Anh Lâm Viên,
trước đây khoảng 3-4 năm trên net xuất hiện một dạng virus sau khi xâm nhập vào được máy thì nó modify file host trong system và gắn vào đó một ip khác ip chính của domain được DNS setup, kết quả làm cho người bị nhiềm không bao giờ vào được trang web
nguyên tắc hoạt dộng của windows trình bày một cách đơn giản như sau:
khi ta chọn đi vào website có tên miền thí dụ là: google.com
máy sẽ tìm trong trang host (C:\windows\system32\drives\etc\) của system xem có nói gì không, mặc định của system là không có gì hết nên sau đó máy sẽ chạy lên net và hỏi DNS xem cái tên google.com hiện đang được ở IP nào, sau khi nhận được là ip nào (thí dụ là ip=74.125.73.106) thì máy chạy tới ip 74.125.73.106 và nói rằng tui muốn tìm web tên google.com vậy là ta vào được website google.com
khi máy bị nhiễm thì trong file host sẽ có mệnh lệnh như sau
google.com 12.25.35.42 (là cái ip giả định hay là site hacker)
như vậy khi ta yêu cầu đến google.com máy sẽ tự động chạy tới 12.25.35.42 thay vì dúng ra phải chạy tới 74.125.73.106
Để giải quyết vấn nạn này trong windows 7 file host mặc định không cho chỉnh sửa
Gần đây khoảng 2-3 năm loại virus mới ra đời là thay vì chỉnh sửa trang host trong system nay đã bị windows khóa lại thì virus chỉnh sửa phần proxy trong trình duyệt (browser), nguyên tắc hoạt động cũng tương tự như trên vì proxy của browser bị thay đổi kết quả ta đi tới nơi bậy bạ.
Trong khoảng thời gian rất gần đây hiện ra một loại mới còn đang tìm hiểu cách trị. Loại này làm nguy hiểm hơn là hoàn toàn không nằm trên system của người dùng mà nằm trên thượng tầng, NET nó nằm đâu đó rồi điều khiển cho tên miền đi bậy bạ
thí dụ hiện nay tên miền: phorum.vietbao.com dúng ra phải tới ip: 67.52.176.150 thì hiện nay đang được điều khiển trên thượng tầng cho tới ip: 67.228.81.181
như vậy người muốn vào sẽ không vào được do DNS hướng dẫn sai.
Loại mới này xem ra rất khó trị vì trên máy server host web không bị nhiễm, DNS chính control domain không bị nhiễm, máy người dùng có vẻ như cũng không bị nhiễm, nhưng chưa hiểu vì sao trên đường đi truy lùng DNS thay vì trả về IP 67.52.176.150 thì người xem được trả về IP 67.228.81.181 kết quà là không vào được website
Khi gặp tình trạng này thì system không bị DDoS trực tiếp mà trên đường hướng dẫn tới system có vấn đề
Trong trường hợp này dùng các tên miền phụ khác nhau sẽ giải quyết được vấn đề
Trường hợp này là DDoS trên thượng tầng tức nó chưa tới được System với lối tấn công rất mới này thì hiện nay hầu như là ngoài tầm kiểm soát của các nhà mạng bên dưới, nó thuộc quyền kiểm soát của các nhà mạng bên trên vì thực tế sự rối loạn đường dẫn xảy ra đâu đó bên ngoài system của các system router, firewall, dns, webhost....
Loại DDoS mới này còn đang trong vòng nghiên cứu mới của các nhà bảo vệ mạng..... khi bị dạng tấn công này thi ta ping (ping phorum.vietbao.com sẽ thấy nó dẫn tới một ip nào đó (67.228.81.181) thay vì ip đúng của phorum.vietbao.com phải là 67.52.176.150, chuyện này đang bị flip, flop ping pong nên khi ta ping thấy là ip đúng, khi ping thấy ip sai
Khi bị loại tấn công này thì biện pháp dùng nhiều tên miền phụ để vào trang web là biện pháp duy nhất trong tình hình hiện nay.
Biện pháp thứ hai chỉ dùng cho người hiểu biết về computer thì vào C:\windows\system32\drives\etc\ và edit file host
gắn vào file host các dòng sau đây
67.52.176.150 phovui.vietbao.com
67.52.176.150 phorum.vietbao.com
67.52.176.150 forum.vietbao.com
67.52.176.150 forums.vietbao.com
67.52.176.150 diendan.vietbao.com
thì khi vào sẽ được nhanh và không bị lộn đường.
chuyện này đôi khi có vấn đề vì khi system bị DDoS trực tiếp thì lúc này đường vào diễn đàn sẽ được điều phối trên 5 ip khác nhau và có thể thay đổi để trap attacker
VNVN hiện đang có trên dưới 16 ngàn IP thuộc rất nhiều class C khác nhau nên khi bị tấn công các ip sẽ được điều phối trên rất nhiều đường truyền khác nhau nên nếu có edit file host thì phải ping, nslookup để kiểm tra lại xem tên miền đang được setup trên ip nào?
Mục Đồng