• Thứ Tư, 07/08/2013 14:40 (GMT+7)

    DDoS đe dọa các trang web

    minh chí
    Từ đầu tháng 7/2013, hàng loạt trang báo điện tử như Vietnamnet, Tuổi Trẻ, Dân Trí.. bị tấn công từ chối dịch vụ (DDoS - Distributed Denial of Service), gây ra nghẽn và ngưng trệ việc truy cập thông tin từ phía người dùng. Các cơ quan quản lí, nhà mạng cùng với chuyên gia an ninh thông tin của Hiệp hội An toàn Thông tin (VNISA) cùng phối hợp tìm kiếm giải pháp chống lại.

    Tấn công dài hạn
    Các cuộc tấn công DDoS vào báo điện tử đã kéo dài nhiều tuần lễ (từ đầu tháng 7) và tập trung các tờ báo có lượng truy cập lớn như Tuổi Trẻ Online, Vietnamnet, Dân Trí… và cả Thanh Niên Online. Cho đến tuần lễ cuối tháng 7/2013, Tuổi Trẻ vẫn còn tình trạng khó truy cập… đôi lúc máy tính vẫn báo connecting liên tục khi truy cập vào website tuoitre.vn.

    Theo các chuyên gia an ninh mạng, nếu chỉ là quấy rối hoặc các nhóm hacker thực tập tấn công DDoS thông thường đợt tấn công chỉ kéo dài vài ngày hoặc 1 tuần. Ở lần tấn công này, cũng giống như khi Vietnamnet bị tấn công vào năm 2011, hacker đã tấn công trong nhiều tuần với quy mô lớn. Cách đây 2 năm, website Vietnamnet có lúc bị tấn công DDoS vượt quá một triệu kết nối.

    Bộ phận an ninh mạng của BKAV và Athena đều cho rằng hiện thời vẫn chưa có giải pháp ngăn chặn triệt để hình thức tấn công DDoS. Các doanh nghiệp chỉ có thể nhờ các nhà cung cấp dịch vụ Internet (ISP) ngăn chặn các địa chỉ IP đang tấn công website của mình hoặc mở rộng băng thông để hạn chế thiệt hại cho doanh nghiệp.

    Theo một chuyên gia VNISA phía Nam, người đứng đầu nhóm kỹ thuật hỗ trợ báo Tuổi Trẻ thì các đợt tấn công lần này có mức độ phức tạp cao hơn, số lượng máy tính được huy động tham gia tấn công không lớn, nhưng được điều khiển từ xa một cách liên tục và chủ động. Cách thức tấn công cũng rất đa dạng, trong đó đặc biệt là tấn công ở tầng ứng dụng DosL7, hay kỹ thuật Slowloris mà cách phòng chống vẫn còn đang được các hãng bảo mật hòan thiện. Việc tăng băng thông hay năng lực hệ thống máy chủ như CDN…chỉ giải quyết được một phần vấn đề.

    Báo Tuổi Trẻ sau khi được hỗ trợ đã hoạt động bình thường trở lại từ ngày 23/7/2013 mặc dù vẫn hứng chịu nhiều cuộc tấn công sau đó. Báo Vietnamnet cũng đã hoạt động ổn định vào ngày hôm sau.

    Chống DDoS thế nào?
    Trên thị trường đã xuất hiện một số đơn vị cung cấp giải pháp phòng chống DDoS. Các giải pháp này đòi hỏi chủ website phải có hệ thống máy chủ mạnh, có server và tên miền (domain) dự phòng… Đồng thời, phải có giải pháp lọc các IP có dấu hiệu truy cập ảo hoặc giới hạn số lần kết nối cùng một thời điểm vào website.

    Cũng theo chuyên gia VNISA nêu trên việc chống DDoS cần tổ hợp nhiều giải pháp, trong đó cần có giải pháp đủ thông minh, có khả năng tự học cao để nhanh chóng tìm ra dấu hiệu (Signature) và ngăn chặn kết nối từ máy tính zombie, nhanh chóng phát hiện và khuyến cáo gỡ bỏ các bot-clients là biện pháp cốt lõi làm nản lòng các "ông chủ" mạng botnet.

