Cần ngăn chặn, tiêu diệt DDoS: "Bóng ma" tấn công mạng máy chủ
An toàn thông tin - Ngày đăng : 22:09, 27/10/2020
"Bóng ma" khó tiêu diệt
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) là một dạng biến thể cấp độ cao của loại tấn công từ chối dịch vụ DoS (Denial of Service). Nó mang sức mạnh tàn phá, gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, dừng hệ thống mạng.
Khi DDoS tấn công mạng, nó có thể một lúc thực hiện phân tán nhiều địa chỉ IP, trên 2 hoặc nhiều hệ thống mạng, máy tính, vùng địa lý ở bất kỳ nơi đâu trên toàn thế giới mà không bị phát hiện.
Vì sức tàn phá khó ngăn cản, tiêu diệt, phát hiện đó, DDoS đã trở thành nỗi ám ảnh không chỉ với người dùng mạng mà còn là một thử thách, thách thức với các chuyên gia máy tính, các quản trị viên CNTT và đến nay nó chưa có "liều thuốc số" đặc trị và ngăn chặn.
Luôn vì mục tiêu an toàn cho hệ thống mạng
Ngược thời gian, trở về với câu chuyện cách đây 2 năm (năm 2018), Diễn đàn chia sẻ kiến thức công nghệ, thủ thuật và phần mềm máy tính lớn nhất Việt Nam mang tên VN-Zoom.com được công bố dừng hoạt động và thay thế bằng phiên bản, diện mạo mới mang tên miền VN-Zoom.org.
Sự thay đổi trên cũng kéo theo những ý kiến đánh giá cùng những nguyên nhân, lý do về sự thay đổi. Có ý kiến cho rằng, vì diễn đàn trải qua thời gian dài 12 năm hoạt động nên dần thiếu đi sức mạnh đổi mới. Ý kiến khác cho rằng đang thiếu sự nâng cấp, thưa thớt các hoạt động ngoại tuyến (offline), gắn kết thành viên…
Tôn trọng các kiến và không có ý luận bàn đúng, sai, tuy nhiên, thật thiếu sót nếu không nhắc đến một lý do khác chính là diễn đàn đã nhiều lần bị kẻ phá hoại "bóng ma" DDoS tấn công, làm hệ thống bị gián đoạn, điều này đã khiến các thành viên ban quản trị đã rất khó khăn để duy trì, xoay sở, chống đỡ, vận hành hệ thống, do đó mới cần sự thay đổi.
Như thêm sự khẳng định, kiểm chứng lý do trên là đúng, dẫn chứng trong khoảng thời gian từ 3/2020 đến nay, DDoS đã tấn công vào hệ thống mạng VN-Zoom với sức "phá hoại" mạnh mẽ nhất. Cụ thể, từ đầu tháng 9/2020, kẻ xấu DDoS đã tấn công táo bạo đánh thẳng vào máy chủ server, làm quá tải CPU và băng thông của hệ thống mạng VN-Zoom.
Vì sức ép tấn công nguy hại có thể đánh sập, tê liệt hệ thống, nhà cung cấp dịch vụ buộc phải thông báo khẩn ngắt kết nối máy chủ VN-Zoom. Việc này nếu không được gấp rút nhanh, khẩn trương, sẽ đồng nghĩa việc kéo theo một lượt dữ liệu thông tin (request) của mọi trang web hiện có (client) sẽ bị dồn đẩy lên Server, tạo ra tình trạng quá tải, hỗn loạn và không thể kiểm soát, sẽ tràn ra toàn bộ băng thông khiến dải địa chỉ (IP) có thể bị đánh sập, ngừng hoạt động.
Tệ hại hơn, nếu can thiệp chậm, xử lý không nhanh, còn dẫn đến việc DDoS sẽ đưa hàng chục triệu request từ mạng lưới mạng nguy hiểm (botnet) liên tục tấn công áp đảo hệ thống mạng, khi đó muốn xử lý sẽ khó khăn vô cùng. Muốn giảm thiểu tổn thất hệ thống mạng khi đó phải nhờ tới "cứu viện" qua biện pháp ngăn chặn hai chiều từ mạng máy chủ quốc tế.
