Tìm hiểu về Bot & Botnet (Phần 1)
1. Lời nói đầu
Internet ngày càng phát triển, cùng với nó các mạng botnet được sinh ra một cách bí mật và tiềm ẩn những nguy cơ lớn đối với an ninh mạng. Số lượng và kích cỡ botnet ngày càng tăng. Người ta đã tìm thấy và gỡ bỏ nhiều botnet trên Internet. Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5 triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút. Ở Việt Nam điển hình là vụ tấn công từ chối dịch vụ Flash-DDoS bằng botnet vào trang thương mại Việt Cơ (2006) và gần đây nhất là vụ tấn công DDoS hàng loạt các site như5giay.vn, nhatnghe.vn,bkav.com.vn (của BKIS – Trung tâm an ninh mạng ĐHBKHN) ( tháng 09/2008 ) bằngbotnet với số lượng máy bị kiểm soát lên đến hàng ngàn. Người tađã khởi động các hoạt động hợptác quốc tế lớn nhằm dập tắt các botnet. Vậy botnet là gì ? Botnet hình thành và hoạt động như thếnào? Các nguy cơ của botnet ? Bài viết này tôi sẽ đề cập đến IRC botnet và trả lời các câu hỏi trên.
2. DoS và DDoS
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một các không xác định.Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đâp ứng giao thông hợp pháp, hoặc dáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Tấn công từ chối dịch vụ đựoc lưu ý sự vi phạm chính sách sử dụng đúng internet của IAB(Internet Architecture Board). Chúng cũng cấu thành sự vi phạm luật dân sự.
Phương pháp DoS truyền thống sử dụng một máy tính đơn gửi một số lượng lớn các yêu cầu (flooding requests) đến máy tính đơn khác. Mô hình DDoS sử dụngnhiều máy tính tấn công một mục tiêu đơn nhất. DDoS sử dụngmạng botnet để tấn công, về mặtlý thuyết khi mạng botnet này đủ lớn thì mục tiêu không thể chốngđỡ nổi hơn nữa phương pháp này tạo ra các truy nhập hợp lệ khiến việc xác định nơi phát động tấn công là một khó khăn rất lớn.
3. Internet Relay Chat (IRC)
IRC được sáng tạo ra bởi Jarkko Oikarinen (bí danh "WiZ") vào khoảng cuối tháng 8 năm 1988 để thay thế một chương trình có tên là MUT (MultiUser Talk) trên một kênh BBS gọi là OuluBox tại Phần Lan. Ông tìm được cảm hứng cho dự án của mình từ hệ thống Bitnet Relay Chat của mạngBitnet.
IRC được nhiều người chú ý đến từ khi nó được dùng sau tấm màn sắt (Iron Curtain) để viết phóng sự trực tuyến về sự sụp đổ của Liên Bang Xô Viết trong khi tất cả các phương tiện truyềnthông khác không hoạt động được. Thời gian gần đây, nó cũng được dùng một cách tươngtự để viết phóng sự trong trận chiến giữa Kuwait và Iraq.
IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh. IRC là một dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính là chophép các nhóm người trong một phòng thảo luận (channel) liên lạc với nhau. Tuy nhiên, nó cũng cho phép hai người dùng liên lạcriêng nếu họ thích.
Hiện nay IRC là mạng trò chuyện trực tuyến lớn, có vài triệu kênh trên máy phục vụ trên khắp thế giới. Giao thức viễn thông này cũ hơn IM; IRC từng là hoàn toàn đựa vào nhập thô ASCII. Tuy nhiên, hiện thời có mốt số ứng dụng đồ họa làm cho dễ sử dụngIRC hơn, gần bằng dùng IM.
Hình 01. Mô hình mạng IRC
Ngoài chát, IRC còn dùng để chia sẻ tập tin và tư liệu theo hình thức mạng ngang hàng.
Có nhiều ứng dụng khách IRC cho người dùng trên bất kỳ hệ điều hành. Một ứng dụng phổ biến là XChat. XChat là phần mềm tự do trên Linux/BSD, mặc dù phiên bản trên Windows là phần mềm dùng thử (30 ngày), cũng đã dịch sang tiếng Việt.
Conversation là một thí dụ của ứng dụng khách IRC mới, dễ dùng, đựa vào đồ họa. Không cần học hiểu lại cách sử dụng lệnh IRC.
Các ứng dụng khách Jabber cũngcó khả năng trò chuyện qua IRC, nhưng chưa có truyền tải hữu hiệu.
Chương trình thông dụng khác để truy cập vào các máy chủ IRC là KVIrc và mIRC. mIRC là một phần mềm chia sẻ (shareware) dành cho người sử dụng IRC trênWindows (không hoạt động trên các hệ điều hành khác như Linux,Mac OS, PalmOS, Epoc, Atari's...), được sáng tạo, phát triển và đăng kí bản quyền bởi Khaled Mardam-Bey