Tweet
1. Giới thiệu DDoS
Tấn công từ chối dịch vụ (DoS Attack) là một dạng tấn công có chủ đích cố gắng để ngăn chặn người sử dụng hợp pháp truy cập vào một tài nguyên mạng cụ thể, DoS được biết đến bởi cộng đồng nghiên cứu mạng máy tính từ đầu những năm 1980.
Mùa hè năm 1999, the Computer Incident Advisory Capability (CIAC) báo cáo lần đầu tiên sự kiện tấn công từ chối dịch vụ phân tán (DDoS – Distributed DoS) và từ đó hầu hết các cuộc tấn công DoS đã được phân chia theo bản chất
Hiện nay, có hai phương thức để khởi động tấn công từ chối dịch vụ phân tán (Distributed – DoS) trên mạng Internet.
Phương thức đầu tiên là những kẻ tấn công gửi một số gói tin đã bị thay đổi cho các nạn nhân để gây nhầm lẫn là một giao thức hoặc một ứng dụng chạy trên nó (tức là tấn công vào lỗ hổng).
Phương thức thứ hai là một phương thức phổ biến nhất hiện nay, kẻ tấn công cố gắng thực hiện một hoặc cả hai trong số những cách sau:
Ngày nay, các cuộc tấn công DDoS thường được đưa ra bởi một mạng lưới điều khiển từ xa, có tổ chức tốt và phân tán rộng rãi như các máy tính Zombies hoặc Botnet cùng một lúc và liên tục gửi một số lượng lớn của lưu lượng truy cập hoặc dịch vụ yêu cầu hệ thống đích xử lý. Hệ thống mục tiêu sẽ đáp ứng rất chậm và gần như không thể sử dụng được hoặc đổ vỡ hoàn toàn.
Zombies hoặc máy vi tính là một phần của một mạng Botnet thường tuyển dụng bằng cách sử dụng worms, trojan horses hoặc backdoors. Tuyển dụng và sử dụng các nguồn lực của máy tính để thực hiện các cuộc tấn công DDoS cho phép kẻ tấn công khởi động một cuộc tấn công lớn hơn và phá hoại nhiều hơn. Hơn nữa, nó trở nên phức tạp hơn cho cơ chế bảo vệ để nhận ra kẻ tấn công ban đầu do việc sử dụng giả, ví dụ như địa chỉ IP của zombies nằm dưới sự kiểm soát của những kẻ tấn công.
Nhiều cuộc tấn công DDoS Flooding đã được tung ra chống lại các tổ chức khác nhau kể từ mùa hè năm 1999. Hầu hết tấn công tràn ngập DDoS từ trước đến nay đã cố gắng để làm cho các dịch vụ trên máy chủ nạn nhân không sẵn dùng, dẫn đến tổn thất thu nhập và tăng chi phí trong việc giảm nhẹ các cuộc tấn công và khôi phục lại các dịch vụ.
Ví dụ, trong tháng 2 năm 2000, Yahoo! Đã có kinh nghiệm trong cuộc tấn công tràn ngập DDoS đầu tiên lớn nhất trong lịch sử mà các dịch vụ của công ty ra Internet trong khoảng 2 giờ, phát sinh một thiệt hại đáng kể trong doanh thu quảng cáo. Tháng 10 năm 2002, 9 trong 13 servers root cung cấp hệ thống tên miền (DNS) cho người dùng Internet trên toàn thế giới bị tắt trong một giờ vì một cuộc tấn công tràn ngập DDoS.
Các cuộc tấn công tràn ngập DDoS lớn xảy ra trong tháng 2 năm 2004 là làm cho các người dùng hợp pháp không thể truy trang web SCO, cuộc tấn công này đã được thực hiện bằng cách sử dụng hệ thống đã có trước đây bị nhiễm vi rút Mydoom. Các con virus này chứa những đoạn mã làm cho hàng nghìn máy tính bị nhiễm truy cập vào trang web SCO cùng một lúc. Đoạn mã virus Mydoom được tái sử dụng để thực hiện một cuộc tấn công tràn ngập DDoS chống lại phương tiện thông tin của chính phủ và các trang web tài chính Nam Hàn Quốc và Hoa Kỳ trong tháng 7 năm 2009.
