Slowloris
Được phát triển bởi Robert "RSnake" Hansen, Slowloris là phần mềm tấn công DDoS dựa trên máy tính đơn lẻ để đưa làm sập máy chủ website viết trên ngôn ngữ lập trình Perl. Đây là kĩ thuật tương tự như SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) nhưng diễn ra ở lớp HTTP (lớp ứng dụng). Để tấn công, tin tặc gửi yêu cầu HTTP đến máy chủ, nhưng không gửi toàn bộ yêu cầu, mà chỉ gửi một phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối). Với hàng trăm kết nối như vậy, tin tặc chỉ tốn rất ít tài nguyên, nhưng đủ để làm treo máy chủ, không thể tiếp nhận các kết nối từ người dùng hợp lệ. Được thiết kế cho tàng hình nhưng đạt hiệu quả, Slowloris có thể được sửa đổi để gửi tiêu đề chủ khác nhau trong các sự kiện mà một máy chủ ảo là mục tiêu, và các bản ghi được lưu giữ riêng cho mỗi máy chủ ảo.
Tính năng khác của Slowloris là trong suốt quá trình tấn công, do kết nối chưa hoàn chỉnh, sẽ không có thông tin gì trong log. Chỉ đến khi ngưng kết nối, sẽ có hàng loạt
22
lỗi 404 trong log do truy vấn sai. Không phải mọi máy chủ đều bị ảnh hưởng bởi kiểu tấn công này. Các máy chủ như Microsoft IIS hoặc nginx không “hề hấn” gì trước Slowloris. Nếu dùng nginx làm proxy nghịch, tuy nhiên Apache chạy phía sau vẫn nghe trên IP công cộng (vì còn chạy một website thử nghiệm khác, không qua proxy) nên đã bị tấn công. Thông thường Slowloris hoạt động trên hệ điều hành Backtrack 5
Cú pháp để kích hoạt Slowloris trên Backtrack 5 như sau:
#./slowloris.pl –dns IP_address –port 80 –num 1000 –cache
Trong đó:
- IP_address là địa chỉ máy chủ web - Num 1000: là số kết nối
Hình 1.9. Giao diện của Slowloris đang hoạt động
Tuy nhiên, quản trị có thể tìm cách hạn chế của các tấn công dạng này như:
- Không dùng Apache nữa! Nếu dùng Apache sau proxy nghịch, thì chỉ cho nghe trên cổng của 127.0.0.1 hoặc các IP cục bộ.
- Giảm Timeout cho Apache. Tuy nhiên cách này không mấy hiệu quả, tin tặc chỉ phải gửi thêm nhiều gói tin mà thôi.
- Giới hạn số kết nối đến Apache cho mỗi IP. Có thể dùng mod_qos chẳng hạn để làm việc này.
23
- Giải quyết ở lớp dưới: cấu hình firewall để giới hạn số kết nối đến cổng 80 trên mỗi IP.
LOIC (Low Orbit Ion Cannon)
LOIC là một phần mềm mã nguồn mở thường dùng để kiểm tra tình hình mạng và là một ứng dụng tấn công từ chối dịch vụ, được viết bằng ngôn ngữ C #. LOIC ban đầu được phát triển bởi Praetox Technologies, nhưng sau đó được đưa ra phát triển trên cộng động mạng và bây giờ được lưu trữ trên nhiều nền tảng mã nguồn mở khác nhau. Công cụ này trước đây thường được nhóm hacker Anonymous sử dụng. LOIC thực hiện một tấn công từ chối dịch vụ (hoặc khi nhiều cá nhân sử dụng, thì đó sẽ là cuộc tấn công DDoS) trên máy chủ web bằng phương pháp ngập lụt với các gói tin TCP và UDP với khả năng làm gián đoạn các dịch vụ của máy chủ cụ thể. Với người dùng cố tình sử dụng khi kết nối với nhau thì đó là một hình thức tạo botnets tự nguyện.
