Cùng với sự phát triển của mạng internet, những cuộc tấn công mạng cũng diễn ra mạnh mẽ hơn. Trong đó phải kể đến cuộc tấn công DDoS. Điều này khiến cho các doanh nghiệp, tổ chức, nhà nước bị đe dọa an ninh và thiệt hại kinh tế nặng nề. Vậy tấn công DDoS là gì? Nó diễn ra như thế nào? Có những cách ngăn chặn cuộc tấn công DDoS nào? Bài viết dưới đây của Mẫu Website sẽ giúp bạn hiểu rõ hơn những vấn đề xoay quanh tấn công DDoS.
Tấn công DDOS (viết tắt từ Distributed Denial-of-Service) hay còn gọi là cuộc tấn công từ chối dịch vụ phân tán. Cuộc tấn công DDoS xảy ra khi các máy chủ (server) và mạng internet tràn ngập những lưu lượng truy cập nhiều quá mức. DDoS xuất hiện nhằm mục đích áp đảo server hay các trang web có lượng request lớn khiến hệ thống không hoạt động được.
Cuộc tấn công DDOS đạt được hiệu quả nhờ sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy được khai thác bao gồm máy tính bị xâm nhập, các tài nguyên được nối với mạng khác (như IoT, server, router, máy trạm,..).
Kẻ tấn công giành quyền kiểm soát mạng lưới máy trực tuyến để thực hiện một cuộc tấn công. Máy tính cùng các loại máy khác sẽ bị nhiễm một phần mềm độc hại, khiến chúng biến thành bot (hay zombie). Sau đó, kẻ tấn công sẽ điều khiển từ xa các nhóm bot (hay còn gọi là botnet).
Khi các botnet được thành lập, kẻ tấn công có thể điều khiển các máy gửi hướng dẫn cập nhật tới từng bot. Khi địa chỉ IP của bạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ phản hồi bằng cách gửi yêu cầu tới mục tiêu đó.
Mạng hay máy chủ được nhắm mục tiêu sẽ bị tràn dung lượng, dẫn tới việc từ chối dịch vụ đối với lưu lượng truy cập thông thường. Mỗi bot là một thiết bị internet hợp pháp. Bởi vậy, việc tách lưu lượng tấn công khỏi lưu lượng thông thường khá khó khăn. Hiểu bản chất từng loại tấn công DDoS sẽ giúp giảm thiểu và giải quyết hiệu quả hơn.
Một kết nối mạng internet sẽ bao gồm nhiều thành phần hay các lớp (layers) khác nhau. Giống như khi xây dựng một ngôi nhà, mỗi phần, mỗi bước sẽ có mục đích riêng của nó. Thì với mạng kết nối cũng có 7 lớp theo từng mục đích.
Các vector tấn công từ chối dịch vụ khác nhau sẽ nhắm vào những thành phần khác nhau của kết nối. Gần như tất cả các cuộc tấn công DDoS đều có liên quan tới việc áp đảo một thiết bị hoặc mạng mục tiêu có lưu lượng truy cập.
Về cơ bản, các cuộc tấn công DDoS sẽ có các dạng như sau:
Là một kiểu tấn công trực tiếp vào máy chủ bằng cách tạo ra số lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối. Kẻ tấn công gửi các yêu cầu SYN vĩnh viễn để ăn tài nguyên máy chủ một cách nhiều nhất có thể.
Một người dùng bình thường sẽ kết nối tới máy chủ ban đầu và thực hiện request TCP SYN. Hacker sẽ không bao giờ trả lời SYN – ACK hoặc có trả lời thì sẽ sử dụng IP giả. Lúc này, máy chủ sẽ không nhận được gói tin trả lời, không còn khả năng đáp lại hay kết nối không được thực hiện.
Là một giao thức kết nối không tin cậy, cuộc tấn công gây ngập lụt UDP bằng cách gửi số lượng lớn các gói tin UDP tới cổng ngẫu nhiên trên một máy chủ từ xa. Máy chủ từ xa sẽ kiểm tra các ứng dụng với cổng. Nếu thấy không có ứng dụng nghe ở cổng thì trả lời một ICMP gói.
Hệ thống của đối tượng mục tiêu sẽ bị buộc nhận nhiều gói tin ICMP khiến hệ thống nạn nhân mất khả năng xử lý các yêu cầu của khách hàng. Ngoài ra, kẻ tấn công cũng có thể sử dụng một cách khác là giả mạo địa chỉ IP của gói UDP, đảm bảo gói ICMP trở lại quá mức không tiếp cận và nặc danh hóa vị trí mạng của họ. Hầu hết hệ điều hành sẽ giảm nhẹ một phần của cuộc tấn công bằng cách hạn chế tốc độ phản ứng ICMP được gửi đi.
Đây là một tấn công DDoS khá dễ hiểu. Khi một máy tính nhận gói ICMP có kích thước dữ liệu quá lớn thì nó có thể bị crash. Kiểu tấn công này thường gặp trong hệ điều hành Windows NT trở xuống. Với những hệ điều hành mới thì những cuộc tấn công này sẽ khó khăn hơn bởi chúng có thể bị ngăn chặn ngay tại tường lửa. Nhưng đôi khi, dạng tấn công DDoS này vẫn sẽ xuất hiện trong các gói phần mềm. Nó có nhiều hình thức khác nhau nhằm vào mục đích phần cứng hoặc ứng dụng duy nhất nào đó.