    Trung tâm An ninh mạng CMC InfoSec cho biết, dịch vụ chống DDoS sẽ can thiệp và vô hiệu hóa những yêu cầu kết nối ảo từ mạng botnet của hacker trong thời gian không quá 48 tiếng kể từ lúc nhận được yêu cầu từ phía khách hàng.

    Theo ông Nguyễn Hồng Phúc, thuộc nhóm điều hành diễn đàn HVA Online thì người dùng máy tính nên sử dụng các công cụ dò quét virus nhằm đề phòng máy tính của mình đang trở thành zombie (máy tính ma). Điều này sẽ giúp ích cho việc phát hiện ra máy chủ điều khiễn hệ thống botnet đang tấn công các báo mạng.

    Hiện tại, diễn đàn HVA cũng như CMC Infosec đã cung cấp công cụ dò quét các mã độc có khả năng lây nhiễm tạo zombie. Cũng nhờ cộng đồng mạng gửi mẫu virus về nên HVA Online đã phát hiện ra máy chủ điều khiển botnet và các báo mạng tạm thời không bị tấn công DDoS một thời gian ngắn.

    Giải pháp lâu dài
    Theo ông Thắng – Giám Đốc Trung Tâm Athena, về lâu dài thì các báo điện tử cần tăng cường số lượng máy chủ, sử dụng server dự phòng chạy song song với server chính. Đồng thời, phải trang bị giải pháp phòng chống xâm nhập hệ thống mạng, chống tấn công DDoS… Ngoài ra, các ISP cũng phải có “kịch bản” phòng chống DDoS cho khách hàng của mình.

    Như lần tấn công DDoS vào Vietnamnet năm 2011, nếu không có sự ứng cứu chia sẻ băng thông từ 2 công ty kinh doanh Internet là VNG và VTC thì Vietnamnet khó lòng qua khỏi. Kể cả các website có băng thông lớn nhất ở Việt Nam cũng không thể chịu nổi khi bị tấn công DDoS dồn dập.

    Hiện tại, các website kinh doanh trong lĩnh vực thương mại điện tử thường bị tấn công DDoS bởi các đối thủ cạnh tranh. Họ chỉ cần bỏ tiền thuê hacker tấn công DDoS trong vài ngày khiến cho website đối thủ mất khách hàng, mất uy tín… Phần lớn website này đặt máy chủ với chi phí thấp nên có nhiều nguy cơ bị tấn công DDoS.

    Ở tầm vóc quốc gia, cần có sự phối hợp giữa Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCert) và các ISP để giải quyết hiệu quả hơn mỗi khi các website bị tấn công DDoS. Khi các đơn vị này cùng bắt tay với nhau thì việc phát hiện máy chủ điều khiển hệ thống botnet sẽ nhanh hơn. Đồng thời, khi các ISP cùng nhau chia sẻ băng thông thì website bị tấn công sẽ giảm thiểu thiệt hại (vẫn truy cập được).

    Giải pháp phòng chống tấn công DDoS

    + Tăng băng thông kết nối tạm thời để giải quyết lượng truy cập vào website.
    + Phân tán lượng truy cập đến một máy chủ khác với băng thông lớn.
    + Thiết lập và cân bằng tải hệ thống máy chủ để tăng thời gian chống DDoS.
    + Cấu hình lại máy chủ, thiết lập thông số tường lửa để sàng lọc các địa chỉ IP có dấu hiệu truy cập ảo.

    Cần có sự tham gia từ nhà nước

    Sở TT-TT TP.HCM dưới sự chỉ đạo của UBND TP.HCM đã dự kiến thành lập thao trường diễn tập về an toàn thông tin với sự phối hợp của các chuyên gia VNISA. Đây cũng chính là đầu mối xây dựng “kịch bản” các website của TP.HCM nếu bị tấn công mạng sẽ phòng thủ như thế nào. Nếu có được sự chủ trì của Sở TT-TT cùng với sự phối hợp của các ISP và chuyên gia an ninh mạng, việc ứng cứu cho các website bị tấn công DDoS sẽ hiệu quả hơn.

     

    Từ khóa: DDoS, tấn công DDoS
    ID: A1308_14