Tháng 12 năm 2010, một nhóm gọi mình là "Anonymous" tấn công tràn ngập DDoS vào các tổ chức như Mastercard.com, PayPal., Visa.com và PostFinance. Các cuộc tấn công đã làm tê liệt các trang web Mastercard.com, PostFinance và Visa.com.
Tháng 9 năm 2012, 9 trang web trực tuyến của ngân hàng Hoa Kỳ (tức Bank of America, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital. One, Fifth Third Bank, BB&T, and HSBC) đã liên tục là các mục tiêu của các cuộc tấn công tràn ngập DDoS mạnh mẽ đưa ra bởi một nhóm bên ngoài hacktivist gọi là “Izz ad-Din al-Qassam Cyber Fighters”. Do đó, có một số các trang web ngân hàng trực tuyến bị chậm lại hoặc dừng lại trước khi họ được phục hồi một vài phút.
Gần đây nhất, tháng 9 năm 2016, đã xảy ra một cuộc tấn công lên máy chủ web tại Pháp với lượng traffic lên tới 1,1 terabit mỗi giây, một lượng traffic kỷ lục trong lịch sử.
Các tiến bộ gần đây trong cơ chế bảo vệ DDoS đã đặt một dấu kết thúc cho thời kỳ mà script-kiddies có thể tải về một công cụ và khởi động một cuộc tấn công chống lại hầu như bất kỳ trang web nào.
Ngày nay, các cuộc tấn công DDoS, kẻ tấn công sử dụng các phương pháp phức tạp hơn để khởi động một cuộc tấn công. Mặc dù tất cả những nỗ lực hướng tới giảm số lượng sự cố các tấn công DDoS, họ đã mở rộng nhanh chóng tần số và kích thước của các mạng mục tiêu và máy tính được nhắm đến. Trong một khảo sát gần đây được ủy quyền bởi VeriSign, nó đã cho thấy rằng 75% số người được hỏi, đã có kinh nghiệm một hoặc nhiều cuộc tấn công từ tháng 7 năm 2008 đến tháng 7 năm 2009.
Hơn nữa, một báo cáo gần đây từ Arbor Networks chỉ ra những số liệu tương tự. Trong kết quả của họ, họ đã chỉ ra rằng 69% những người trả lời đã có kinh nghiệm ít nhất một cuộc tấn công DDoS từ tháng 10 năm 2009 đến tháng 9 năm 2010, và 25% đã ảnh hưởng bởi 10 cuộc tấn công như vậy mỗi tháng. Theo Prolexic Technologies, cung cấp dịch vụ để bảo vệ chống các cuộc tấn công DDoS, có 7000 cuộc tấn công DDoS được quan sát thấy hàng ngày và họ tin rằng con số này đang tăng lên nhanh chóng. Tấn công DDoS cũng ngày càng tăng kích thước, làm cho họ khó khăn hơn để bảo vệ chống lại. Arbor Networks tìm thấy rằng 100% các cuộc tấn công DDoS tăng kích thước trong năm 2010, với cuộc tấn công phá vỡ những rào cản 100Gbps cho lần đầu tiên. Vì vậy, bảo vệ tài nguyên thường xuyên và quy mô lớn đòi hỏi cộng đồng nghiên cứu tập trung vào phát triển một cơ chế bảo vệ DDoS toàn diện mà có thể đáp ứng một cách thích hợp với DDoS tấn công trước, trong và sau khi một cuộc tấn công thực tế.
