Drdos - The distributed reflection denial of service attack

1. Mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS - Distributed Reflection Denial of Service.

Để thực hiện "Tấn công từ chối dịch vụ phân tán DDoS", kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn, mục đích chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó.

Riêng "Tấn công từ chối dịch vụ phản xạ DRDoS" chỉ mới xuất hiện gần đây nhưng lại là loại nguy hiểm nhất. Nếu được thực hiện bởi các hacker chuyên nghiệp, không một hệ thống nào có thể đứng vững được trước nó. Đáng nói hơn, hiện cũng đã xuất hiện nhiều loại virus, worm, trojan có chức năng tự động thực hiện tấn công DoS.

2. DRDoS - The Distributed Reflection Denial of Service Attack:

Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất. Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằng nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các server lớn trên thế giới. Vẫn với phương pháp giả mạo địa chỉ IP của victim, kẻ tấn công sẽ gởi các gói tin đến các server mạnh nhất, nhanh nhất và có đường truyền rộng nhất như Yahoo, v. V, các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim. Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh chóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash, reboot máy tính đó. Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn.

Còn việc attacker tấn công trực tiếp vào server là không thể được! Mọi request từ client gửi đến chỉ được tương tác với load blancer, nó không thể vào đến server được!

Tất nhiên đối với "tấn công từ chối dịch vụ" mọi biện pháp chỉ hạn chế một phần thôi!

Theo mình biết, nhiệm vụ của Load Balancer đó, chỉ để xác định tình trạng server và chuyển request của client đến server có trạng thái tốt nhất

Vd. 1 request gửi từ client A đến thì nó sẽ chạy qua Load Balancer, Load Balancer sẽ xác định xem tình trạng của các server và chuyển request đó đến cho server có tình trạng hoạt động tốt nhất (tải của CPU, lượng truy cập, bằng thông.) chứ nó không trực tiếp xử lí request.. vì load balancer đâu phải là một web app server

Mỗi server có 1 IP xác định, việc load blancer chuyển request đến server nào (IP nào) chỉ xảy ra khi request đó đi vào tầm hoạt động của load balancer.

Vd: Nếu Load balancer được cài đặt wor máy chủ chính ở nhac. Vui.vn.. người truy cập vào nhac. Vui.vn thì mới được load balancer xử lí.. chứ nếu truy cập thẳng www8. Nhac. Vui.vn thì load balancer không làm gì được

Mỗi server đều là một máy chủ độc lập kết nối với Internet, không phụ thuộc vào việc Load balancer có cho phép request này, kia có được truy cập vào hay không?

NAT là kỹ thuật thay đổi các địa chỉ mạng (Network Address) trong một gói tin (packet) để gây ảnh hưởng trong quá trình định hướng đi của packet cho một mục đích cụ thể. (copy)

Ở đây cơ chế giống như một proxy server! Khi client gửi request đến blancer thì blancer sẽ lấy IP của mình đại diện cho request đó và tương tác với server đang "rảnh", sau khi server này trả lời lại cho blancer thì blancer gửi trả lời đến cho client.

Đây là mô hình Round Robin DNS Load Balancing, còn mô hình mình đưa ra là load balancing nâng cao.

3. Tấn công vào băng thông

+ Từ chối dịch vụ DDoS (Distributed Denial of Service - từ chối dịch vụ phân tán)

Đây là cách mà kẻ tấn công có thể huy động tới hàng trăm, hàng ngàn máy tính tham gia tấn công vào cùng một thời điểm và có thể "ngốn" hết băng thông của mục tiêu trong thời gian ngắn, làm cho mục tiêu quá hạn và bị loại khỏi mạng Internet.

Kiểu tấn công này thường được sử dụng khi đường truyền mạng của kẻ tấn công thấp hơn so với đường truyền của máy đích (tấn công vào băng thông lớn). Kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu, khiến cho đường truyền của hệ thống đích không còn khả năng đáp ứng, không còn khả năng nhận một gói tin nào nữa.



Tấn công DDoS

+ Từ chối dịch vụ DrDoS (Distributed reflection Denial of Service - từ chối dịch vụ phản xạ nhiều vùng)

Mục tiêu chính của DrDoS là chiếm đoạt toàn bộ băng thông của máy đích, làm tắc nghẽn hoàn toàn đường kết nối từ máy đích vào xương sống của Internet và làm tiêu hao tài nguyên. Trong suốt quá trình máy đích bị tấn công bằng DrDoS, không một máy khách nào có thể kết nối được vào máy đích đó, tất cả các dịch vụ chạy trên nền TCP/IP như: DNS, HTTP, FTP, POP3.. đều bị vô hiệu hóa.

Kẻ tấn công sẽ cùng lúc gửi nhiều gói tin đến các hệ thống máy mạnh trên mạng như Yahoo, Micorosoft.. Các hệ thống này khi nhận gói tin SYN giả, chấp nhận kết nối và gửi trả một gói tin SYN/ACK để thông báo. Vì địa chỉ IP của gói tin SYN bị kẻ tấn công sửa đổi thành địa chỉ IP máy đích nên những gói tin SYN/ACK sẽ được gửi về cho máy đích. Các hệ thống máy mạnh, đường truyền mạnh đó đã vô tình đóng vai trò zoombies cho kẻ tấn công. Cùng một lúc nhận được nhiều gói tin, đường truyền của máy đích không đủ khả năng đáp ứng, hệ thống máy đích bị sụp đổ, từ chối nhận bất kì gói tin nào.

Ngoài các cách cơ bản như trên, còn có thể tấn công từ chối dịch vụ kiểu Smurf Attack, kiểu Tear Drop, hay nhằm vào tài nguyên hệ thống như CPU, bộ nhớ, file hệ thống, tiến trình..



Tấn công DrDoS

4. Cách phòng ngừa

Tấn công từ chối dịch vụ rất khó phòng chống do tính bất ngờ và thường là phòng chống trong thế bị động khi sự việc đã diễn ra. Các phương án phòng ngừa có thể:

Thiết lập, cài đặt mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng như máy chủ dịch vụ, các router.. và các nguồn tài nguyên quan trọng khác.

Phòng ngừa các điểm yếu của ứng dụng Web, Webserver, DNS, SQL Database.. Thường xuyên cập nhật các bản vá là một trong những yêu cầu quan trọng.

Thiết lập các mức xác thực, định mức giới hạn đối với người sử dụng cũng như các nguồn tin trên mạng. Dùng tính năng lọc dữ liệu, tính năng cho phép đặt rate limit của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ, hạn chế số lượng packet vào hệ thống.

Sử dụng công cụ, phần mềm để chống lại TCP SYN Flooding. Các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường. Mô hình hệ thống cần phải được xây dựng hợp lý và triển khai hệ thống dự phòng.