Tấn công từ chối dịch vụ tại Việt Nam và giải pháp phòng chống
TỔNG QUAN TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ CÁC HÌNH THỨC TẤN CÔNG PHỔ BIẾN
Tấn công DoS là một trong những cách thức nhằm ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn. Bản chất thực sự của DoS là kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ,... và làm mất khả năng xử lý các yêu cầu dịch vụ từ các người dùng khác. Do vậy, nếu máy chủ mà không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại này là không có ý nghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì thiệt hại là vô cùng lớn. Tất cả các hệ thống máy tính đều chỉ có một giới hạn nhất định nên nó chỉ có thể đáp ứng một yêu cầu dịch vụ giới hạn nào đó mà thôi. Như vậy, hầu hết các máy chủ đều có thể trở thành mục tiêu tấn công của DoS. Hiện nay, DoS được biết dưới nhiều hình thức tấn công và gắn với các tên gọi khác nhau, bao gồm:
- Tấn công DoS truyền thống: Đây là một phương pháp tấn công từ chối dịch vụ cổ điển xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack,... với các đối tượng mục tiêu thường là hệ thống máy chủ bảo mật kém, băng thông yếu, thậm chí trong nhiều trường hợp, các tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này, nó có thể khiến máy tính của nạn nhân ngừng hoạt động hoặc tắt đột ngột. Điều này sẽ ảnh hưởng nghiêm trọng đến hệ thống của máy tính và buộc máy tính phải tắt nguồn. Trong một cuộc tấn công DoS truyền thống, kẻ tấn công sử dụng một kết nối Internet duy nhất để khai thác lỗ hổng phần mềm hoặc gây ra hiện tượng Flooding (ngập lụt) đối với mục tiêu bằng các yêu cầu giả mạo, thường là nhằm làm cạn kiệt tài nguyên của máy chủ, ví dụ như RAM và CPU.
- Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS): Không giống như DoS chỉ tấn công vào một nguồn, các cuộc tấn công DDoS có xu hướng nhắm mục tiêu vào cơ sở hạ tầng mạng nhằm cố gắng bão hòa nó với lưu lượng truy cập khổng lồ. Với DDoS, máy tính của nạn nhân bị tấn công với lưu lượng truy cập lớn từ nhiều hệ thống và vị trí khác nhau. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng bang thông dẫn đến ngưng hoạt động hệ thống. Để thực hiện cuộc tấn công này, kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian được gọi là Botnet (đóng vai trò là zombie) từ nhiều nơi để đồng loạt gửi các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó. Những kẻ tấn công sau khi có được quyền kiểm soát máy tính sẽ lợi dụng điều đó để gửi các dữ liệu, thông tin độc hại, yêu cầu đến các thiết bị khác thông qua trang web hoặc địa chỉ email.
- Tấn công từ chối dịch vụ phản xạ nhiều vùng (Distributed Reflective Denial of Service - DRDoS): Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không một máy khách nào có thể kết nối được vào máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3,... đều bị vô hiệu hóa. Kẻ tấn công thực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi các gói tin SYN request đến các máy chủ lớn như Yahoo, Microsoft, Google,... để các máy chủ này gửi các gói tin SYN/ACK đến mục tiêu. Quá trình cứ lặp lại liên tục với nhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị quá tải, băng thông bị chiếm dụng bởi máy chủ lớn, dẫn đến máy chủ mục tiêu không thể hoạt động bình thường.
THỰC TRẠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ TẠI VIỆT NAM HIỆN NAY
Trong quá khứ đã từng xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft,... gây thiệt hại hàng triệu USD. Trong khi đó tại Việt Nam, tổng lưu lượng Internet của nước ta chỉ khoảng 361 Gbps. Như vậy, trong trường hợp hệ thống mạng máy tính của Việt Nam bị tấn công với lưu lượng như máy chủ DNS của Spamhaus từng phải hứng chịu, mạng lưới Internet của Việt Nam sẽ nhanh chóng bị cô lập với Internet của thế giới. Theo thống kê của công ty an ninh mạng Bkav cho thấy, trung bình mỗi tuần có 1 đến 2 các cuộc tấn công DoS vào các máy chủ ở Việt Nam, với mục tiêu thường là các website phổ biến, trong đó tập trung vào các trang thương mại điện tử, công nghệ, báo điện tử có nhiều lượt truy cập. Từ năm 2010 đến nay, hầu như năm nào cũng chứng kiến các cuộc tấn công vào nhiều trang báo điện tử phổ biến như Vietnamnet, Tuổi trẻ, Dân trí, Kênh 14,... dẫn đến tắc nghẽn đường truyền, do đó việc truy cập của người dùng bị gián đoạn.