Một số phân loại của các cuộc tấn công DDoS, cơ chế bảo vệ phù hợp với môi trường cụ thể đã đề nghị trong lý thuyết. Geng et al. tập trung vào các khía cạnh của cuộc tấn công DDoS duy nhất cho mạng không dây phi thể thức. Wood at al. tập trung vào các tính năng riêng biệt của tấn công DDoS đến bộ cảm biến độc đáo trong mạng không dây.
Trong bài báo cáo này, chúng em tập trung vào cuộc tấn công tràn ngập DDoS và cơ chế bảo vệ hệ thống mạng có dây. Ở đây, mục tiêu của chúng em là để phân loại sự tồn tại của tấn công tràn ngập DDoS và để cung cấp một cuộc điều tra toàn diện cơ chế bảo vệ phân loại dựa trên tiêu chí ở đâu và khi nào họ phát hiện, phản ứng lại tấn công tràn ngập DDoS.
Một nghiên cứu của tấn công tràn ngập DDoS và khảo sát trình bày là rất quan trọng để hiểu những vấn đề quan trọng liên quan đến vấn đề an ninh mạng quan trọng để xây dựng toàn diện hơn và có cơ chế bảo vệ hiệu quả.
Phần còn lại của bài báo này được tổ chức như sau: tiếp tục Chương 1, chúng em tập trung tìm hiểu sơ lược về DDoS là gì, những mục đích và động lực của kẻ tấn công khi tung ra cuộc tấn công DDoS và quan trọng nhất là phân loại được các loại tấn công DDoS hiện nay. Trong phần phân loại chúng em đã phân tích được các kiểu tấn công dựa theo tầng hoạt động, ví dụ như tầng mạng, hoặc tầng ứng dụng, và nghiên cứu về mạng lưới botnet (một hệ thống hết sức nguy hiểm nhưng lại hỗ trợ đắc lực cho kẻ tấn công). Trong Chương 2, chúng em đưa ra các nghiên cứu liên quan về giải pháp ngăn chặn tấn công DDoS, qua khảo sát đã tìm hiểu được cách phân loại dựa trên vị trí triển khai hoặc theo các mốc thời gian của việc tấn công DDoS.. Chương 3 là phương pháp đề xuất triển khai thực nghiệm, mô tả cách thức tấn công, dựng nên một số thông tin liên quan đến cách tấn công và đưa ra giải pháp phòng thủ, xử lý khi bị DDoS.
2. DDoS: Mục tiêu và lợi ích của kẻ tấn công
Những kẻ tấn công DDoS thường có nhiều động cơ khác nhau. Chúng ta có thể phân loại các cuộc tấn công DDoS dựa vào động cơ của những kẻ tấn công thành năm nhóm chính:
Tài chính/lợi ích về kinh tế
Các vụ tấn công là mối quan ngại lớn của các tập đoàn, công ty. Bởi vì bản chất lợi ích của nó, kẻ tấn công thuộc nhóm này có độ nguy hiểm và nhiều kinh nghiệm nhất. Các cuộc tấn công được phát động cho lợi ích tài chính thường là các cuộc tấn công nguy hiểm nhất và khó khăn để chặn đứng.
Đáp trả/trả thù
Những người tấn công thuộc nhóm này thường có thù oán cá nhân (tổ chức), họ thực hiện các cuộc tấn công để phản ứng lại sự bất công nhận.
Tôn giáo/tín ngưỡng
Những kẻ tấn công thuộc loại này được thúc đẩy bởi niềm tin và ý thức của bản thân để tấn công vào các mục tiêu. Thể loại này là một trong những nguyên nhân chính cho việc tấn công DDoS. Ví dụ: các lợi ích về chính trị đã dấn đến hậu quả nghiêm trọng tại Estonia vào năm 2007, Iran vào năm 2009 và WikiLeaks vào năm 2010.
