Thứ Hai, 3 tháng 1, 2011

Cuộc chiến chống DDOS của DCVOnline

An “unconventional” war of other kinds
Tina Torok - Trà Mi lược dịch

Chính phủ Việt Nam, cũng như những chế độ độc tài khác trên thế giới, sẽ không bao giờ ngưng bóp nghẹt tự do ngôn luận.

Điều không thể nào chối cãi, bên kia, dường như một đoàn quân tin tặc chuyên nghiệp làm việc cho chính phủ độc tài Việt Nam – những người nhất định bóp nghẹt tiếng nói không cùng chính kiến. Bên này, một cậu bé vũ trang bằng iPhone, thỉnh thoảng có thêm cái MacBook, đang len lỏi qua những ngõ ngách phức tạp trên internet.

Thiếu niên ấy là Christopher Tran, 13 tuổi, đã đến góp tay đưa DCVOnline qua khỏi những đợt tấn công “từ chối dịch vụ” dồn dập và kịck liệt nhất của tin tặc Việt Nam.

Đợt tấn công đầu tiên vào trang DCVOnline xẩy ra vào ngày 18 tháng 12, 2010. Chỉ vài phút sau toà soạn nhận được từ nơi cung cấp dịch vụ thông báo phải khoá cổng trang nhà. DCVOnline phải tạm thời offline. Dữ liệu ở máy chủ cho biết nhóm tin tặc đã huy động 8.000 IP (8.000 máy tính) khắp nơi trên thế giới, trong đó có 4.900 IP tại Việt Nam.

Hôm sau, 19 tháng 12, theo yêu cầu của DCVOnline – nghĩ rằng cuộc tấn công của đã xong – công ty cung cấp dịch vụ đưa tờ báo online trở lại. Chỉ sau vào phút, toà soạn DCVOnline nhận được một thông báo khác, “các bạn phải đưa trang báo đi nơi khác”.

Trong vài ngày sau đó, DCVOnline trở thành tờ báo di cư. Ba trại tạm cư, một ở Anh Quốc (England), một tại Đức (Germany), và một ngay tại Hoa Kỳ. Cả ba đều quảng cáo là nơi cung cấp dịch vụ internet có khả năng nảo vệ khách hàng không bị các cuộc tấn công DDoS.

Tuy nhiên, những cuộc tấn công vào DCVOnline quá dữ dội và lớn ngoài sức chịu đựng, tất cả hệ thống mạng và máy chủ của ba công ty cấp dịch vụ chống DDoS vưa kể đều đã sụp đổ.

Dữ liệu từ máy chủ ở England ghi lại hơn 34 triệu lần truy cập vào DCVOnline trong một ngày. Cuộc tấn công trong hai ngày đó đã dùng mất 100 Gigabit, 1/5 số lượng băng thông (bandwidth) mỗi tháng của DCVOnline. Công ty cung cấp dịch vụ đã phải tạm thời đưa DCVOnline vào địa chỉ không có trên mạng internet, nghĩa là DCVOnline phải tạm trú trong “vùng tối” của vũ trụ. Lần này DCVOnline không bị “đuổi nhà” nhưng trang báo kể như đã chết.

Toà soạn DCVOnline ghi thông báo cáo lỗi với bạn đọc trên trang blog Google và cùng ngồi lại vẽ những bước đi sắp tới.

Dọn nhà đến một máy chủ khác không còn là một chọn lựa có thể dùng được nữa. Ba trại tạm cư sau cùng đã chứng minh đó là giải pháp chỉ làm mất thời gian. Dọn vào một máy chủ của riêng mình với khả năng chống chọi với DDoS là một lựa chọn có thể làm được nhưng lại đưa DCVOnline một thử thách khác. Đó là cái khó khăn ở mặt tài chính. Vài trăm đô-la phải chi dùng hàng tháng (cho máy chủ) là cả một gia tài cho những trang báo cổ-suý-tự-do-ngôn-luận-ngân-sách-tiểu-ly như tờ DCVOnline.

Với một máy chủ có khả năng chống DDoS, “chúng ta chỉ có đủ tiền chi trả vài tháng thôi,” người phụ trách tài chánh cho hay. “Thế thì cứ trả tiền vài tháng; sau đó mình sẽ về lại chung cư,” người trưởng toán tuyên bố. Cuộc thảo luận tiếp tục; sau cùng chúng tôi tạm đưa DCVOnline về một nơi an toàn trước khi quyết định bỏ tiền chi cho máy chủ chống DDoS.

