DDoS

DDos là gì

Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một nỗ lực làm cho một dịch vụ online không trở nên không thể truy cập được bằng cách làm cho nó trỏ nên quá tải. Mục tiêu của tấn công DDoS rất đa dạng, từ các ngân hàng cho tới các trang tin tức. DDoS là thách thức lớn đối với các nhà quản lý mạng.

Một phương pháp thường thấy trong tấn công DDoS là làm cho mục tiêu bị tràn ngập bởi các giao tiếp thực hiện với bên ngoài, khi đó nó không thể đáp ứng được các truy cập hợp lệ hoặc tốc độ trao đổi dữ liệu bị giảm đi khiến cho nó trở nên không truy cập được. Những cuộc tấn công như vậy thường dẫn tới việc server bị quá tải. Thông thường máy tính mục tiêu sẽ bị ép cho phải khởi động lại hoặc sử dụng quá nhiều tài nguyên cho phép dẫn đến nó không cung cấp được dịch vụ như mong muốn.

Tấn công DDoS bị coi là hành vi vi phạm chính sách sử dụng Internet của Architecture Board (uỷ ban giám sát triển kỹ thuật của Internet) và cũng vi phạm các quy tắc của tất cả những nhà cung cấp dịch vụ Internet. Trên nhiều quốc gia, tổ chức tấn công DDoS bị coi là hành vi vi phạm pháp luật.

Các phương pháp tấn công DDoS

Đặc trưng của một cuộc tấn công từ chối dịch vụ là các đối tượng sử dụng những biện pháp nhằm ngăn chặn việc người dùng thông thường của các dịch vụ sử dụng dịch vụ đó. Có hai hình thức tổng quát của tấn công DoS: kiểu đánh sập dịch vụ và kiểu gây "ngập" dịch vụ.

Tấn công DoS có thể thực hiện bằng nhiều cách, về cơ bản được chia ra làm năm nhóm:

• Làm tiêu tốn các tài nguyên của máy tính như băng thông, bộ nhớ, không gian ổ cứng, hoặc tài nguyên CPU.
• Gây gián đoạn các thông tin thiết lập ví dụ như thông tin dẫn đường (routing).
• Gây gián đoạn các thông tin trạng thái như làm khởi động lại TCP sessions.
• Gây gián đoạn các bộ phận của mạng vật lý.
• Gây cản trở các phương thức liên lạc giữa người dùng với nhau làm cho họ không thể giao tiếp được với nhau một cách bình thường.

Một cuộc tấn công DoS có thể bao gồm cả hoạt động của các malware (phần mềm độc hại) nhằm vào việc:

• Sử dụng tối đa tài nguyên CPU dẫn tới không còn tài nguyên xử lý các công việc khác.
• Kích hoạt lỗi trong các microcode của máy tính.
• Gây ra lỗi trong việc đưa ra các trình tự xử lý của máy tính, làm cho máy chuyển sang trạng thái không ổn định.
• Lợi dụng các lỗ hổng trong hệ điều hành, gây ra thiếu tài nguyên hoặc thrashing.
• Làm cho hệ điều hành tự bị crash.

Trong hầu hết các trường hợp, tấn công DoS có liên quan tới việc cưỡng bức địa chỉ gửi IP (địa chỉ IP giả mạo) để che giấu địa điểm của các máy tính tổ chức tấn công, gây khó khăn cho việc nhận dạng đối tượng tấn công và lọc các gói tin dựa trên địa chỉ nguồn.

Tấn công TCP SYN Flood

Sử dụng hết tất cả các tài nguyên kết nối tới các thiết bị của hệ thống infra như load-balancer, tường lửa và các server application. Kể các những thiết bị có khả năng xử lý được hàng triệu kết nối cùng một lúc vẫn có thể bị đánh sập bởi kiểu tấn công này.

Thông thường, khi một máy trạm bắt đầu một kết nối TCP tới một máy chủ, máy trạm và máy chủ sẽ trao đổi một chuỗi các message như sau:

• Máy trạm yêu cầu một kết nối bằng cách gửi một tin nhăn SYN (synchronize - đồng bộ hoá) tới máy chủ.
• Máy chủ thông báo cho máy trạm rằng đã nhận được yêu cầu này bằng cách gửi lại một tin nhắn SYN-ACK cho phía máy trạm.
• Máy trạm trả lời với một tin nhắn ACK, và kết nối được thiết lập.

Đây được gọi là phương thức bắt tay ba bước, là cách khởi tạo của mọi kết nối sử dụng giao thức TCP.

