ĐỌAN 52
CTY HƯNG TRẦN – SÁNG (Phòng kinh doanh)

( Có 5 nhân viên của Anti-Networking, trong đó có Phong và Khôi)

Tại phòng kinh doanh công ty Hưng Trần, ông Trần bước vào khi các nhân viên Anti-Networking chuẩn bị hội ý.

ÔNG TRẦN

- Thế nào rồi mọi người?

Phong bước đến bắt tay ông Trần.

PHONG

- Chào ông, tôi là Hùynh Phong, đến từ công ty Anti-Networking, tôi là trưởng nhóm khắc phục sự cố được cử sang đây.

ÔNG TRẦN

- Chào Phong, tôi là Trần Hưng, giám đốc điều hành, sự cố lần này có nghiêm trọng không?

PHONG

- Khá nghiêm trọng thưa ông trần, webside của công ty ông đã bị tấn công “từ chối dịch vụ” gọi tắt là DDOS (Distributed Denial Of Service), chúng tôi cần thời gian khỏang 2 ngày để khắc phục.

ÔNG TRẦN

- Tôi muốn biết rõ hơn về sự cố này.

PHONG

- 30 phút nữa mời ông qua phòng họp, tôi sẽ giới thiệu chi tiết về DDOS gặp phải và hướng khắc phục của chúng tôi.

ĐỌAN 53
CTY HƯNG TRẦN – SÁNG (Phòng họp)

Phong chuẩn bị trao đổi với nhóm Anti-Networking, ông Trần, và IT công ty Hưng Trần về sự cố DDOS với sự hỗ trợ của máy chiếu chạy trình duyệt PowerPoint.

PHONG

- Hiện tại, chúng ta đang gặp phải sự “tấn công từ chối dịch vụ” gọi tắt là DDOS, làm cho khách hàng không thể truy cập vào webside đồng thời email cũng bị tràn dữ liệu. Trong thời gian sự cố chưa khắc phục được, ngoài thiệt hại về tài chính, sự mất mát về lòng tin của khách hàng, uy tín của công ty là không thể tính được.

- Tôi xin giới thiệu kiến trúc tổng quan của DDoS attack-network nhìn chung có hai mô hình chính:

+ Mô hình Agent – Handler
+ Mô hình IRC – Based

- Chúng ta bị tấn công theo mô hình Agent – Handler.

Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler

1. Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network

2. Handler : là một thành phần software trung gian giữa Agent và Client

3.Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler

+ Attacker sẽ từ Client giao tiếp với cc1 Handler để xác định số lượng Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.

+ Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó bị phát hiện. Các gia tiếp này thông thường xảy ra trên các protocol TCP, UDP hay ICMP. Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.

* Công cụ DDoS dạng Agent – Handler:

- TrinOO: là một trong các công cụ DDoS đầu tiên được phát tán rộng rãi.

TrinOO có kiến trúc Agent – Handler, là công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood. Các version đầu tiên của TrinOO không hỗ trợ giả mạo địa chỉ IP. TrinOO Agent được cài đặt lợi dụng lỗi remote buffer overrun. Hoạt động trên hệ điều hành Solaris 2.5.1 à Red Hat Linux 6.0. Attack – network giao tiếp dùng TCP (attacker client và handler) và UDP (Handler và Agent). Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng giữa Client, handler và Agent.

- Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công cụ DDoS hỗ trợ kiểu Bandwidth Deleption Attack và Resourse Deleption Attack. Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN và Smurf Attack. Các version đầu tiên không hỗ trợ giả mạo địa chỉ IP, TFN Agent được cài đặt lợi dụng lỗi buffer overflow. Hoạt động trên hệ điều hành Solaris 2.x và Red Hat Linux 6.0. Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính năng chọn protocol tùy ý), không mã hóa giao tiếp (TFN2K hỗ trợ mã hóa)

- Stacheldraht: là biến thể của TFN có thêm khả năng updat Agent tự động. Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler.

- Shaft: là biến thể của TrinOO, giao tiếp Handler – Agent trên UDP, Attacker – Hendle trên Internet. Tấn công dùng kỹ thuật UDP, ICMP và TCP flood. Có thể tấn công phối hợp nhiều kiểu cùng lúc. Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất của nạn nhân, mức độ quy mô của cuộc tấn công để điều chỉnh số lượng Agent.

