Site icon Knowledge Base| Kiến thức Dịch vụ P.A Việt Nam

Tấn công từ chối dịch vụ (DDoS) là gì? Giải pháp hạn chế tấn công DDoS

Các cuộc tấn công DDoS là mối quan tâm chính trong bảo mật Internet ngày nay. Bài viết dưới đây nói chi tiết về cách thức hoạt động của các cuộc tấn công DDoS và giải pháp để ngăn chặn.

Distributed denial of service or DDoS attack concept with faceless hooded male person using tablet computer, low key red and blue lit image and digital glitch effect

Tấn công DDoS là gì?

Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với lưu lượng truy cập Internet. Các cuộc tấn công DDoS đạt được hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy được khai thác có thể bao gồm máy tính và các tài nguyên được nối mạng khác như thiết bị IoT, camera, smartphone… Một ví dụ trực quan, cuộc tấn công DDoS giống như việc cố gắng làm tắc nghẽn đường cao tốc, ngăn chặn lưu lượng truy cập thường xuyên đến đích mong muốn.

Một cuộc tấn công DDoS hoạt động như thế nào?

Một cuộc tấn công DDoS yêu cầu kẻ tấn công giành quyền kiểm soát mạng lưới các máy trực tuyến để thực hiện một cuộc tấn công. Máy tính và các máy khác (như thiết bị IoT) bị nhiễm phần mềm độc hại, biến chúng thành bot (hoặc zombie). Kẻ tấn công sau đó có quyền điều khiển từ xa đối với nhóm bot, được gọi là botnet.

Khi botnet đã được thiết lập, kẻ tấn công có thể điều khiển các máy bằng cách gửi các hướng dẫn cập nhật tới từng bot thông qua một phương pháp điều khiển từ xa. Khi địa chỉ IP của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ phản hồi bằng cách gửi yêu cầu đến mục tiêu, có khả năng khiến máy chủ hoặc mạng được nhắm mục tiêu tràn dung lượng, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập bình thường. Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng thông thường là rất khó khăn.

Các loại tấn công DDoS phổ biến là gì?

Các loại tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu cách thức các cuộc tấn công DDoS khác nhau hoạt động, cần phải biết cách kết nối mạng được thực hiện. Một kết nối mạng trên Internet bao gồm nhiều thành phần khác nhau hoặc các lớp (layers) khác nhau. Giống như xây dựng một ngôi nhà từ mặt đất lên, mỗi bước trong mô hình có một mục đích khác nhau. Mô hình OSI (phí bên dưới), là một khung khái niệm được sử dụng để mô tả kết nối mạng trong 7 lớp riêng biệt.


Trong khi gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo một thiết bị hoặc mạng mục tiêu có lưu lượng truy cập, các cuộc tấn công có thể được chia thành ba loại. Kẻ tấn công có thể sử dụng một hoặc nhiều vectơ tấn công khác nhau hoặc vectơ tấn công theo chu kỳ có khả năng dựa trên các biện pháp đối phó được thực hiện bởi mục tiêu.

1. Tấn công lớp ứng dụng

Mục tiêu của cuộc tấn công: 

Đôi khi được gọi là một cuộc tấn công DDoS lớp 7 (liên quan đến lớp thứ 7 của mô hình OSI), mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên của mục tiêu. Các cuộc tấn công nhắm vào lớp nơi các trang web được tạo trên máy chủ và được phân phối theo yêu cầu HTTP. Một yêu cầu HTTP duy nhất, đơn giản khi thực hiện ở phía máy khách và có thể tốn kém cho máy chủ mục tiêu đáp ứng vì máy chủ thường phải tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu để tạo trang web. Các cuộc tấn công lớp 7 rất khó để bảo vệ vì lưu lượng có thể khó gắn cờ là độc hại.

Ví dụ về cuộc tấn công lớp ứng dụng:

HTTP Flood

Cuộc tấn công này tương tự như việc nhấn làm mới trong trình duyệt web nhiều lần trên nhiều máy tính khác nhau – một số lượng lớn yêu cầu HTTP tràn vào máy chủ, dẫn đến từ chối dịch vụ.

