DDoS là gì?
DDoS, viết tắt của Distributed Denial of Service, là hình thức tấn công từ chối dịch vụ phân tán, trong đó máy tính của bạn bị tấn công bởi lượng truy cập lớn từ nhiều hệ thống khác nhau ở nhiều địa điểm khác nhau. Mục đích chính của cuộc tấn công là làm cho máy tính hoặc máy chủ bị sập hoặc ngừng hoạt động, gây gián đoạn dịch vụ. Kẻ tấn công sau khi nhận được quyền kiểm soát máy chủ sẽ lợi dụng để gửi các dữ liệu chứa mã độc hoặc yêu cầu đến các thiết bị khác thông qua website hoặc địa chỉ email.
Các hình thức tấn công DDoS phổ biến.
1. SYN Flood
SYN Flood là một hình thức tấn công DDoS phổ biến, khai thác lỗ hổng trong quá trình kết nối TCP (quá trình bắt tay ba bước). Khác với các cuộc tấn công DDoS khác, SYN Flood không nhằm mục đích làm cạn kiệt bộ nhớ của máy chủ mà muốn tiêu hao nguồn tài nguyên kết nối mở của các cổng qua địa chỉ IP giả mạo.
Cuộc tấn công SYN Flood, còn được gọi là tấn công “nửa mở”, hoạt động bằng cách gửi hàng loạt thông điệp SYN ngắn đến các cổng, khiến kết nối bị bỏ dở và giữ cho các cổng luôn mở, dẫn đến sự cố máy chủ.
SYN Flood xảy ra khi lớp TCP bị quá tải, trong đó kẻ tấn công gửi nhiều yêu cầu SYN nhưng không phản hồi lại SYN-ACK của máy chủ hoặc sử dụng địa chỉ IP giả mạo để ngăn chặn quá trình bắt tay TCP hoàn tất. Điều này dẫn đến việc lượng lớn kết nối TCP mở làm cạn kiệt tài nguyên máy chủ, ngăn chặn lưu lượng truy cập hợp pháp và khiến máy chủ không thể xử lý các kết nối mới, gây gián đoạn hoạt động cho người dùng hợp pháp. Hệ thống máy chủ sẽ phải chờ đợi xác nhận cho từng yêu cầu, khiến tài nguyên bị ràng buộc cho đến khi không thể thực hiện kết nối mới, cuối cùng dẫn đến một cuộc tấn công DDoS hoàn chỉnh.
2. UDP Flood
UDP Flood là một loại tấn công DDoS gây ra tình trạng ngập lụt lưu lượng bằng cách gửi các gói dữ liệu UDP đến mục tiêu. Mục tiêu của cuộc tấn công là làm ngập các cổng ngẫu nhiên trên máy chủ từ xa, buộc máy chủ phải liên tục kiểm tra xem có ứng dụng nào đang lắng nghe tại các cổng đó hay không. Nếu không có ứng dụng nào được phát hiện, máy chủ sẽ phản hồi bằng gói ICMP Destination Unreachable. Quá trình này làm tiêu hao tài nguyên của máy chủ và cuối cùng có thể khiến máy chủ bị ngưng trệ, không thể truy cập được.
3. HTTP Flood
Trong một cuộc tấn công HTTP Flood, kẻ tấn công lợi dụng các yêu cầu HTTP GET hoặc POST hợp lệ để tấn công máy chủ web hoặc ứng dụng. HTTP Flood không sử dụng các gói tin, kỹ thuật giả mạo hay các phản hồi không hợp lệ. Cuộc tấn công này yêu cầu ít băng thông hơn so với các hình thức khác, nhưng lại đạt hiệu quả cao nhất khi buộc máy chủ hoặc ứng dụng phải phân bổ tối đa tài nguyên để xử lý từng yêu cầu riêng lẻ được gửi đến.
4. Ping of Death
Khi xảy ra Ping of Death (“POD”), kẻ tấn công sẽ gửi các lệnh ping không đúng định dạng hoặc quá lớn đến máy tính mục tiêu, gây ra sự bất ổn định khiến máy tính hoặc dịch vụ bị đóng băng hoặc ngừng hoạt động.
