Sự thật về phần mềm chống DdoS

[Cơn Gió]

Gần đây, trên diễn đàn hacker HVA và một số site xuất hiện thông tin về xFirewall, phần mềm được quảng bá là có thể khắc phục x-flash (một dạng tấn công từ chối dịch vụ), của nhóm 91daklak. Tuy nhiên, Ban quản trị HVA và Trung tâm BKIS đều khẳng định, xFirewall là một "trợ thủ" tấn công.
2006_01_10942451_xfile2.jpg
Chỉ hơn một ngày sau khi xuất hiện trên diễn đàn hacker, những thông tin về xFirewall đã bị Ban quản trị HVA gỡ bỏ kèm theo khuyến cáo phần mềm này chẳng những không có khả năng khắc phục x-flash DDoS mà còn hỗ trợ tấn công các website khác. Những forum hay website nào cài đặt phần mềm này sẽ trở thành bàn đạp đắc lực cho việc phá hoại.
Theo phân tích của những người đứng đầu diễn đàn HVA, file php đi kèm theo xFirewall đều được mã hóa bằng Zend và những file php này có biểu hiện của trình cổng hậu backdoor. Đường dẫn từ x-flash trên trang 91daklak.com, nơi cung cấp xFirewall, đều trỏ đến một hoặc nhiều trang thuộc dạng cho hosting miễn phí (free site) là bàn đạp trong các cuộc "đổ bộ" bằng x-flash. Nội dung bên trong x-flash kèm với xFirewall hoàn toàn giống các flash dùng để tấn công HVA trong suốt thời gian qua. Và xFirewall.php không hề tạo ra bất cứ cookie nào nhằm bảo vệ.
Ngay sau đó, trên diễn đàn của 91daklak.com, tác giả của xFirewall lập tức phản bác lại những cảnh báo từ HVA. Người này khẳng định những phần mềm xFirewall 100% không có Trojan hay yếu tố có thể hỗ trợ tấn công. Chứng minh xFirewall.php có khả năng tạo cookie bảo vệ, bằng chứng được đưa ra là:

RewriteEngine on
RewriteCond %{HTTP_COOKIE} !^.*access=granted.*$
RewriteRule .*$ http://91daklak.com/xfirewall/


Tác giả xFirewall lập luận: "Dòng rule trên .htaccess của firewall này nằm trong file .htaccess và được chép vào thư mục cần bảo mật để chống bị DDoS. Nếu xFirewall.php không hề phát sinh cookie thì làm thế nào để truy nhập được vào thư mục cần bảo vệ?".
"xFirewall.php và xFirewallp2.swf là một sự kết hợp hài hòa để chống lại DDoS. xFirewallp2.swf hoàn toàn không có output bất kỳ ở bên ngoài", người này khẳng định.
Trong khi đó, Trung tâm an ninh mạng Đại học Bách khoa Hà Nội cũng đã nắm được thông tin về xFirewall. Theo mô tả của BKIS về phương thức hoạt động của xFirewall, khi người dùng truy cập vào một trang nào đó được chương trình này "bảo vệ" (danh sách trang “được bảo vệ” nằm trong file .htaccess) thì server sẽ kiểm tra cookie trình duyệt trên máy người dùng. Trường hợp nếu cookie tồn tại, máy chủ sẽ cho phép browser truy cập đến trang mà browser yêu cầu và mọi việc diễn ra bình thường. Nhưng nếu không tồn tại cookie bảo vệ, server sẽ trả về trang index.html trong thư mục xFirewall. (Ví dụ: tại ngay trang www.91daklak.com trình duyệt sẽ trả về http://www.91daklak.com/xfirewall/index.html nếu người dùng truy cập lần đầu tiên).
Nhưng kết quả phân tích xFirewall của BKIS cho thấy khả năng chống DDoS thông qua Set Cookie của phần mềm này không có hiệu quả vì kẻ tấn công có thể gửi cho server một cookie có sẵn trước khi gửi hàng loạt lệnh request tấn công DDoS. Như vậy chỉ cần thêm một vài bước, kẻ tấn công có thể hóa giải được xFirewall.
"Hệ thống xFirewall này hoàn toàn có thể được "điều khiển từ xa" thông qua file: rv007.php được cài đặt trên 91daklak.com. Những người tạo ra xFirewall đã cố tình che giấu bằng cách mã hóa các mã lệnh. Sau khi giải mã, chúng tôi đã phát hiện hành vi này. Điều đó khẳng định những website cài đặt hệ thống xFirewall này dễ dàng bị lợi dụng để làm bàn đạp cho các cuộc tấn công DDoS", Giám đốc BKIS Nguyễn Tử Quảng cho biết.
Theo các chuyên gia bảo mật, flash là một phần mềm dạng plug-in dùng với trình duyệt để hiển thị đồ họa (graphics) và hoạt ảnh(animation). Flash được ứng dụng rộng rãi vì tính năng "action script" khá linh động và mạnh mẽ của nó. Trong một số trường hợp, những tính năng này bị khai thác cho mục đích xấu.

Khi một x-flash xấu được cài vào trang web nào đó, nó có thể ở dạng vô hình (invisible) hoặc ở dạng một flash bình thường, có hiển thị hẳn hoi nhưng "action script" của chúng thực hiện "công tác" như nhau. Khi người dùng truy cập trang web có gắn x-flash xấu, trình duyệt của người đó tự động gửi yêu cầu truy cập đến một website khác (là nạn nhân bị tấn công từ chối dịch vụ) mà người dùng này hoàn toàn không biết. Có chăng, họ chỉ cảm thấy trình duyệt chậm hơn bình thường đôi chút.
Những yêu cầu truy cập đến website nạn nhân khó bị phát hiện nếu như người dùng trình duyệt Internet Explorer (IE) hoặc Firefox một cách bình thường. Nhưng nếu họ tắt chức năng "Hide the status bar" trên Firefox sẽ thấy hàng loạt yêu cầu được gửi đến một trang web nào đó. Đây chính là địa chỉ của nạn nhân đang bị tấn công.

