Các cuộc tấn công mạng DoS và DDoS không còn xa lạ với những người thường dùng công nghệ. Nhưng đối với những người chưa từng gặp phải hoặc mới gặp phải vấn đề này, việc tìm ra giải pháp có thể mất rất nhiều thời gian. Bài viết này sẽ giúp bạn hiểu chi tiết hơn về Dos và DDoS là gì cũng như cách ngăn chặn và giải quyết chúng.
I. Tổng quan về DoS và DDoS
1. DoS là gì?
DoS viết tắt của cụm từ Denial of Service, là một kiểu tấn công từ chối dịch vụ khi đó máy tính của bạn sẽ bị tấn công bởi lưu lượng truy cập từ hệ thống của hacker. DoS là một cuộc tấn công trực tuyến thường nhắm vào một trang web hoặc máy chủ điển hình. Bằng cách làm quá tải tài nguyên hệ thống, tốc độ hệ thống của máy tính sẽ bị chậm lại đáng kể.
Cuộc tấn công này có thể khiến máy tính của bạn ngừng hoạt động hoặc tắt đột ngột. Khi hiện tượng này xảy ra sẽ ảnh hưởng nghiêm trọng đến hệ thống của máy tính và buộc máy tính phải tắt nguồn.
2. DDoS là gì?
DDoS viết tắt của cụm từ Distributed Denial of Service, có nghĩa là từ chối dịch vụ phân tán, máy tính của bạn bị tấn công với lưu lượng truy cập từ nhiều hệ thống khác nhau thông qua nhiều nơi khác nhau.
Trọng tâm của việc này là máy tính hoặc server chắc chắn sẽ bị đánh sập hoặc ngừng hoạt động, gián đoạn dịch vụ. Những kẻ tấn công sau khi có được quyền kiểm soát máy tính sẽ lợi dụng điều đó để gửi các dữ liệu xấu, các yêu cầu đến các thiết bị khác thông qua trang web hoặc địa chỉ email.
3. Phân biệt DoS và DDoS
Sự khác biệt giữa các cuộc tấn công DoS và DDoS là rất đáng kể. Trong một cuộc tấn công DoS, thủ phạm sử dụng một kết nối Internet duy nhất để khai thác lỗ hổng phần mềm hoặc gây ra hiện tượng Flooding (ngập lụt) đối với mục tiêu bằng các yêu cầu giả – thường là nhằm làm cạn kiệt tài nguyên của máy chủ (ví dụ: RAM và CPU).
Mặt khác, các cuộc tấn công DDoS sẽ gây hại đến nhiều thiết bị được kết nối chung với nhau trên cùng một kết nối Internet. Đa người dùng, đa thiết bị thường khó bị chệch hướng hơn, chủ yếu bởi do khối lượng thiết bị liên quan rất lớn. Không giống như DoS chỉ tấn công vào một nguồn, các cuộc tấn công DDoS có xu hướng nhắm mục tiêu vào cơ sở hạ tầng mạng nhằm cố gắng bão hòa nó với lưu lượng truy cập khổng lồ.
Các cuộc tấn công DDoS cũng khác nhau về cách thức thực hiện của chúng. Nói một cách tổng thể, DoS được thực hiện bằng cách sử dụng các tập lệnh homebrewed hoặc công cụ DoS (ví dụ: Low Orbit Ion Canon), trong khi các cuộc tấn công DDoS được khởi động từ botnet – một cụm lớn các thiết bị kết nối (ví dụ: điện thoại di động, PC hoặc bộ định tuyến) bị nhiễm phần mềm độc hại cho phép kẻ tấn công có thể điều khiển được từ xa.
Sắm ngay phụ kiện sale sâu – Giá chỉ từ 20k
II. Các hình thức tấn công từ chối dịch vụ DDoS phổ biến hiện nay
1. SYN Flood
SYN Flood là một hình thức tấn công DDoS phổ biến, chúng sẽ khai thác một điểm yếu được tìm thấy trong trình kết nối TCP ( Quá trình bắt tay ba bước). Không giống như các kiểu tấn công DDoS khác, SYN Flood không có ý định sử dụng hết bộ nhớ của máy chủ mà chỉ muốn làm cạn kiệt nguồn dự trữ của các kết nối mở được kết nối với một cổng với các địa chỉ IP đơn lẻ, giả mạo.