Gói IP có chiều dài tối đa (bao gồm cả tiêu đề) là 65.535 byte. Trong cuộc tấn công Ping of Death, một gói IP lớn sẽ được chia nhỏ thành nhiều mảnh và máy chủ nhận sẽ ghép các mảnh này lại thành một gói hoàn chỉnh.
Khi máy chủ tập hợp lại tất cả các mảnh IP, kết quả sẽ là một gói IP vượt quá 65.535 byte, dẫn đến việc tràn bộ đệm bộ nhớ được cung ứng cho gói, gây ra tình trạng lỗi từ chối dịch vụ đối với dịch vụ chính thống.
5. Smurf Attack
Smurf Attack là một loại tấn công DDoS, có nét tương đồng với Ping Flood ở chỗ làm ngập hệ thống bằng các yêu cầu ICMP echo, nhưng điểm khác biệt là Smurf Attack được thực hiện thông qua phần mềm độc hại đầu tiên cho phép kiểu tấn công này diễn ra, trong khi Ping Flood không cần đến phần mềm độc hại. Smurf Attack khai thác các lỗ hổng nhằm đánh sập toàn bộ mạng và làm cho máy tính ngừng hoạt động. Các lỗ hổng này tồn tại trong giao thức IP và ICMP. Phần mềm độc hại của Smurf tạo ra một gói ICMP độc hại với địa chỉ IP giả mạo, thường được gọi là “spoofing” trong cộng đồng An ninh Thông tin (InfoSec).
Những gói ICMP giả mạo này nhắm vào địa chỉ IP tĩnh của máy hoặc mạng của nạn nhân. Kẻ tấn công bắt đầu gửi các gói ICMP chứa phần mềm độc hại đến mạng phát sóng IP. Các gói này chứa yêu cầu ping, yêu cầu phản hồi từ các nút mạng và sau đó gửi yêu cầu đến tất cả các máy chủ trong mạng. Điều làm cho Smurf Attack trở nên nguy hiểm là số lượng máy chủ trên mạng. Số lượng máy chủ càng lớn thì số phản hồi đến địa chỉ IP mục tiêu càng nhiều. Địa chỉ IP mục tiêu bị ngập trong các yêu cầu do gói ICMP giả mạo tạo ra. Cuối cùng, lượng yêu cầu quá tải làm thiết bị mục tiêu không thể hoạt động, vì không còn lưu lượng truy cập nào khác có thể vượt qua ngoài lưu lượng tấn công Smurf.
6. Fraggle Attack
Fraggle Attack là một loại tấn công từ chối dịch vụ (DoS) trong đó kẻ tấn công gửi một lượng lớn lưu lượng UDP giả mạo đến mạng phát sóng của bộ định tuyến. Cuộc tấn công này tương tự như Smurf Attack, nhưng trong khi Smurf Attack chủ yếu sử dụng lưu lượng ICMP giả mạo, Fraggle Attack lại dùng lưu lượng UDP. Tuy nhiên, kể từ năm 1999, các bộ định tuyến đã được thiết kế để không chuyển tiếp các gói tin nhắm đến địa chỉ phát sóng, khiến hầu hết các hệ thống mạng hiện đại trở nên miễn nhiễm với cả Fraggle Attack và Smurf Attack.
7. Slowloris
Slowloris là một kiểu tấn công DDoS nhắm mục tiêu cụ thể, cho phép một máy chủ web tấn công một máy chủ khác mà không làm ảnh hưởng đến các dịch vụ hoặc cổng khác trên network của máy chủ bị tấn công. Cuộc tấn công này hoạt động bằng cách tạo kết nối với máy chủ mục tiêu và liên tục gửi các HTTP header mà không bao giờ hoàn thành yêu cầu, giữ cho càng nhiều kết nối mở càng lâu càng tốt. Máy chủ bị tấn công sẽ duy trì các kết nối không hoàn chỉnh này, dẫn đến việc cạn kiệt tài nguyên kết nối đồng thời, và từ chối các kết nối từ các máy chính thức.
