Hiểu về DDoS – Tấn công từ chối dịch vụ

Nếu một ngày website của bạn bỗng nhiên không thể truy cập được hoặc nhận ra có một lượng traffic cực khủng đang xảy ra trên chính website của bạn, thì đó chính là dấu hiệu bạn đang trở thành đối tượng đang bị tấn công DDOS.

Hiện tượng tấn công DDOS lên server các website là một vấn đề vô cùng nghiêm trọng. Bên cạnh những ảnh hưởng xấu đến các website, nó còn để lại hậu quả nặng nề cho các doanh nghiệp về kinh doanh, lợi nhuận, và uy tín. Do đó, tấn công DDOS là chủ đề đang được rất nhiều người dùng và doanh nghiệp quan tâm. Và bài viết sau đây sẽ đi phân tích cụ thể cho các bạn về DDOS là gì, và cung cấp thông tin tổng quan về từ chối dịch vụ trên Internet.

1. Cuộc tấn công từ chối dịch vụ DDoS là gì?

DDoS là viết tắt của cụm từ Distributed Denial of Service, nghĩa là từ chối dịch vụ phân tán. DDOS là một phương pháp tấn công đến server chứa website bằng sử dụng nhiều thiết bị, máy tính khác nhau để đánh sập server.

Hiện tượng tấn công DDOS là khi có rất nhiều truy cập vào website của bạn cùng lúc, làm cho website bị gián đoạn dịch vụ, không sử dụng được server. Đối tượng tấn công DDOS không chỉ đang sử dụng máy tính của mình để tấn công, mà chính máy tính của bạn cũng có thể đang được sử dụng để tấn công. Những kẻ tấn công này sẽ lợi dụng quyền kiểm soát máy tính của bạn để gửi các dữ liệu, nhiều yêu cầu đến một trang web hoặc một địa chỉ email nào đó.

Phân loại DDoS

Mặc dù DDoS có những chế độ tấn công ít phức tạp hơn những hình thức tấn công mạng khác, nhưng cần phải cẩn thận vì chúng càng ngày càng trở nên tinh vi và mạnh hơn. Có 3 loại tấn công DDOS cơ bản như sau:

1. Volume-based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng.
2. Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy chủ.
3. Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại tấn công tinh vi và nghiêm trọng nhất.

2. Những hình thức tấn công DDOS phổ biến

• SYN Flood 

SYN Flood là hình tấn công lợi dụng những điểm yếu trên chuỗi kết nối TCP, dựa vào những kết nối không được hoàn thành hoàn chỉnh. Khi một người dùng nào đó thực hiện request TCP Syn thì sẽ không nhận được phản hồi từ máy chủ, đồng nghĩa với việc kết nối không hoạt động.

Kẻ tấn công tiêu thụ tất cả tài nguyên có sẵn của server để làm cho các server không có đủ lưu lượng để truy cập hợp pháp. Kẻ tấn công có thể áp đảo các server mục tiêu bằng cách liên tục gửi nhiều tin yêu cầu kết nối SYN, khiến các máy của Client không thể đáp ứng lưu lượng hoặc đáp ứng rất chậm chạp.

• UDP Flood

UDP – User Datagram Protocol là một giao thức kết nối mạng không tin cậy. Cuộc tấn công UDP nhắm vào các cổng trên máy chủ từ xa bằng những gói tin UDP số lượng lớn, làm cho các máy chủ này sẽ kiểm tra những ứng dụng nghe trên các cổng này nhưng không tìm thấy ứng dụng nào.

• HTTP Flood

Tấn công kiểu HTTP Flood sử dụng hàng loạt botnet và hàng ngàn máy tính, những máy tính này đã bị kiểm soát do sử dụng các phần mềm độc hại. Hình thức này sẽ sử dụng ít băng thông hơn các loại tấn công khác nhưng các máy chủ buộc phải sử dụng tối đa nguồn tài nguyên.

• Ping of Death

Phương thức Ping of Death làm thao túng các giao thức IP bằng cách gửi rất nhiều ping độc hại đến một hệ thống, và kiểu tấn công này sẽ thường bắt gặp trên các hệ điều hành Windows NT trở xuống. Tấn công DDOS kiểu Ping of Death này phổ biến ở 2 thập kỷ trước hơn là hiện tại, cho nên thường không mang lại hiệu quả cao ở thời điểm này.