Khi vẫn đang ở gian đoạn chuẩn bị cho bước sắp đi thì Christopher xuất hiện. Chú bé thường đến nhà chơi với những đứa cháu trai và gái của tôi từ khi mới 4, 5 tuổi. Ai cũng biết Chris thích làm việc với máy tính, theo lời Ba của Chris, “thường thức khuya” ngồi trước computer. Oscar, cháu tôi, cách đây một hay hai năm gì đó đã nói rằng Chris đã tự làm website và để trên máy chủ của mình. “Đúng rồi Cô, Chris có một máy chủ để ở Florida,” Oscar nói. Câu chuyện ngừng ở đó và tôi băn khoăn tự hỏi tại sao một chú bé 12 tuổi ở miền Trung Tây Hoa Kỳ lại để máy chủ của minh nằm tại Florida, không biết rằng có ngày mình sẽ phải tìm đến cái máy chủ này.

Sau Thánh lễ đêm Giáng sinh, đứng ở sau nhà thờ của xứ đạo của chúng tôi, tay cầm iPhone, Chris đang chuẩn bị dọn DCVOnline về máy chủ của mình ở miền Nam nước Mỹ.

Nhưng đây vẫn chỉ là đáp án tạm thời vì cuộc tấn công vẫn diễn ra tới tấp. Vài ngày sau đó Chris đã cùng làm việc với chúng tôi để thiết kế và thực hiện một kế hoạch tương đối khá tinh vi để chống trả lại cuộc tấn công khổng lồ và giữ trang DCVOnline online.

DCVOnline được đưa vào trong “Mây”, hay nói một cách văn vẻ thì “DCVOnline Lên Mây”.


Đứng sau những người khổng lồ

Trước nhất, chúng tôi đưa tên miền www.dcvonline.net đến một trang trên Google Blog. Tất cả mọi người tìm đọc (hay tìm đánh) DCVOnline sẽ được đưa đến Google – với cơ sở hạ tầng có khả năng chống đỡ tất cả những cuộc tấn công DDoS, bất kỳ ở mức độ nào. Dữ liệu của chúng tôi cho biết có 14 triệu pageviews (lần xem 1 trang) trong vòng 2 ngày.

Từ trang Google Blog, bạn đọc (người thực thay vì máy tính) được mời đến một trang xác minh đặt ở máy chủ trên Tầng Mây Amazon (Amazon Cloud) rồi sau đó vào đến trang DCVOnline cũng ở trên Mây.

(Đến đây người dịch chợt nhớ đến câu chuyện thời chiến tranh năm nào. Ngày đó giới tuyên truyền của nhà nước Việt Nam Dân Chủ Công hoà thường kể chuyện phi công Phạm Tuân, nay là Trung tướng, lái Mig-21, tắt máy núp trên mây đợi máy bay B-52 [Mây đen] của Mỹ tới bắn. Lịch sử oái oăm! Ngày nay DCVOnline, một loài chim Việt, bay vào Mây của Mỹ để tránh đạn của các đồng chí của Trung tướng Phạm Tuân. Tuy nhiên, Lên Mây lần này là chuyện có thật không phải là tuyên truyền huyễn hoặc. – TM).


Tấn công theo kế hoạch
Nguồn: DCVOnline
Chỉ nửa tiếng sau khi DCVOnline đã “lên Mây”, nhóm tin tặc cũng đã phải đổi chiến thuật để tiếp tục tấn công. Lần này tin tặc đã ra lệnh cho botnets ở Việt Nam bỏ cổng tên miền đặt ở trang Google Blog và đánh thẳng vào DCVOnline đang đặt ở tầng Mây Amazon. Mặt khác, theo dữ liệu của Google cung cấp, tất cả những người máy (botnet) mà tin tặc có ở Mỹ và nhiều nơi khác trên thế giới vẫn đang tiếp tục tấn công vào “mặt trận” Google Blog với cường độ 500,000 pageviews mỗi ngày.