Thách thức trí tuệ
Những kẻ tấn công của nhóm này phát động tấn công nhầm mục đích để thử nghiệm và học hỏi cách để tấn công bằng nhiều hình thức khác nhau. Họ thường là những người đam mê về Hacking và muốn thể hiện khả năng của mình. Ngày nay, tồn tại các công cụ tấn công khác nhau và dễ dàng sử dụng như tools và botnets, ngay cả một máy tính bình thường cũng có thể phát động một cuộc tấn công DDoS thành công.
Chiến tranh mạng
Những kẻ tấn công của thể loại này thường thuộc về các tổ chức quân sự hay khủng bố của một quốc gia và họ có động cơ về chính trị để tấn công một loạt các bộ phận quân sự, thiết bị của quốc gia khác. Các mục tiêu tấn công tiềm năng của nhóm này bao gồm: các cơ quan điều hành, các tổ chức quân sự, dân sự, tài chính như là về năng lượng, ngân hàng, dịch vụ viễn thông, sân bay…. Nhưng kẻ tấn công mạng thường là những người được đào tạo chuyên môn rất tốt với các cách tấn công phong phú và đa dạng. Tấn công ở nhóm này làm tổn hại rất nhiều thời gian, nguồn lực và các sự gián đoạn của các dịnh vụ có thể làm ảnh hưởng làm tê liệt một quốc qua và chịu nhìu sự tác động xấu về mặt kinh tế.
Đây là một số dẫn chứng tập trung phân tích các mục tiêu cũng như lợi ích mà các kẻ tấn công đạt được và các cách để thiết lập được mô hình để ngăn chặn và đối phó với các cuộc tấn công. Ví dụ: Nhằm mục đích để suy ra ý đồ, mục tiêu, chiến lược tấn công để tạo sự tiên đoán và chủ động bảo vệ và ngăn chặn các cuộc tấn công mạng. Trong một nghiên cứu gần đây bởi Fultz et al., động cơ và hành vi của các kẻ tấn công khi họ phải đối mặt với các cách phòng chống đa dạng, chiến lược đã được kiểm chứng. Như vậy, Fultz et al. đã tạo ra một trò chơi về an ninh mạng mà ở đó kẻ tấn công có nhằm vào mục đích của kẻ phòng thủ và kẻ phòng thủ cố gắng hết sức để bảo vệ tài sản của mình trong lúc đó. Thực tế cho thấy rằng các biện pháp khởi tố là đủ để ngăn chặn các kẻ tấn công tấn công vào hệ thống, Tuy nhiên, khi số lượng kẻ tấn công tăng lên thì trạng thái cân bằng sẽ bị mất đi.
Một trong những phương pháp phòng chống cơ bản là giảm đi các mối nguy hại, lợi ích mà các kẻ tấn công khi tấn công vào hệ thống nạn nhân. Chính sách mới này có thể được phát triển và sử dụng. Do đó, nghiên cứu về lợi ích của các kẻ tấn công khi tấn công và hệ thống DDoS là một hướng nghiên cứu đầy hứa hẹn trong tương lai. Ví dụ, các nhà nghiên cứu có thể tiến hành nghiên cứu khảo sát, phỏng vấn của tin tặc và tội phạm mạng, nghiên cứu sự cố gần đây, và thực hành phòng chống để có được một số hiểu biết về các động cơ và lợi ích của các kẻ tấn công. [30] Nghiên cứu về lợi ích của kẻ tấn công giúp phát triển các hình thức ngăn chặn hiệu quả các cuộc tấn công.
Tấn công từ chối dịch vụ (DoS Attack) là một dạng tấn công có chủ đích cố gắng để ngăn chặn người sử dụng hợp pháp truy cập vào một tài nguyên mạng cụ thể, DoS được biết đến bởi cộng đồng nghiên cứu mạng máy tính từ đầu những năm 1980.
