DDoS là gì và vì sao ngay cả các công ty công nghệ lớn của Mỹ cũng khó tránh khỏi?

Hải Đại Bàng

Thất nghiệp
Staff member
Tham gia
10/2/14
Bài viết
6,324
Được thích
11,511
3766 #1

Hôm qua 21/10 là ngày mà Internet trở nên chậm chạp ở phần lớn nước Mỹ, vốn có nền công nghệ số 1 thế giới. Trong vài tiếng đồng hồ, các trang lớn như Twitter, Reddit, Heroku, Github... đều đồng loạt rất chậm khi truy cập cho đến lúc hoàn toàn không thể truy cập được nữa. Thủ phạm chính là các đợt tấn công từ chối dịch vụ DDoS (Distributed Denial of Service).

Rất nhiều bạn yêu thích hay quan tâm công nghệ chắc chắn đã nhiều lần nghe đến từ DDoS này trên các trang tin công nghệ trong và ngoài nước. Tuy nhiên, nhiều người vẫn chưa hiểu nó là gì và vì sao nó lại có sức mạnh như vậy, ngay cả các công nghệ tiên tiến nhất cũng để xảy ra hết lần này đến lần khác? Chúng ta sẽ đi từng bước để hiểu một cách tương đối nhất về vấn nạn này, mình không trình bày tất cả các yếu tố mà chỉ một số cái dễ hiểu nhất để các bạn có thể nắm được một cách đủ xài.

DDoS là gì?


Tấn công Distributed Denial of Service là hình thức tấn công từ chối dịch vụ, nói một cách dễ hiểu, khi lượng truy cập vào một website tại cùng một thời điểm là quá lớn, lớn tới nổi máy chủ chứa website đó không thể xử lý kịp, nếu nhẹ, thì xử lý cái được cái không, cái nào được, tức là người truy cập đó có thể xem được trang web đó, còn cái không, là người truy cấp đó sẽ không xem được website này. Nếu càng nặng, thì càng ít người có thể xem được và nhiều người không xem được. Nếu nặng hơn nữa, tới mức làm cho máy chủ bị treo, quá tải, nó sẽ không xử lý gì được nữa, thì chẳng ai xem được trang web đó cả.

Nói một cách dễ hình dung hơn nữa, đó là ví dụ máy chủ là một quán cơm miễn phí, khi mà có quá nhiều người cùng ập vào xin cơm, ban đầu bà bán cơm còn làm kịp, có người có, có người chờ rất lâu, nhưng nếu cứ càng tăng lượng khách ồ ạt, liên tục và liên tục, mỗi người xin tới 10 - 20 - 50 phần mang về, thì bà chủ làm gấp và nhiều quá tới nổi xỉu luôn tại chỗ, thì chả ai có cơm mà ăn nữa. Xem như từ chối / không thể cung cấp dịch vụ cơm. Tương tự như DDoS.

Vì sao lại có quá nhiều người truy cập cùng lúc như vậy?

Dĩ nhiên càng nhiều người truy cập vào website là điều bất cứ trang web nào cũng mong ước, nhưng DDoS là sự truy cập không cố ý, không có chủ đích muốn xem, muốn truy cập của người đang sử dụng hoặc sở hữu thiết bị nằm trong đội quân (gọi là botnet) tấn công một website nào đó.

Ví dụ như bạn sử dụng chiếc Android bị cài virus, nhưng virus này không gây hại gì tới máy hay dữ liệu của bạn, mà nó nằm sẵn đó chờ lệnh từ hacker, người phát động tấn công DDoS vào website nào đó. Và sự thật là bạn không hề biết máy mình đang truy cập vào website đó, không biết website đó là gì và cũng không hề quan tâm.


Và nếu 100.000 người dùng bị cài virus như vậy thì thứ nhất, họ không phát hiện được, vì virus không làm gì khi nó chờ lệnh. Thứ hai là, khi đồng loạt nhận lệnh, thì con số 100.000 cũng không phải nhỏ khi cùng lúc truy cập vào một website chỉ định. Đó là chưa kể hàng triệu máy tính, thiết bị IOT (Internet of Thing) khác như IPCamera, smartTV, WiFi Router... luôn trong tình trạng kết nối Internet, bị nhiễm trojan, virus, chiếm quyền điều khiển, tự động nhận lệnh tấn công truy cập khiến cho đối tượng bị tê liệt và từ chối cung cấp dịch vụ.

Các botnet (mạng lưới bot) này vẫn được chào bán hàng ngày trên các trang web đen, deep-web, giống như thế giới ngầm của những tên tội phạm, ở đây là tội phạm Internet. Bởi khi máy bạn, hay một thiết bị IoT nào bị nhiễm, nó sẽ báo cáo về để thống kê, kể cả tình trạng sẵn sàng chiến đấu hay không.

Vậy động cơ tấn công DDoS là gì khi mà đâu có miễn phí để tấn công?