Một lần nữa, điều này cho thấy tin tặc Việt Nam quyết tâm đánh sập DCVOnline. Tin tặc đã phải viết lại chương trình chỉ để tấn công vào một cổng http à chúng tôi vừa cài đặt 15 phút trước đó. Ai ở Việt Nam, nếu không phải là chính quyền hiện tại, có quyền lực và vật lực điều động hàng ngàn máy tính để mở cuộc tấn công DDoS mới chỉ trong vòng vài phút?

Chúng tôi đi thêm một bước xa hơn chút nữa; Chris viết một loạt mệnh lệnh (script) cho thay đổi số cổng http, không theo một thứ tự nào, khi có dấu hiệu tin tặc đang bắt đầu đợt phá hoại mới.

Chúng tôi cũng tạo ra nhiều sub-domain (miền phụ) với địa chỉ IP khác nhau để di chuyển trang chính ngay khi tin tặc đã tìm được IP hiện sử dụng. Cuộc chiến này không khác với trò mèo đuổi chuột; và chúng tôi tin rằng DCVOnline có thể đổi địa chỉ IP và cổng http nhanh hơn nhóm tin tặc có thể viết lại chương trình và ra lệnh cho người máy tiếp tục đánh phá vào DCVOnline, ngay cả khi tin tặc đang làm chủ hàng ngàn máy tính cùng một lúc như hiện nay.


Bài học thu gặt được

Đứng sau những người khổng lồ như Google Blog và Amazon Cloud trong cuộc chiến này không phải là sáng kiến của chúng tôi. Đây là sáng kiến của Ethan Zukerman và các đồng nghiệp của ông đã đề xuất qua bản báo cáo nghiên cứu về chủ đề những cuộc tấn công vào các trang báo cổ suý Nhân quyền và Dân chủ. Bản báo cáo này đã phổ biến ngày 22 tháng 12, 2010. (“Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites”, Ethan Zuckerman, Hal Roberts, Ryan McGrady, Jillian York, John Palfrey. The Berkman Center for Internet & Society at Harvard University, December 2010).

Mở cuộc tấn công DDoS, về mặt kỹ thuật, là chuyện đơn giản nhưng bảo vệ một trang web chống đỡ lại DDoS attack là một thử thách lớn, đặc biệt đối với những trang báo có ngân sách hoạt động rất giới hạn. Những trang báo cổ suý dân chủ nhân quyền thường thuộc vào web loại vừa kể.

Giặc tấn công, dù có người và của ở mức khổng lồ do đàn anh như chính quyền Việt Nam hiện nay cung cấp cũng không thể đánh đổ hạ tầng cơ sở mạng của Google hay Amazon. Như thế, đưa tờ báo vào tầng Mây Amazon còn cho phép chúng tôi có quyền sở hữu nhiều máy chủ riêng cho DCVOnline với một số chi phí rất ít so với phí tổn phải chi cho một máy chủ riêng – loại thông thường.

Hai tuần trước đây chúng tôi vẫn còn trong thảo luận nên hay không dùng hết nguồn tài lực để giữ DCVOnline được “sống” thêm vài tháng. Hôm nay, chúng tôi đã có vài máy chủ có khả năng như thế đặt ở Amazon Cloud và vẫn còn chút đỉnh để phòng khi trái gió trở trời.

Trên thực tế, và nhờ vào loạt tấn công 2010-2011 này, DCVOnline hôm nay đã có cả cánh đồng web đặt trên tầng Mây Amazon. Nếu tin tặc đánh sập một máy chủ, chúng tôi sẽ đưa máy chủ khác vào hoạt động trong giây khắc (hay nhanh như tốc độ của ngón tay của Chris có thể di chuyển trên mặt iPhone).


Cuộc chiến vẫn còn


Chính phủ Việt Nam, cũng như những chế độ độc tài khác trên thế giới, sẽ không bao giờ ngưng bóp nghẹt tự do ngôn luận. Đợt tất công DDoS khổng lồ vào DCVOnline, bắt đầu từ 18 tháng 12, đã tiếp tục qua suốt cuối tuần lễ Giáng sinh và Năm mới. Cuộc tấn công đó sẽ còn tiếp tục kéo dài nhiều ngày, nhiều tuần và nhiều tháng sắp tới nữa. Cuộc đấu tranh giành quyền tự do được nói, được viết, được phê bình, để lên tiếng trên mạng lưới toàn cầu hôm nay còn có cả quyền được hoạt động trên mạng (online). Kỹ thuật và công nghệ thông tin, dù đã cho kẻ địch tự do mở hàng loạt các cuộc tấn công vào chúng ta, vẫn đang ở cùng phía với lẽ phải.