• Smurf Attack 

Smurf là kiểu tấn công bằng cách lợi dụng địa chỉ IP và các giao thức ICMP nhờ các chương trình độc hại có tên là Smurf. Kẻ tấn công giả vờ lấy địa chỉ IP nguồn là mục tiêu tấn công để ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều mạng, làm cho địa chỉ IP này sẽ nhận một loạt phản hồi gói ICMP cực kỳ lớn, khiến cho mạng bị chậm lại hoặc không thể đáp ứng các dịch vụ.

• Fraggle Attack 

Fraggle Attack là một cuộc tấn công sử dụng nhiều lưu lượng UDP vào mạng phát sóng của Router. Cũng tương tự như cách tấn công Smurf nhưng nó không sử dụng nhiều ICMP.

• Slowloris

Hình thức này sử dụng ít nguồn tài nguyên để tấn công những website đích, bởi vì đây là một công cụ cụ thể cho phép kẻ tấn công có thể đánh bại được một máy chủ khác mà không tốn nhiều băng thông.

Slowloris sẽ giúp thực hiện cuộc tấn công đến phần lớn là các ứng dụng thông qua nhiều yêu cầu HTTP một phần. Chức năng tấn công chính là luôn duy trì mở các kết nối đến máy chủ mục tiêu và luôn giữ cho kết nối đó mở.

• NTP Amplification

NTP Amplification là một kiểu tấn công bằng các gói tin mà kẻ tấn công khai thác máy chủ NTP (Network Time Protocol) đang hoạt động và khiến cho hệ thống mạng hoặc máy chủ mục tiêu bị quá tải do một lượng lớn các gói UDP đang được khuếch đại.

• HTTP GET 

HTTP GET là hình thức tấn công vào những lớp ứng dụng với quy mô nhỏ nhưng nhắm đến nhiều mục tiêu. Mục tiêu của hình thức tấn công HTTP GET chính là nhắm vào những ứng dụng xảy ra nhiều điểm yếu, đặc biệt là nhắm vào lớp thứ 7 trong mô hình OSI thay vì lớp thứ 3, vì đây là lớp có lưu lượng mạng cao nhất. Kiểu tấn công này hay sử dụng các URL tiêu chuẩn thay vì các tệp hỏng hoặc tệp có khối lượng lớn nên việc chống lại là điều tương đối khó

• Advanced Persistent Dos (APDos) 

Advanced Persistent Dos (APDos) là hình thức tấn công vô cùng phức tạp và nghiêm trọng bởi vì nó sử dụng kết hợp tất cả những hình thức tấn công khác như HTTP Flood hay SYN Flood,…

Cuộc tấn công này cực kỳ lớn và nguy hiểm vì có thể sẽ kéo dài hàng tuần hoặc hằng tháng, với điều kiện là hacker phải có khả năng thay đổi chiến thuật liên tục tránh các bảo vệ an ninh.

3. Có thể ngăn chặn tấn công dịch vụ DDoS không?

Tấn công DDOS có thể xảy ra bất cứ lúc nào, thậm chí là có thể tấn công đến bất cứ trang web lớn mạnh nào, vì vậy việc ngăn chặn tấn công là một điều không thể. Tuy nhiên vẫn có một số cách hạn chế những trường hợp có thể trở thành nạn nhân bị lợi dụng để tấn công DDOS hoặc bị tấn công DDOS từ hacker như sau:

3.1. Đối với người dùng có thể bị xâm nhập tham gia vào cuộc tấn công DDOS 

• Cài đặt và cập nhật liên tục phần mềm diệt Virus, nên sử dụng phần mềm diệt virus trả phí để đảm bảo tính bảo mật cao.
• Cài đặt tường lửa (firewall), thiết lập cấu hình tường lửa để hạn chế những truy cập lạ từ bên ngoài và đi từ máy tính bạn ra ngoài.
• Sử dụng bộ lọc thư điện tử để hạn chế nhận những email lạ, email độc hại hoặc các truy cập không mong muốn.