Ý tưởng của phần mềm này từ việc tạo ra một phiên bản Javascript độc lập gọi là JS Loic, ngoài ra còn có phiên bản dành cho trình duyệt web.
Hình 1.10 Giao diện hoạt động của LOIC
Qua thử thực hiện cuộc tấn công từ vài máy trạm vào máy chủ chạy ứng dụng web quy mô nhỏ cơ quan và kết quả cho thấy như sau:
24
Hình 1.11 Kết quả theo dõi khi thực hiện tấn công bằng LOIC vào máy chủ web
Nhìn vào hình trên rất dễ nhận thấy Networking hoạt động với đường biểu đồ và công suất lên đến 96%, điều đó nói lên sự nguy hiểm và hoạt động của LOIC hiệu quả như thế nào.
Các chuyên gia an ninh của BBC cho thấy việc viết lên một luật tốt cho firewall có thể lọc ra lưu lượng truy cập nhiều nhất từ các cuộc tấn công DDoS bởi Loic, do đó ngăn ngừa các cuộc tấn công từ là hoàn toàn hiệu quả. Cụ thể, họ tuyên bố rằng cách lọc ra tất cả lưu lượng UDP và ICMP giúp giải quyết có hiệu quả các cuộc tấn công Loic. Bởi vì các nhà cung cấp dịch vụ internet cung cấp băng thông ít hơn cho mỗi khách hàng của họ để cung cấp mức độ dịch vụ bảo đảm cho tất cả các khách hàng của họ một lúc, các luật của loại tường lửa để có hiệu quả khi được thực hiện tại một điểm ở thượng nguồn của đường lên ứng dụng internet. Nói cách khác, nó có thể gây ra gián đoạn lưu lượng đường truyền của nhà cung cấp dịch vụ ISP cho khách hàng bằng cách gửi một số lưu lượng lớn hơn mức cho phép của khách hàng được cung cấp đường truyền. Do đó, các cuộc tấn công Loic được dễ dàng xác định trong bản ghi hệ thống, và các cuộc tấn công có thể được theo dõi ngược đến các địa chỉ IP được sử dụng tại các cuộc tấn công vào hệ thống.
25
1.2. Tác động nghiêm trọng và mức độ ảnh hƣởng của các cuộc tấn công DDoS trong nƣớc và trên thế giới
1.2.1. Đối với trong nƣớc
Theo báo cáo tình hình bảo mật tháng 6/2015 của CMC InfoSec gần đây nhất, cả nước có 41.044 địa chỉ IP thuộc sự quản lý của Việt Nam nhiễm mã độc tham gia mạng Botnet, sau khi sàng lọc đã cảnh báo tới đầu mối của 76 địa chỉ IP thuộc các cơ quan nhà nước. Đa số các địa chỉ IP bị nhiễm lại từ các lần cảnh báo trước. Số lượng cảnh báo được thực hiện 01 tuần 01 lần, tuy nhiên nhiều đơn vị nhận được không xử lý hoặc xử lý không triệt để dẫn đến nguyên nhân bị cảnh báo lại nhiều lần. Các mã độc nằm trong mạng Botnet ghi nhận chủ yếu là Downadup và Sality. Những mã độc này đã được ghi nhận từ lâu và các phần mềm Antivirus đã cập nhật mẫu nhận dạng và gỡ bỏ, tuy nhiên vẫn chưa được xử lý triệt để. Trước đó, trong thời gian từ ngày 20 đến 26/06 VNCERT tiếp nhận 54 trường hợp sự cố Phishing, sau khi kiểm tra xác thực có 34 trường hợp tồn sự cố. VNCERT đã nhanh chóng gửi 33 yêu cầu điều phối cho các đơn vị liên quan như Viettel, ODS, FPT, Quang Trung Soft...để phối hợp với quản trị viên website xử lý và đã khắc phục 29 trường hợp. Liên quan đến các tiếp nhận các sự cố lừa đảo trên website này có 8 trường hợp là của các ngân hàng và các tổ chức tài chính([1]), điều đó đã nói lên tình trạng nghiêm trong và nguy cơ tấn công DDoS trong nước ta rất cao. Quay lại thời gian trước đây, có một số vụ hacker tấn công như sau:
- Ngày 1/2/2012 website Bkav.com.vn bị tấn công DDoS và để lại đường dẫn chứng minh việc mình đã upload thành công dữ liệu vào máy chủ của trang web cùng lời bình luận ngắn gọn “chỉ thế là đủ”. Theo nhận định từ những chuyên gia trong lĩnh vực bảo mật web, hacker đã “thừa sức” leo thang đặc quyền. Nếu muốn, hậu quả có thể trở nên nghiêm trọng hơn rất nhiều.