Nếu một thiếu niên 13 tuổi, chỉ với một iPhone trong tay, có thể đẩy lùi những đợt tấn công mãnh liệt của một đoàn quân tin tặc với hàng ngàn máy tính khắp nơi trên thế giới, thì chúng ta vẫn còn lý do để tin rằng tự do ngôn luận trên mạng lưới toàn cầu, cuối cùng, sẽ chiến thắng.



Vũ khí chống DDoS
Nguồn: DCVOnline
Một thế hệ người Mỹ gốc Việt Nam khác ở Hoa Kỳ đã nhập cuộc đấu tranh. Chris có thể không đọc được những bài viết đăng ở DCVOnline, nhưng khái niệm làm những gì trong tầm tay để giữ trên mạng một trang báo mà cha mẹ của Chris thích đọc đã quá đủ để thúc đẩy em làm việc suốt những ngày nghỉ mùa đông khi chúng bạn đang thảnh thơi không phải bận tâm đến bài vở.

Trong lúc này, DCVOnline đang trở lại hoạt động, và chúng tôi cũng đang chuẩn bị cho mặt trận sắp tới.


Chicago, ngày đầu năm 2011


© DCVOnline



Source: (1) “Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites”, Ethan Zuckerman, Hal Roberts, Ryan McGrady, Jillian York, John Palfrey. The Berkman Center for Internet & Society at Harvard University, December 2010

 -------
 
An “unconventional” war of other kinds
Tina Torok - Trà Mi lược dịch



On one side, there is an army, or so as it appears, of professional hackers employed by the authoritarian government of Vietnam, whose determination to silence the voice of opposing ideas on the Internet is undeniable. On the other, there is a little kid armed with just an iPhone, and sometimes with a small MacBook, maneuvering the intricacy of the Internet communication.

His name is Christopher Tran, 13 year-old, who came to rescue of DCVOnline amid the relentless DDoS attack organized by hackers from Vietnam.

The first wave of DDoS was launched on the 18th of December. Within minutes, we received a notice from our hosting that our account was suspended. DCVOnline was offline. The log file showed the attackers had mobilized more than 8000 IP addresses all over the world, 4900 of those IP addresses are registered to Vietnam.

The next day, the 19th, upon our request, thinking that the attack had stopped, the hosting company agreed to reactivate our account and DCVOnline was online again, but it only lasted for few minutes. Another notice came to our mailbox; “you must move the web site elsewhere”.

For the next few days, DCVOnline was on the move. The next three stops: one in England, one in Germany, and one right here in the States - all advertised to be a DDoS protected host, were proved to be short-live. The attack was so massive that within minutes, the internal network and servers at these companies were brought to their knees. One log file from the host in England showed 34 million hits in a single day. One fifth of the 500 Gigabit a month of our allocated bandwidth was consumed in two days. DCVOnline was redirected by the hosting into a “black-hole”, a no-where IP address. This time, we were not asked to move but the site was practically dead. We posted an announcement, apologizing to our readers, on our Google blog and contemplated on another move.

Moving to another shared host was no longer an option. The last three had just proven to be a total waste of time, plus a monthly hosting fee. A dedicated server seemed to be our only option. But dedicated servers, with DDoS protection, would pose a different kind of challenge to us in term of cost. Few hundreds of dollars a month is a fortune to a tiny-budget-all-for-free-speech site like DCVOnline. With a DDoS-protected dedicated server, “we only have enough money to cover for few months”, the “finance” guy announced. “Then just have it for few months and move back to shared hosts”, the lead guy declared. After a long debate back and forth, we decided to temporarily move the site somewhere safe before committing all the money we have for a dedicated server.


Hackers tấn công vào trang blog của Google
Nguồn: DCVOnline
While we were pondering our next move, Chris showed up. He comes to my house and plays with my nieces and nephews since he was 4 or 5. Everyone knows Chris loves to work with computer and, by his father’s words, “often stays up late at night” in front of the computer. My nephew Oscar told me a year or two ago that Chris had built him a website on his own server. “Yeah, Aunt, Chris has a server in Florida”, little Oscar said. The conversation stopped at that and I was puzzled by the idea why a 12 year old kid in the Mid West would have a server of his own somewhere in Florida, not knowing that someday I would come asking for that server.