Một cuộc tấn công SYN Flood, đôi khi được gọi là một cuộc tấn công “nửa mở”, vì kiểu tấn công này có ý định gửi một loạt các thông điệp SYN ngắn vào các cổng, để lại các kết nối không an toàn, giữ chúng luôn mở và khả dụng, điều này thường sẽ dẫn đến sự cố máy chủ hoàn toàn.
SYN Flood xảy ra khi lớp TCP bị bão hòa, những kẻ tấn công sẽ gửi nhiều yêu cầu SYN nhưng không trả lời phản hồi SYN-ACK của máy chủ hoặc sẽ gửi yêu cầu SYN từ địa chỉ IP giả mạo ngăn cản việc hoàn thành quá trình bắt tay ba chiều TCP giữa máy khách và máy chủ trên mọi cổng.
Số lượng lớn các kết nối TCP đang mở dẫn đến tiêu tốn tài nguyên của máy chủ để ngăn chặn về cơ bản lưu lượng truy cập hợp pháp, khiến máy chủ không thể mở các kết nối hợp pháp mới và máy chủ khó hoặc không thể hoạt động chính xác đối với những người dùng được ủy quyền đã được kết nối.
Việc này làm cho hệ thống máy chủ tiếp tục chờ đợi xác nhận cho từng yêu cầu, ràng buộc các nguồn tài nguyên cho đến khi không có kết nối mới nào có thể được thực hiện, và cuối cùng dẫn đến cuộc tấn công DDoS.
2. UDP Flood
UDP Flood, theo định nghĩa, là cuộc tấn công DDoS gây ra hiện tượng Flooding với mục tiêu là các gói Giao thức dữ liệu người dùng (UDP). Mục tiêu của cuộc tấn công là làm ngập ngẫu nhiên các cổng trên một máy chủ từ xa.
Điều này khiến máy chủ liên tục kiểm tra ứng dụng đang lắng nghe tại cổng đó, và khi không thấy ứng dụng, máy chủ sẽ trả lời bằng gói ICMP Destination Unreachable. Quá trình này làm tiêu hao tài nguyên của máy chủ, cuối cùng có thể dẫn đến không thể truy cập được.
3. HTTP Flood
Trong một cuộc tấn công của HTTP Flood, kẻ tấn công sẽ khai thác các yêu cầu HTTP GET hoặc POST hợp pháp để có thể dễ dàng tấn công máy chủ web hoặc ứng dụng. HTTP Flood không sử dụng các gói tin, kỹ thuật giả mạo hay dùng các phản hồi không đúng định dạng. HTTP Flood yêu cầu ít băng thông hơn các cuộc tấn công khác, cuộc tấn công diễn ra hiệu quả nhất khi nó buộc máy chủ hoặc ứng dụng phân bổ tài nguyên tối đa để có thể đáp ứng mọi yêu cầu đơn lẻ được gửi đến.
4. Ping of Death
Khi Ping of Death (“POD”) xảy ra, kẻ tấn công sẽ gửi nhiều lệnh ping không đúng định dạng hoặc quá lớn đến máy tính gây ra sự mất ổn định, máy tính hoặc dịch vụ được nhắm mục tiêu bị đóng băng, ngưng hoạt động.
Độ dài gói tối đa của gói IP (bao gồm cả tiêu đề) là 65.535 byte. Khi Ping of Death được thực hiện, một gói IP lớn sẽ được chia thành nhiều gói IP và máy chủ người nhận sẽ tập hợp lại các mảnh IP đó thành gói hoàn chỉnh.
Sau khi máy thu thập được tất cả các mảnh IP, người nhận kết thúc với một gói IP lớn hơn 65.535 byte. Điều này có thể làm tràn bộ đệm bộ nhớ được cấp phát cho gói, gây ra từ chối dịch vụ cho các gói hợp pháp.