Mùa hè năm 1999, the Computer Incident Advisory Capability (CIAC) báo cáo lần đầu tiên sự kiện tấn công từ chối dịch vụ phân tán (DDoS – Distributed DoS) và từ đó hầu hết các cuộc tấn công DoS đã được phân chia theo bản chất
Hình: Giới thiệu tấn công DDoS
Hiện nay, có hai phương thức để khởi động tấn công từ chối dịch vụ phân tán (Distributed – DoS) trên mạng Internet.
Phương thức đầu tiên là những kẻ tấn công gửi một số gói tin đã bị thay đổi cho các nạn nhân để gây nhầm lẫn là một giao thức hoặc một ứng dụng chạy trên nó (tức là tấn công vào lỗ hổng).
Phương thức thứ hai là một phương thức phổ biến nhất hiện nay, kẻ tấn công cố gắng thực hiện một hoặc cả hai trong số những cách sau:
- Phá vỡ kết nối của một người sử dụng hợp pháp bằng việc tấn công băng thông, khả năng xử lý của bộ định tuyến (Router) hoặc tài nguyên mạng: đây là những vấn đề cơ bản về mạng/mức độ tấn công tràn ngập đến khả năng vận chuyển gói tin.
- Làm gián đoạn kết nối hợp pháp của người sử dụng bằng việc làm hết tài nguyên máy chủ (Ví dụ: CPU, băng thông, cơ sở dữ liệu, và input/output). Về cơ bản, bao gồm các công cụ, ứng dụng tấn công tràn ngập.
Ngày nay, các cuộc tấn công DDoS thường được đưa ra bởi một mạng lưới điều khiển từ xa, có tổ chức tốt và phân tán rộng rãi như các máy tính Zombies hoặc Botnet cùng một lúc và liên tục gửi một số lượng lớn của lưu lượng truy cập hoặc dịch vụ yêu cầu hệ thống đích xử lý. Hệ thống mục tiêu sẽ đáp ứng rất chậm và gần như không thể sử dụng được hoặc đổ vỡ hoàn toàn.
Zombies hoặc máy vi tính là một phần của một mạng Botnet thường tuyển dụng bằng cách sử dụng worms, trojan horses hoặc backdoors. Tuyển dụng và sử dụng các nguồn lực của máy tính để thực hiện các cuộc tấn công DDoS cho phép kẻ tấn công khởi động một cuộc tấn công lớn hơn và phá hoại nhiều hơn. Hơn nữa, nó trở nên phức tạp hơn cho cơ chế bảo vệ để nhận ra kẻ tấn công ban đầu do việc sử dụng giả, ví dụ như địa chỉ IP của zombies nằm dưới sự kiểm soát của những kẻ tấn công.
Nhiều cuộc tấn công DDoS Flooding đã được tung ra chống lại các tổ chức khác nhau kể từ mùa hè năm 1999. Hầu hết tấn công tràn ngập DDoS từ trước đến nay đã cố gắng để làm cho các dịch vụ trên máy chủ nạn nhân không sẵn dùng, dẫn đến tổn thất thu nhập và tăng chi phí trong việc giảm nhẹ các cuộc tấn công và khôi phục lại các dịch vụ.
Ví dụ, trong tháng 2 năm 2000, Yahoo! Đã có kinh nghiệm trong cuộc tấn công tràn ngập DDoS đầu tiên lớn nhất trong lịch sử mà các dịch vụ của công ty ra Internet trong khoảng 2 giờ, phát sinh một thiệt hại đáng kể trong doanh thu quảng cáo. Tháng 10 năm 2002, 9 trong 13 servers root cung cấp hệ thống tên miền (DNS) cho người dùng Internet trên toàn thế giới bị tắt trong một giờ vì một cuộc tấn công tràn ngập DDoS.