8. NTP Amplification
Trong các cuộc tấn công NTP, kẻ tấn công lợi dụng các máy chủ NTP công khai để gửi lượng lớn lưu lượng UDP đến máy chủ mục tiêu. Đây là một dạng tấn công khuếch đại, vì tỷ lệ giữa truy vấn và phản hồi có thể dao động từ 1:20 đến 1:200 hoặc cao hơn. Điều này có nghĩa là, nếu kẻ tấn công có trong tay danh sách các máy chủ NTP mở (thông qua các công cụ như Metasploit hoặc dữ liệu từ Open NTP Project), họ có thể dễ dàng khởi động một cuộc tấn công DDoS có quy mô cực lớn.
9. HTTP GET
HTTP GET là một phương thức HTTP phổ biến, được dùng để yêu cầu dữ liệu từ máy chủ. Do các yêu cầu HTTP GET có định dạng hợp pháp và được truyền qua kết nối TCP thông thường, hệ thống phát hiện xâm nhập (IDS) khó có thể nhận diện được chúng. Trong một cuộc tấn công HTTP GET, kẻ tấn công sử dụng mạng botnet để truy cập vào nhiều trang web chứa nội dung tĩnh có dung lượng lớn, như hình ảnh hoặc các tệp phương tiện. Việc máy chủ phải liên tục gửi các tệp này dẫn đến quá tải theo thời gian, khiến máy chủ không thể đáp ứng các yêu cầu hợp pháp, làm trang web hoặc ứng dụng trở nên không thể truy cập.
10. Advanced persistent Dos (APDos)
APDoS (Advanced Persistent Denial of Service) là một chiến dịch tấn công tích hợp nhiều vectơ tấn công khác nhau, phản ánh xu hướng và thuộc tính an ninh mạng hiện nay. Trong một cuộc tấn công APDoS, mục tiêu có thể nhận hàng triệu yêu cầu mỗi giây. Các cuộc tấn công này không chỉ nhắm vào “điểm mù” của tổ chức mà còn mở rộng đến các nhà cung cấp dịch vụ, bằng cách khởi động nhiều vectơ tấn công đồng thời, nhằm vào các lớp khác nhau của mạng và trung tâm dữ liệu.
Kẻ tấn công thường sử dụng các kỹ thuật tinh vi như sao chép hành vi người dùng thông qua plugin trình duyệt hoặc công cụ sao chép. Cuộc tấn công có thể bao gồm việc chạy JavaScript, tải xuống hình ảnh và các nội dung liên kết. Thay đổi địa chỉ IP nguồn giúp kẻ tấn công dễ dàng tránh các hệ thống phát hiện dựa trên IP.
Các cuộc tấn công APDoS ngày càng phổ biến và khó phát hiện. Nếu không kịp thời ngăn chặn, các vectơ tấn công có thể dẫn đến thành công của kẻ tấn công, làm cho phạm vi và mức độ tấn công nhanh chóng mở rộng.
Cách nhận biết cuộc tấn công DDoS
Phần khó nhất của một cuộc tấn công DDoS là sự thiếu cảnh báo trước. Trong khi một số nhóm hacker lớn có thể gửi các đe dọa trước, phần lớn kẻ tấn công thực hiện tấn công mà không có bất kỳ cảnh báo nào. Ban đầu, bạn có thể không nhận ra đó là một cuộc tấn công DDoS và có thể nghĩ rằng máy tính của bạn chỉ gặp vấn đề cơ bản. Dù đã thực hiện các kiểm tra cơ bản, bạn có thể chỉ thấy một lượng lớn lưu lượng mạng và tài nguyên bị sử dụng tối đa.
Thông thường, khi một máy chủ web bị tấn công DDoS, mặc dù kết nối Internet tổng thể vẫn ổn định và các website khác vẫn truy cập bình thường, mạng của bạn hoặc hệ thống cụ thể có thể bị chậm một cách bất thường khi truy cập vào website bị tấn công. Bạn cũng nên kiểm tra email của mình để xem có nhận được nhiều thư rác hay không. Việc không thể truy cập vào một phần của website hoặc không thể truy cập vào nhiều website cũng có thể là dấu hiệu của một cuộc tấn công DDoS.
