Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công... Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số. 
Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang mạng báo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã phải hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn công từ chối dịch vụ gây ra bởi các tin tặc trong và ngoài nước. Tuy nhiên, công tác đấu tranh phòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập. Lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao là lực lượng chuyên trách trong đấu tranh phòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số nói riêng, trong đó có hành vi tấn công từ chối dịch vụ. Để nâng cao hiệu quả công tác đấu tranh phòng, chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn tấn công từ chối dịch vụ.
 
Tấn công từ chối dịch vụ (hay còn gọi là DoS - Denial of Service) là một trong những thủ đoạn nhằm ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một hệ thống mạng rất lớn. Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ... và làm mất khả năng xử lý các yêu cầu dịch vụ từ các khách hàng khác. Tấn công DoS nói chung không nguy hiểm như các kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm được thông tin dữ liệu của hệ thống. Tuy nhiên, nếu máy chủ tồn tại mà không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại này là không có ý nghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì thiệt hại là vô cùng lớn. Đối với hệ thống máy chủ được bảo mật tốt, khó thâm nhập, việc tấn công từ chối dịch vụ DoS được các hacker sử dụng như là “cú chót” để triệt hạ hệ thống đó.
 
Tất cả các hệ thống máy tính đều chỉ có một giới hạn nhất định nên nó chỉ có thể đáp ứng một yêu cầu dịch vụ giới hạn nào đó mà thôi. Như vậy, hầu hết các máy chủ đều có thể trở thành mục tiêu tấn công của DoS. Tùy cách thức thực hiện mà DoS được biết dưới nhiều tên gọi khác nhau; tuy nhiên, phổ biến, nguy hiểm nhất có thể kể đến một số dạng sau:
- Tấn công từ chối dịch vụ cổ điển DoS:
Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối dịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượng tấn công là hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, thậm chí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này.
-  Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service):
Tấn công từ chối dịch vụ phân tán DDoS, so với tấn công DoS cổ điển, sức mạnh tăng gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạt động hệ thống. Để thực hiện DDoS, kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian được gọi là botnet (đóng vai trò là zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó.
- Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed Reflection Denial of Service):
Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại là kiểu tấn công mới nhất, mạnh nhất trong các kiểu tấn công DoS. Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không một máy khách nào có thể kết nối được vào máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3... đều bị vô hiệu hóa. Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS. Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS. Kẻ tấn công thực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi yêu cầu SYN đến các máy chủ lớn như Yahoo, Microsoft, Google... để các máy chủ này gửi các gói tin SYN/ACK đến máy chủ mục tiêu. Quá trình cứ lặp lại liên tục với nhiều máy chủ lớn tham gia nên máy chủmục tiêu nhanh chóng bị quá tải, băng thông (bandwitch) bị chiếm dụng bởi máy chủ lớn, dẫn đến máy chủ mục tiêu không thể hoạt động bình thường.
 
Trong quá khứ đã từng xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại hàng triệu USD. Theo tờ The New York Times, tổ chức Spamhaus là một tổ chức chịu trách nhiệm duy trì danh sách đen (black list) các máy chủ đang gửi thư spam trên toàn cầu, nhưng vào tháng 7/2013 cũng phải chịu cuộc tấn công từ chối dịch vụ dưới hình thức DDoS với lưu lượng lớn nhất lịch sử Internet. Có thời điểm, lưu lượng đạt đỉnh khoảng 300 Gbps (tương ứng 37 GB/s). Qua điều tra, xác minh, cơ quan chủ quản đã xác định hệ thống máy chủ DNS của Spamhaus đã hứng chịu một lượng khổng lồ các đợt tấn công từ những mạng máy tính ma (botnets) từ các tổ chức tin tặc châu Âu(1). Trong khi đó, tại Việt Nam, tổng lưu lượng Internet của nước ta chỉ khoảng 361 Gbps. Như vậy, trong trường hợp, hệ thống mạng máy tính của Việt Nam bị tấn công với lưu lượng giống như máy chủ DNS của Spamhaus phải hứng chịu, thì mạng lưới Internet của Việt Nam sẽ nhanh chóng bị cô lập với Internet của thế giới. Tại Việt Nam, theo thống kê của Bkav cho thấy, trung bình mỗi tuần có 1 – 2 cuộc tấn công từ chối dịch vụ vào các website phổ biến, trong đó tập trung vào các website thương mại điện tử, website công nghệ, báo điện tử có nhiều người truy cập. Từ năm 2010 đến nay, hầu như năm nào cũng chứng kiến các cuộc tấn công vào nhiều tờ báo điện tử phổ biến như Vietnamnet, Tuoitre, Dantri, Kênh14… dẫn đến tắc nghẽn đường truyền, việc truy cập của người dùng hợp pháp bị gián đoạn. Đặc biệt, theo ghi nhận của Bkav, cuộc tấn công vào Vietnamnet năm 2011 với cường độ 1,5 triệu kết nối tại cùng một thời điểm là cuộc tấn công lớn nhất(2). Trong hai năm 2012-2013, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã ghi nhận: mạng botnet Zeus có 14.075 có địa chỉ IP Việt Nam; mạng botnet Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP Việt Nam. Trong năm 2013, các mạng botnet phục vụ tấn công DDoS vẫn hoạt động rất mạnh mẽ và ngày càng trở nên nguy hiểm, khó kiểm soát. Theo báo cáo của Kaspersky vào tháng 9/2013, tại Việt Nam, mạng Ramnit có 119.439 bot (đứng số 1 thế giới, cùng vị trí với Ấn Độ); mạng StlBot, dclj có 10.651 bot (chiếm 90% mạng này của thế giới)…(3)
 