Có thể nói không phải botnet nào cũng tốn phí, nhưng thường các botnet miễn phí sẽ khá "cùi", tức là sức công phá kém hơn và không ổn định. Nhưng sự kém đó cũng còn tùy, vì có những website được đặt trên máy chủ dạng chia sẻ, cấu hình yếu, thì vẫn có thể bị hạ gục như thường, đa phần là do các "thiếu niên hacker" phá cho vui, lấy sự tê liệt của website nào đó làm niềm vui và thành tích đi khoe với mọi người.


Đối với các trang lớn hơn, hệ thống máy chủ mạnh hơn, thường phục vụ các trang buôn bán, và khi bị DDoS sẽ phải gián đoạn, tùy vào mức độ mà sẽ ngưng hoạt động trong vài giờ cho tới vài ngày, gây thiệt hại rất lớn cho doanh nghiệp. Tệ hơn nữa, trong một số trường hợp, là trong lúc bị tấn công, phần mềm máy chủ sẽ vô tình để lộ các thông tin khác mà hacker đang muốn lấy. Mình sẽ không bàn về trường hợp này vì nó hơi sâu về kỹ thuật. Các bạn quan tâm có thể tìm hiểu thêm qua Google nhé.

Vì sao máy chủ lại yếu vậy, sao không làm cho mạnh?

Bình thường có người hay vào website, ngày càng tăng, thì công ty hay chủ sở hữu sẽ đầu tư nâng cấp phần cứng hay máy chủ dần lên cho phù hợp, vì không thể sử dụng nguồn tài nguyên phần cứng máy chủ quá lớn trong khi nhu cầu lại chưa tới, mà chi phí thì không hề miễn phí. Ví dụ tương đối: 1 máy chủ phục vụ 1000 người cùng lúc, thì khi website chúng ta trung bình có lượng người truy cập là 600 cùng lúc, thì sẽ bắt đầu nâng cấp lên 2 máy chủ, phục vụ 2000 người cùng lúc.


Như vậy sau thời gian, lượng người tăng lên 1800 người cùng lúc, chúng ta lại nâng cấp lên 3 máy chủ... Cứ thế mà làm, thay vì lúc đầu chỉ có khoảng 500 người cùng lúc mà "quất" tới 3 con server (máy chủ), ngốn một số tiền không nhỏ, rất là phí, mạnh tới cỡ nào mới gọi là đủ. Nhưng lúc bị DDoS thì lại bất chợt, bỗng nhiên có tới chục ngàn người truy cập thì không biết lúc nào bị lúc nào không. Và như thế trang web "tèo". Và lúc này nên coi lại "ăn ở" xem có thù với ai không.

Dĩ nhiên không chỉ đơn giản là cứ nâng cấp như vậy mà còn nhiều giải pháp khác về phần mềm nữa. Nhưng các bạn không rành có thể hiểu đơn giản như vậy.

Vậy một là tốn nhiều tiền cho máy chủ dù chưa cần tới, hoặc chịu chết khi bị DDoS?

Có hai câu trả lời cho vấn đề này, thứ nhất, cho dù bạn đầu tư vào máy chủ thật là mạnh vì bạn có tiền, nhiều tiền, dù chưa cần tới sức mạnh đó cho mỗi ngày phục vụ bạn đọc, thì các đợt tấn công DDoS cũng sẽ được đầu tư càng nhiều hơn, mạnh mẽ hơn, nếu họ thật sự muốn đánh sập website của bạn. Ví dụ 1000 truy cập chưa đủ thì 2000, chưa đủ thì 20000, chưa đủ nữa thì 1.000.000... Con số này là vô chừng, tùy thuộc vào sự đầu tư của bên tấn công, đầu tư càng nhiều sẽ có được mạng lưới botnet càng lớn, sức công phá càng cao.


Thứ hai, hiện đã có các giải pháp chống DDoS sử dụng cả phần cứng lẫn phần mềm, cái này các bạn khi có nhu cầu, hãy đến với dịch vụ cung cấp máy chủ để được tư vấn thêm chi tiết, cụ thể chứ không thể nói hết trên này được. Từng trường hợp cụ thể mới sẽ có những giải pháp khác nhau phù hợp và hiệu quả. Nhưng vì tốn kém nhiều hơn nên không phải ai cũng đăng ký sử dụng, trừ khi bạn sở hữu website mà luôn có người muốn đánh sập vì mục đích cá nhân, tư lợi, cạnh tranh không lành mạnh... gây thiệt hại về doanh thu cũng như chi phí.

Về cơ bản, nếu dùng sức người thì cũng phải luôn luôn trong trạng thái sẵn sàng kiểm tra khi có dấu hiệu bị tấn công, nếu dùng giải pháp phần cứng thì thêm chi phí. Càng hiệu quả, càng tốn kém. Phải có đầu tư đúng mức thì mới tồn tại và hiệu quả.

Trở lại với đợt DDoS nhắm vào nước Mỹ vừa qua, kẻ tấn công có phải là quá mạnh đến nổi cỡ Twitter, Reddit... cũng không đỡ nổi, nghe có vẻ vô lý?

