Trong quá khứ đã từng xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại hàng triệu USD. Theo tờ The New York Times, tổ chức Spamhaus là một tổ chức chịu trách nhiệm duy trì danh sách đen (black list) các máy chủ đang gửi thư spam trên toàn cầu, nhưng vào tháng 7/2013 cũng phải chịu cuộc tấn công từ chối dịch vụ dưới hình thức DDoS với lưu lượng lớn nhất lịch sử Internet. Có thời điểm, lưu lượng đạt đỉnh khoảng 300 Gbps (tương ứng 37 GB/s). Qua điều tra, xác minh, cơ quan chủ quản đã xác định hệ thống máy chủ DNS của Spamhaus đã hứng chịu một lượng khổng lồ các đợt tấn công từ những mạng máy tính ma (botnets) từ các tổ chức tin tặc châu Âu(1).
Spamhause cáo buộc CyberBunker đứng đằng sau sự vụ.
Vũ khí tấn công mạng DNS - một dạng “siêu DDoS” mới
Năm 2012, nhóm hacker hoạt động cho mục đích chính trị (hacktivist) Anonymous đã xây dựng một "vũ khí mạng" mới để thay thế cho dạng tấn công-từ chối-dịch vụ (DDoS) phổ thông. Loại "vũ khí mạng" sử dụng hệ thống tên miền (DNS – Domain Name System) như một dạng “siêu DDoS” mới, một lực lượng hùng mạnh để hạ gục các hệ thống máy chủ, buộc chúng phải phục tùng dưới sự điều khiển của mình.
Ngày 28/3/2013, kỹ thuật tấn công "khuếch đại DNS" (DNS Amplification hay còn gọi DNS Reflection) này đã trở thành "chiêu thức" chủ chốt trong cuộc tấn công mạng nhắm vào tổ chức chống thư rác (spam) Spamhaus, tuy không "hạ gục" nhưng đã làm mạng Internet trên toàn cầu bị trì trệ do cường độ tấn công rất lớn, trong đó châu Âu chịu ảnh hưởng nặng nề nhất.
Tấn công từ chối dịch vụ là kiểu tấn công làm cho mục tiêu (các trang web, dịch vụ trực tuyến) bị quá tải khiến người dùng gặp khó khăn hoặc không thể truy cập vào. Hiện chưa có giải pháp chặn triệt để DDoS mà chỉ có thể hạn chế thiệt hại, giảm cường độ tấn công. Các chuyên gia bảo mật đánh giá mức độ của DDoS dựa trên số bit dữ liệu mỗi giây. Nhiều vụ nổi tiếng đã đạt đỉnh 100 tỷ bit một giây.
Tuy nhiên, vụ “siêu DDoS” hay “khuếch đại DNS” hướng tới Spamhaus đã tăng vọt lên tới 300 tỷ bit mỗi giây - quy mô đủ để đe dọa cơ sở hạ tầng Internet và khiến việc truy cập mạng của người dùng bị chậm lại, chứ không còn đơn thuần chỉ là sự số của một tổ chức. Đây được xem là “Cuộc tấn công mạng lớn nhất” trong lịch sử từ trước đến nay với ước tính lượng dữ liệu “rác” được nhóm tin tặc “bơm” vào hệ thống mạng gấp 6 lần so với các cuộc tấn công DDoS thông thường (vào khoảng 50 tỷ bit dữ liệu/giây) và được bơm vào bởi mạng lưới các máy tính CyberBunker, công ty bị Spamhaus liệt vào danh sách có các thư rác cần loại bỏ.
"Đây là vụ lớn nhất từng được biết đến trong lịch sử phát triển Internet", Patrick Gilmore tại công ty phân tích Akamai Technologies, cho hay.
"Thật là kỳ diệu khi chúng tôi vẫn có thể online", chuyên gia Vincent Hanna của Spamhaus nói. Nếu mục tiêu mà tin tặc nhắm đến là hệ thống mạng của một chính phủ thì hệ thống đó sẽ bị sụp đổ ngay lập tức.