3.2. Đối với những máy chủ có thể trở thành nạn nhân của cuộc tấn công DDOS

• Sử dụng WAF (Web Application Firewall): Giải pháp này có thể giúp chặn các yêu cầu không hợp lệ từ các máy chủ giả mạo trước khi chúng đến được máy chủ thực sự. WAF hoạt động dựa trên cơ chế lọc địa chỉ IP, lọc User-Agent, lọc đường dẫn URL và phân tích cú pháp để phát hiện và chặn các yêu cầu không hợp lệ.
• Lường trước sự tấn công sẽ xảy ra bằng cách thường xuyên theo dõi lưu lượng truy cập của website để biết được những ngày nào có dấu hiệu bất thường. Việc gia tăng lượng truy cập đột biến sẽ là dấu hiệu cho thấy một cuộc tấn công DDOS sắp diễn ra.
• Sử dụng dịch vụ Web Hosting uy tín sẽ cung cấp những nguồn tài nguyên, cấu hình website phù hợp và có độ bảo mật cao, đồng thời có thể hỗ trợ bạn kịp thời khi xảy ra tấn công DDOS. Bạn có thể tham khảo Web Hosting tại đây.

• Giới hạn số lượng truy cập vào trang web, điều này sẽ làm chậm quá trình tấn công của hacker, tuy nhiên phương pháp này sẽ không mấy hiệu quả nếu như hacker cố gắng sử dụng những kiểu tấn công DDOS phức tạp.
• Chuẩn bị băng thông dự phòng lớn hơn mức băng thông của trang web hiện tại. Mặc dù việc mở rộng băng thông không giải quyết hiệu quả tấn công DDOS nhưng vẫn có thể tạo thêm thời gian cho bạn để hành động trước khi máy chủ bị tấn công.
• Sử dụng giải pháp CDN (Content Delivery Network): CDN có thể giúp phân tán lưu lượng truy cập đến các máy chủ của bạn trên khắp thế giới. Nó hoạt động bằng cách tạo ra một bản sao của trang web của bạn trên các máy chủ được phân tán rộng rãi, từ đó giảm thiểu tác động của tấn công DDoS.

3.3. Dấu hiệu nhận biết đang xảy ra tình trạng tấn công từ chối dịch vụ DDOS 

• Mạng của bạn hoặc mạng của hệ thống bị chậm bất thường khi truy cập vào website hoặc mở tệp mặc dù mạng Internet đang ổn định, và truy cập các website khác bình thường.
• Không thể truy cập vào một trang của website.
• Không thể truy cập vào nhiều website.
• Nhận nhiều thư rác trong tài khoản một cách bất thường.

4. Khi bị tấn công DDoS, nên làm gì?

• Liên lạc với nhà cung cấp Internet (ISP)

Trong mọi trường hợp liên quan đến mạng, không truy cập được website, thì người đầu tiên bạn nên cần sự giúp đỡ đó chính là nhà cung cấp dịch vụ Internet. Bởi vì họ sở hữu những kỹ thuật mạng, lập trình viên có chuyên môn cao, nên có thể sẽ phân tích được vấn đề, tìm ra đích tấn công, và hướng dẫn bạn thực hiện những phương pháp xử lý phù hợp, hiệu quả.

• Liên lạc với nhà cung cấp host

Bạn có thể liên lạc với họ khi gặp những vấn đề liên quan đến máy chủ. Khi biết server đang bị tấn công, họ sẽ tạo “black hole” (lỗ đen) để hút các traffic cho đến khi nó tự dừng lại. Khi đó dù là yêu cầu truy cập chính thống hay không chính thống thì cũng bị gạt qua, đồng thời phương pháp này sẽ bảo vệ những máy chủ khách hàng khác không bị ảnh hưởng. Sau một thời gian, họ sẽ reroute lại tất cả traffic, lọc lại, và cho phép các yêu cầu chính thống hoạt động bình thường.

Thêm nữa, bạn có thể sử dụng dịch vụ chống DDoS và sở hữu chứng chỉ SSL với website của mình. Hiện nay có rất nhiều đơn vị cung cấp những dịch vụ trên và Tothost là một trong số đó với hiệu quả cao vàc hi phí hợp lý. Khi đảm bảo được an toàn, hệ thống của bạn sẽ ổn định, gia tăng doanh số và uy tín cho doanh nghiệp của bạn.

Tổng kết

Nhìn chung, tấn công DDoS là một trong những mối đe dọa ngày càng phổ biến đối với các tổ chức và doanh nghiệp. Nó có thể gây ra nhiều hậu quả như làm gián đoạn hoạt động trang web, gây tắc nghẽn mạng, mất dữ liệu hoặc gây thiệt hại về kinh tế. Hy vọng trong bài viết ngày hôm nay, Tothost đã giúp các bạn có được cái nhìn tổng quan về các cuộc tấn công DDoS cũng như cách thức ngăn chặn. Đọc thêm những bài viết liên quan tại: https://tothost.vn/kien-thuc