DDOS là viết tắt của cụm từ Distributed Denial of Service, nghĩa là từ chối dịch vụ phân tán. DDOS là một phương pháp tấn công đến server chứa website bằng sử dụng nhiều thiết bị, máy tính khác nhau để đánh sập server. Hiện tượng tấn công DDOS là khi có rất nhiều truy cập vào website của bạn cùng 1 lúc, làm cho website bị gián đoạn dịch vụ, không sử dụng được server. Đối tượng tấn công DDOS không chỉ đang sử dụng máy tính của mình để tấn công, mà chính máy tính của bạn cũng có thể đang được sử dụng để tấn công. Những kẻ tấn công này sẽ lợi dụng quyền kiểm soát máy tính của bạn để gửi các dữ liệu, nhiều yêu cầu đến một trang web hoặc một địa chỉ email nào đó
Tổng quan về tấn công từ chối dịch vụ trên internet
3 loại tấn công DDOS cơ bản
Măc dù DDOS có những chế độ tấn công ít phức tạp hơn những hình thức tấn công mạng khác, nhưng chúng ta phải cẩn thận vì chúng càng ngày càng trở nên tinh vi và mạnh hơn. Có 3 loại tấn công DDOS cơ bản như sau:
- Volume-based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng
- Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy chủ
- Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại tấn công tinh vi và nghiêm trọng nhất
Những hình thức tấn công DDOS thường gặp phải
Những hình thức tấn công DDOS thường gặp phải
1. SYN Flood
SYN Flood là hình tấn công lợi dụng những điểm yếu trên chuỗi kết nối TCP, dựa vào những kết nối không được hoàn thành hoàn chỉnh. Khi một người dùng nào đó thực hiện request TCP Syn thì sẽ không nhận được phản hồi từ máy chủ, đồng nghĩa với việc kết nối không hoạt động.
Kẻ tấn công tiêu thụ tất cả tài nguyên có sẵn của server để làm cho các server không có đủ lưu lượng để truy cập hợp pháp. Kẻ tấn công có thể áp đảo các server mục tiêu bằng cách liên tục gửi nhiều tin yêu cầu kết nối SYN, khiến các máy của Client không thể đáp ứng lưu lượng hoặc đáp ứng rất chậm chạp.
2. UDP Flood
UDP – User Datagram Protocol là một giao thức kết nối mạng không tin cậy. Cuộc tấn công UDP nhắm vào các cổng trên máy chủ từ xa bằng những gói tin UDP số lượng lớn, làm cho các máy chủ này sẽ kiểm tra những ứng dụng nghe trên các cổng này nhưng không tìm thấy ứng dụng nào
3. HTTP Flood
Là hình thức mà các yêu cầu HTTP GET hoặc POST gần như hợp pháp bị khai thác bởi hackers. Tấn công kiểu HTTP Flood sử dụng hàng loạt botnet và hàng ngàn máy tính, những máy tính này đã bị kiểm soát do sử dụng các phần mềm độc hại. Hình thức này sẽ sử dụng ít băng thông hơn các loại tấn công khác nhưng các máy chủ buộc phải sử dụng tối đa nguồn tài nguyên.
4. Ping of Death
Phương thức Ping of Death làm thao túng các giao thức IP bằng cách gửi rất nhiều ping độc hại đến một hệ thống, và kiểu tấn công này sẽ thường bắt gặp trên các hệ điều hành Windows NT trở xuống. Tấn công DDOS kiểu Ping of Death này phổ biến ở 2 thập kỷ trước hơn là hiện tại, cho nên thường không mang lại hiệu quả cao ở thời điểm này.
5. Smurf Attack
Smurf là kiểu tấn công bằng cách lợi dụng địa chỉ IP và các giao thức ICMP nhờ các chương trình độc hại có tên là Smurf. Kẻ tấn công giả vờ lấy địa chỉ IP nguồn là mục tiêu tấn công để ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều mạng, làm cho địa chỉ IP này sẽ nhận một loạt phản hồi gói ICMP cực kỳ lớn, khiến cho mạng bị chậm lại hoặc không thể đáp ứng các dịch vụ khác
6. Fraggle Attack
Fraggle Attack là một cuộc tấn công sử dụng nhiều lưu lượng UDP vào mạng phát sóng của Router. Cũng tương tự như cách tấn công Smurf nhưng nó không sử dụng nhiều ICMP.