Mặc dù, VN-Zoom đã biết rõ được bản chất, đường đi lối lại của "bóng ma" phá hoại, các chuyên gia máy tính, nhà sản xuất phần mềm, đội kỹ thuật của Vn-Zoom đã triển khai tường lửa chống DDoS, tuy nhiên, cuộc tấn công cũng đã xảy ra, thậm chí ngoài sức tưởng tượng theo cách tin tặc (hacker) bỏ qua tường lửa và đánh thẳng vào máy chủ gốc, khiến hệ thống mạng bị tê liệt.
Vn-Zoom đã không ngừng nỗ lực để tìm ra nguyên nhân khiến DDoS dễ dàng tấn công vào hệ thống máy chủ là dựa vào khuyết điểm lỗ hổng lộ địa chỉ IP, dẫn đến việc các hacker dễ dàng xâm nhập, khai thác vì những mục đích xấu.
Vì điều này, Vn-Zoom đã nỗ lực nhiều năm trên chặng đường khắc phục, chuyển máy chủ từ ViettelDC sang VNPT. Tuy nhiên, việc làm cần thiết này cũng không phát huy tác dụng, bởi lẽ hầu hết hệ thống máy chủ không được quản lý qua hệ thống cánh cửa kết nối người dùng và Internet (Proxy) nên dễ bị quét và tấn công brute forc).
Bên cạnh đó, Vn-Zoom cũng đã nỗ lực nhiều trong việc phát hiện kiểm tra các IP nghi vấn khi có lượt request lạ và xóa, chặn (block) bằng tường lửa mặc định được cài theo server. Đồng thời, Vn-Zoom áp dụng phương pháp ngăn chặn thủ công gõ lệnh kiểm tra IP, tiến hành block IP, cài đặt các quy chuẩn (rules) cơ bản và xác lập hệ thống bảo mật mạng (firewall) tự động chặn theo danh sách, ngăn chặn các hình thức tấn công mạng (brute force), scan.
Với tác động tích cực đó, Vn-Zoom còn tăng cường hệ thống bật proxy toàn bộ các dịch vụ chính, ẩn IP gốc của máy chủ Server, cài đặt chức năng tạo link (setup pagerules)… Điều này đã giúp giảm lưu lượng các cuộc tấn công của DDoS đáng kể.
Mặc dù, đến nay, "bóng ma" phá hoại DDoS vẫn tồn tại, nhưng xét trên mặt tích cực, từ chặng đường dài duy trì, vận hành Vn-Zoom, các thành viên, ban quản trị hệ thống chưa bao giờ ngừng mục tiêu dồn toàn tâm, toàn lực để đảm bảo an toàn cho hệ thống máy chủ, máy tính, người dùng mạng, đặc biệt vì sự trưởng thành, vững mạnh của diễn đàn VN-Zoom.
Cần hơn nữa những giải pháp xử lý, ngăn chặn "bóng ma"
Có thể nói, về pháp luật, Vn-Zoom hoạt động theo giấy phép mạng xã hội của Bộ TT&TT, do đó mọi cuộc xâm phạm, tấn công mạng vào hệ thống đều bị lên án, xử lý vì đã vi phạm pháp luật, quy định trong Luật An ninh mạng.
Tuy vẫn biết phần lớn các kẻ tấn công DDoS thường thuê qua dịch vụ tấn công tại chợ đen, điều này khiến việc truy tìm khó khăn. Tuy nhiên sẽ không khó nếu các thành viên quản trị, các đơn vị nghiệp vụ, an ninh mạng tích cực kiếm tìm.
Do đó, để ngăn chặn DDoS, các quản trị viên mạng sẽ lọc các IP, đưa vào danh sách đen cấm truy cập vào hệ thống, đồng thời theo dõi qua log để kiểm tra dấu hiệu khả nghi, truy cập một cách không khả nghi.
Để làm tốt điều này và tránh bị biến thành botnet, zombie, người dùng nên cài các chương trình diệt virus mới, đồng thời cần đề cao cảnh giác để tránh việc máy tính, hệ thống mạng đang dùng trở thành công cụ cho các tin tặc điều khiển.
Bên cạnh đó, cần thiết phải tăng cường sử dụng dịch vụ tường lửa miễn phí của Cloudflare để phòng thủ những cuộc tấn công, đồng thời chủ động tìm cách thực hiện hiệu quả giải pháp chặn toàn bộ IP từ quốc tế. Có như vậy chúng ta mới ngăn chặn "bóng ma" DDoS, giúp xây dựng diễn đàn mạng ngày một tốt hơn, chất lượng cao