Cách phòng chống.
Sử dụng hệ thống hosting chất lượng cao
Sử dụng dịch vụ hosting cao cấp có thể giúp máy chủ của bạn phát hiện và ngăn chặn các cuộc tấn công DDoS hiệu quả hơn. Nhà cung cấp hosting cao cấp thường cung cấp các máy chủ và cấu hình hoạt động tiên tiến hơn, từ đó nâng cao đáng kể mức độ bảo mật.
Theo dõi lưu lượng truy cập
Khi các tổ chức phát hiện một cuộc tấn công DDoS, họ có thể thực hiện nhiều biện pháp để bảo vệ cơ sở hạ tầng của mình. Một trong những bước đầu tiên là ngăn chặn các gói dữ liệu độc hại bằng cách sử dụng kỹ thuật “định tuyến rỗng,” giúp giảm và chuyển hướng các yêu cầu Flooding từ mạng botnet.
Trong một số trường hợp, toàn bộ lưu lượng truy cập có thể được chuyển hướng đến một “bộ lọc” để phân loại kỹ lưỡng các yêu cầu hợp pháp và yêu cầu độc hại. Tuy nhiên, nhiều biện pháp bảo mật dựa vào băng thông có thể bị quá tải khi đối mặt với các cuộc tấn công quy mô lớn.
Định tuyến hố đen
Khi bị tấn công, cả lưu lượng mạng hợp pháp và độc hại có thể được chuyển đến một “lỗ đen” để loại bỏ khỏi mạng. Nếu một sản phẩm Internet gặp phải cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) có thể chuyển toàn bộ lưu lượng truy cập của trang web vào lỗ đen như một biện pháp phòng thủ đầu tiên.
Trong phương pháp này, lưu lượng mạng bị chuyển đến tuyến rỗng hoặc lỗ đen và bị loại bỏ. Nếu không có tiêu chí lọc cụ thể, phương pháp này có thể dẫn đến việc cả lưu lượng hợp pháp và độc hại đều bị loại bỏ. Đây là lựa chọn phổ biến cho các tổ chức không có giải pháp khác để đối phó với tấn công, nhưng nếu không được thực hiện chính xác, có thể gây gián đoạn nguồn lưu lượng truy cập đến mạng hoặc dịch vụ một cách không mong muốn. Các kẻ tấn công có thể lợi dụng tình trạng này bằng cách sử dụng địa chỉ IP giả và các vectơ tấn công khác.
Sử dụng tường lửa ứng dụng web
Một cách hiệu quả để chống lại các cuộc tấn công là sử dụng Tường lửa Ứng dụng Web (WAF). WAF có thể bảo vệ các trang web khỏi các cuộc tấn công như chèn SQL hoặc giả mạo yêu cầu bằng cách khai thác các lỗ hổng trong ứng dụng của bạn. Tường lửa được tối ưu hóa cho DDoS có khả năng nhận diện các kết nối không hoàn chỉnh và loại bỏ chúng khi đạt đến một ngưỡng nhất định. Bộ định tuyến cũng có thể được cấu hình để giới hạn tốc độ, giúp ngăn ngừa tình trạng quá tải cho máy chủ.
Hơn nữa, bạn có thể thiết lập các biện pháp giảm thiểu tùy chỉnh để đối phó với các yêu cầu bất hợp pháp, ngay cả khi chúng giả mạo lưu lượng hợp pháp hoặc đến từ các địa chỉ IP không tin cậy. Sự hỗ trợ từ các chuyên gia có thể rất hữu ích trong việc phân tích các mô hình lưu lượng và phát triển các biện pháp bảo vệ tùy chỉnh nhằm giảm thiểu tác động của các cuộc tấn công khi chúng xảy ra.
