paulsteigel
Nhi bất hoặc!
- Tham gia
- 25/8/08
- Bài viết
- 306
- Được thích
- 684
- Giới tính
- Nam
- Nghề nghiệp
- Governance & Public policy consultant
Tôi hay vào diễn đàn vào buổi sáng và thấy khá nhiều các tin rác. Tất nhiên, gọi là nhiều nhưng cũng không nhiều, vì diễn đàn có hàng chục ngàn bài viết, chủ đề khác nhau, hàng trăm ngàn thành viên thì 1 vài bài là con số nhỏ.
Tuy nhiên, có một điểm về kỹ thuật tôi thấy còn có kẽ hở. Hiện tại, Vbulettin là một ứng dụng khá nổi tiếng và thông dụng đối với dân làm diễn đàn nên cũng có nhiều kẻ tấn công.
Có 2 dạng tấn công phổ biến đó là:
1. Tấn công DOS để giết chết máy chủ - thường được áp dụng nếu người ta muốn máy chủ quá tải mà chết bằng cách gửi rất nhiều truy vấn cùng lúc tới máy chủ (thỉnh thoảng trang GPE cũng bị dính loại này làm cho trang trở nên khó truy cập). Để chống lại cái này thì không dễ và đòi hỏi nhiều yếu tố trong đó vấn đề kỹ thuật và hạ tầng mạng được đặt lên hàng đầu. Máy chủ phải khoẻ, tốc độ đường truyền phải mạnh, cơ chế lọc bỏ truy vấn tấn công phải khoẻ. Nhiều trang tin lớn họ dùng 2 cơ chế xem xét truy vấn (bên ngoài cơ chế tường lửa không tính đến): (1) Phần mềm xử lý truy vấn khai thác tối đa tính năng cho phép phản hồi nhiều truy vấn có nội dung cũ (Cache) - ví dụ công cụ NGINX (Engine X) tại lớp ngoài và (2) Apache ở lớp trong để trả về các truy vấn có nội dung mới.
Tất nhiên họ sẽ để database ở một nơi khác để tăng hiệu suất xử lý của máy chủ.
Với GPE thì việc điều chỉnh này chắc chưa thể làm được nhưng cũng có thể nghiên cứu đưa vào cơ chế xử lý truy vấn 2 cấp và Database (MYSQL) vẫn để ở máy chủ cũng có thể cải thiện được phần nào về tốc độ truy cập.
2. Tấn công làm xáo trộn nội dung bài viết: Cái này hiện tại đang khá phổ biến để vừa quảng cáo được vừa làm diễn đàn mất dần uy tín nhờ việc gửi hàng loạt bài viết có nội dung không phù hợp hoặc không có nội dung. Đa phần các bài viết dạng này do các phần mềm tự động (thường gọi là BOT) gửi. Phần mềm loại này có thể tự động đăng ký thành viên, tự động gửi bài.
Nếu không có cơ chế kiểm soát, diễn đàn có thể bị ngập lụt bài viết và thành viên trong chốc lát (có lần tôi mới tập tọng, chỉ trong 1 ngày đã có thêm gần 200 K thành viên mới và bài viết - sau đó tôi phải xoá diễn đàn và làm lại).
Để chống dạng spam này, Cơ chế Capcha và xác thực qua thư điện tử đang được sử dụng khá phổ biến và là công cụ tốt để ngăn chặn: (1) Việc đăng ký tự động, và gửi bài tự động.
Nhiều diễn đàn áp dụng CAPCH cả khi đăng tin, bài nữa.
(CAPCHA là việc bắt người đăng ký, thành viên phải trả lời câu hỏi trước khi hoàn tất 1 nhiệm vụ thông qua đọc các gợi ý hoặc hình ảnh để xác nhận rằng giao dịch đăng ký đó không phải là do một phần mềm thực hiện).
+ Tuy nhiên, việc áp dụng CAPCHA hiện đang bị vô hiệu do một đội ngũ các công ty chuyên thực hiện các nghiệp vụ Spam. Họ trả tiền cho các thành viên tham gia ví dụ cứ 0,7 Đô/1 giải pháp vô hiệu CAPCHA (gọi là giải pháp nhưng đơn giản là trả lời cho hình ảnh/ câu hỏi xác thực); vì thế, khá nhiều mẫu CAPCHA đã bị vô hiệu.