5. Smurf Attack
Smurf Attack là một loại tấn công DDoS, nó được gọi như vậy bởi có vài nét tương tự như Ping Flood khi mục tiêu tràn ngập các yêu cầu ICMP echo nhưng khác ở chỗ, Smurf Attack do phần mềm độc hại đầu tiên cho phép các cuộc tấn công này xảy ra. Trong khi Ping Flood, không cần phần mềm độc hại để thực hiện cuộc tấn công.
Smurf Attack tận dụng các lỗ hổng tìm cách đánh sập toàn bộ mạng ngoại tuyến với mục tiêu làm cho máy tính ngưng hoạt động. Các lỗ hổng cụ thể được đề cập tồn tại trong IP và ICMP. Phần mềm độc hại của Smurf sẽ tạo thành một gói ICMP độc hại. Gói tin được đính kèm với một địa chỉ IP giả, hay còn được cộng đồng An toàn Thông tin (InfoSec) gọi là “spoofing”.
Các gói giả mạo thực sự nhắm mục tiêu địa chỉ IP tĩnh của máy/ mạng của nạn nhân. Kẻ tấn công sẽ bắt đầu gửi các gói ICMP giả mạo chứa đầy phần mềm độc hại đến mạng phát sóng IP. ICMP giả mạo chứa một yêu cầu ping, một yêu cầu yêu cầu phản hồi từ các nút mạng, sau đó gửi yêu cầu đến tất cả các máy chủ mạng.
Điều giúp cuộc tấn công của Smurf phát triển là số lượng máy chủ trên mạng, càng nhiều máy chủ, thì càng có nhiều phản hồi làm ngập địa chỉ IP mục tiêu. Địa chỉ IP mục tiêu liên tục nhận được các yêu cầu vì các gói ICMP giả được tạo ra. Cuối cùng, các yêu cầu làm quá tải thiết bị mục tiêu và làm cho nó không thể hoạt động vì không có lưu lượng truy cập nào có thể vượt qua ngoài lưu lượng tấn công Smurf.
6. Fraggle Attack
Fraggle Attack là một cuộc tấn công từ chối dịch vụ (DoS) liên quan đến việc gửi một lượng lớn lưu lượng UDP giả mạo đến mạng phát sóng của bộ định tuyến. Fraggle Attack gần giống với Smurf Attack, tuy cùng một mục tiêu nhưng Smurf Attack lại thường sử dụng lưu lượng ICMP giả mạo hơn là dùng lưu lượng UDP. Do đó các bộ định tuyến (kể từ năm 1999) không còn chuyển tiếp các gói được hướng đến địa chỉ phát sóng của chúng, hầu hết các hệ thống mạng hiện tại đã miễn nhiễm với các cuộc tấn công Fraggle (và Smurf).
7. Slowloris
Slowloris là một cuộc tấn công có mục tiêu cao, cho phép một máy chủ web tấn công một cách dễ dàng một máy chủ khác mà không ảnh hưởng đến các dịch vụ hoặc cổng khác trên mạng mục tiêu. Slowloris được thực hiện bằng cách tạo kết nối đến máy chủ mục tiêu, liên tục gửi nhiều HTTP header hơn, nhưng không bao giờ hoàn thành yêu cầu và giữ càng nhiều kết nối đến máy chủ web mục tiêu mở càng lâu càng tốt.
Máy chủ được nhắm mục tiêu sẽ giữ cho mỗi kết nối sai này luôn mở. Điều này cuối cùng làm tràn nhóm kết nối đồng thời dẫn đến việc từ chối các kết nối bổ sung từ các máy khách hợp pháp.
8. NTP Amplification
Trong các cuộc tấn công NTP, thủ phạm sẽ khai thác các máy chủ NTP có thể truy cập công khai để tấn công một cách triệt để máy chủ mục tiêu với lưu lượng UDP. Cuộc tấn công được gọi là một cuộc tấn công khuếch đại vì tỷ lệ truy vấn trên phản hồi trong các tình huống như vậy có thể xảy ra bất cứ lúc nào trong khoảng từ 1:20 đến 1:200 trở lên.
Điều này có nghĩa là bất kỳ kẻ tấn công nào có được danh sách các máy chủ NTP mở (ví dụ: dùng công cụ như Metasploit hoặc dữ liệu từ Open NTP Project) đều có thể dễ dàng tạo ra một cuộc tấn công DDoS cực kì lớn.