Các cuộc tấn công tràn ngập DDoS lớn xảy ra trong tháng 2 năm 2004 là làm cho các người dùng hợp pháp không thể truy trang web SCO, cuộc tấn công này đã được thực hiện bằng cách sử dụng hệ thống đã có trước đây bị nhiễm vi rút Mydoom. Các con virus này chứa những đoạn mã làm cho hàng nghìn máy tính bị nhiễm truy cập vào trang web SCO cùng một lúc. Đoạn mã virus Mydoom được tái sử dụng để thực hiện một cuộc tấn công tràn ngập DDoS chống lại phương tiện thông tin của chính phủ và các trang web tài chính Nam Hàn Quốc và Hoa Kỳ trong tháng 7 năm 2009.
Tháng 12 năm 2010, một nhóm gọi mình là "Anonymous" tấn công tràn ngập DDoS vào các tổ chức như Mastercard.com, PayPal., Visa.com và PostFinance. Các cuộc tấn công đã làm tê liệt các trang web Mastercard.com, PostFinance và Visa.com.
Tháng 9 năm 2012, 9 trang web trực tuyến của ngân hàng Hoa Kỳ (tức Bank of America, Citigroup, Wells Fargo, U.S. Bancorp, PNC, Capital. One, Fifth Third Bank, BB&T, and HSBC) đã liên tục là các mục tiêu của các cuộc tấn công tràn ngập DDoS mạnh mẽ đưa ra bởi một nhóm bên ngoài hacktivist gọi là “Izz ad-Din al-Qassam Cyber Fighters”. Do đó, có một số các trang web ngân hàng trực tuyến bị chậm lại hoặc dừng lại trước khi họ được phục hồi một vài phút.
Gần đây nhất, tháng 9 năm 2016, đã xảy ra một cuộc tấn công lên máy chủ web tại Pháp với lượng traffic lên tới 1,1 terabit mỗi giây, một lượng traffic kỷ lục trong lịch sử.
Hình: Cuộc tấn công DDoS có lượng traffic kỷ lục được ghi lại bởi Octave Klaba
Các tiến bộ gần đây trong cơ chế bảo vệ DDoS đã đặt một dấu kết thúc cho thời kỳ mà script-kiddies có thể tải về một công cụ và khởi động một cuộc tấn công chống lại hầu như bất kỳ trang web nào.
Ngày nay, các cuộc tấn công DDoS, kẻ tấn công sử dụng các phương pháp phức tạp hơn để khởi động một cuộc tấn công. Mặc dù tất cả những nỗ lực hướng tới giảm số lượng sự cố các tấn công DDoS, họ đã mở rộng nhanh chóng tần số và kích thước của các mạng mục tiêu và máy tính được nhắm đến. Trong một khảo sát gần đây được ủy quyền bởi VeriSign, nó đã cho thấy rằng 75% số người được hỏi, đã có kinh nghiệm một hoặc nhiều cuộc tấn công từ tháng 7 năm 2008 đến tháng 7 năm 2009.
Hơn nữa, một báo cáo gần đây từ Arbor Networks chỉ ra những số liệu tương tự. Trong kết quả của họ, họ đã chỉ ra rằng 69% những người trả lời đã có kinh nghiệm ít nhất một cuộc tấn công DDoS từ tháng 10 năm 2009 đến tháng 9 năm 2010, và 25% đã ảnh hưởng bởi 10 cuộc tấn công như vậy mỗi tháng. Theo Prolexic Technologies, cung cấp dịch vụ để bảo vệ chống các cuộc tấn công DDoS, có 7000 cuộc tấn công DDoS được quan sát thấy hàng ngày và họ tin rằng con số này đang tăng lên nhanh chóng. Tấn công DDoS cũng ngày càng tăng kích thước, làm cho họ khó khăn hơn để bảo vệ chống lại. Arbor Networks tìm thấy rằng 100% các cuộc tấn công DDoS tăng kích thước trong năm 2010, với cuộc tấn công phá vỡ những rào cản 100Gbps cho lần đầu tiên. Vì vậy, bảo vệ tài nguyên thường xuyên và quy mô lớn đòi hỏi cộng đồng nghiên cứu tập trung vào phát triển một cơ chế bảo vệ DDoS toàn diện mà có thể đáp ứng một cách thích hợp với DDoS tấn công trước, trong và sau khi một cuộc tấn công thực tế.