+ Giải pháp xác thực qua Email thì có thể bị qua mặt khá dễ dàng do yêu cầu đơn giản chỉ là bắt người dùng nhấn vào nút xác thực hoặc gửi mã xác thực. Vì thế việc áp dụng cơ chế email xác thực chỉ ngăn chặn bớt chứ không hết được nguy cơ SPAM khi đăng ký.
+ Qua được 2 bước này, các tài khoản BOT bắt đầu tác oai tác quái bằng cách gửi bài vô tội vạ. Nhiều diễn đàn bắt đầu áp dụng cơ chế yêu cầu trả lời câu hỏi khi đăng bài nữa. Điều này cũng giảm bớt thêm được số lượng bài rác.
Với GPE, tôi đoán trong CSDL của diễn đàn chắc chắn có nhiều thành viên BOT (ảo) vì cơ chế đăng ký xác thực câu hỏi "hơi dễ" - Tất nhiên điều này có thể khắc phục đơn giản bằng cơ chế xoá tài khoản sau 1 ngày nếu không nhận được thư xác thực.
Tuy nhiên, phần kiểm soát đăng bài thì chưa có công cụ ngăn chặn nên vẫn có một vài bài lọt lưới.
Vì vậy, tôi có một vài đề nghị BQT thế này xem có hợp lý không nhé:
1. Cải tiến cơ chế của phần mềm máy chủ để nâng cao hiệu quả đáp ứng truy vấn;
2. Bổ sung thêm 1 lớp CAPCHA dạng hình ảnh nữa vào cơ chế đăng ký và sửa các câu hỏi CAPCHA kèm theo bộ plugin của module CAPCHA cũ (dạng 1 + 1 bằng mấy) bằng cách thay số bằng chữ hoặc kết hợp (một cộng 1 bằng 2 có đúng?)
3. Nên bổ sung cơ chế CAPCHA đơn giản khi đăng tải bài viết.
4. Quản lý tài khoản đăng ký chặt chẽ hơn: tỷ như (1) Các tài khoản đăng ký trong vòng 1 ngày, nếu không có xác thực thì bị xoá ngay; (2) Các tài khoản sau xx ngày chỉ có 1 bài viết đầu tiên ngay sau khi đăng ký thì xoá (nghiên cứu cơ chế của BOT để đoán quy luật).
Hy vọng, những giải pháp này sẽ giúp ích phần nào cho diễn đàn.
Trân trọng
Tuy nhiên, có một điểm về kỹ thuật tôi thấy còn có kẽ hở. Hiện tại, Vbulettin là một ứng dụng khá nổi tiếng và thông dụng đối với dân làm diễn đàn nên cũng có nhiều kẻ tấn công.
Có 2 dạng tấn công phổ biến đó là:
1. Tấn công DOS để giết chết máy chủ - thường được áp dụng nếu người ta muốn máy chủ quá tải mà chết bằng cách gửi rất nhiều truy vấn cùng lúc tới máy chủ (thỉnh thoảng trang GPE cũng bị dính loại này làm cho trang trở nên khó truy cập). Để chống lại cái này thì không dễ và đòi hỏi nhiều yếu tố trong đó vấn đề kỹ thuật và hạ tầng mạng được đặt lên hàng đầu. Máy chủ phải khoẻ, tốc độ đường truyền phải mạnh, cơ chế lọc bỏ truy vấn tấn công phải khoẻ. Nhiều trang tin lớn họ dùng 2 cơ chế xem xét truy vấn (bên ngoài cơ chế tường lửa không tính đến): (1) Phần mềm xử lý truy vấn khai thác tối đa tính năng cho phép phản hồi nhiều truy vấn có nội dung cũ (Cache) - ví dụ công cụ NGINX (Engine X) tại lớp ngoài và (2) Apache ở lớp trong để trả về các truy vấn có nội dung mới.
Tất nhiên họ sẽ để database ở một nơi khác để tăng hiệu suất xử lý của máy chủ.
Với GPE thì việc điều chỉnh này chắc chưa thể làm được nhưng cũng có thể nghiên cứu đưa vào cơ chế xử lý truy vấn 2 cấp và Database (MYSQL) vẫn để ở máy chủ cũng có thể cải thiện được phần nào về tốc độ truy cập.
