nguồn: vietnix.vn

High Orbit Ion Cannon, hay HOIC, là công cụ mã nguồn mở cho phép đối tượng triển khai tấn công DoS và DDoS bằng cách tận dụng lưu lượng HTTP. Đây còn là một công cụ tấn công mạng được biết đến với khả năng gây ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Điểm đặc biệt của HOIC so với các công cụ tấn công khác là khả năng ẩn danh cao và khả năng điều chỉnh mục tiêu tấn công một cách linh hoạt.

Giới thiệu về High Orbit Ion Cannon

High Orbit Ion Cannon (HOIC) là một công cụ tấn công mạng được thiết kế để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Công cụ này cho phép người dùng khởi tạo một lượng lớn traffic hướng đến một hệ thống mạng nhất định nhằm mục đích làm quá tải hệ thống đó, khiến nó không thể xử lý các yêu cầu hợp lệ từ người dùng thực.

Đây là một phần mềm nguồn mở dễ dàng có sẵn được phát triển bởi nhóm hacktivist Anonymous và là sản phẩm kế thừa của một công cụ DDoS cũ hơn có tên là Low Orbit Ion Cannon (cả hai đều được đặt tên theo vũ khí trò chơi điện tử khoa học viễn tưởng). Trong khi hầu hết các công cụ phần mềm độc hại đều yêu cầu kỹ năng kỹ thuật cao, HOIC cung cấp giao diện đơn giản, thân thiện với người dùng và có thể được bật chỉ bằng một nút bấm.

HOIC được thiết kế để dễ sử dụng, với giao diện đơn giản cho phép người dùng không cần phải có nhiều kiến thức kỹ thuật cũng có thể triển khai cuộc tấn công. Nó có khả năng gửi lượng lớn gói tin HTTP đến các địa chỉ IP mục tiêu cùng một lúc, gây ra quá tải dịch vụ.

Một trong những đặc điểm nổi bật của HOIC là khả năng “boost” (tăng cường) các cuộc tấn công thông qua việc sử dụng các “scripts” được gọi là “boosters”. Các “boosters” này giúp người dùng tùy chỉnh cụ thể cách thức tấn công, cho phép chuyển hướng giao thông mạng một cách hiệu quả hơn và khó bị phát hiện hơn.

Tuy nhiên, việc sử dụng HOIC không chỉ đơn thuần là vấn đề kỹ thuật mà còn liên quan đến các vấn đề pháp lý và đạo đức. Việc sử dụng công cụ này để gây hại cho các hệ thống mạng khác là bất hợp pháp và có thể bị truy tố tại nhiều quốc gia. HOIC thường được liên kết với các nhóm hacktivist như Anonymous, những người sử dụng công cụ này như một phương tiện để đề cập, bày tỏ ý kiến về các vấn đề xã hội và chính trị.

Mặc dù được sử dụng trong nhiều cuộc tấn công độc hại và bất hợp pháp, HOIC vẫn có sẵn một cách hợp pháp vì nó có các ứng dụng như một công cụ kiểm tra hợp pháp cho những người dùng muốn thực hiện “Stress-test” trên mạng của riêng họ.

Cách hoạt động của HOIC

HOIC hoạt động thông qua hình thức tấn công HTTP Flood ở lớp 7 – Application. Chúng gửi lượng lớn các request HTTP GET và POST làm quá tải server mục tiêu, vượt qua khả năng đáp ứng của server.

Trong các cuộc tấn công phức tạp, chuyên sâu, các tập script tuỳ chỉnh được sử dụng để có thể tiếp cận nhiều subdomain khác của domain/website nạn nhân cùng lúc. HOIC có thể nhắm lên đến 256 website cùng lúc và các đối tượng có thể phối hợp các cuộc tấn công đồng thời.

Với phương pháp dạng “Shotgun” này được các đối tượng xấu nhắm mục tiêu vào nhiều site và domain khác nhau cùng lúc, làm cho các phương án ứng phó, phát hiện và giảm thiểu trở nên khó khăn hơn.

Ngoài ra các script booster tích hợp cũng giúp các đối tượng ẩn tránh khó phát hiện hơn. Chúng còn sử dụng thêm proxy Thuỵ Điển để làm giả vị trí thực của chúng (được tin rằng đây là lựa chọn tốt vì luật bảo mật internet nghiêm ngặt ở đây).

Việc phát động một cuộc tấn công chuyên sâu bằng HOIC đòi hỏi phải có sự phối hợp nhất định, vì nó yêu cầu khoảng 50 người dùng khác nhau tiến hành cuộc tấn công vào cùng một mục tiêu cùng một lúc. Anonymous đã chứng minh tính hiệu quả của HOIC vào năm 2012 khi tổ chức này thực hiện thành công các cuộc tấn công nhằm vào một số công ty thu âm lớn, RIAA và thậm chí cả FBI. Đây là một trong những cuộc tấn công DDoS lớn nhất trong lịch sử và ước tính có khoảng 27.000 máy tính sử dụng HOIC cùng lúc.

Cách ngăn chặn tấn công HOIC

Có một số giải pháp để giảm thiểu các cuộc tấn công HTTP Flood thông qua HOIC, có thể kể đến IPRF là biện pháp kiểm tra các IP dựa trên các database về các IP đáng ngờ hoặc bất hợp pháp đã biết, ngăn chặn lưu lượng truy cập của chúng và loại khỏi mạng Internet.

Tiếp theo là WAF (tường lửa ứng dụng web – Web Application Firewall) đặt các rule về rate-limiting sẽ giảm lưu lượng từ các IP thực hiện các request đáng ngờ. Ngoài ra hình thức giải toán hay xác minh hình ảnh, CAPTCHA cũng có thể coi là một biện pháp giảm thiểu mà không gây gián đoạn trải nghiệm người dùng.