Có ba giai đoạn chính trong quá trình Anti-DDoS:

- Giai đoạn ngăn ngừa: Tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các Handler

- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.

- Giai đoạn sau khi cuộc tấn công xảy ra: Thu thập chứng cứ và rút kinh nghiệm

1/ Tối thiểu hóa số lượng Agent:

- Từ phía User: Một phương pháp rất tốt để năng ngừa tấn công DDoS là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác. Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho các internet user. Attack-Network sẽ không bao giờ hình thành nếu không có user nào bị lợi dụng trở thành Agent. Các user phải liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình. Họ phải tự kiểm tra sự hiện diện của Agent trên máy của mình, điều này là rất khó khăn đối với user thông thường.

Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt code nguy hiểm thông ào hardware và software của từng hệ thống. Về phía user họ nên cài đặt và updat liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành.

- Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như vậy về mặt ý thức tăng cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi User.

2/ Tìm và vô hiệu hóa các Handler:

Một nhân tố vô cùng quan trọng trong attack-network là Handler, nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng Anti-DDoS thành công là rất cao. Bằng cách theo dõi các giao tiếp giữa Handler và Client hay handler va Agent ta có thể phát hiện ra vị trí của Handler. Do một Handler quản lý nhiều, nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong Attack – Network.

3/ Phát hiện dấu hiệu của một cuộc tấn công:

Có nhiều kỹ thuật được áp dụng:

- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy thuộc subnet. Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. Nếu kỹ thuật này được áp dụng trên tất cả các subnet của internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại.

- MIB statistics: trong Management Information Base (SNMP) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ các thống kê của protocol mạng. Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống.

4/ Làm suy giàm hay dừng cuộc tấn công:

Dùng các kỹ thuật sau:

- Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS. Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn.

- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn chế của kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.

- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.

5/ Chuyển hướng của cuộc tấn công:

Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots. Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự.
Honeyspots không chỉ đóng vai trò “Lê Lai cứu chúa” mà còn rất hiệu quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát và báo động.

Ngoài ra Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm từ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ thống. Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả năng bị triệt tiêu toàn bộ attack-network là rất cao.

6/ Giai đoạn sau tấn công:

Trong giai đoạn này thông thường thực hiện các công việc sau:

-Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling. Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình.

- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí của Attacker (ít nhất là subnet của attacker). Từ kỹ thuật Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu. gần đây đã có một kỹ thuật Traceback khá hiệu quả có thể truy tìm nguồn gốc của cuộc tấn công dưới 15 phút, đó là kỹ thuật XXX.

- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.

ĐỌAN 54
LÀNG NƯỚNG – TỐI

Khôi, Duy, Thanh đang ngồi trong một làng nướng.

THANH

- Dzô, nâng ly mừng chúng ta sau 1 tháng vẫn được… uống bia chai.

Cả 3 phì cười cụng ly cái cốp.

DUY

- Sau 1 tháng đi làm thấy sao mày?

KHÔI

- Cũng có nhiều cái hay. Đầu óc có thứ làm cho bận rộn. Thấy thời gian trôi qua có nghĩa hơn.

THANH (hất mặt)

- Lúc trước, 1 ngày mày nhớ tới mấy em, phải suy nghĩ coi giờ nào đi với em nào, cũng bận rộn mà.

Cả 3 lại cười vui vẻ.

KHÔI (hất mặt về phía Duy)

- Sáng nay tao mới đi xử lý sự cố ở công ty ông già mày đó ku.

DUY (ngạc nhiên)

-Xử lý gì?

KHÔI

- Trang mua bán trực tuyến của công ty ông già mày bị hack. Cầu cứu công ty tao.

THANH

- Không phải mày làm bên software sao?

KHÔI

- Thì tao đi với tụi resolve break-down networking. Sự cố nghiêm trọng mà, DDOS.

THANH (nhìn Duy nửa đùa nửa thật)

- Coi bộ ông già mày gây thù óan gì với ai rồi.

DUY

- Tao chẳng quan tâm. Ổng hao hụt chút đỉnh cũng không thấm gì đâu.

Khôi và Thanh lắc đầu cười, nâng ly cụng với Duy.