Một số phân loại của các cuộc tấn công DDoS, cơ chế bảo vệ phù hợp với môi trường cụ thể đã đề nghị trong lý thuyết. Geng et al. tập trung vào các khía cạnh của cuộc tấn công DDoS duy nhất cho mạng không dây phi thể thức. Wood at al. tập trung vào các tính năng riêng biệt của tấn công DDoS đến bộ cảm biến độc đáo trong mạng không dây.
Trong bài báo cáo này, chúng em tập trung vào cuộc tấn công tràn ngập DDoS và cơ chế bảo vệ hệ thống mạng có dây. Ở đây, mục tiêu của chúng em là để phân loại sự tồn tại của tấn công tràn ngập DDoS và để cung cấp một cuộc điều tra toàn diện cơ chế bảo vệ phân loại dựa trên tiêu chí ở đâu và khi nào họ phát hiện, phản ứng lại tấn công tràn ngập DDoS.
Một nghiên cứu của tấn công tràn ngập DDoS và khảo sát trình bày là rất quan trọng để hiểu những vấn đề quan trọng liên quan đến vấn đề an ninh mạng quan trọng để xây dựng toàn diện hơn và có cơ chế bảo vệ hiệu quả.
Phần còn lại của bài báo này được tổ chức như sau: tiếp tục Chương 1, chúng em tập trung tìm hiểu sơ lược về DDoS là gì, những mục đích và động lực của kẻ tấn công khi tung ra cuộc tấn công DDoS và quan trọng nhất là phân loại được các loại tấn công DDoS hiện nay. Trong phần phân loại chúng em đã phân tích được các kiểu tấn công dựa theo tầng hoạt động, ví dụ như tầng mạng, hoặc tầng ứng dụng, và nghiên cứu về mạng lưới botnet (một hệ thống hết sức nguy hiểm nhưng lại hỗ trợ đắc lực cho kẻ tấn công). Trong Chương 2, chúng em đưa ra các nghiên cứu liên quan về giải pháp ngăn chặn tấn công DDoS, qua khảo sát đã tìm hiểu được cách phân loại dựa trên vị trí triển khai hoặc theo các mốc thời gian của việc tấn công DDoS.. Chương 3 là phương pháp đề xuất triển khai thực nghiệm, mô tả cách thức tấn công, dựng nên một số thông tin liên quan đến cách tấn công và đưa ra giải pháp phòng thủ, xử lý khi bị DDoS.
2. DDoS: Mục tiêu và lợi ích của kẻ tấn công
Những kẻ tấn công DDoS thường có nhiều động cơ khác nhau. Chúng ta có thể phân loại các cuộc tấn công DDoS dựa vào động cơ của những kẻ tấn công thành năm nhóm chính:
Tài chính/lợi ích về kinh tế
Các vụ tấn công là mối quan ngại lớn của các tập đoàn, công ty. Bởi vì bản chất lợi ích của nó, kẻ tấn công thuộc nhóm này có độ nguy hiểm và nhiều kinh nghiệm nhất. Các cuộc tấn công được phát động cho lợi ích tài chính thường là các cuộc tấn công nguy hiểm nhất và khó khăn để chặn đứng.
Đáp trả/trả thù
Những người tấn công thuộc nhóm này thường có thù oán cá nhân (tổ chức), họ thực hiện các cuộc tấn công để phản ứng lại sự bất công nhận.