Cách đây 1-2 năm, các x-flash xấu được cài trên những website bị lỗi. Thường là website có lượng người truy cập khá cao để có thể đạt được mục đích. Sau một thời gian, các website không còn trợ lực cho âm mưu phá hoại này (một phần do các quản trị site được cảnh báo, một phần do họ nâng cấp và xóa các x-flash này) nên x-flash vắng tiếng trong một thời gian dài.

Những điều tra về các vụ tấn công từ chối dịch vụ diễn ra gần đây cho thấy, phần lớn x-flash được cài trên các free site và được ngụy trang bằng thông tin hấp dẫn như phim, ảnh mang nội dung "người lớn"... để dẫn dụ người dùng vào. Hầu hết các trang này chỉ có những đường dẫn giả. Bởi số lượng các free site và các x-flash này không đủ để "tàn phá" nạn nhân nên nhóm tạo x-flash vận dụng một số phương thức như khống chế trang chủ của trình duyệt IE, phát tán thông tin trên các diễn đàn để lôi kéo người dùng tò mò vào các trang của chúng.
"Những kẻ xấu, chuyên phá hoại bằng cách thức DDoS gần đây chuyển hướng sang "đánh tiếng" là tạo ra phần mềm chống x-flash nhằm chiêu dụ đông đảo số lượng người sử dụng trên các diễn đàn, website, biến máy tính của họ trở thành công cụ ma zombie cho chúng", ông Nguyễn Xuân Việt, thành viên Ban quản trị HVA, nói. "Đây là một âm mưu nâng cao số lượng "zombie" cho mục đích tăng hiệu quả tàn phá".
Nguồn :

Code: 

VnExpress.net

[tieudao01234]

Nói chống doss chứ chưa chắc đã chống được đâu miễn phí mà đòi chống doss à bạn ơi

[talkmylove]

nói vậy thôi chứ cũng chống đc phần nào đó thôi , ddos là vấn đề nan giải

[tieubao2912]

Uhm, nói vậy nhưng cũng thanks tác giả và bài viết này ^^

[vietms]

nếu sử dùng chỉ mỗi phầm " mềm " mình xin khẳng đỉnh là điều không thể làm đc hết chỉ là hạn chế đc phần nào thôi. Chủ yếu cisco .... phần cứng là chủ yếu gánh chịu

[aaronjames8402]

DDos đã tấn công thì ko có thiết bị nào cản nổi đâu,,ngay cả phần cứn cissco

[lamdpcm]

bạn nào có tài liệu hay về DDoS cho mình xin với , cái này e ngán quá

[huyentrang1611]

DDos đã tấn công thì ko có thiết bị nào cản nổi đâu,,ngay cả phần cứn cissco

thế những trang web lớn họ vẫn chống đc đấy

[butathu1991]

Làm nghẽn băng thông website từ đó website sẽ bị sập và không truy cập được nữa!

[demonlism]

Thật ra nói về chặn DDoS thì không có sản phẩm nào gọi là tuyệt đối kể cả phần mềm lẫn phần cứng, có chăng là chỉ giúp hạn chế 1 phần nào hoặc ở mức chấp nhận được để server không bị quá tải thôi.
Đối với firewall mềm hoặc ảo hóa, phụ thuộc vào phần cứng mà nó đc cài vào hoặc nếu ảo hóa thì cũng phụ thuộc hiệu xuất của nó. Thông thường một công ty không có nhiều kinh phí thì sẽ cài phần mềm firewall trên 1 máy tính hay sẻver nào đó và dĩ nhiên sẻver này không chỉ cài đặt duy nhất dịch vụ firewall nên yếu tố chia sẽ tài nguyên cũng làm chất lượng xử lý giảm xuống.
Đối với firewall chuyênn dụng hay firewall cứng, có đôi chút vượt trội hơn do nhiệm vụ chỉ làm firewall và phần cứng cũng ở mức khá.
Mô hình nào cũng vậy, firewall sẽ là thiết bị đứng mũi chịu sào, nên có chết thì firewall sẽ chết trước, trong TH firewall chạy tốt (mô hình load balance firewall) thì sẽ giúp cấu hình chỉ bao nhiêu kết nối vào đến server bên trong ( tùy thuộc vào độ tải của server, có load balance hay ko,...)
Đối với các trang lớn sở dĩ ít khi nào chết vì có nhiều nguyên nhân, do đường truyền cực tốt, server siêu mạnh, chạy load balance nhiều con, đặt nhiều server ở các vị trí khác nhau... VD: tại sao bạn vào google nhưng đc redirect sang google.com.vn, vì giúp truy xuất nhanh và giảm tải cho máy chủ google.com. Các cuộc tấn công ddos này không đủ mạnh để có thể khiến các trang lớn chết, nếu tập hợp đủ anh tài thì trang nào cũng có thể chết nhé bạn.
Đó là sơ lược thôi, còn nói sâu thì tốn rất nhiều tg để nói về cái này, nếu bạn đang cần 1 giải pháp tốt, phù hợp chi phí thì hiện nay có nhiều hãng firewall cứng ở việt nam chi phí rất cạnh tranh. Bạn có thể tham khảo các dòng WatchGuard Firewall cho phân khúc vừa và nhỏ, còn phân khúc cực lớn thì có Cisco, Checkpoint... nhưng giá ko rẻ chút nào nhé.