Đúng là với các giải pháp công nghệ tiên tiến thì không phải dễ để đánh sập được những trang lớn như Twitter, bên cạnh đó, để huy động được lực lượng botnet hùng hậu có đủ sức mạnh làm gián đoạn truy cập với các trang lớn với hàng triệu người dùng này cũng là cả một vấn đề lớn, chi phí tốn kém rất nhiều trong khi trước mắt chưa thế thu được lợi gì nhiều.

Tuy nhiên vấn đề vừa qua không phải là các trang như Twitter bị tấn công DDoS, mà câu trả lời chính xác là dịch vụ DynDNS bị tấn công.

DynDNS làm gì và vì sao liên quan tới vấn đề gian đoạn truy cập vào các trang lớn nêu trên?

Nói một cách đơn giản, DynDNS là một trong các đơn vị cung cấp dịch vụ chuyển đổi Domain Name Server (hoặc Domain Name System). Khi bạn gõ vào thanh địa chỉ trên trình duyệt web một tên trang web, ví dụ techrum.vn, thì bản thân trình duyệt nói riêng và máy tính của bạn nói chung không hề biết phải kiếm cái trang techrum.vn ở đâu mà mang bài viết về hiển thị cho bạn xem. Mà nó sẽ phải đi tới một trong những máy chủ DNS trên thế giới để hỏi xem techrum.vn nằm ở đâu, từ đó mới tới đúng máy chủ chứa website của techrum.vn, yêu cầu bài viết cần xem, mang về hiện thị trên trình duyệt cho bạn xem.


Vì máy chủ có thể thay đổi địa chỉ, chứ tên miền thì không, cho nên không thể cố định cho một máy tính nào đó ghi nhớ tất cả các địa chỉ của các website mà nó từng truy cập, hoặc đối với website mới lần đầu truy cập, thì vẫn phải đi hỏi địa chỉ như thường. Do đó, thế giới mới phải có những đơn vị cung cấp dịch vụ DNS. Còn việc làm sao các DNS này biết các thông tin trang nào thì nằm ở địa chỉ nào, đây là vấn đề kỹ thuật mà nếu quan tâm, các bạn hỏi thêm Google nhé.

Rồi quay lại với vấn đề DDoS đang nói, lợi dụng DNS, thay vì tấn công trực tiếp vào Twitter hay Reddit... Bên tấn công đã biết được để đến được Twitter và Reddit... sẽ phải đi qua hỏi DynDNS, vậy là giống như nguyên cái chung cư có một ông bảo vệ, chuyên chỉ nhà nào của ai cho khách tới thăm, thì bị đánh bất tỉnh, ai tới hỏi cũng không được nên không biết phải đi đường nào để tới nơi cần đến, dĩ nhiên chỉ sau vài tiếng DynDNS đã khắc phục và tình trạng quay lại bình thường. Một "chiêu" thông minh của bên tấn công, dù DynDNS không phải yếu, nhưng vẫn dễ xử hơn là đi đánh từng ông bự như Twitter, Reddit, Spotify... Tốn lực hơn rất rất nhiều mà lại không thể hạ đồng loạt cùng lúc.

Có thể xác định và bắt giữ hacker gây ra cuộc tấn công?

Về lý thuyết là có thể, nếu là các đợt tấn công hạng nặng, tầm cỡ và quy mô lớn tầm quốc gia. Và cơ quan an ninh quốc gia Mỹ cũng đã vào cuộc trong vụ việc vừa qua. Còn đối với các đợt tấn công nhỏ lẻ, là rất khó để xác định, vì nếu có truy ra được tất cả các thiết bị nằm trong mạng lưới botnet đó thì đó cũng chỉ là những người dùng, những thiết bị bị nhiễm virus, mã độc, họ không phải là người chủ mưu gây ra đợt tấn công.


Tuy nhiên các bạn "trẻ" cũng đừng vội mừng, về cơ bản botnet đều có chủ, đều có nguyên nhân từ đâu mà có, vì vậy nếu chủ của đám botnet mà bạn xài chùa hay xài free để đi phá người khác, họ tiết lộ, hay lỡ xui mà bị public các số liệu ngày giờ nào mạng lưới botnet nào hoạt động nhắm vào đối tượng nào và ai là người phát động thì kết quả thật tồi tệ...

Dĩ nhiên trên đây chỉ là một phần nổi của vấn đề, nó không đơn giản chỉ là như vậy, tuy nhiên nếu bạn nào vẫn thi thoảng đọc đâu đó thấy DDoS và có những thắc mắc, thấy vô lý thì hy vọng bài viết này có thể giải thích được phần nào. Bên cạnh đó cũng nên đầu tư, kiểm tra, quét virus... để không vô tình tiếp tay cho kẻ xấu.

Mọi người có thể comment góp ý, bổ sung để bài viết hữu ích hơn nhé. Xin cám ơn.
 
Last edited by a moderator:

Theo dõi Youtube

Thành viên online

Không có thành viên trực tuyến lúc này

Quảng Cáo

Quảng Cáo

Có thể bạn quan tâm

Top Bottom