Tweet
DoS (Denial of Service - tấn công từ chối dịch vụ), hay còn được gọi là DDoS (Distributed Denial of Service - tấn công từ chối dịch vụ phân tán): là một dạng tấn công có chủ đích cố gắng để ngăn chặn người sử dụng hợp pháp truy cập vào một tài nguyên mạng cụ thể, DoS được biết đến bởi cộng đồng nghiên cứu mạng máy tính từ đầu những năm 1980.
Lịch sử của DDoS
Mùa hè năm 1999, the Computer Incident Advisory Capability (CIAC) báo cáo lần đầu tiên sự kiện tấn công từ chối dịch vụ phân tán (DDoS – Distributed DoS) và từ đó hầu hết các cuộc tấn công DoS đã được phân chia theo bản chất.
Hiện nay, có hai phương thức để khởi động tấn công từ chối dịch vụ phân tán (Distributed – DoS) trên mạng Internet.
Phương thức đầu tiên là những kẻ tấn công gửi một số gói tin đã bị thay đổi cho các nạn nhân để gây nhầm lẫn là một giao thức hoặc một ứng dụng chạy trên nó (tức là tấn công vào lỗ hổng).
Phương thức thứ hai là một phương thức phổ biến nhất hiện nay, kẻ tấn công cố gắng thực hiện một hoặc cả hai trong số những cách sau:
Zombies hoặc máy vi tính là một phần của một mạng Botnet thường tuyển dụng bằng cách sử dụng worms, trojan horses hoặc backdoors. Tuyển dụng và sử dụng các nguồn lực của máy tính để thực hiện các cuộc tấn công DDoS cho phép kẻ tấn công khởi động một cuộc tấn công lớn hơn và phá hoại nhiều hơn. Hơn nữa, nó trở nên phức tạp hơn cho cơ chế bảo vệ để nhận ra kẻ tấn công ban đầu do việc sử dụng giả, ví dụ như địa chỉ IP của zombies nằm dưới sự kiểm soát của những kẻ tấn công.
Nhiều cuộc tấn công DDoS Flooding đã được tung ra chống lại các tổ chức khác nhau kể từ mùa hè năm 1999. Hầu hết tấn công tràn ngập DDoS từ trước đến nay đã cố gắng để làm cho các dịch vụ trên máy chủ nạn nhân không sẵn dùng, dẫn đến tổn thất thu nhập và tăng chi phí trong việc giảm nhẹ các cuộc tấn công và khôi phục lại các dịch vụ.
Ví dụ, trong tháng 2 năm 2000, Yahoo! Đã có kinh nghiệm trong cuộc tấn công tràn ngập DDoS đầu tiên lớn nhất trong lịch sử mà các dịch vụ của công ty ra Internet trong khoảng 2 giờ, phát sinh một thiệt hại đáng kể trong doanh thu quảng cáo. Tháng 10 năm 2002, 9 trong 13 servers root cung cấp hệ thống tên miền (DNS) cho người dùng Internet trên toàn thế giới bị tắt trong một giờ vì một cuộc tấn công tràn ngập DDoS.
Gần đây nhất, tháng 9 năm 2016, đã xảy ra một cuộc tấn công lên máy chủ web tại Pháp với lượng traffic lên tới 1,1 terabit mỗi giây, một lượng traffic kỷ lục trong lịch sử.
Các tiến bộ gần đây trong cơ chế bảo vệ DDoS đã đặt một dấu kết thúc cho thời kỳ mà script-kiddies có thể tải về một công cụ và khởi động một cuộc tấn công chống lại hầu như bất kỳ trang web nào.
Ngày nay, các cuộc tấn công DDoS, kẻ tấn công sử dụng các phương pháp phức tạp hơn để khởi động một cuộc tấn công. Mặc dù tất cả những nỗ lực hướng tới giảm số lượng sự cố các tấn công DDoS, họ đã mở rộng nhanh chóng tần số và kích thước của các mạng mục tiêu và máy tính được nhắm đến. Trong một khảo sát gần đây được ủy quyền bởi VeriSign, nó đã cho thấy rằng 75% số người được hỏi, đã có kinh nghiệm một hoặc nhiều cuộc tấn công từ tháng 7 năm 2008 đến tháng 7 năm 2009.