Loại tấn công này từ đơn giản đến phức tạp .Việc triển khai đơn giản hơn có thể truy cập một URL với cùng một phạm vi địa chỉ IP tấn công, người giới thiệu và tác nhân người dùng. Các phiên bản phức tạp có thể sử dụng một số lượng lớn địa chỉ IP tấn công và nhắm mục tiêu các url ngẫu nhiên bằng cách sử dụng các tác nhân người dùng và người dùng ngẫu nhiên.

2. Tấn công giao thức

Mục tiêu của cuộc tấn công:

Các cuộc tấn công giao thức, còn được gọi là các cuộc tấn công cạn kiệt trạng thái, gây ra sự gián đoạn dịch vụ bằng cách tiêu thụ tất cả dung lượng bảng trạng thái có sẵn của các máy chủ ứng dụng web hoặc tài nguyên trung gian như tường lửa và cân bằng tải. Các cuộc tấn công giao thức sử dụng các điểm yếu trong lớp 3 và lớp 4 của ngăn xếp giao thức để khiến mục tiêu không thể truy cập được.

Ví dụ về tấn công giao thức

SYN Flood

Một SYN Flood tương tự như một công nhân trong phòng cung cấp nhận được yêu cầu từ phía trước cửa hàng. Công nhân nhận được yêu cầu, đi và nhận gói hàng, và chờ xác nhận trước khi đưa gói hàng ra phía trước. Công nhân sau đó nhận được nhiều yêu cầu gói hơn mà không cần xác nhận cho đến khi họ có thể thực hiện thêm bất kỳ gói nào, trở nên quá tải và các yêu cầu bắt đầu không được trả lời.

Cuộc tấn công này khai thác TCP handshake bằng cách gửi cho mục tiêu một số lượng lớn các gói TCP yêu cầu kết nối ban đầu SYN với các địa chỉ IP nguồn giả mạo. Máy đích đáp ứng với từng yêu cầu kết nối và sau đó chờ bước cuối cùng trong quá trình bắt tay, điều này không bao giờ xảy ra, làm cạn kiệt tài nguyên của mục tiêu trong quy trình.

3. Tấn công Volumetric

Mục tiêu của cuộc tấn công: 

Thể loại tấn công này cố gắng tạo ra tắc nghẽn bằng cách tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và Internet lớn hơn. Một lượng lớn dữ liệu được gửi đến mục tiêu bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện khác để tạo lưu lượng lớn, chẳng hạn như các yêu cầu từ botnet.

Ví dụ khuếch đại:

Khuếch đại DNS

Sự khuếch đại DNS giống như nếu ai đó gọi cho một nhà hàng và nói rằng “xin vui lòng gọi lại cho tôi và cho tôi biết toàn bộ đơn hàng của tôi,” số điện thoại mà họ cung cấp là số của mục tiêu.

Bằng cách gửi yêu cầu đến máy chủ DNS mở có địa chỉ IP giả mạo (địa chỉ IP thực của mục tiêu), địa chỉ IP đích sau đó sẽ nhận được phản hồi từ máy chủ. Kẻ tấn công yêu cầu sao cho máy chủ DNS phản hồi lại mục tiêu với một lượng lớn dữ liệu. Kết quả là, mục tiêu nhận được sự khuếch đại của truy vấn ban đầu kẻ tấn công.

Hạn chế một cuộc tấn công DDoS là gì?

Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là phân biệt giữa tấn công và lưu lượng truy cập bình thường. Ví dụ: nếu bản phát hành sản phẩm có trang web của công ty, tràn ngập những khách hàng háo hức, việc cắt đứt tất cả lưu lượng truy cập là một sai lầm. Nếu công ty đó đột nhiên có sự gia tăng lưu lượng truy cập từ các kẻ xấu được biết đến, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết. Khó khăn nằm ở việc phân biệt khách hàng thực sự và lưu lượng tấn công.

Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng có thể thay đổi trong thiết kế từ các cuộc tấn công nguồn đơn không giả mạo đến các cuộc tấn công đa vector phức tạp và thích ứng. Một cuộc tấn công DDoS đa vector sử dụng nhiều con đường tấn công để áp đảo mục tiêu theo nhiều cách khác nhau, có khả năng làm mất tập trung các nỗ lực giảm thiểu. Một cuộc tấn công nhắm vào nhiều lớp của ngăn xếp giao thức cùng một lúc, chẳng hạn như khuếch đại DNS (lớp nhắm mục tiêu 3/4) kết hợp với HTTP flood (lớp nhắm mục tiêu 7) là một ví dụ về DDoS đa vector.

Giảm thiểu một cuộc tấn công DDoS đa vector đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau. Nói chung, cuộc tấn công càng phức tạp, càng có nhiều khả năng giao thông sẽ khó tách khỏi lưu lượng  – mục tiêu của kẻ tấn công là hòa trộn càng nhiều càng tốt. Nếu bạn giảm thiểu bằng cách giảm hoặc hạn chế traffic một cách bừa bãi có thể khiến những traffic tốt bị chặn lại và kẻ tấn công có thể sửa đổi và thích ứng. Bạn cần một giải pháp với nhiều lớp để mang lại lợi ích cao nhất.

1. Định tuyến hố đen (Black Hole Routing)

Một giải pháp khả dụng cho hầu hết tất cả các quản trị viên mạng là tạo tuyến đường lỗ đen (Black Hole Routing) và chuyển traffic vào tuyến đường đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được triển khai mà không có tiêu chí hạn chế cụ thể, cả lưu lượng truy cập mạng hợp pháp và độc hại được chuyển đến tuyến đường rỗng hoặc lỗ đen và bị loại khỏi mạng. Nếu một máy chủ trên Internet đang gặp phải một cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) có thể bảo vệ bằng cách Black Hole Routing

2. Rate Limiting (Giới hạn tỷ lệ)

Giới hạn số lượng (Rate Limiting) yêu cầu mà máy chủ sẽ chấp nhận trong một cửa sổ thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ. Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm các kẻ tấn công web khỏi ăn cắp nội dung và để giảm thiểu các nỗ lực đăng nhập brute force, nhưng một mình nó sẽ không đủ khả năng để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả. Tuy nhiên, giới hạn tỷ lệ Rate Limiting là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả.

3. Tường lửa ứng dụng web (Web Application Firewall)

Tường lửa ứng dụng web (WAF) là một công cụ có thể hỗ trợ giảm thiểu tấn công DDoS lớp 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc, WAF có thể hoạt động như một proxy ngược, bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại. Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng để xác định các công cụ DDoS, các cuộc tấn công lớp 7 có thể bị cản trở. Một giá trị quan trọng của WAF hiệu quả là khả năng thực hiện nhanh chóng các quy tắc tùy chỉnh để đáp ứng với một cuộc tấn công.

4. Anycast Network Diffusion

Cách tiếp cận giảm thiểu này sử dụng mạng Anycast để phân tán lưu lượng tấn công qua mạng. Giống như chuyển một dòng sông xuống các kênh nhỏ hơn, cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến điểm có thể quản lý được. Hiệu quả mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công và hiệu quả của mạng.

Nhận biết các cuộc tấn công Dos và DDos

Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một tấn công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các quản trị viên đang thực hiện việc bảo trì và quản lý. Mặc dù thế nhưng với các triệu chứng dưới đây bạn có thể nhận ra tấn công DoS hoặc DdoS:

Nên làm gì nếu bạn nghĩ mình đang bị tấn công từ chối dịch vụ? 

Cho dù bạn có xác định đúng tấn công DoS hoặc DdoS đi chăng nữa thì bạn cũng không thể xác định được nguồn hoặc đích của tấn công. Chính vì vậy bạn nên liên hệ đến các chuyên gia kỹ thuật để được hỗ trợ.

Rate this post
Exit mobile version