9. HTTP GET
HTTP GET là một trong những phương pháp HTTP phổ biến nhất, được sử dụng để yêu cầu dữ liệu từ một máy chủ mục tiêu. Vì các yêu cầu HTTP-GET có các định dạng hợp pháp và được gửi qua các kết nối TCP bình thường, hệ thống phát hiện xâm nhập (IDS) không thể phát hiện ra chúng.
Trong một cuộc tấn công HTTP GET, kẻ tấn công thông qua mạng botnet truy cập vào một số lượng lớn các trang trên website có chứa nội dung tĩnh đặc biệt lớn như hình ảnh, tập tin hoặc một số phương tiện khác. Các tệp này sau đó sẽ được gửi mỗi lần bởi máy chủ của website, điều này sẽ làm xảy ra quá tải theo thời gian. Kết quả là máy tính không thể phản hồi được các yêu cầu hợp pháp và trang web hoặc ứng dụng cũng không thể truy cập được.
10. Advanced persistent Dos (APDos)
APDoS là một số lượng lớn các vectơ tấn công được kết hợp thành một chiến dịch duy nhất và do đó đại diện cho một số xu hướng và thuộc tính an ninh mạng được thấy trên thị trường hiện nay.
Khi một cuộc tấn công APDoS diễn ra, mục tiêu sẽ nhận được hàng chục triệu yêu cầu mỗi giây. Chúng không chỉ nhắm vào “điểm mù” của tổ chức mà còn bao gồm các nhà cung cấp dịch vụ bằng cách tăng số lượng vectơ tấn công được khởi chạy song song nhắm mục tiêu vào các lớp khác nhau của mạng và trung tâm dữ liệu.
Những kẻ tấn công sử dụng các thủ thuật, tính năng sao chép hành vi của người dùng khi sử dụng plugin dựa trên trình duyệt, hay dùng các công cụ sao chép. Cuộc tấn công sẽ diễn ra bao gồm chạy JavaScript, tải xuống hình ảnh và các nội dung được tham chiếu. Thay đổi địa chỉ IP nguồn cho phép những kẻ tấn công dễ dàng tránh được các hệ thống phát hiện dựa trên IP.
Các kiểu tấn công APDoS này ngày càng xuất hiện nhiều. Chỉ đơn giản là khó phát hiện ra một trong các vectơ đang tấn công máy chủ, điều này có thể dẫn đến thành công của kẻ xấu, nếu không kịp ngăn chặn có thể dẫn đến kết quả, phạm vi của cuộc tấn công nhanh chóng khuếch đại và lan rộng.
III. Cách nhận biết cuộc tấn công DDoS
Phần khó nhất của một cuộc tấn công DDoS là không có cảnh báo. Một số nhóm hacker lớn sẽ gửi các đe dọa, nhưng phần lớn những kẻ tấn công sẽ gửi lệnh tấn công mà không có bất kì cảnh báo nào cả.
Ban đầu, bạn có thể không nghĩ đó là một cuộc tấn công DDoS mà thay vào đó cho rằng máy tính của bạn chỉ đang gặp những vấn đề cơ bản. Dù đã tiến hành kiểm tra máy tính và thực hiện các cuộc kiểm tra cơ bản, nhưng bạn sẽ chỉ thấy một lượng lớn lưu lượng truy cập mạng với tài nguyên đã được sử dụng tối đa.
Thông thường các server của website đang gặp phải một cuộc tấn công DDoS sẽ có những dấu hiệu như khi mặc dù mạng Internet đang ổn định và truy cập các website khác vẫn diễn ra bình thường nhưng mạng của bạn hoặc mạng của hệ thống bị chậm một cách bất thường bị truy cập vào website đó.
Bạn có thể kiểm tra xem email của bản thân có đang phải nhận được nhiều thư rác hay không. Việc không thể truy cập vào một mục của website hay không thể truy cập vào nhiều website cũng là dấu hiệu của một cuộc tấn công DDoS.