SYN flood attack lợi dụng đặc điểm này để tấn công bằng cách không trả lời lại server bằng mã ACK được mong muốn. Máy trạm tấn công có thể không gửi lại mã ACK hoặc giả mạo địa chỉ IP nguồn trong tin nhắn SYN đầu tiên. Điều này dẫn tới việc server sẽ gửi tin SYN-ACK tới một địa chỉ không có thật, địa chỉ này sẽ không gửi lại tin ACK vì nó vốn không gửi request SYN tới server.

Máy chủ có thể đợi hồi âm từ máy trạm một thời gian vì thông thường tin nhắn có thể chậm trả về vì lý do tắc nghẽn mạng, tuy nhiên trong một cuộc tấn công mà các kết nối TCP nửa vời này được gửi đến liên tiếp sẽ trói nguồn tài nguyên của máy chủ cho tới khi không kết nối nào có thể được tạo thành, dẫn tới việc từ chối các kết nối hợp lệ. Một vài hệ thống sẽ hoạt động sai lệch hoặc bị đánh sập khi tài nguyên bị thiếu trầm trọng.

Volumetric Attacks - Tấn công băng thông

Những cuộc tấn công này sẽ tiêu tốn băng thông của nội bộ máy chủ mục tiêu hoặc giữa máy chủ đó với phần còn lại của Internet.

1. Smurf attack

Tấn công dựa vào các thiết lập lỗi của thiết bị mạng dẫn tới việc cho phép các gói tin được gửi tới tất cả các máy tính nằm trong mạng đó thông qua địa chỉ broadcast hơn là gửi tới một máy cụ thể.

Trong những cuộc tấn công kiểu này, thủ phạm sẽ gửi một số lượng lớn các gói tin IP với địa chỉ nguồn giả mạo là địa chỉ của máy bị tấn công. Băng thông của mạng sẽ bị sử dụng hết nhanh chóng làm cho các gói tin hơn lệ không tới được đích.

2. Ping flood

Ping flood dựa trên việc gửi tới máy chủ mục tiêu một lượng lớn các gói tin ping, thường lại sử dụng câu lệnh ping từ các máy Unix (hoặc tương tự), vì các cờ -t, -l của câu lệnh ping các máy sử dụng hệ điều hành Window không cho phép gửi các gói tin lớn hơn 65500 nên không có nhiều khả năng làm ngập đối tượng. Việc thực hiện khá đơn giản nhưng yêu cầu là băng thông của bên tấn công phải lớn hơn băng thông của đối tượng.

3. Ping of death

Dựa trên việc gửi tới máy chủ mục tiêu các gói tin ping độc hại, dẫn tới việc hệ thống bị đánh sập.

Fragmentation attack - Teardrop attack

Kiểu tấn công này làm ngập máy chủ mục tiêu bằng các gửi lượng lớn các fragments TCP hay UDP, làm vượt quá khả năng xử lý, tái lập lại các streams và làm giảm nghiêm trọng hiệu suất của hệ thống.

Application Attacks

Tấn công kiểu này lợi dụng các lỗ hổng của những application sử dụng trên máy chủ, tấn công vào một phần nhất định của mục tiêu (không phải toàn bộ), làm tăng lượng sử dụng tài nguyên của application dẫn tới quá tải. Kiểu tấn công này có thể hoạt động hiệu quả kể cả khi sử dụng một số lượng ít các máy tính tấn công và chỉ có thể tạo ra được các lưu lượng kết nối nhỏ (điều này làm cho việc phát hiện và hạn chế tấn công trở nên khó khăn).

Ngăn chặn DDoS

Black-holing, sinkholing

Phương pháp này chặn tất cả các truy cập và dẫn nó tới một hố đen, nơi tất cả đều bị xoá bỏ. Hạn chế của phương pháp này là cả các truy cập hợp lệ và không hợp lệ đều bị từ chối, dịch vụ sẽ đóng cửa. Tương tự như vậy, bộ lọc gói tin và hạn chế rate của server sẽ tắt mọi thứ và từ chối cả truy cập tư các người dùng thông thường.

Router và tường lửa

Router có thể được thiết lập để từ chố các cuộc tấn công ping bằng cách lọc các giao thức không hợp lệ và ngừng những địa chỉ IP lỗi. Tuy nhiên, router thường không hiệu quả đối với những cuộc tấn công giả mạo có độ tinh vi cao hơn và các cuộc tấn công ở mức application sử dụng IP hợp lệ. Tường lửa có thể ngăn chặn một luồng cụ thể của cuộc tấn công nhưng giống như router, tường lửa không có khả năng chống lại việc giả mạo địa chỉ.