7. Slowloris
Slowloris là hình thức tấn công sử dụng ít nguồn tài nguyên để tấn công những website đích, bởi vì Slowloris là một công cụ cụ thể cho phép kẻ tấn công có thể đánh bại được một máy chủ khác mà không tốn nhiều băng thông. Slowloris sẽ giúp thực hiện cuộc tấn công đến phần lớn là các ứng dụng thông qua nhiều yêu cầu HTTP một phần. Chức năng tấn công chính là luôn duy trì mở các kết nối đến máy chủ mục tiêu và luôn giữ cho kết nối đó mở.
8. NTP Amplification
NTP Amplification là một kiểu tấn công bằng các gói tin mà kẻ tấn công khai thác máy chủ NTP (Network Time Protocol) đang hoạt động và khiến cho hệ thống mạng hoặc máy chủ mục tiêu bị quá tải do một lượng lớn các gói UDP đang được khuếch đại.
9. HTTP GET
HTTP GET là hình thức tấn công vào những lớp ứng dụng với quy mô nhỏ nhưng nhắm đến nhiều mục tiêu. Mục tiêu của hình thức tấn công HTTP GET chính là nhắm vào những ứng dụng xảy ra nhiều điểm yếu, đặc biệt là nhắm vào lớp thứ 7 trong mô hình OSI thay vì lớp thứ 3, vì đây là lớp có lưu lượng mạng cao nhất. Kiểu tấn công này hay sử dụng các URL tiêu chuẩn thay vì các tệp hỏng hoặc tệp có khối lượng lớn nên việc chống lại là điều tương đối khó
10. Advanced persistent Dos (APDos):
Advanced Persistent Dos (ApDos) là hình thức tấn công vô cùng phức tạp và nghiêm trọng bởi vì nó sử dụng kết hợp tất cả những hình thức tấn công khác như HTTP Flood hay SYN Flood,…Kẻ tấn công sử dụng hình thức này luôn mong muốn gây ra những thiệt hại nghiêm trọng. Cuộc tấn công này cực kỳ lớn và nguy hiểm vì có thể sẽ kéo dài hàng tuần hoặc hằng tháng, với điều kiện là hacker phải có khả năng thay đổi chiến thuật liên tục tránh các bảo vệ an ninh.
Chúng ta có thể ngăn chặn tấn công từ chối dịch vụ DDOS được không?
Chúng ta có thể ngăn chặn tấn công từ chối dịch vụ DDOS được không?
Tấn công từ chối dịch vụ DDOS có thể xảy ra bất cứ lúc nào thậm chí là có thể tấn công đến bất cứ trang web lớn mạnh nào, vì vậy việc ngăn chặn tấn công DDOS là một điều hoàn toàn không thể. Tuy nhiên vẫn có một số cách hạn chế những trường hợp có thể trở thành nạn nhân bị lợi dụng để tấn công DDOS hoặc bị tấn công DDOS từ hacker như sau
Đối với người dùng có thể bị xâm nhập tham gia vào cuộc tấn công DDOS
- Cài đặt và cập nhật liên tục phần mềm diệt Virus, nên sử dụng phần mềm diệt virus trả phí để đảm bảo tính bảo mật cao
- Cài đặt tường lửa (Firewall), thiết lập cấu hình tường lửa để hạn chế những truy cập lạ từ bên ngoài và đi từ máy tính bạn ra ngoài.
- Sử dụng bộ lọc thư điện tử để hạn chế nhận những email lạ, email độc hại hoặc các truy cập không mong muốn
Đối với những máy chủ có thể trở thành nạn nhân của cuộc tấn công DDOS
- Sử dụng dịch vụ hosting uy tín sẽ cung cấp những nguồn tài nguyên, cấu hình website phù hợp và có độ bảo mật cao, đồng thời có thể hỗ trợ bạn kịp thời khi xảy ra tấn công DDOS
- Lường trước sự tấn công sẽ xảy ra bằng cách thường xuyên theo dõi lưu lượng truy cập của website để biết được những ngày nào có dấu hiệu bất thường. Việc gia tăng lượng truy cập đột biến sẽ là dấu hiệu cho thấy một cuộc tấn công DDOS sắp diễn ra.