IV. Cách phòng chống cuộc tấn công DDoS
Sử dụng dịch vụ hosting cao cấp
Việc sử dụng các nguồn hosting cao cấp sẽ giúp máy chủ của bạn có thể kịp thời ngăn chặn các cuộc tấn công DDoS bởi khi đó nhà cung cấp hosting sẽ cung cấp các server lưu trữ, cấu hình hoạt động cao cấp hơn từ đó độ bảo mật sẽ được cải thiện đáng kể.
Theo dõi lưu lượng truy cập
Khi các tổ chức biết một cuộc tấn công DDoS đang diễn ra, họ có thể thực hiện nhiều hành động khác nhau để bảo vệ cơ sở hạ tầng của mình. Khi cuộc tấn công xảy ra đầu tiên họ sẽ ngăn các gói dữ liệu độc hại tiếp cận máy chủ bằng cách “định tuyến rỗng”, việc này sẽ làm giảm và chuyển hướng các yêu cầu Flooding dưới sự chỉ đạo của mạng botnet.
Trong một số trường hợp, tất cả lưu lượng truy cập được chuyển hướng đến một “bộ lọc” để sắp xếp các yêu cầu hợp pháp từ những yêu cầu độc hại một cách kỹ lưỡng hơn. Tuy nhiên, nhiều biện pháp an ninh mạng phụ thuộc vào băng thông có thể bị choáng ngợp bởi các cuộc tấn công quy mô lớn.
Định tuyến hố đen
Trong trường hợp bị tấn công, cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến một tuyến rỗng hoặc hố đen và đều sẽ bị loại bỏ khỏi mạng. Nếu một sản phẩm Internet đang gặp phải cuộc tấn công DDoS, thì nhà cung cấp dịch vụ Internet (ISP) của sản phẩm đó có thể đưa tất cả lưu lượng truy cập của trang web vào một lỗ đen như là tuyến phòng thủ đầu tiên của nó.
Tấn công DDoS trong đó lưu lượng mạng được chuyển vào một “lỗ đen” và bị mất. Khi thực hiện lọc lỗ đen mà không có tiêu chí hạn chế cụ thể, cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến một tuyến rỗng hoặc lỗ đen và bị loại khỏi mạng.
Đối với các tổ chức không có phương tiện nào khác để ngăn chặn một cuộc tấn công, phương pháp là một lựa chọn phổ biến. Tuy nhiên, khi không được thực hiện đúng cách có thể sẽ làm gián đoạn nguồn lưu lượng truy cập vào mạng hoặc dịch vụ một cách bừa bãi, dẫn đến những kẻ xấu cũng sẽ sử dụng các địa chỉ IP giả mạo và các vectơ để tấn công.
Sử dụng tường lửa ứng dụng web
Một phương pháp hay là sử dụng Tường lửa Ứng dụng Web (WAF) để chống lại các cuộc tấn công, chẳng hạn như chèn SQL hoặc giả mạo yêu cầu trên nhiều trang web, cố gắng khai thác lỗ hổng trong chính ứng dụng của bạn. Tường lửa được tối ưu hóa DDoS cũng có thể xác định các kết nối không hoàn chỉnh và xóa chúng khỏi hệ thống khi chúng đạt đến một ngưỡng nhất định. Bộ định tuyến cũng có thể được giới hạn tốc độ để giúp máy chủ không bị quá tải.
Ngoài ra, bạn sẽ có thể dễ dàng tạo ra các biện pháp giảm nhẹ tùy chỉnh chống lại các yêu cầu bất hợp pháp có thể có các đặc điểm như ngụy trang thành lưu lượng truy cập tốt hoặc đến từ các IP xấu,
Đôi khi, điều này cũng có thể hữu ích trong việc giảm thiểu các cuộc tấn công khi chúng xảy ra để được hỗ trợ có kinh nghiệm để nghiên cứu các mô hình lưu lượng truy cập và tạo các biện pháp bảo vệ tùy chỉnh.
Chuẩn bị băng thông dự phòng
Vì các cuộc tấn công DDoS về cơ bản hoạt động trên nguyên tắc áp đảo các hệ thống có lưu lượng truy cập lớn, chỉ cần cung cấp thêm băng thông (chẳng hạn như gói băng thông có thể bùng nổ) để xử lý các đợt tăng đột biến lưu lượng bất ngờ có thể cung cấp một biện pháp bảo vệ.
