một trong các thành phần sau: sự tiêu thụ các tài nguyên hiếm, hạn chế và không thể tái sinh, và sự phá huỷ hoặc thay đổi các thông tin cấu hình. Các tấn công như vậy có thể làm dừng một cách hiệu quả một máy tính hoặc một network, toàn bộ một tổ chức hoặc công ty, do đó, dẫn đến không có khả năng cung cấp các dịch vụ, tổn hại kinh tế và mất mát dữ liệu.
DDoS là “Distributed – Denial – of – Service” nghĩa là, nhiều máy tính “zombie” tấn công vào một máy (hoặc nhiều hơn), thường dưới sự điều khiển của một “master”, điều khiển bởi kẻ tấn công.
2. Tóm tắt lịch sử và xu hướng
Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn nhân, ngăn những người khác được phục vụ. Điều này được thực hiện chủ yếu bằng cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods. Sau đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông điệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời. (Smurf attack, IP spoofing…).
Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động hoá sự đồng bộ, kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên được công bố rộng rãi, Trinoo. Nó dựa trên tấn công UDP flood và các giao tiếp master-slave (khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa). Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công như vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào các site công cộng tháng 2/2000. Trong thời gian 3 ngày, các site Yahoo.com, amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn công (ví dụ như Yahoo bị ping với tốc độ 1 GB/s). Người ta phát hiện rằng khoảng 50 máy tính ở Stanford University và cả các máy tính ở University of California at Santa Barbara nằm trong số các máy tính “zombie” gửi ping trong các tấn công DoS này.
Trong các tháng tiếp theo, các tấn công phổ biến khác được tổ chức chông lại các site được sử dụng rộng rãi (thương mại và chính phủ):
a. Một nghiên cứu trong 3 tuần vào tháng 2/2001 cho thấy có khoảng 4000 tấn công DoS mỗi tuần. Hầu hết tấn công DoS không được công bố trên phương tiện thông tin và cũng không bị truy tố.
b. Tháng 5/2001, các hacker đã làm quá tải các router của Weather.com và của công ty Web hosting của nó với các lưu thông giả. Để chống lại cuộc tấn công, weather.com đã chuyển đến một router riêng và đã cài đặt phần mềm lọc để bảo vệ các switch và server, cũng như phần mềm phát hiện xâm nhập để ghi lại tất cả các hoạt động đang diễn ra. Công ty này phải mất 7 giờ để đưa site hoạt động trở lại.
c. 5/2001 và 1/2002 – hai tấn công lớn vào website grc.com. Các tấn công này là duy nhất do các phân tích kỹ càng đã được thực hiện về chúng bởi Steve Gibson, một trong những người chủ của site này. Ông đã xuất bản hai bài báo chi tiết, mô tả sự tiến hóa của các tấn công này, cách mà đội ngũ của ông phân tích chúng và cách họ vượt qua chúng.
d. 4/2002 – hàng ngàn máy tính trên toàn thế giới đã làm ngập mọi website tin tức gaming nổi tiếng với hàng trăm yêu cầu cho một file không xác định 11081109.exe. Tấn công đáng ngạc nhiên này đã làm down hầu hết các site tin tức phổ biến, bao gồm Shacknews, Bluesnews, Gamespy và nhiều site khác. Ngay cả các site không phải gaming cũng bị ảnh hưởng, do hầu hết các điểm routing lớn bị ngập hoặc shut down do lưu thông lớn.
e. Vài tấn công này còn được thúc đẩy bởi động cơ chính trị - các ví dụ điển hình có thể tìm thấy ở Trung Đông, những người ủng hộ Israel đã tiến hành một tấn công DDoS lên site của Hezbollah vào 9/2000, ngược lại, những người ủng hộ Palestin đã thành công trong việc làm “crashing” site của Bộ Ngoại giao Israel trong vài ngày, và làm tràn ngập lưu thông trong các ISP chính.
3. Mối đe doạ không cân xứng
Các tấn công DoS có thể được thực hiện với các tài nguyên giới hạn để chống lại một site lớn, phức tạp. Ví dụ, một kẻ tấn công với một PC cũ và modem chậm cũng có thể phá một máy hoặc network nhanh hơn và phức tạp hơn. Hiện tại, một số lượng lớn hệ thống có thể bị khai thác đang tồn tại với chế độ bảo mật kém trên Internet. Các tấn công có thể mở rộng vượt qua các giới hạn địa lý và quốc gia, làm tăng khó khăn cho việc ngăn chặn các kẻ tấn công.
Hơn nữa, kỹ thuật tấn công được phát triển trong một môi trường nguồn mở và tiến hoá nhanh chóng. Trái lại, phần lớn các phần mềm được viết ngày nay cho các ứng dụng khác nhau lại được thực hiện bởi những lập trình viên thiếu kinh nghiệm, và nhắm đến việc “tăng tốc” thị trường, hoặc cho phép các tính năng phức tạp – nhưng không an toàn. Nhiều quản trị hệ thống không được đào tạo tốt.
Vài thí dụ tốt có thể được thấy khi một cuộc điều tra lớn của FBI sau các cuộc tấn công vào Yahoo.com, cnn.com … tháng 2/2000 dẫn đến việc bắt giữ một cậu bé 15 tuổi từ Canada. Cuộc tấn công vào grc.com server (5/2001) được thực hiện bởi một đứa 13 tuổi. Tất cả những điều này nhấn mạnh các thách thức trong việc đối phó với các tấn công DoS, và giải thích tại sao chúng thường được gọi là “mối đe doạ không cân xứng”.
4. Phân loại
Các tấn công DoS khai thác đặc điểm bất đối xứng của vài loại lưu thông mạng. Một phương pháp tấn công tìm cách để khiến mục tiêu tấn công sử dụng nhiều tài nguyên để xử lý lưu thông hơn là kẻ tấn công gửi đi lưu thông đó. Một phương pháp khác là điều khiển nhiều kẻ tấn công. Do đó các tấn công DoS có thể được phân loại thành ba nhóm – Tấn công băng thông/thông lượng (Bandwidth/Throughput attack), Tấn công giao thức (Protocol attack) và tấn công lỗ hổng phần mềm (Software Vulnerability attack).
Không có nhận xét nào:
Đăng nhận xét
Cảm ơn bạn đã ghé thăm blog của mình!