Hoạt động tấn công từ chối dịch vụ diễn ra phức tạp như vậy, nhưng công tác đấu tranh phòng, chống đối phó với các cuộc tấn công từ chối dịch vụ ở Việt Nam còn nhiều hạn chế, cụ thể như sau:
Thứ nhất, công tác nắm bắt thông tin về các cuộc tấn công từ chối dịch vụ còn muộn. Để thực hiện hành vi tấn công DDoS (một cách thức tấn công phổ biến nhất hiện nay), các đối tượng phải xây dựng một hệ thống mạng máy tính ma(botnet). Chu kỳ sống của một mạng botnet gồm 5 giai đoạn: thụ thai (kiến trúc, thiết kế, xác định cách thức xây dựng mạng botnet); tuyển dụng (lây nhiễm, phát tán mã độc để xây dựng mạng botnet); tương tác (tương tác giữa máy chủ và các máy tính ma trong mạng botnet); tiếp thị (tìm kiếm khách hàng để bán, phục vụ lợi ích kinh tế) và tấn công (thực hiện các cuộc tấn công). Ở Việt Nam hiện nay, hành vi tấn công từ chối dịch vụ thường được phát hiện tại giai đoạn 5 – khi mà đối tượng đã thực hiện hành vi tấn công, gây hậu quả.
 
Thứ hai, công tác đấu tranh phòng, chống các cuộc tấn công này còn mang tính thụ động, thiếu sự hợp tác, cũng như thiếu sự trao đổi thông tin chặt chẽ giữa các bên liên quan, mà cụ thể ở đây bao gồm: lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao; Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT); Nhà cung cấp dịch vụ Internet (ISP); Nhà cung cấp dịch vụ cho thuê máy chủ Hosting server; đối tượng bị tấn công; Trung tâm an ninh mạng BKIS; CMC InfoSec… Theo ông Vũ Quốc Khánh, Giám đốc VNCERT thì ngay cả nạn nhân, ISP cũng tỏ ra chậm chễ trong việc thông báo tình hình, ngăn chặn hậu quả. Nhiều nạn nhân còn không thừa nhận việc website của mình bị tấn công từ chối dịch vụ do nhiều nguyên nhân khác nhau mà chỉ cho rằng lưu lượng tăng đột biến, có thể tự khắc phục. Chính điều này đã làm trì hoãn việc triển khai đồng bộ các giải pháp đấu tranh, ngăn chặn cũng như điều tra, khám phá các đối tượng tin tặc đứng đằng sau các vụ tấn công. Lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao thường phải mất một thời gian tương đối dài mới tiếp nhận cụ thể thông tin liên quan đến tấn công từ chối dịch vụ từ tin báo của nạn nhân, ISP hay VNCERT. Điều này đã đủ thời gian cho các đối tượng tin tặc làm tê liệt hệ thống thông tin, gây thiệt hại đặc biệt nghiêm trọng cho các trang mạng.              
 