Trong bài báo cáo này, chúng em tập trung vào cuộc tấn công tràn ngập DDoS và cơ chế bảo vệ hệ thống mạng có dây. Ở đây, mục tiêu của em là để phân loại sự tồn tại của tấn công tràn ngập DDoS và để cung cấp một cuộc điều tra toàn diện cơ chế bảo vệ phân loại dựa trên tiêu chí ở đâu và khi nào họ phát hiện, phản ứng lại tấn công tràn ngập DDoS.
Một nghiên cứu của tấn công tràn ngập DDoS và khảo sát trình bày là rất quan trọng để hiểu những vấn đề quan trọng liên quan đến vấn đề an ninh mạng quan trọng để xây dựng toàn diện hơn và có cơ chế bảo vệ hiệu quả.
Mục tiêu và lợi ích của kẻ tấn công
Những kẻ tấn công DDoS thường có nhiều động cơ khác nhau. Chúng ta có thể phân loại các cuộc tấn công DDoS dựa vào động cơ của những kẻ tấn công thành năm nhóm chính:
- Tài chính/lợi ích về kinh tế:
Các vụ tấn công là mối quan ngại lớn của các tập đoàn, công ty. Bởi vì bản chất lợi ích của nó, kẻ tấn công thuộc nhóm này có độ nguy hiểm và nhiều kinh nghiệm nhất. Các cuộc tấn công được phát động cho lợi ích tài chính thường là các cuộc tấn công nguy hiểm nhất và khó khăn để chặn đứng.
- Đáp trả/trả thù:
Những người tấn công thuộc nhóm này thường có thù oán cá nhân (tổ chức), họ thực hiện các cuộc tấn công để phản ứng lại sự bất công nhận.
- Tôn giáo/tín ngưỡng:
Những kẻ tấn công thuộc loại này được thúc đẩy bởi niềm tin và ý thức của bản thân để tấn công vào các mục tiêu. Thể loại này là một trong những nguyên nhân chính cho việc tấn công DDoS. Ví dụ: các lợi ích về chính trị đã dấn đến hậu quả nghiêm trọng tại Estonia vào năm 2007, Iran vào năm 2009 và WikiLeaks vào năm 2010.
- Thách thức trí tuệ:
Những kẻ tấn công của nhóm này phát động tấn công nhầm mục đích để thử nghiệm và học hỏi cách để tấn công bằng nhiều hình thức khác nhau. Họ thường là những người đam mê về Hacking và muốn thể hiện khả năng của mình. Ngày nay, tồn tại các công cụ tấn công khác nhau và dễ dàng sử dụng như tools và botnets, ngay cả một máy tính bình thường cũng có thể phát động một cuộc tấn công DDoS thành công.
- Chiến tranh mạng:
Những kẻ tấn công của thể loại này thường thuộc về các tổ chức quân sự hay khủng bố của một quốc gia và họ có động cơ về chính trị để tấn công một loạt các bộ phận quân sự, thiết bị của quốc gia khác. Các mục tiêu tấn công tiềm năng của nhóm này bao gồm: các cơ quan điều hành, các tổ chức quân sự, dân sự, tài chính như là về năng lượng, ngân hàng, dịch vụ viễn thông, sân bay. Tấn công ở nhóm này làm tổn hại rất nhiều thời gian, nguồn lực và các sự gián đoạn của các dịnh vụ có thể làm ảnh hưởng làm tê liệt một quốc qua và chịu nhìu sự tác động xấu về mặt kinh tế.
(Còn nữa)
Nguồn: Thực tập sinh VnPro
Lịch sử của DDoS
Mùa hè năm 1999, the Computer Incident Advisory Capability (CIAC) báo cáo lần đầu tiên sự kiện tấn công từ chối dịch vụ phân tán (DDoS – Distributed DoS) và từ đó hầu hết các cuộc tấn công DoS đã được phân chia theo bản chất.