- Forum BKAV bị tấn công đúng ngày lễ Tình yêu 14/2/2012. Sáng ngày 14/2, diễn đàn Bkav (forum.bkav.com.vn) bị tấn công DDoS khiến người dùng không thể truy cập được và hiện lên thông báo “the page cannot be displayed”.
Ngay sau khi hiện tượng website www.bkav.com.vn khó truy cập, tại trang chủ http://www.anonymousvn.blogspot.com, nhóm Anonymous đã đưa thông tin xác
26
nhận việc đã tấn công và thâm nhập thành công vào server của Bkav. Điều này đồng nghĩa với việc, rất có thể nhóm hacker này đã tạo ra những thay đổi trong hệ thống máy chủ của Bkav. Nhiều người lo xa còn cho rằng, Anonymous có thể đã chèn được mã độc vào chính phần mềm diệt virus của công ty này.
- Đầu tháng 7/2012, trang web của Trung tâm Đào tạo lập trình viên Aprotrain Aptech bị tấn công DDoS khiến người dùng không được vào trang web. Bộ phận kỹ thuật kiểm tra hồ sơ (file) nhật ký thấy số lượng kết nối vào máy chủ tăng bất thường (chỉ trong thời gian ngắn, số kết nối tăng thêm 2.000 lượt), hiệu năng sử dụng Ram, CPU đều trên 90%...
- Chiều 8/7/2013, báo điện tử Dân trí đã đưa ra thông báo về việc trang báo này bị tấn công từ chối dịch vụ (DDoS) với quy mô lớn chưa từng có tại Việt Nam trong suốt 1 tuần vừa qua. Đợt tấn công này chủ yếu nhằm vào các website có hệ thống máy chủ đặt tại Trung tâm Điện toán - Truyền số liệu KV 2 (VDC2) và ảnh hưởng đến nhiều báo điện tử lớn như Dân trí, Vietnamnet, Tuổi Trẻ… Cho đến chiều ngày 9/7, khi truy cập vào báo điện tử Dantri, người dùng vẫn gặp thông báo “không thể truy cập”.
- Website báo Tuổi Trẻ bị tấn công DDoS. Ngày 11/7/2013, báo Tuổi Trẻ phát đi thông báo cho biết các phiên bản điện tử của mình đang bị tấn công DDoS liên tục từ phía hacker, theo đó các phiên bản: Tuổi Trẻ Online (tuoitre.vn), Tuổi Trẻ Mobile (m.tuoitre.vn), Tuổi Trẻ Online tiếng Anh (tuoitrenews.vn) đều rất khó truy cập.
Theo đại diện của báo Tuổi Trẻ, kẻ tấn công đã sử dụng hình thức tấn công DDoS tạo ra hàng chục triệu lượt truy cập ảo đến các phiên bản của tờ báo này, gây ra tình trạng nghẽn mạng nghiêm trọng. Hiện đội ngũ kỹ thuật của báo Tuổi Trẻ đang cố gắng khắc phục bằng nhiều giải pháp kỹ thuật nhằm chống lại các đợt tấn công trên.