Thứ ba, xuất phát từ tính chất, đặc điểm phức tạp của loại hành vi này, mà hoạt động điều tra, xác định nguồn gốc tấn công và đối tượng tin tặc gặp nhiều khó khăn. Ví dụ như trong vụ tấn công các báo điện tử Tuoitre, Dantri… vào khoảng cuối tháng 6 đầu tháng 7/2013, tin tặc đã huy động nhiều máy chủ tại nhiều nước khác nhau để tấn công vào các trang báo mạng Việt Nam. Sau đợt tấn công đầu tiên, tin tặc đã liên tục chuyển hướng từ Đức, Hà Lan đến Ukraina để thực hiện các đợt tấn công tiếp theo. Yếu tố này đã gây rất nhiều khó khăn cho lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao, cũng như các cơ quan chức năng khác trong việc xác định chính xác nguồn gốc tấn công.
 
Thứ tư, chế tài xử lý đối tượng có hành vi tấn công từ chối dịch vụ còn chưa nghiêm khắc. Tin tặc thực hiện hành vi tấn công từ chối dịch vụ có thể bị truy cứu trách nhiệm hình sự theo Điều 225 Bộ luật Hình sự 1999 sửa đổi, bổ sung năm 2009 của nước Cộng hòa xã hội chủ nghĩa Việt Nam “Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số” với mức hình phạt tối đa của khoản 1 là 5 năm. Tuy vậy, trong những năm qua, mặc dù đã phát hiện ra nhiều đối tượng thực hiện hành vi tấn công từ chối dịch vụ đối với các trang mạng, nhưng các vụ vẫn chỉ dừng lại ở biện pháp xử lý hành chính, mà chưa tiến hành xử lý hình sự.
 
Để nâng cao hiệu quả công tác đấu tranh phòng chống, ngăn chặn có hiệu quả hành vi tấn công từ chối dịch vụ trong thời gian tới; lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần tập trung chú ý một số nội dung sau:
 
Thứ nhất, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần góp ý, định hướng cho các doanh nghiệp có liên quan đến công nghệ thông tin, đặc biệt là các doanh nghiệp cho thuê máy chủ, gia cố cơ sở hạ tầng mạng về mặt kỹ thuật, cụ thể:
Chú trọng đầu tư hạ tầng mạng, tăng cường số lượng cũng như cấu hình máy chủ (RAM, ổ cứng, CPU…), phần mềm an ninh. Hành vi tấn công từ chối dịch vụ hoàn toàn có thể phòng, chống được. Tuy nhiên, việc phòng, chống đối với hành vi nguy hiểm này lại phải phụ thuộc vào quy mô, cường độ tấn công và hạ tầng mạng của đơn vị đang bị tấn công. Bởi vì, bản chất của tấn công từ chối dịch vụ là chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ…; dẫn đến mất khả năng phản hồi các yêu cầu hợp pháp từ phía người dùng. Do đó, nếu hạ tầng đơn vị bị tấn công không mạnh, ít được đầu tư thì sẽ giảm khả năng chống đỡ đối với các cuộc tấn công mạng.
 
Bên cạnh đó, cần thường xuyên gia cố các điểm yếu của ứng dụng.  Các điểm yếu trong tầng ứng dụng có thể bị khai thác, gây ra lỗi tràn bộ đệm dẫn đến các dịch vụ bị chấm dứt. Các lỗi này thường được tìm thấy trên các ứng dụng mạng nội bộ của Windows, trên các chương trình Webserver, DNS, SQL database. Do đó, cập nhập bản vá thường xuyên là một trong những yêu cầu quan trọng của hoạt động phòng ngừa đối với hành vi tấn công DoS.
 