Tôn giáo/tín ngưỡng
Những kẻ tấn công thuộc loại này được thúc đẩy bởi niềm tin và ý thức của bản thân để tấn công vào các mục tiêu. Thể loại này là một trong những nguyên nhân chính cho việc tấn công DDoS. Ví dụ: các lợi ích về chính trị đã dấn đến hậu quả nghiêm trọng tại Estonia vào năm 2007, Iran vào năm 2009 và WikiLeaks vào năm 2010.
Thách thức trí tuệ
Những kẻ tấn công của nhóm này phát động tấn công nhầm mục đích để thử nghiệm và học hỏi cách để tấn công bằng nhiều hình thức khác nhau. Họ thường là những người đam mê về Hacking và muốn thể hiện khả năng của mình. Ngày nay, tồn tại các công cụ tấn công khác nhau và dễ dàng sử dụng như tools và botnets, ngay cả một máy tính bình thường cũng có thể phát động một cuộc tấn công DDoS thành công.
Chiến tranh mạng
Những kẻ tấn công của thể loại này thường thuộc về các tổ chức quân sự hay khủng bố của một quốc gia và họ có động cơ về chính trị để tấn công một loạt các bộ phận quân sự, thiết bị của quốc gia khác. Các mục tiêu tấn công tiềm năng của nhóm này bao gồm: các cơ quan điều hành, các tổ chức quân sự, dân sự, tài chính như là về năng lượng, ngân hàng, dịch vụ viễn thông, sân bay…. Nhưng kẻ tấn công mạng thường là những người được đào tạo chuyên môn rất tốt với các cách tấn công phong phú và đa dạng. Tấn công ở nhóm này làm tổn hại rất nhiều thời gian, nguồn lực và các sự gián đoạn của các dịnh vụ có thể làm ảnh hưởng làm tê liệt một quốc qua và chịu nhìu sự tác động xấu về mặt kinh tế.
Đây là một số dẫn chứng tập trung phân tích các mục tiêu cũng như lợi ích mà các kẻ tấn công đạt được và các cách để thiết lập được mô hình để ngăn chặn và đối phó với các cuộc tấn công. Ví dụ: Nhằm mục đích để suy ra ý đồ, mục tiêu, chiến lược tấn công để tạo sự tiên đoán và chủ động bảo vệ và ngăn chặn các cuộc tấn công mạng. Trong một nghiên cứu gần đây bởi Fultz et al., động cơ và hành vi của các kẻ tấn công khi họ phải đối mặt với các cách phòng chống đa dạng, chiến lược đã được kiểm chứng. Như vậy, Fultz et al. đã tạo ra một trò chơi về an ninh mạng mà ở đó kẻ tấn công có nhằm vào mục đích của kẻ phòng thủ và kẻ phòng thủ cố gắng hết sức để bảo vệ tài sản của mình trong lúc đó. Thực tế cho thấy rằng các biện pháp khởi tố là đủ để ngăn chặn các kẻ tấn công tấn công vào hệ thống, Tuy nhiên, khi số lượng kẻ tấn công tăng lên thì trạng thái cân bằng sẽ bị mất đi.
Hình: Minh họa kẻ tấn công
Một trong những phương pháp phòng chống cơ bản là giảm đi các mối nguy hại, lợi ích mà các kẻ tấn công khi tấn công vào hệ thống nạn nhân. Chính sách mới này có thể được phát triển và sử dụng. Do đó, nghiên cứu về lợi ích của các kẻ tấn công khi tấn công và hệ thống DDoS là một hướng nghiên cứu đầy hứa hẹn trong tương lai. Ví dụ, các nhà nghiên cứu có thể tiến hành nghiên cứu khảo sát, phỏng vấn của tin tặc và tội phạm mạng, nghiên cứu sự cố gần đây, và thực hành phòng chống để có được một số hiểu biết về các động cơ và lợi ích của các kẻ tấn công. [30] Nghiên cứu về lợi ích của kẻ tấn công giúp phát triển các hình thức ngăn chặn hiệu quả các cuộc tấn công.