Điển hình như ‘Ping of Death’ exploit (CVE-2015-1635) trên server máy Win7, Win server 2008 R2, Win 8, Win server 2012, Win 8.1 và Win server 2012 R2 sử dụng Windows IIS Web Server.
Dạng tấn công này tương đối hạn chế và khó phát hiện. Slowloris đòi hỏi kỹ thuật tương tự như SYN Flood để tạo nửa kết nối làm cạn kiệt tài nguyên máy chủ, nhưng nó sẽ diễn ra ở lớp ứng dụng HTTP.
Để tấn công, tin tặc sẽ gửi yêu cầu HTTP đến máy chủ. Hacker sẽ không gửi toàn bộ yêu cầu mà chỉ gửi nhỏ giọt nhằm giảm ngắt kết nối. Cách này sẽ giúp tiết kiệm tài nguyên hơn mà vẫn có làm treo máy chủ, ngăn kết nối từ người dùng hợp lệ.
Peer-to-Peer là dạng kết nối mạng ngang hàng, nó tạo cho hacker nhiều cơ hội để tấn công. Bởi thay vì dựa vào máy chủ trung tâm, một peer sẽ phát trực tiếp một truy vấn vào mạng và ai có nguồn lực được mong muốn sẽ đáp ứng. Khi thực hiện thành công, hacker sẽ sử dụng file sharing gửi đến mục tiêu. Tiến trình gửi sẽ diễn ra cho đến khi mục tiêu bị quá tải, ngập lụt và ngừng kết nối.
Ngoài các dạng tấn công DDoS kể trên, bạn có thể gặp một số loại khác như: Nuke (tấn công gián đoạn hoạt động); Degradation of Service Attacks (tấn công làm suy giảm dịch vụ); Unintentional DDoS (tấn công phản hồi và ngừng kết nối); Application Level Attacks (tấn công vào mục tiêu ứng dụng nhiều lỗ hổng);… Bạn có thể tìm hiểu sâu từng dạng DDoS nếu có nhu cầu.
Có thể thấy cuộc tấn công DDoS có rất nhiều dạng. Muốn giảm thiểu được một cuộc tấn công đòi hỏi phải có nhiều chiến lược khác nhau nhằm chống lại những quỹ đạo khác nhau. Và dưới đây là một số cách làm phổ biến:
Giải pháp hiệu quả cho hầu hết quản trị viên mạng là tạo định tuyến hố đen và chuyển traffic vào tuyến đường đó.
Ở dạng đơn giản, lỗ đen được triển khai mà không có tiêu chí hạn chế cụ thể, lưu lượng truy cập mạng hợp pháp và độc hại đều sẽ được chuyển đến đường rỗng hoặc hố đen. Sau đó chúng sẽ bị loại khỏi mạng.
Nếu một tài sản internet đang gặp cuộc tấn công DDoS, nhà cung cấp ISP có thể gửi tất cả lưu lượng truy cập của trang web đó vào một hố đến như một sự bảo vệ.
Một cách giảm thiểu cuộc tấn công DDoS quản trị mạng thường sử dụng là giới hạn số lượng yêu cầu máy chủ chấp nhận trong một cửa sổ ở thời gian nhất định. Cách này sẽ giúp làm chậm những kẻ tấn công web ăn cắp nội dung và giảm những nỗ lực đăng nhập brute force. Nhưng một mình nó sẽ không đủ khả năng xử lý những cuộc tấn công từ chối dịch vụ dạng phức tạp.
Tường lửa ứng dụng web (WAF – Web Application Firewall) là một công cụ hỗ trợ giảm thiểu tấn công DDoS lớp 7. Tường lửa có khả năng thực hiện nhanh chóng các quy tắc tùy chỉnh để đáp ứng một cuộc tấn công.
Cách thực hiện là đặt WAF giữa máy chủ gốc và internet. Tường lửa sẽ hoạt động như một proxy ngược, bảo vệ máy chủ được mục tiêu nhắm tới khỏi một số lưu lượng độc hại. Cách yêu cầu sẽ được lọc dựa trên hàng loạt quy tắc được sử dụng để xác định các công cụ từ chối dịch vụ, cuộc tấn công lớp 7 sẽ bị cản trở.
Cách này sử dụng mạng Anycast sẽ giúp phân tán lực lượng tấn công mạng. Giống như chuyển dòng nước từ con sông lớn sang những kênh nhỏ hơn. Cách tiếp cận này sẽ lan truyền tác động của lưu lượng tấn công phân tán đến địa điểm có thể quản lý được và khuếch tán bất kỳ khả năng gây rối nào.
Độ tin cậy của mạng Anycast sẽ giảm thiểu cuộc tấn công từ chối dịch vụ dựa vào quy mô của cuộc tấn công và hiệu quả của mạng.
Trên đây một số thông tin về tấn công DDoS mà chúng tôi muốn chia sẻ tới bạn đọc. Hi vọng sẽ giúp bạn hiểu hơn về cuộc tấn công DDoS là gì và cách làm giảm thiểu cuộc tấn công đó. Nếu bạn có nhu cầu về dịch vụ bảo vệ máy chủ chất lượng khỏi tấn công DDoS, hãy liên hệ chúng tôi để được hỗ trợ nhé.
Dành cho khách hàng đang làm việc
Theo dõi dự án với PMS
Click để xem
Quý khách vui lòng đăng nhập vào hệ thống quản lý dự án để theo dõi tiến độ.
Website: quanly.mona.media
Tài khoản đã được Mona Media cung cấp cho quý khách qua hệ thống SMS tự động. Nếu cần hỗ trợ thêm xin vui lòng gọi 1900 636 648