Cùng với các biện pháp kỹ thuật khắc phục, phía báo Tuổi Trẻ đã tiến hành làm việc với các cơ quan chức năng, hãng bảo mật trong và ngoài nước nhằm nhanh chóng khôi phục hoạt động địa chỉ web các phiên bản của báo Tuổi Trẻ.
27
1.2.2. Trên thế giới
Kể từ mùa hè năm 1999, có nhiều cuộc tấn công DDoS diễn ra trên toàn thế giới. Ví dụ, vào tháng 2/2000, Yahoo đã trải qua một cuộc tấn công DDoS ngập lụt lớn đầu tiên trong vòng khoảng 2 giờ mất mát đảng kể nguồn doanh thu từ quảng cáo. Trong tháng 10/2002, 9 trong số 13 máy chủ gốc cung cấp dịch vụ DNS của các nhà cung cấp dịch vụ internet bị tạm ngừng trong khoảng một giờ do bị tấn công DDoS. Một cuộc tấn công DDoS lớn ngập lụt xảy ra vào tháng 2/2004 đã làm cho trang web của SCO Group làm cho người dùng không thể truy cập, cuộc tấn công này đã được đưa ra bằng cách sử dụng hệ thống mà trước đó đã bị nhiễm virus Mydoom. Các virus chứa mã mà hàng ngàn máy tính đã bị lây nhiễm truy cập vào website của SCO trong cùng một thời điểm.([6]) Các mã của virus Mydoom được tái khởi động vào cuộc tấn công vào các website tin tức, truyền thông đa phương tiện và tài chính tại Hàn Quốc vào tháng 7/2009.
Vào tháng 12/2010, một nhóm hacker tự xưng là "Anonymous" đã thực hiện dàn dựng tấn công DDoS vào các tổ chức như Mastercard.com, PayPal, Visa.com và PostFinance, cuộc tấn công này làm sập các website của các tổ chức nói trên.
Ngày 22/09/2012 website hai ngân hàng lớn của Mỹ là Bank of America và JPMorgan Chase bị đánh sập. Các ngân hàng của Mỹ phải thiết lập tình trạng báo động cao độ về nguy cơ tin tặc, sau khi trang web của hai ngân hàng Bank of America và JPMorgan Chase bị nghẽn đường truyền không rõ nguyên nhân.
Ngày 22/08/2012 Anonymous tấn công DDoS website chính phủ Anh. Sáng ngày 21/08/2012, một thành viên trong nhóm Anonymous đã đăng một mẩu tweet lên trang Twitter @AnonIRC của mình, nói rằng “Hiện tại, không thể truy cập vào trang web của Bộ tư pháp Anh tại đường link "http://www.justice.gov.uk/”.
Ngày 21/8, nhóm hacker Anonymous đã ra tay tấn công các website của chính phủ Anh Quốc để thể hiện sự ủng hộ của mình đối với nhà sáng lập trang web WikiLeaks – Julian Assange – người đang được chính phủ Ecuador cho phép trú trong đại sứ quán của nước mình đặt tại London, Anh.
Nhóm Anonymous vốn nổi tiếng với việc sử dụng phương án tấn công từ chối dịch vụ DDoS nhằm thể hiện quan điểm chính trị của mình, được cho là đã tấn công
28
trang web của Bộ tư pháp Vương quốc Anh, cùng với trang Number 10 của Văn phòng thủ tướng Anh. Những báo cáo khác còn cho thấy trang web của Bộ lao động và Lương hưu Anh cũng là nạn nhân của nhóm hacker này.
Ngày 18/09/2012 Anonymous tấn công kho tài liệu mật của Campuchia. Đầu tháng 9, đồng sáng lập trang chia sẻ dữ liệu trực tuyến Thụy Điển "The Pirate Bay"- Gottfrid Svartholm đã bị bắt giữ và bị trục xuất khỏi Campuchia.
