Guru's Blog

Download nhạc từ các trang nhạc lớn của Việt Nam

« Local by pass server windows with kshell... | Trang chủ | What Does a System Administrator Do? »

12 Tháng Mười 2008

@ 08:59

Vụ DDoS BKIS nhìn nhận từ góc độ hệ thống

(Được đăng bởi: Phạm Đức Hải)

Một số ngày qua tôi cũng có theo dõi vụ việc site của BKIS là bkav.com.vn vị tấn công DDoS.
Thủ phạm tấn công DDoS một số website VN bị bắt
Phân tích vụ việc tấn công BKAV

Trong bài này tôi không bàn đến cách tấn công hay nội dung tương tự. Qua bài quá trên VnExpress, có số liệu do chính BKIS công bố.

Kết quả điều tra của C15 và BKIS cho thấy kẻ thực hiện cuộc tấn công (cơ quan điều tra chưa tiết lộ danh tính) 
đã huy động bạn bè cài đặt virus tại các cửa hàng game, Internet công cộng. Từ đây, virus được phát tán qua USB. 
Bằng cách này, thủ phạm đã tạo dựng được một mạng botnet 
với khoảng 1.000 máy tính ma và biến nó thành công cụ DDoS.

Một mạng bottet khoảng 1000 zombie không phải là lớn. Dùng mạng này để tấn công DDoS nếu mà không tìm ra điểm DoS tốt thì khó có thể hạn gục mục tiêu. Theo thông tin tôi thấy thì các site bị DDoS trong đợt này đều DoS trực tiếp vào trang chủ của website. Điều này có nghĩa là cùng lắm là có 1000 truy nhập cùng một lúc vào site đó ? 1000 truy nhập một lúc mà đã khiến các site bị hạ gục, không còn khả năng phục vụ, như trang bkav.com.vn chẳng hạn.
Vậy có thể kết luận gì ?
1. Nếu số liệu BKIS đưa ra là đúng (1000 zombie)
- Khả nắng chống đỡ của site BKAV.COM.VN thuộc loại bình thường (nếu không muốn nói là không khác gì một site giới thiệu doanh nghiệp thông thường), không có khả năng chịu tải quá 1000 kết nối đồng thời (có thể hơn một chút vì cùng lúc đó có nhưng truy nhập thật) --> thông tin khá thú vị nhỉ.
Xem ra thì site này BKIS chạy server riêng chứ cũng không dám chạy share host. Chắc cấu hình cũng không đến mức 1PC để không chịu được 1000 kết nối. Thiết nghĩ một hệ thống như site của BKAV nên có những biệt pháp nhằm tăng cường chịu tải như caching hoặc tăng cường máy chủ, tối ưu lại code...
Thông tin thêm trên server này có ít nhất 4 site:
http://bkav.com.vn
http://www.eoffice.com.vn
http://www.bkna.com.vn
http://www.smarthome.com.vn
3 site còn lại gần như không có tải. Hay server này còn phục vụ các dịch vụ khác thì tôi không biết.
2. Khả năng còn lại là BKIS đưa ra số liệu sai ?

« Local by pass server windows with kshell... | Trang chủ | What Does a System Administrator Do? »

12 Tháng Mười 2008 3:56:52 CH (SE Asia Standard Time, UTC+07:00)

Qua vụ này thấy có vài điều khá hài hước:
1. Một số báo đăng tin BKIS bị hack, và BKIS thanh minh rằng đó chỉ là sửa chữa server (Ô. Sơn - Trưởng phòng Virus).
2. VnExpress đăng tin bắt được thủ phạm hack website của BKIS, sau đó khoảng vài tiếng thì đổi tiêu đề rằng "tấn công một số website" chứ không nêu rõ là của BKIS. (PCW VN theo TTO không đính chính lại theo sự điểm tin).
3. Sau đó NTQuảng đính chính rằng lúc đầu thì sửa chữa server, sau thấy bị hack thì mở trận địa đón lõng để tìm thủ phạm.

Nếu như BKIS không đính chính như trên thì học sinh hack DDoS đó đã không bị tội tấn công BKIS, bởi vì chính BKIS đã không nhận mình bị hack.
May là xác định IP từ VN, rồi tìm ra các chủ thuê bao thì mới tìm ra người hack, nếu các botnet ở ngoài nước, tức ngoài khả năng truy cứu thì chắc rằng BKIS đã vẫn là sửa chữa server chứ không phải là "bị hack" (mang tiếng quá nếu bị hack).

Tôi thấy vụ này khá hài hước :)