- Chuẩn bị băng thông dự phòng lớn hơn mức băng thông của trang web hiện tại. Mặc dù việc mở rộng băng thông không giải quyết hiệu quả tấn công DDOS nhưng vẫn có thể tạo thêm thời gian cho bạn để hành động trước khi máy chủ bị tấn công.
- Tạo định tuyến hố đen để nhà cung cấp dịch vụ Internet có thể chuyển các traffic vào đó, hạn chế tình trạng quá tải trên hệ thống
- Giới hạn số lượng truy cập vào trang web, điều này sẽ làm chậm quá trình tấn công của hacker, tuy nhiên phương pháp này sẽ không mấy hiệu quả nếu như hacker cố gắng sử dụng những kiểu tấn công DDOS phức tạp
- Sử dụng tường lửa ứng dụng web (WAF) nhằm tránh tấn công đến lớp thứ 7 dựa vào các quy tắc nhất định, và góp phần cứu hệ thống khỏi những truy cập độc hại
- Dùng mạng Anycast để phân tích traffic và chuyển các traffic DDOS đến những nơi có thể quản lý
Cách nhận biết đang xảy ra tình trạng tấn công từ chối dịch vụ DDOS
Thông thường các server của website đang bị tấn công DDOS sẽ có những dấu hiệu như sau:
- Mạng của bạn hoặc mạng của hệ thống bị chậm bất thường khi truy cập vào website hoặc mở tệp mặc dù mạng Internet đang ổn định, và truy cập các website khác bình thường
- Không thể truy cập vào một trang của website
- Không thể truy cập vào nhiều website
- Nhận nhiều thư rác trong tài khoản một cách bất thường
Cách giải quyết khi bị tấn công DDOS
Cách giải quyết khi bị tấn công DDOS
Liên lạc với nhà cung cấp Internet (ISP)
Trong mọi trường hợp liên quan đến mạng, không truy cập được website, thì người đầu tiên bạn nên cần sự giúp đỡ đó chính là nhà cung cấp dịch vụ Internet. Bởi vì họ sở hữu những kỹ thuật mạng, lập trình viên có chuyên môn cao, nên có thể sẽ phân tích được vấn đề, tìm ra đích tấn công, và hướng dẫn bạn thực hiện những phương pháp xử lý phù hợp, hiệu quả
Liên lạc với nhà cung cấp host
Nhà cung cấp host là người cung cấp máy chủ và vận hành máy chủ, vì vậy bạn có thể liên lạc với họ khi gặp những vấn đề liên quan đến máy chủ. Khi biết server đang bị tấn công, họ sẽ tạo “black hole” (lỗ đen) để hút các traffic cho đến khi nó tự dừng lại. Khi đó dù là yêu cầu truy cập chính thống hay không chính thống thì cũng bị gạt qua, đồng thời phương pháp này sẽ bảo vệ những máy chủ khách hàng khác không bị ảnh hưởng. Sau một thời gian, họ sẽ reroute lại tất cả traffic, lọc lại, và cho phép các yêu cầu chính thống hoạt động bình thường.
Liên lạc với chuyên gia
Nếu trang web hoặc ứng dụng của bạn bị tấn công ở mức độ cực kỳ lớn và nguy hiểm, và các phương pháp trên không thể giải quyết được thì bạn có thể nhờ đến sự giúp đỡ của các chuyên gia, những người chuyên phân tích và xử lý tấn công DDOS. Thông thường các chuyên gia này sẽ có những máy chủ cực khủng để điều hướng traffic, và loại bỏ những traffic không chính thống.
Kết
Tóm lại, tình trạng server hay website bị tấn công từ chối dịch vụ DDOS là điều khó tránh khỏi, và đặc biệt là không có biện pháp cụ thể nào có thể xử lý hiệu quả những cuộc tấn công này. Tuy nhiên với những thông tin trên, chắc chắn các bạn đã hiểu rõ phần nào về DDOS, hiểu như thế nào là một cuộc tấn công DDOS, và tham khảo thêm được những phương pháp ngăn chặn cũng như xử lý DDOS thích hợp.