Thứ hai, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần phối kết hợp chặt chẽ với các lực lượng khác như VNCERT, các ISP, Trung tâm BKIS, CMC InfoSec…chú trọng hoạt động đấu tranh phòng, chống loại hành vi này bằng các hoạt động cụ thể như:
Tiến hành ngăn chặn việc hình thành mạng botnet (tác động đến giai đoạn 1); dùng các biện pháp kỹ thuật để hạn chế sự lây lan của mạng botnet (tác động đến giai đoạn 2); xây dựng phương án, giải pháp kỹ thuật để theo dõi, phát hiện sớm các mạng botnet mới hình thành (tác động vào giai đoạn 3); ngăn chặn việc mua bán trên thị trường mã độc, các botnet hoạt động tại Việt Nam (tác động vào giai đoạn 4) và chủ động đối phó với các cuộc tấn công (tác động vào giai đoạn 5). Trong đó, cần:Chú trọng công tác phát hiện hành vi tấn công từ chối dịch vụ. Một điểm dễ nhận thấy của các cuộc tấn công DoS là không thể truy cập vào website trong một khoảng thời gian nhất định mà không rõ nguyên nhân. Tuy vậy, để chắc chắn có phải bị tấn công hay không, người quản trị trang web cần kiểm tra trên hệ thống log của máy chủ (server), tường lửa (firewall)… nhằm phát hiện các dấu hiệu bất thường, từ đó chúng ta mới xác định cụ thể có hành vi tấn công DoS xảy ra hay không, quy mô, cách thức như thế nào.
 
Cần phải đảm bảo trao đổi thông tin nhanh chóng giữa các cơ quan, tổ chức, doanh nghiệp có liên quan. Nhiều tổ chức chỉ thông báo đến lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao; VNCERT; Trung tâm BKIS… khi không tự chống đỡ được tấn công mạng. Chính điều này đã làm chậm quá trình ngăn chặn tấn công. Các cơ quan chức năng cần nhanh chóng nắm được thông tin cụ thể liên quan đến cuộc tấn công để triển khai sớm, đồng bộ các hoạt động tìm kiếm các máy chủ điều khiển hay các đối tượng tin tặc đứng đằng sau.
 
Xây dựng các quy trình cụ thể liên quan đến hoạt động đấu tranh chống hành vi tấn công từ chối dịch vụ. Ngay sau khi nhận được tin báo; lực lượng Cảnh sát phòng, chống tội phạm sử dụng cao; VNCERT cần tập trung điều phối các cơ quan, tổ chức liên quan tiến hành các biện pháp khẩn cấp nhằm ngăn chặn, đối phó với cuộc tấn công; thu thập, phân tích tệp tin lưu giữ nhật ký hoạt động (log file) nhằm truy tìm nguồn gốc tấn công, nơi lưu giữ máy chủ điều khiển. Hàng năm, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cùng Bộ Thông tin – truyền thông, Bộ Quốc phòng, Ban cơ yếu Chính phủ, VNCERT và các đơn vị liên quan cần tham gia diễn tập mạng lưới (cấp quốc gia, bộ, ngành, tỉnh, thành phố), có sự phân công, chỉ đạo các nhiệm vụ cụ thể cho từng thành viên tham gia.
 
Thứ ba, lực lượng chức năng cần có chế tài xử lý nghiêm khắc hơn đối với hành vi tấn công từ chối dịch vụ, kể cả xử lý về hành chính và chế tài xử lý về hình sự. Hành vi tấn công từ chối dịch vụ trên thực tế diễn ra với một tần suất tương đối lớn, gây thiệt hại rất nghiêm trọng, thậm chí đặc biệt nghiêm trọng đối với đối tượng bị tấn công, hệ thống mạng. Tuy nhiên, hầu như cơ quan chức năng mới chỉ dừng lại ở mức độ xử lý vi phạm hành chính với số tiền xử phạt không lớn, không đủ sức răn đe các đối tượng.
 
Hành vi tấn công từ chối dịch vụ là một trong những cách thức tấn công mạng rất phổ biến hiện nay, có thể được tiến hành bởi bất cứ đối tượng nào chỉ cần có hiểu biết qua về công nghệ thông tin. Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối tượng này lại chưa được thực sự quan tâm đúng mức. Do vậy, trong nhiều trường hợp, chúng ta bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công. Để đấu tranh có hiệu quả đối với hành vi này, cần có sự phối hợp chặt chẽ giữa các bên liên quan bao gồm: lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao; Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT); Nhà cung cấp dịch vụ Internet (ISP); Nhà cung cấp dịch vụ cho thuê Hosting server; Trung tâm an ninh mạng của các doanh nghiệp như BKIS, CMC InfoSec… triển khai đồng bộ các biện pháp cụ thể nhằm chủ động ngăn chặn hành vi tấn công; điều tra, xử lý một cách nhanh chóng các đối tượng tin tặc.

Nguyễn Văn Trọng - Khoa NVCS PCTP Công nghệ cao