Tuy nhiên, giải pháp này có thể tỏ ra tốn kém vì phần lớn băng thông sẽ không được sử dụng. Hơn nữa, băng thông bổ sung không hiệu quả trong việc ngăn chặn các cuộc tấn công DDoS như trước đây. Các cuộc tấn công ngày càng lớn và tinh vi hơn, và không có lượng băng thông nào có thể chịu được các cuộc tấn công vượt quá 1 TBps mà không có các biện pháp giảm thiểu DDoS bổ sung.
Mặc dù vậy, việc cung cấp băng thông có thể bùng nổ có thể giúp giảm bớt tác động của một cuộc tấn công, cung cấp thêm thời gian cần thiết để hành động để chống lại cuộc tấn công.
Giới hạn tỉ lệ
Giới hạn số lượng yêu cầu mà máy chủ web chấp nhận trong một khoảng thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công DDoS. Mặc dù giới hạn tỉ lệ rất hữu ích trong việc làm chậm quá trình các kẻ tấn công ăn cắp nội dung và làm giảm thiểu các nỗ lực đăng nhập khả nghi, nhưng chỉ riêng cách này có thể sẽ không đủ để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả.
Anycast Network Diffusion
Phương pháp sử dụng mạng Anycast sẽ phân tán lưu lượng tấn công đến các máy chủ đến điểm mà lưu lượng có thể được tiếp nhận. Độ hiệu quả của mạng Anycast để giảm thiểu một cuộc tấn công DdoS sẽ phụ thuộc vào quy mô của cuộc tấn công cũng như quy mô và hiệu quả của mạng.
V. Cách giải quyết khi bị tấn công DDoS
Liên lạc với nhà cung cấp Internet (ISP)
Khi gặp phải các cuộc tấn công DDoS việc liên hệ nhanh chóng với các nhà cung cấp dịch vụ Internet là cách giải quyết kịp thời nhất, họ luôn có những đội ngũ kỹ thuật viên, lập trình viên với trình độ chuyên môn cao có thể dễ dàng tìm ra vấn đề đang gặp phải, phân tích tình huống để đưa ra các hướng giải quyết, xử lý phù hợp và nhanh chóng nhất.
Liên lạc với nhà cung cấp host
Các nhà cung cấp host là nơi sẽ chịu trách nhiệm giúp máy chủ của bạn hoạt động liên tục một cách suôn sẻ. Họ sẽ giám sát các traffic truy cập đến máy chủ ở lớp biên trong thời gian thực. Tại lớp an toàn này, các nhà cung cấp sử dụng các phần mềm chủ động phân tích các mối đe dọa gửi đến máy chủ trước khi chúng có thể xâm nhập.
Khi có bất kì traffic độc hại nào xuất hiện, chúng sẽ được quét sạch và tách biệt khỏi tất cả các lưu lượng truy cập khác trước và được giảm thiểu bằng các biện pháp đối phó, được điều chỉnh riêng cho loại tấn công mà nhà cung cấp đã xác định.
Các nhà cung cấp đảm bảo rằng tất cả lưu lượng truy cập hợp pháp đều diễn ra bình thường, không bị cản trở đến máy chủ của bạn trong suốt thời gian cuộc tấn công xảy ra.
Liên lạc với các chuyên gia
Với những tình huống bị tấn công ở diện rộng với mức độ cực kì nguy hiểm thì bạn nên tìm các chuyên gia có kinh nghiệm trong việc ngăn chặn các cuộc tấn công DDoS, họ có những công cụ chuyên dụng giúp điều hướng và loại bỏ những traffic giả mạo, bên cạnh đó các chuyên gia cũng sẽ hỗ trợ đưa ra ý kiến, giải pháp bạn giúp vượt qua được các cuộc tấn công từ kẻ xấu một cách hiệu quả nhất.
Mong là với những thông tin hữu ích mà chúng mình chia sẻ có thể giúp ích cho bạn đối những vấn đề đang gặp phải. Nếu bạn còn gặp vấn đề hoặc có thắc mắc thì đừng ngần ngại để lại bình luận ở phía bên dưới nhé. Chúc bạn thành công!