Cuộc tấn công DDoS là gì?
DDoS là viết tắt của cụm từ Distributed Denial-of-Service hay Tấn công từ chối dịch vụ – Một dạng tấn công làm quá tải máy chủ, làm cho người dùng không thể truy cập website hoặc ứng dụng.
Một cuộc tấn công DDoS thường được thực hiện một cách có chủ đích, nhắm vào các ứng dụng/website của công ty hoặc đối thủ nhằm đánh sập hệ thống Server.
DDoS hoạt động như thế nào?
Một cuộc tấn công từ chối dịch vụ (DDoS) thường được phát động sau khi tin tặc thu tập và tổng hợp được một lượng tài nguyên cần thiết. Thường là từ các thiết bị IoT, máy tính cá nhân, máy chủ,…
Sau khi đã tổng hợp đủ tài nguyên, tin tặc sẽ điều hướng toàn bộ lưu lượng đó tới máy chủ mục tiêu với tuần suất cao, cùng với lượng truy cập sẵn có của website/ứng dụng sẽ làm quá tải băng thông, gây mất kết nối với máy chủ.
Để làm được điều này, những kẻ tấn công DDoS cần phải kiểm soát một đội quân bot (hoặc mạng botnet). Cách này hơi khó khăn. Tuy nhiên, bằng cách sử dụng các kỹ thuật xã hội (chẳng hạn như phishing) để phát tán phần mềm độc hại hoặc lôi kéo người dùng tải file xấu, tin tặc có thể tạo ra các mạng botnet mà họ cần.
Sau khi những kẻ tấn công lây nhiễm vào hệ thống của bạn, hệ thống sẽ trở thành một “bot”. Bạn không còn toàn quyền kiểm soát những gì máy tính của bạn thực hiện khi trực tuyến. Thay vào đó, quyền kiểm soát được chuyển cho “master”, người điều khiển các cuộc tấn công DDoS. Để làm như vậy, các “master” phải kết hợp các bot lại với nhau thành botnet và điều phối chúng thông qua phần mềm đặc biệt.
Các mạng botnet này có thể rất lớn. Ví dụ, có những ước tính cho rằng Srizbi bao gồm hơn 450.000 bot.
Các kiểu tấn công DDoS
Khi chúng ta nói đến một cuộc tấn công DDoS, nó thường có nghĩa là một cuộc tấn công quy mô lớn nhằm đánh sập một mục tiêu cụ thể. Tuy nhiên, có một số biến thể về cách thức hoạt động của các cuộc tấn công DDoS. Thông thường, điều này phụ thuộc vào mạng bị tấn công.
Kết nối mạng bao gồm nhiều thành phần, vì vậy một cuộc tấn công DDoS có thể nhắm mục tiêu vào bất kỳ thành phần nào trong số chúng để đánh sập hệ thống. Trong mô hình kiến trúc mạng OSI, các thành phần này thường được gọi là các lớp – và chúng giúp chúng ta mô tả quá trình kết nối:
Application layer (Layer 7) – lớp trên cùng chỉ định các giao thức cho các tương tác với mạng
Presentation layer (Layer 6) – đảm bảo rằng dữ liệu ở định dạng chuẩn hóa mà hai hệ thống riêng biệt hiểu được
Session layer (Layer 5) – là một cơ chế quản lý các phiên làm việc mở dành cho các trao đổi cụ thể
Transport layer (Layer 4) – đảm bảo sự xuất hiện của gói tin và xác nhận việc tiếp nhận của chúng
Network layer (Layer 3) – chịu trách nhiệm định tuyến các gói dữ liệu thông qua các trung gian như bộ định tuyến và máy chủ
Datalink layer (Layer 2) – tổ chức dữ liệu thành các gói sẵn sàng được gửi đi
Physical layer (Layer 1) – xác định việc truyền các bit thô qua các liên kết dữ liệu vật lý
Theo nghĩa này, các cuộc tấn công DDoS được chia thành ba loại:
- Tấn công lớp ứng dụng
- Tấn công giao thức
- Tấn công tập trung vào mạng
Các cuộc tấn công Lớp ứng dụng (Layer 7)
Tấn công DDOS Layer 7 một loại tấn công DDoS nhắm vào lớp ngoài cùng, lớp này chỉ định các giao thức và phương thức giao diện để trao đổi dữ liệu. Mục đích là để lợi dụng những điểm yếu này để làm cho mạng bị sập hoặc khiến mạng trở nên chậm hơn. Bạn sẽ thường thấy DDOS Layer 7 vào mục tiêu là “domain” – tên miền.
