Giải pháp nào cho ADSL DoS?
Có khá nhiều bạn đề nghị tôi đưa ra giải pháp cho vấn đề tấn công DoS trên dịch vụ ADSL. Thiệt ra tôi cũng đã nghĩ đến chuyện đề xuất giải pháp nhưng do tôi chưa từng xây dựng một hệ thống tương tự nên tôi không dám phát biểu lung tung. Đa số các PPPoE server hiện tại đều là router mà tôi lại không biết các router thường được sử dụng để làm PPPoE Server là gì và chúng có những chức năng nào nên tôi không thể đưa ra một giải pháp trọn vẹn.
Theo tôi được biết, hiện tại dịch vụ ADSL của FPT có triển khai biện pháp xác thực người sử dụng bằng địa chỉ MAC (ngoài username và password ra). Tôi không rõ là họ sẽ xác thực khi đã ở giai đoạn PPP session hay xác thực ngay từ lúc ở giai đoạn Discovery. Tìm thử trên Internet, tôi thấy một bài ở VnInformatics bàn về vấn đề xác thực bằng địa chỉ MAC của FPT:
Tôi bị mắc ở chỗ kết nối PPPoE, luôn nhận được thông báo là access denied. Hỏi bên FPT thì mới biết, họ đặt chế độ bảo mật chỉ cho phép 1 MAC cố định kết nối. Khi setup cho bạn, cái MAC ấy chính là của con modem ADSL và đc thiết lập trước. Bây giờ bạn chuyển sang PC, sẽ có card mạng khác và MAC cũng khác, cho nên phải gọi cho họ để họ cho phép kết nối bằng MAC mới. Đây là điểm cần lưu ý, bạn đã kết nối PPPoE bằng PC (hoặc card mạng nào) thì luôn phải kết nối bằng PC đó, nếu đổi card mạng hoặc thậm chí đổi ADSL Modem (trong trường hợp dùng nó như 1 router), thì phải báo cho FPT để họ set lại cho ta. Bên VDC dễ tính hơn và bạn có thể kết nối bằng bất cứ card mạng nào, thậm chí có thể tạo 2 kết nối PPPoE cùng 1 lúc (và bạn có 2 IP thật).
Theo như mô tả của anh MyQuartz, tôi có thể suy ra rằng FPT cũng chỉ xác thực địa chỉ MAC khi phiên kết nối đã ở vào giai đoạn PPP session. Nếu quả thật là như vậy thì người sử dụng dịch vụ ADSL của FPT cũng không an toàn trước cách tấn công DoS mà tôi đưa ra, đơn giản vì frame PADT mà tôi gửi đi nằm ở giai đoạn Discovery. Thậm chí không cần đăng nhập vào mạng ADSL, tôi vẫn có thể gửi frame này đến router của ISP. Thế nên nếu muốn tấn công một ai đó, tôi chỉ cần ra một dịch vụ Internet sử dụng cùng một ISP với họ là có thể tấn công họ được rồi. Nay mai tôi sẽ kiểm tra thực tế dịch vụ của FPT, MegaVNN và Vietel xem sao.
-Thái.