Theo Gilmore, hacker đã lợi dụng điểm yếu của hạ tầng Internet để đánh lừa hàng nghìn server điều hướng lưu lượng tới Spamhaus mỗi giây. Việc huy động lượng băng thông cực lớn để "đánh" một mục tiêu đã khiến kết nối Internet bị ảnh hưởng.
Tuy nhiên, ngay sau đó các công ty giám sát lưu lượng Internet tuyên bố, “Cuộc tấn công mạng lớn nhất” không gây ảnh hưởng tới internet trên phạm vi toàn cầu.
Còn Spamhaus thì gọi mình là nạn nhân của bọn hacker và cáo buộc CyberBunker, công ty cung cấp dịch vụ cho thuê máy chủ và đăng ký tên miền - có trụ sở đặt tại Hà Lan, đã phát động cuộc tấn công mạng nói trên, nhằm trả đũa việc Spamhaus liệt CyberBunker vào danh sách đen.
Một số nhà cung cấp dịch vụ mạng (ISP) đã lường trước trường hợp tương tự và hiệu chỉnh hệ thống nhưng tội phạm mạng có thể vận dụng các dịch vụ công cộng như dịch vụ đám mây (cloud), mở rộng số lượng “nạn nhân” dưới quyền điều khiển, từ đó mở một cuộc tấn công gần như “không thể chống cự”.
Trong cuộc tấn công vào Spamhaus, hệ thống mạng của tổ chức chống thư rác này được bảo vệ sau lớp lá chắn Border Gateway Protocol với Anycast của CloudFare. Hiểu đơn giản nó sẽ kiểm duyệt các gói dữ liệu tiếp cận Spamhaus. Khi có dấu hiệu của một cuộc tấn công, lá chắn sẽ tạo ra các bộ lọc điều hướng các gói dữ liệu đó sang hướng khác. Tuy vậy, khối lượng lớn dữ liệu và số lượng lớn truy vấn gửi đến cũng đã làm "ngộp thở" hệ thống CloudFare trước khi đến đích Spamhaus.
Chỉ mới là khởi đầu!
Đó là nhận định của các chuyên gia an ninh mạng từ Kaspersky Lab và F5. Số lượng máy chủ bị điều khiển sẽ gia tăng và bị khai thác trở thành “vũ khí mạng” thường xuyên hơn. Cường độ tấn công tỉ lệ thuận theo đó tăng theo cấp số nhân.
Đại diện Kaspersky Lab cho biết có hai nguyên nhân chính để lo ngại về sự gia tăng các cuộc tấn công mạng cường độ lớn: Lợi nhuận khổng lồ mà tội phạm mạng kiếm được nhờ tấn công DDoS vào hệ thống mạng các công ty để vòi tiền, hay xuất phát từ mục đích chính trị.
Kẻ tấn công gửi các truy vấn (query) DNS đến một máy chủ DNS trên Internet nhưng dùng địa chỉ nạn nhân giả mạo thành nguồn gốc của truy vấn đó.
Khi máy chủ DNS phản hồi trở lại (thường có kích thước gấp nhiều lần truy vấn gửi đi), nạn nhân sẽ hứng chịu "phản hồi" đó. Hàng trăm ngàn truy vấn sẽ liên tục gửi đến máy chủ DNS để mượn tay tấn công hệ thống nạn nhân khiến hệ thống bị nghẽn do lưu lượng dữ liệu gửi đến quá lớn như một cơn lũ.
Hiện có khoảng 30 triệu máy chủ DNS trên mạng Internet và chúng có thể bị tấn công để trở thành vũ khí mạng của tội phạm.
Spamhaus, là một công ty Anh - Thụy Sĩ chuyên loại bỏ các quảng cáo thuốc Viagra, thuốc giảm cân... giả mạo khỏi hòm thư của người dùng toàn cầu. Hoạt động ngăn chặn spam của Spamhaus rõ ràng đã khiến công ty này nằm trong danh sách đen của nhiều tổ chức chuyên phát tán thư rác, các công ty chuyên kinh doanh dược phẩm lậu, giả...
Thu Hà tổng hợp