Hiện nay, có hai phương thức để khởi động tấn công từ chối dịch vụ phân tán (Distributed – DoS) trên mạng Internet.
Phương thức đầu tiên là những kẻ tấn công gửi một số gói tin đã bị thay đổi cho các nạn nhân để gây nhầm lẫn là một giao thức hoặc một ứng dụng chạy trên nó (tức là tấn công vào lỗ hổng).
Phương thức thứ hai là một phương thức phổ biến nhất hiện nay, kẻ tấn công cố gắng thực hiện một hoặc cả hai trong số những cách sau:
- Phá vỡ kết nối của một người sử dụng hợp pháp bằng việc tấn công băng thông, khả năng xử lý của bộ định tuyến (Router) hoặc tài nguyên mạng: đây là những vấn đề cơ bản về mạng/mức độ tấn công tràn ngập đến khả năng vận chuyển gói tin.
- Làm gián đoạn kết nối hợp pháp của người sử dụng bằng việc làm hết tài nguyên máy chủ (Ví dụ: CPU, băng thông, cơ sở dữ liệu, và input/output). Về cơ bản, bao gồm các công cụ, ứng dụng tấn công tràn ngập.
Zombies hoặc máy vi tính là một phần của một mạng Botnet thường tuyển dụng bằng cách sử dụng worms, trojan horses hoặc backdoors. Tuyển dụng và sử dụng các nguồn lực của máy tính để thực hiện các cuộc tấn công DDoS cho phép kẻ tấn công khởi động một cuộc tấn công lớn hơn và phá hoại nhiều hơn. Hơn nữa, nó trở nên phức tạp hơn cho cơ chế bảo vệ để nhận ra kẻ tấn công ban đầu do việc sử dụng giả, ví dụ như địa chỉ IP của zombies nằm dưới sự kiểm soát của những kẻ tấn công.
Nhiều cuộc tấn công DDoS Flooding đã được tung ra chống lại các tổ chức khác nhau kể từ mùa hè năm 1999. Hầu hết tấn công tràn ngập DDoS từ trước đến nay đã cố gắng để làm cho các dịch vụ trên máy chủ nạn nhân không sẵn dùng, dẫn đến tổn thất thu nhập và tăng chi phí trong việc giảm nhẹ các cuộc tấn công và khôi phục lại các dịch vụ.
Ví dụ, trong tháng 2 năm 2000, Yahoo! Đã có kinh nghiệm trong cuộc tấn công tràn ngập DDoS đầu tiên lớn nhất trong lịch sử mà các dịch vụ của công ty ra Internet trong khoảng 2 giờ, phát sinh một thiệt hại đáng kể trong doanh thu quảng cáo. Tháng 10 năm 2002, 9 trong 13 servers root cung cấp hệ thống tên miền (DNS) cho người dùng Internet trên toàn thế giới bị tắt trong một giờ vì một cuộc tấn công tràn ngập DDoS.
Gần đây nhất, tháng 9 năm 2016, đã xảy ra một cuộc tấn công lên máy chủ web tại Pháp với lượng traffic lên tới 1,1 terabit mỗi giây, một lượng traffic kỷ lục trong lịch sử.
Cuộc tấn công DDoS có lượng traffic kỷ lục được ghi lại bởi Octave Klaba
Các tiến bộ gần đây trong cơ chế bảo vệ DDoS đã đặt một dấu kết thúc cho thời kỳ mà script-kiddies có thể tải về một công cụ và khởi động một cuộc tấn công chống lại hầu như bất kỳ trang web nào.