Trong nhiều năm qua, nhiều trang thông tin của chính phủ, trang báo điện tử hoặc các trang web của các doanh nghiệp thương mại điện tử ở Việt Nam đã phải hứng chịu những hậu quả nghiêm trọng cả về yếu tố chính trị, sự uy tín, tài chính từ những đợt tấn công DoS gây ra bởi tin tặc cả trong và ngoài nước.
Do vậy, để nâng cao hiệu quả công tác đấu tranh phòng, chống loại hành vi này, các lực lượng chức năng cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn mà các tin tặc thực hiện.
Hiện nay, công tác này còn mang tính thụ động, thiếu sự hợp tác, cũng như thiếu sự trao đổi thông tin chặt chẽ giữa các bên liên quan. Chính điều này đã làm trì hoãn việc triển khai đồng bộ các giải pháp đấu tranh, ngăn chặn cũng như điều tra, khám phá các đối tượng tin tặc đứng đằng sau các vụ tấn công. Việc trì hoãn giúp tin tặc có đủ thời gian làm tê liệt hệ thống thông tin, gây thiệt hại đặc biệt nghiêm trọng cho các trang mạng.
Chế tài xử lý đối tượng có hành vi tấn công DoS còn chưa nghiêm khắc, những hành vi này có thể được tiến hành bởi bất cứ đối tượng nào chỉ cần có hiểu biết qua về công nghệ thông tin. Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối tượng như vậy lại chưa được thực sự quan tâm đúng mức. Do đó, trong nhiều trường hợp, nhiều cơ quan, doanh nghiệp bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công.
GIẢI PHÁP NÂNG CAO HIỆU QUẢ CÔNG TÁC ĐẤU TRANH PHÒNG CHỐNG, NGĂN CHẶN CÁC HÀNH VI TẤN CÔNG TỪ CHỐI DỊCH VỤ TRONG THỜI GIAN TỚI
Thứ nhất, sử dụng dịch vụ hosting cao cấp. Việc sử dụng các nguồn hosting cao cấp sẽ giúp máy chủ có thể kịp thời ngăn chặn các cuộc tấn công DoS, bởi khi đó nhà cung cấp hosting sẽ cung cấp các máy chủ lưu trữ, cấu hình hoạt động cao cấp hơn, từ đó độ bảo mật sẽ được cải thiện đáng kể. Thông qua việc theo dõi lưu lượng truy cập, khi nhà cung cấp dịch vụ hosting biết một cuộc tấn công DoS đang diễn ra, họ có thể thực hiện nhiều hành động khác nhau để bảo vệ cơ sở hạ tầng. Khi cuộc tấn công xảy ra, đầu tiên họ sẽ ngăn các gói dữ liệu độc hại tiếp cận máy chủ bằng cách “định tuyến rỗng”, việc này sẽ làm giảm và chuyển hướng các yêu cầu Flooding dưới sự chỉ đạo của mạng Botnet. Bên cạnh đó, cần thường xuyên phải “gia cố” các điểm yếu của ứng dụng. Các điểm yếu trong tầng ứng dụng có thể bị khai thác, gây ra lỗ hổng tràn bộ đệm dẫn đến các dịch vụ bị chấm dứt. Các lỗ hổng này thường được tìm thấy trên các ứng dụng của Windows, ví dụ như Web Server, DNS Server, SQL Server. Do đó, cập nhập bản vá thường xuyên là một trong những yêu cầu quan trọng của hoạt động phòng ngừa đối với hành vi tấn công DoS.
Thứ hai, chuẩn bị băng thông dự phòng. Vì các cuộc tấn công DoS về cơ bản hoạt động trên nguyên tắc áp đảo các hệ thống có lưu lượng truy cập lớn, do vậy cần cung cấp thêm băng thông để xử lý các đợt tăng đột biến lưu lượng bất ngờ. Giới hạn số lượng yêu cầu mà máy chủ web chấp nhận trong một khoảng thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công DoS.
Thứ ba, lực lượng chức năng cần có chế tài xử lý nghiêm khắc hơn đối với các hình thức tấn công DoS khác nhau, kể cả xử lý về hành chính và chế tài xử lý về hình sự.
Thứ tư, để đấu tranh có hiệu quả đối với các hành vi tấn công trái phép, cần có sự phối hợp chặt chẽ giữa các cơ quan, đơn vị và doanh nghiệp liên quan như: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an; Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC); Nhà cung cấp dịch vụ Internet (ISP); Nhà cung cấp dịch vụ cho thuê Hosting server; Trung tâm an ninh mạng của các doanh nghiệp lớn về bảo mật và an toàn thông tin như Bkav, CMS,... triển khai đồng bộ các biện pháp cụ thể nhằm chủ động ngăn chặn hành vi tấn công; điều tra, xử lý một cách nhanh chóng các phương thức, chiến thuật hoạt động của tin tặc.
Nguyễn Thanh Hằng, Học viện Cảnh sát nhân dân