Chuẩn bị băng thông dự phòng
Vì các cuộc tấn công DDoS chủ yếu dựa vào việc làm ngợp hệ thống bằng lưu lượng truy cập lớn, việc cung cấp thêm băng thông (như gói băng thông có thể bùng nổ) để xử lý các đợt lưu lượng tăng đột biến có thể là một biện pháp bảo vệ. Tuy nhiên, giải pháp này có thể khá tốn kém vì phần lớn băng thông có thể không được sử dụng. Hơn nữa, băng thông bổ sung ngày càng ít hiệu quả trong việc chống lại các cuộc tấn công DDoS, đặc biệt khi các cuộc tấn công trở nên lớn hơn và tinh vi hơn, vượt quá 1 TBps, mà không có các biện pháp giảm thiểu DDoS khác. Mặc dù vậy, việc cung cấp băng thông có thể bùng nổ vẫn có thể giúp giảm thiểu tác động của cuộc tấn công, tạo thêm thời gian để thực hiện các biện pháp ứng phó.
Giới hạn số lượng
Việc giới hạn số lượng yêu cầu mà máy chủ web chấp nhận trong một khoảng thời gian nhất định có thể giúp giảm thiểu các cuộc tấn công DDoS. Mặc dù việc giới hạn tỉ lệ yêu cầu rất hiệu quả trong việc làm chậm các kẻ tấn công khi họ cố gắng ăn cắp nội dung hoặc giảm thiểu các nỗ lực đăng nhập nghi ngờ, nhưng chỉ sử dụng phương pháp này có thể không đủ để xử lý hiệu quả một cuộc tấn công DDoS phức tạp.
Anycast Network Diffusion
Sử dụng mạng Anycast giúp phân tán lưu lượng tấn công đến nhiều máy chủ, cho phép lưu lượng được xử lý ở nhiều điểm khác nhau. Hiệu quả của mạng Anycast trong việc giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công và khả năng mở rộng cùng hiệu quả của mạng Anycast.
Cách xử lí khi bị tấn công
Liên hệ với nhà cung cấp Internet (ISP)
Khi đối mặt với các cuộc tấn công DDoS, việc liên hệ ngay với nhà cung cấp dịch vụ Internet là giải pháp nhanh chóng và hiệu quả nhất. Các ISP thường có đội ngũ kỹ thuật viên và lập trình viên giàu kinh nghiệm, có khả năng phát hiện vấn đề, phân tích tình hình và đưa ra các biện pháp xử lý phù hợp một cách nhanh chóng.
Liên hệ với nhà cung cấp hosting
Các nhà cung cấp hosting chịu trách nhiệm duy trì hoạt động liên tục của máy chủ. Họ giám sát lưu lượng truy cập đến máy chủ tại lớp biên trong thời gian thực. Sử dụng các phần mềm phân tích chủ động, các nhà cung cấp có thể phát hiện và xử lý các mối đe dọa trước khi chúng gây ảnh hưởng. Khi phát hiện lưu lượng độc hại, họ sẽ quét và tách biệt nó khỏi lưu lượng hợp pháp, đồng thời áp dụng các biện pháp giảm thiểu phù hợp với loại tấn công. Điều này giúp đảm bảo rằng tất cả lưu lượng hợp pháp có thể tiếp tục truy cập máy chủ mà không bị gián đoạn trong suốt cuộc tấn công.
Lựa chọn nhà cung cấp hosting uy tín
Khi chọn dịch vụ hosting để quản lý từ xa và vận hành cơ sở dữ liệu, điều quan trọng là phải tìm một dịch vụ máy chủ có giá cả hợp lý, dễ sử dụng và đáng tin cậy. Hãy tìm những nhà cung cấp uy tín với chính sách sử dụng rõ ràng.
Tại Cloudmini.net, chúng tôi cung cấp giải pháp chuyên biệt cho doanh nghiệp trực tuyến cùng dịch vụ tư vấn tận tâm. Chúng tôi cũng nhận được đánh giá cao cho các dịch vụ khác của mình như Cloud VPS tại Việt Nam, VPS ở Mỹ, Châu Âu, Châu Á, Dedicated Server và Proxy Socks5.
Pingback: Anycast là gì? Cơ Chế và Ứng Dụng - VPS Việt Nam Giá Rẻ - VPS USA Giá Rẻ