Ngày nay, các cuộc tấn công DDoS, kẻ tấn công sử dụng các phương pháp phức tạp hơn để khởi động một cuộc tấn công. Mặc dù tất cả những nỗ lực hướng tới giảm số lượng sự cố các tấn công DDoS, họ đã mở rộng nhanh chóng tần số và kích thước của các mạng mục tiêu và máy tính được nhắm đến. Trong một khảo sát gần đây được ủy quyền bởi VeriSign, nó đã cho thấy rằng 75% số người được hỏi, đã có kinh nghiệm một hoặc nhiều cuộc tấn công từ tháng 7 năm 2008 đến tháng 7 năm 2009.
Trong bài báo cáo này, chúng em tập trung vào cuộc tấn công tràn ngập DDoS và cơ chế bảo vệ hệ thống mạng có dây. Ở đây, mục tiêu của em là để phân loại sự tồn tại của tấn công tràn ngập DDoS và để cung cấp một cuộc điều tra toàn diện cơ chế bảo vệ phân loại dựa trên tiêu chí ở đâu và khi nào họ phát hiện, phản ứng lại tấn công tràn ngập DDoS.
Một nghiên cứu của tấn công tràn ngập DDoS và khảo sát trình bày là rất quan trọng để hiểu những vấn đề quan trọng liên quan đến vấn đề an ninh mạng quan trọng để xây dựng toàn diện hơn và có cơ chế bảo vệ hiệu quả.
Mục tiêu và lợi ích của kẻ tấn công
Những kẻ tấn công DDoS thường có nhiều động cơ khác nhau. Chúng ta có thể phân loại các cuộc tấn công DDoS dựa vào động cơ của những kẻ tấn công thành năm nhóm chính:
- Tài chính/lợi ích về kinh tế:
Các vụ tấn công là mối quan ngại lớn của các tập đoàn, công ty. Bởi vì bản chất lợi ích của nó, kẻ tấn công thuộc nhóm này có độ nguy hiểm và nhiều kinh nghiệm nhất. Các cuộc tấn công được phát động cho lợi ích tài chính thường là các cuộc tấn công nguy hiểm nhất và khó khăn để chặn đứng.
- Đáp trả/trả thù:
Những người tấn công thuộc nhóm này thường có thù oán cá nhân (tổ chức), họ thực hiện các cuộc tấn công để phản ứng lại sự bất công nhận.
- Tôn giáo/tín ngưỡng:
Những kẻ tấn công thuộc loại này được thúc đẩy bởi niềm tin và ý thức của bản thân để tấn công vào các mục tiêu. Thể loại này là một trong những nguyên nhân chính cho việc tấn công DDoS. Ví dụ: các lợi ích về chính trị đã dấn đến hậu quả nghiêm trọng tại Estonia vào năm 2007, Iran vào năm 2009 và WikiLeaks vào năm 2010.
- Thách thức trí tuệ:
Những kẻ tấn công của nhóm này phát động tấn công nhầm mục đích để thử nghiệm và học hỏi cách để tấn công bằng nhiều hình thức khác nhau. Họ thường là những người đam mê về Hacking và muốn thể hiện khả năng của mình. Ngày nay, tồn tại các công cụ tấn công khác nhau và dễ dàng sử dụng như tools và botnets, ngay cả một máy tính bình thường cũng có thể phát động một cuộc tấn công DDoS thành công.
- Chiến tranh mạng:
Những kẻ tấn công của thể loại này thường thuộc về các tổ chức quân sự hay khủng bố của một quốc gia và họ có động cơ về chính trị để tấn công một loạt các bộ phận quân sự, thiết bị của quốc gia khác. Các mục tiêu tấn công tiềm năng của nhóm này bao gồm: các cơ quan điều hành, các tổ chức quân sự, dân sự, tài chính như là về năng lượng, ngân hàng, dịch vụ viễn thông, sân bay. Tấn công ở nhóm này làm tổn hại rất nhiều thời gian, nguồn lực và các sự gián đoạn của các dịnh vụ có thể làm ảnh hưởng làm tê liệt một quốc qua và chịu nhìu sự tác động xấu về mặt kinh tế.
(Còn nữa)
Nguồn: Thực tập sinh VnPro