- PV: Ông đánh giá như thế nào về một loạt báo điện tử bị tấn công DDoS trong thời gian gần đây? So với vụ báo điện tử Vietnamnet bị tấn công DDoS hơn 1 tháng liền năm 2011 thì như thế nào?

>> Ông NGUYỄN MINH ĐỨC: Hiện nay Bkav vẫn đang theo dõi và thấy rằng so với tuần trước thì cường độ cũng như quy mô các đợt tấn công đã giảm đi rõ rệt. Tuy nhiên, cần phải có thông tin hoặc sự hợp tác từ những những đơn vị bị tấn công, chúng tôi mới có thể kết luận chính xác được. Theo tôi được biết, những tờ báo điện tử bị tấn công DDoS vừa qua đều chưa công bố chính thức các con số liên quan cũng như mời cơ quan chức năng hợp tác điều tra. Vì thế, chưa có số liệu cụ thể để so sánh. Tuy nhiên qua theo dõi của Bkav, số lượng máy tính được huy động và quy mô tấn công DDoS đợt vừa rồi tương đương như vụ tấn công Vietnamnet năm 2011. Nhưng do việc tấn công phân tán nhiều hướng khác nhau, nên không có tờ báo điện tử nào bị thiệt hại lớn như Vietnamnet năm đó.

- Làm sao để có thể nhận biết một cuộc tấn công DDoS đang hướng vào một trang mạng nào đó, thưa ông?

Đặc điểm dễ thấy nhất của tấn công DDoS là không thể truy cập vào website trong một khoảng thời gian nhất định mà không rõ nguyên nhân. Tuy nhiên, để chắc chắn, người quản trị của website có thể kiểm tra trên hệ thống log của máy chủ, tường lửa... nhằm phát hiện các dấu hiệu bất thường. Qua đó, chúng ta mới có thể khẳng định chắc chắn website của mình có bị tấn công DDoS hay không, tấn công với quy mô như thế nào, cách thức ra sao... DDoS là kiểu tấn công làm “ngập lụt” băng thông, tạo ra các kết nối ảo từ hệ thống máy tính đã bị nhiễm virus được điều khiển từ xa (mạng bootnet) khiến website bị “sập” không thể truy cập được. Trong trường hợp này, đơn vị bị tấn công cần liên hệ với các doanh nghiệp cung cấp dịch vụ Internet để tăng băng thông.

- Theo ông, những trang mạng nào dễ bị tấn công nhất?

DDoS là một kiểu tấn công mạng đã có từ lâu, nhưng rất khó để đối phó. Theo thống kê của Bkav, ở Việt Nam mỗi tuần có 1-2 cuộc tấn công DDoS và thường nhắm vào các website có nhiều người truy cập, như báo điện tử, trang thương mại điện tử, các website chính phủ. Tuy nhiên, không phải người quản trị website, hệ thống nào cũng phát hiện ra trang web của mình đang bị tấn công DDoS. Trên thực tế, bất cứ trang mạng nào cũng có thể bị tấn công DDoS, vấn đề là quy mô cuộc tấn công đó như thế nào sẽ dẫn đến hậu quả tương ứng. Một trong số những nguyên nhân khiến máy tính ở Việt Nam dễ trở thành các máy tính “ma” của mạng bootnet là do thói quen không cài phần mềm diệt virus trên máy tính, nhất là ở các máy tính công cộng và việc tải những phần mềm ứng dụng từ những website không đáng tin cậy.

- Có cách nào để phòng chống được các cuộc tấn công DDoS không, thưa ông?

Việc phòng chống phải phụ thuộc vào quy mô, cường độ của cuộc tấn công cũng như hạ tầng của đơn vị đang bị tấn công. Bởi vì, bản chất của tấn công DDoS là hacker sẽ huy động càng nhiều máy tính tham gia càng tốt để cùng truy cập vào một website. Nếu hạ tầng đơn vị bị tấn công yếu do ít được đầu tư thì khả năng chống đỡ sẽ kém hơn những hạ tầng mạnh và được đầu tư tốt. Do đó, chúng ta phải tăng cường thêm số lượng cũng như cấu hình máy chủ để giúp cân bằng tải, mở thêm băng thông, nhờ đó việc truy cập các website sẽ nhanh hơn khi bị tấn công DDoS. Các thiết bị khác như tường lửa đóng vai trò quan trọng trong việc xử lý tấn công DDoS vì nó sẽ giúp phân biệt được nguồn tấn công và những truy cập thông thường nhằm giảm thiểu hậu quả các cuộc tấn công DDoS. Tuy nhiên đó là việc phòng chống “thụ động”. Chúng ta phải có các biện pháp chủ động phòng chống DDoS thông qua sự phối hợp với các cơ quan điều phối như tại Việt Nam là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) hay các nhà cung cấp dịch vụ Internet, an ninh mạng để tìm ra được nguồn gốc của mạng bootnet. Thông qua đó, sẽ tìm được các máy chủ điều khiển ra lệnh tấn công. Tiếp đó, các đơn vị liên quan sẽ chặn được địa chỉ IP của các máy chủ này, khống chế khiến mạng bootnet không cho tiếp tục kết nối, nhận lệnh tấn công được. Bên cạnh đó, các nhà cung cấp phần mềm diệt virus sẽ cập nhật các mẫu virus nhận diện xuống các máy tính và tiêu diệt được mạng bootnet. Cách này tuy hiệu quả nhưng mất nhiều thời gian thực hiện.

- Như vậy, xét về bản chất các vụ tấn công DDoS đều không thể ngăn chặn triệt để được và chúng ta chỉ có thể phòng chống và hạn chế thiệt hại thôi, thưa ông?

Cơ bản là như vậy. Việc phòng chống mang tính “thụ động” cũng rất khó bởi liên quan tới sự đầu tư hạ tầng. Không phải đơn vị nào cũng có điều kiện đầu tư hạ tầng phục vụ 1.000 khách hàng, nhưng sẵn sàng đủ mạnh để đương đầu vài cuộc tấn công DDoS mỗi năm với quy mô tương đương “phục vụ” 100.000 hay là hàng triệu khách hàng một lúc. Đó là một sự lãng phí rất lớn mà không thể chấm dứt được các cuộc tấn công kiểu này. Theo tôi, các cơ quan chức năng nên nghiên cứu đầu tư xây dựng một trung tâm phòng chống DDoS mang tính quốc gia đủ mạnh về cả băng thông, tường lửa, hạ tầng, máy chủ... Khi có các cuộc công DDoS diễn ra, trung tâm này sẽ mở băng thông, hạ tầng để xử lý vụ việc trên quy mô rộng, giảm thiểu những rủi ro và thiệt hại. Một trung tâm như vậy, nếu khi có chiến tranh mạng diễn ra cũng sẽ xử lý được các tình huống cần thiết rất hiệu quả.

TRẦN LƯU/SGGP