Hệ thống phát hiện xâm nhập IDS

Giải pháp IDS cung cấp một vài biện pháp phát hiện bất thường để nhận dạng những giao thức hợp lệ đang bị lợi dụng như một phương tiện tấn công. Hệ thống này có thể được sử dụng kết hợp với tường lửa để tự động ngăn chặn truy cập. Mặt hạn chế của hệ thống này là nó không tự động hoá, cần phải được điều chỉnh tay bởi các chuyên gia bảo mật và nó cũng thường gây ra các dựu đoán sai lệch.

Servers

Thiết lập chính xác cho các ứng dụng trên server rất quan trọng trong việc hạn chế tối đa ảnh hưởng của một cuộc tấn công DDoS. Một người quản lý có thể định nghĩa tài nguyên nào một application có thể sử dụng và nó sẽ trả lời các request từ máy trạm như thế nào. Kết hợp với các thiết bị hạn chế DDoS, tối ưu hoá server làm tăng khả năng sống sót của một hệ thống qua các cuộc tấn công DDoS.

Sử dụng thiết bị hạn chế DDoS

Several companies either make devices dedicated to sanitizing traffic or build DDoS mitigation functionality into devices used primarily for other functions such as load balancing or firewalling. These devices have varying levels of effectiveness. None is perfect. Some legitimate traffic will be dropped, and some illegitimate traffic will get to the server. The server infrastructure will have to be robust enough to handle this traffic and continue to serve legitimate clients. Một vài công ty cũng chế tạo ra các thiết bị sử dụng để làm sạch các truy cập hoặc tích hợp tính năng hạn chế DDoS vào trong thiết bị như load-balancer hay tường lửa.

Over-provisioning

Sử dụng dư thừa băng thông hoặc các thiết bị mạng là một phương án hiệu quả để chống chọi được các cuộc tấn công DDoS. Một lợi thế của việc sử dụng các nhà cung cấp dịch vụ outsourced là bạn có thể mua dịch vụ theo nhu cầu, ví dụ như làm tăng băng thông mỗi khi bạn cần, điều này tốt hơn việc bạn đầu tư vào các thiết bị và mạng lưới một cách dư thừa.

Trong hầu hết các trường hợp, các công ty không thể biết trước được mình sẽ bị tấn công DDoS khi nào. Hướng tấn công sẽ thay đổi giữa chừng đòi hỏi công ty phải phản ứng nhanh và liên tục trong nhiều giờ hoặc nhiều ngày. Nếu mục tiêu của các đối tượng tấn công là làm tiêu tốn băng thông Internet của bạn, một nhà cung cấp dịch vụ tốt có thể cho bạn cả băng thông rộng và các thiết bị để chống chọi, hạn chết ảnh hưởng của các cuộc tấn công.

Một số thông tin

Botnet

• Thủ phạm tấn công tạo ra một mạng lưới các máy tính bị nhiễm độc, được biết đến với cái tên botnet, bằng cách lây nhiễm những phần mềm độc hại thông qua email, các trang web và các mạng xã hội. Một khi đã bị nhiễm virut, các máy tính ẽ bị kiểm soát từ xa mà chủ nhân không hề biết gì, và được sử dụng như một đội quân để thực hiện các cuộc tấn công tới mục tiêu. Một vài botnet có sức mạnh bằng hàng triệu máy tính.
• Các botnet có thể tạo ra một lưu lượng khổng lồ gây ngập các mục tiêu. Các cuộc tấn công này được tạo ra bằng nhiều cách, ví dụ như gửi nhiều request hơn số lượng mà máy chủ có thể xử lý được, hoặc điều khiển các máy tính bị nhiễm virut gửi tới nạn nhân những gói tin có dung lượng lớn làm cho băng thông của mục tiêu bị sử dụng hết. Một vài cuộc tấn công lớn tới mức làm cho công suất sử dụng cáp quốc tế của một đất nước đạt tới mức cực đại.
• Một số chợ đặc biệt tồn tại trên mạng để mua bán botnet hoặc các cuộc tấn công DDoS. Sử dụng những chợ đen này, một người có thể trả phí để yêu cầu làm tê liệt một trang web mà họ đang có bất đồng hoặc gây gián đoạn hoạt động mạng của một tổ chức.

Các con số

• 150: Một cuộc tấn công DDoS kéo dài một tuần, có khả năng làm tê liệt một tổ chức nhỏ có thể mua được với giá $150.
• 2000: Mỗi ngày có hơn 2000 cuộc tấn công DDoS được ghi nhận trên toàn thế giới, thống kê bởi Arbor Networks.
• 1/3: 1/3 số lần downtime của các server bị gây ra bởi các cuộc tấn công DDoS.

Reference

1. http://www.computerworld.com/article/2564424/security0/how-to-defend-against-ddos-attacks.html
2. http://en.wikipedia.org/wiki/Denial-of-service_attack
3. http://www.digitalattackmap.com/understanding-ddos/