So, standing in the back of our church after the Christmas Mass, with an iPhone in his hand, Chris was making preparation to move DCVOnline to his server. But this was also a temporary solution as the attack continued unabated. In the next few days, Chris was working with us in designing and implementing a rather sophisticated scheme to counter this immense DDoS attack and keep the web site online. DCVOnline was moving to the Cloud, or as it is said poetically in Vietnamese: Lên Mây!


Hide behind the giants


DCVOnline Lên Mây
Nguồn: DCVOnline
First, we pointed our domain www.dcvonline.net to the DCVOnline page on Google Blog. All traffic aiming at the domain would stop at Google, whose infrastructure would sustain any type of DDoS attack. Our Google Stats shows 14 million pageviews in two days. From this page, human visitors would then proceed to a verification page on a server in the Amazon Cloud, then to main servers, also in the Amazon Cloud.

Within half an hour of the change, the attackers had also changed their scheme. They reprogrammed their botnets in Vietnam to by-pass the domain page on Google Blog and directly attack DCVOnline’s main site in the Amazon Cloud. (Their botnets in the US, and elsewhere, still attack our domain site, pointing to a Google Blog page, at a rate of more than 500000 pageviews a day, according to Google Stats). One more time, this indicates that the hackers were determined to bring us down. They even reprogrammed their thousands of botnets to attack a specific http port that we had just changed 15 minutes before. Who in Vietnam, if not the government, has the power and resources to mobilize thousands of computers to launch a DDoS attack, and been able to reprogram these botnets for a new attack in the matter of minutes?

We took a step further; Chris wrote a small script to randomly change to http port as soon as it detected signs of a new attack. We also created different sub-domains with different IP addresses and changed the main site to these sub-domains as soon as their IP addresses got resolved. It became a cat-n-mouse game; we bet on the fact that we can change the site’s http port and IP address faster than the attackers can reprogram and redistribute their botnets; even they own or do have access to thousands of these attacking computers at will.


Lessons learned

Hiding behind the giants, Google Blog and the Amazon Cloud in this case, is not our idea. This is the idea that Ethan Zuckerman and his colleagues have recommended in their research paper (1), regarding DDoS attack on human rights and democracy web sites, released on the December 22th, 2010. Launching a DDoS is technically simple but protecting a web site against it is a big challenge, especially for sites that operate on a small budget. Sites that promote human rights and democracy are often of this type.

Attackers, even with the tremendous resources available to them from sponsors such as the government of Vietnam in this case, cannot bring down Google or Amazon network infrastructure. Moving the site to the Amazon Cloud also gives us the advantage of owing, in our case, multiple dedicated servers at a fraction of the cost of owing conventional dedicated servers elsewhere. Two weeks ago, we still debated whether or not to spend all the money we have on a dedicated server just to survive for few months. We now have more than a few such servers on the Amazon Cloud and still have some money reserved for the rainy days ahead. At the matter of fact, and thanks to the attack, we now have a whole web farm on the Amazon Cloud. If the attacker takes down one server, we would have the others in place in the matter of seconds (or as fast as Chris can move his fingers across his iPhone).


The war rages on

The government of Vietnam, along with the world authoritarian governments, will never relent on their attempt to silence free speech. This massive DDoS attack on DCVOnline, started on the 18th, has continued through Christmas and the New Year weekend. It will continue for the days, weeks, or even months, to come. The fight for the freedom to talk, to write, to comment, to speak on the Internet now includes the fight to stay online. Technology, while it has made it easier for the enemy of freedom to launch attacks against us, is still on our side. If a 13 year-old kid, working from a small iPhone, can fend off a colossal attack from an army of hackers mobilizing thousands of computer all over the world, then we have our reasons to believe that the Internet freedom of speech will, in the end, prevail.

Another generation of the Vietnamese immigrants in the US has joined the fight. Chris may not be able to read what posted on DCVOnline but the idea of doing whatever he can to keep online a web site that his parents love to read is more than enough of a motivation for him to work through the winter break while his friends are enjoying their time off from school.

DCVOnline is up and running, for now, while we are preparing for the next fight ahead.

Tina Torok,

Chicago, the first day of 2011.


Tổng số lượt xem trang