2. Tấn công làm xáo trộn nội dung bài viết: Cái này hiện tại đang khá phổ biến để vừa quảng cáo được vừa làm diễn đàn mất dần uy tín nhờ việc gửi hàng loạt bài viết có nội dung không phù hợp hoặc không có nội dung. Đa phần các bài viết dạng này do các phần mềm tự động (thường gọi là BOT) gửi. Phần mềm loại này có thể tự động đăng ký thành viên, tự động gửi bài.
Nếu không có cơ chế kiểm soát, diễn đàn có thể bị ngập lụt bài viết và thành viên trong chốc lát (có lần tôi mới tập tọng, chỉ trong 1 ngày đã có thêm gần 200 K thành viên mới và bài viết - sau đó tôi phải xoá diễn đàn và làm lại).
Để chống dạng spam này, Cơ chế Capcha và xác thực qua thư điện tử đang được sử dụng khá phổ biến và là công cụ tốt để ngăn chặn: (1) Việc đăng ký tự động, và gửi bài tự động.
Nhiều diễn đàn áp dụng CAPCH cả khi đăng tin, bài nữa.
(CAPCHA là việc bắt người đăng ký, thành viên phải trả lời câu hỏi trước khi hoàn tất 1 nhiệm vụ thông qua đọc các gợi ý hoặc hình ảnh để xác nhận rằng giao dịch đăng ký đó không phải là do một phần mềm thực hiện).
+ Tuy nhiên, việc áp dụng CAPCHA hiện đang bị vô hiệu do một đội ngũ các công ty chuyên thực hiện các nghiệp vụ Spam. Họ trả tiền cho các thành viên tham gia ví dụ cứ 0,7 Đô/1 giải pháp vô hiệu CAPCHA (gọi là giải pháp nhưng đơn giản là trả lời cho hình ảnh/ câu hỏi xác thực); vì thế, khá nhiều mẫu CAPCHA đã bị vô hiệu.
+ Giải pháp xác thực qua Email thì có thể bị qua mặt khá dễ dàng do yêu cầu đơn giản chỉ là bắt người dùng nhấn vào nút xác thực hoặc gửi mã xác thực. Vì thế việc áp dụng cơ chế email xác thực chỉ ngăn chặn bớt chứ không hết được nguy cơ SPAM khi đăng ký.
+ Qua được 2 bước này, các tài khoản BOT bắt đầu tác oai tác quái bằng cách gửi bài vô tội vạ. Nhiều diễn đàn bắt đầu áp dụng cơ chế yêu cầu trả lời câu hỏi khi đăng bài nữa. Điều này cũng giảm bớt thêm được số lượng bài rác.
Với GPE, tôi đoán trong CSDL của diễn đàn chắc chắn có nhiều thành viên BOT (ảo) vì cơ chế đăng ký xác thực câu hỏi "hơi dễ" - Tất nhiên điều này có thể khắc phục đơn giản bằng cơ chế xoá tài khoản sau 1 ngày nếu không nhận được thư xác thực.
Tuy nhiên, phần kiểm soát đăng bài thì chưa có công cụ ngăn chặn nên vẫn có một vài bài lọt lưới.
Vì vậy, tôi có một vài đề nghị BQT thế này xem có hợp lý không nhé:
1. Cải tiến cơ chế của phần mềm máy chủ để nâng cao hiệu quả đáp ứng truy vấn;
2. Bổ sung thêm 1 lớp CAPCHA dạng hình ảnh nữa vào cơ chế đăng ký và sửa các câu hỏi CAPCHA kèm theo bộ plugin của module CAPCHA cũ (dạng 1 + 1 bằng mấy) bằng cách thay số bằng chữ hoặc kết hợp (một cộng 1 bằng 2 có đúng?)
3. Nên bổ sung cơ chế CAPCHA đơn giản khi đăng tải bài viết.
4. Quản lý tài khoản đăng ký chặt chẽ hơn: tỷ như (1) Các tài khoản đăng ký trong vòng 1 ngày, nếu không có xác thực thì bị xoá ngay; (2) Các tài khoản sau xx ngày chỉ có 1 bài viết đầu tiên ngay sau khi đăng ký thì xoá (nghiên cứu cơ chế của BOT để đoán quy luật).
Hy vọng, những giải pháp này sẽ giúp ích phần nào cho diễn đàn.
Trân trọng