Để trả đũa động thái này của Chính phủ Campuchia, nhóm hacker khét tiếng Anonymous đã tấn công website của chính phủ quốc gia này và đăng tải công khai lên Internet hơn 5.000 tài liệu mật và nhạy cảm. Cụ thể, tin tặc đã tấn công website của Bộ Ngoại giao Campuchia và Cơ quan hợp tác quốc tế; đặc biệt nghiêm trọng hơn khi những tài liệu bị rò rỉ không chỉ nằm trong giới hạn của Campuchia mà còn có liên quan tới nhiều quốc gia khác như Nepal, Ấn Độ, Pakistan...
Theo thống kê của trang The Next Web, có tất cả 5.234 tài liệu bị rò rỉ, được lưu trữ vào hai tệp nén trên trang lưu trữ dữ liệu Deposit Files, có dung lượng lần lượt là 161 MB và 230 MB. Những tài liệu này được viết bằng Tiếng Anh, Hindu, Khmer và tiếng Nga.
- Ngày 11/04/2013, Website Bộ Tư pháp Đức bị tin tặc tấn công bằng DDoS. Ngày 11/4, trang tin AP dẫn lời Bộ Tư pháp Đức cho hay website của bộ này đã sập vì bị tin tặc tấn công từ chối dịch vụ (DDoS).
- Cuộc tấn công DDoS lớn nhất lịch sử Internet. Ngày 27/03/2013 tổ chức Spamhaus vốn chịu trách nhiệm duy trì danh sách blacklist các máy chủ đang gửi thư spam trên toàn cầu, phải hứng chịu một cuộc tấn công DDoS với lưu lượng lớn nhất lịch sử Internet, lưu lượng hiện đã đạt đỉnh 300 Gbps. Trong khi tổng lưu lượng internet của Việt Nam chỉ khoảng 361 Gbps, nếu cuộc tấn công này nhắm vào hạ tầng Internet Việt Nam thì Việt Nam sẽ nhanh chóng bị bão hoà đường truyền và sẽ sớm bị cách ly hoàn toàn với Internet thế giới.
Theo số liệu thống kê DDoS Intelligence của Kaspersky vừa công bố, vào Quý II năm 2015, 72% nguồn tài nguyên bị tấn công bằng botnet chỉ phân bổ tại 10 quốc gia, trong đó Trung Quốc và Hoa Kỳ là hai quốc gia dẫn đầu.
29
Hình 1.12 Thống kê DDoS Intelligence, Quý 1 (xanh) và Quý 2 (đỏ) năm 2015.
Báo cáo cho biết, trong Quý II năm 2015, số quốc gia có nguồn tài nguyên bị tấn công DDoS tăng từ 76 lên 79 quốc gia. Tuy nhiên, 72% số nạn nhân chỉ phân bổ tại 10 quốc gia. Trung Quốc và Hoa Kỳ vẫn giữ vị trí dẫn đầu được lý giải là do hai quốc gia này có mức giá lưu trữ rẻ.
Các cuộc tấn công DDoS thông thường trên thế giới gần đây chỉ đạt khoảng 50 Gbps là đã đủ làm tê liệt cơ sở hạ tầng của một tổ chức bị nhắm tới. Rất may Spamhaus được chống lưng bởi rất nhiều tập đoàn công nghệ lớn của thế giới như Google, Microsoft, Yahoo, Amazon,... Do đó, các hãng này chia sẻ tài nguyên khổng lồ của họ nhằm giúp hấp thụ lưu lượng khổng lồ trên.
Nguyên nhân dẫn đến cuộc tấn công là từ một cuộc tranh cãi giữa tổ chức Spamhaus và một công ty dịch vụ hosting của Đức tên Cyberbunker khi tổ chức Spamhaus liệt kê các máy chủ của công ty này vào danh sách Blacklist. Danh sách này sẽ giúp các nhà cung cấp dịch vụ mail toàn cầu chặn đứng các spam mail đến từ công ty Cyberbunker. Cuộc tranh cãi này nhanh chóng kéo theo thành các lời đe doạ tấn công. Công ty nêu trên đã kết hợp với nhiều tổ chức tin tặc tại Châu Âu để điều