|
Điều này tôi nghĩ đến khoảng 4 năm trước, lúc bắt đầu làm quen với khái niệm hacking và security, nhưng cho đến ngay lúc này 2 khái niệm kia còn quá thô sơ và chưa thành hình, nên tôi không có một bài viết nào về tấn công từ chối dịch vụ từ trước cho đến giờ. Khi thành lập diễn đàn VN Development, server liên tục bị tấn công từ chối dịch vụ với tần số cực kì khủng khiếp, đó cũng là cơ hội để tôi tiếp xúc trực tiếp và có cái nhìn gần hơn với DDOS, cũng như cách chống đỡ (không thể chặn 100% đối với các cuộc tấn công từ chối dịch vụ). Tuần trước có đọc được bài viết của tác giả RSnake nói về việc sử dụng DDOS để Hacking, ý tưởng khá giống, và tôi tin chắc không ít kẻ tấn công đã và đang sử dụng DDOS nhằm mục đích trục lợi. Bài viết trên có 3 ý, các bạn có thể theo link trên để đọc, tác giả có cái nhìn rất tốt, và phải nói là trưởng thành, chứ không giống như một số những kẻ phá hoại, tự cho mình là Hacker đã làm, chỉ thực hiện hành vi tấn công website nào đó do ganh ghét, hoặc đơn giản là muốn thử nghiệm, thị uy, show off. Môt người có kinh nghiệm sẽ chỉ tấn công vào website nào đó nhằm mục đích trục lợi, website đó chứa thông tin nào đó, mà hắn ta muốn có được. Và bằng cách nào đó, hắn tìm cách qua mặt các đối thủ để dành vị trí dẫn đầu. Trong ví dụ của RSnake là website về đấu giá. Ta hãy nói về vấn đề thứ 3, cũng chính là ý nghĩ mà tôi đã nói từ đầu bài viết. Sử dụng DDOS như một phương thức nghi binh, làm cho người quản trị chỉ chú tâm đối phó với tấn công từ chối dịch vụ, trong khi mục đích thực sự của ta là nhắm vào một điểm yếu khác, ở đâu đó trong mục tiêu muốn tấn công. Để thực hiện ý định này, không khó, hoàn toàn không khó. Hãy nhìn một cách toàn diện vào các website ở Việt Nam, tôi thấy rằng hầu hết không được chuẩn bị để đương đầu với các cuộc tấn công từ chối dịch vụ. Họ, những người quản trị thường chỉ chú ý đến khi hệ thống của họ bị tấn công, lúc ấy mới bắt đầu đi vá hệ thống một cách gấp gáp, và rõ ràng hệ thống đó không được kiện toàn đủ tốt, dù cho có chắp vá thế nào. Đặt ở vị trí người tấn công, chúng ta có nhiều lợi thế. tấn công từ chối dịch vụ không cần quan tâm đến hệ thống đó mạnh yếu ra sao, kiện toàn thế nào, ai đang làm việc, hoặc cần hệ thống đó hoạt động để duy trì lợi ích cho ai. Người tấn công chỉ có đúng một mục đích là làm cho hệ thống trì trệ và không thể phục vụ dịch vụ mà nó cung cấp. Nếu đó là một web server, ta làm cho máy chủ web không thể phục vụ các http requests, hoặc phục vụ một cách ì ạch. Tương tự đối với mail server, ftp server...Để thực hiện được mục đích được nói đến trong bài này, bạn phải làm cách nào đó duy trì trạng thái từ chối dịch vụ trong thời gian đủ để bạn có thể đánh vào đâu đó mà không bị làm phiền bởi người trông coi server. Nếu có đăng kí nhận tin, mail letter của một số cách website về bảo mật của thế giới, bạn chắc hẳn đã nhiều lần có được thông tin (có khi có cả cách thức tấn công) của rất nhiều lỗi bảo mật nguy hiểm. Một ngày có đến vài chục, thậm chí nhiều hơn các lỗi bảo mật được công bố, kèm theo đó là rất nhiều hệ thống bị tấn công. Hãy tưởng tượng bạn vô tình biết được một lỗi bảo mật qua hệ thống mail letter của Securityfocus, qua quá trình footprinting, scanning hoặc tên nào đó do bạn gọi, bạn biết đươc hệ thống mục tiêu chưa được cập nhật bản vá (rất nhiều khả năng nếu hệ thống đó đang trú ngụ tài Việt Nam :p), và quá trình xâm nhập tốn khá nhiều thời gian, để chắc rằng không bị làm phiền, bạn phát động một đợt tấn công từ chối dịch vụ, không cần tốn nhiều sức, chỉ cần một vài tools phổ biến có khả năng tạo request với random url để tránh dễ dàng bị cản lọc do người quản trị dễ dàng lọc được qua các dấu hiệu nhận biết. Trong lúc admin kia chú tâm vào việc vá hoặc kiện toàn hệ thống để chống tấn công từ chối dịch vụ, anh ta sẽ không còn thời gian để vá lỗi bảo mật bạn vùa tìm được, và thế là bạn một mình một ngựa làm việc mà không bị làm phiền :d. Lí giải cho dài dòng lôi thôi cho thành một entry, thật ra trọng tâm bài viết này chỉ có đúng 1 câu: sử dụng DDOS để đánh nghi binh, và tất cả những gì viết ở trên hoàn toàn nói dóc, nên đừng có tin nhé :p |
.
.