BGP Hijacking – nhắm mục tiêu đến Giao thức Border Gateway được sử dụng để chuẩn hóa dữ liệu định tuyến và trao đổi thông tin. Cuộc tấn công lớp ứng dụng này nhằm mục đích định tuyến lưu lượng truy cập Internet đến một đích không mong muốn bằng cách mạo danh quyền sở hữu các nhóm địa chỉ IP thông qua các tiền tố IP. Thông tin này có thể nhanh chóng lan truyền sang các mạng khác, định tuyến người dùng đến các trang web không chính xác.
Tấn công Slowloris – nhắm mục tiêu đến các yêu cầu kết nối HTTP để giữ cho càng nhiều kết nối mở đồng thời càng tốt. Nhằm tấn công vào khả năng xử lý của các máy chủ. Nó chỉ ảnh hưởng đến máy chủ web, làm chậm đáng kể và từ chối các yêu cầu từ người dùng thực.
Tấn công Slow POST – một cuộc tấn công Slow POST hoạt động bằng cách gửi các header HTTP POST được chỉ định chính xác đến máy chủ web được nhắm mục tiêu. Tuy nhiên, phần body của tiêu đề được cố tình gửi đi với tốc độ rất thấp. Vì header là hợp pháp nên máy chủ sẽ phản hồi yêu cầu. Nếu máy chủ nhận được hàng nghìn yêu cầu này, nó có thể nhanh chóng từ chối tất cả các yêu cầu khác, làm nhồi nhét tài nguyên của máy chủ.
Tuộc tấn công Slow read – bạn có thể coi cuộc tấn công Slow read như một cuộc tấn công Slow POST bị đảo ngược. Sự khác biệt là trong trường hợp tấn công POST, phương thức này sẽ gửi nội dung thư từ từ. Trong trường hợp tấn công Slow read, các yêu cầu HTTP được chấp nhận một cách có chủ ý và đọc với tốc độ rất chậm. Máy chủ mục tiêu phải giữ cho các yêu cầu này mở vì quá trình đọc đang diễn ra, làm cạn kiệt tài nguyên của máy chủ, đặc biệt là trong các trường hợp có mạng botnet lớn.
Tấn công Low and slow – kiểu tấn công này có thể nhắm mục tiêu Transmission Control Protocol (TCP) thông qua các phiên HTTP hoặc TCP với tốc độ siêu chậm. Đó là một phương pháp để tấn công một cách từ từ và đều đặn đến máy chủ làm ngập đường ống và từ chối yêu cầu kết nối của người dùng thực. Cuộc tấn công này yêu cầu ít tài nguyên hơn để thực thi và thậm chí có thể thực hiện được mà không cần mạng botnet. Thêm vào đó, nó bỏ qua các phương pháp phòng thủ giảm thiểu DDoS thông thường vì các gói được gửi là từ người dùng thực.
Tấn công POST có payload lớn – kiểu tấn công này khai thác mã hóa ngôn ngữ (XML) được sử dụng bởi máy chủ web để trao đổi qua HTTP. Trong trường hợp này, máy chủ web nhận dữ liệu được mã hóa bằng XML. Tuy nhiên, dữ liệu bị kẻ tấn công thay đổi để một khi nó nằm trong bộ nhớ, kích thước của nó sẽ lớn hơn gấp nhiều lần. Nếu máy chủ nhận được một số lượng lớn các yêu cầu này, bộ nhớ của nó sẽ nhanh chóng bị cạn kiệt.
Bắt chước quá trình duyệt web của người dùng – Cuộc tấn công DDoS này bắt chước các kiểu duyệt web của người dùng thực. Tuy nhiên, đây thực sự là một mạng botnet quy mô lớn. Mỗi bot bắt chước người thật truy cập vào các trang web, tạo ra lượng khách truy cập tăng đột biến.
Các cuộc tấn công giao thức
Các cuộc tấn công giao thức nhằm vào quá trình truyền dữ liệu, khai thác các lớp truyền tải và mạng. Chúng nhắm mục tiêu đến các giao thức xác thực của các phương thức kết nối. Kiểu tấn công này tích lũy áp lực bằng cách bắt nạt các bức tường lửa và gửi các gói tin bị lỗi làm hỏng hệ thống.
SYN floods – cuộc tấn công này khai thác các lỗ hổng trong hệ thống bắt tay TCP, hệ thống này yêu cầu một request SYN, gói SYN-ACK và ACK để xác thực trao đổi. Kẻ tấn công gửi request SYN đến máy chủ, máy chủ phản hồi bằng một thông báo SYN-ACK, chờ xác nhận ACK từ máy khách. Tuy nhiên, hacker đã thiết lập thiết bị của mình theo cách mà gói ACK không bao giờ đến, khiến máy chủ bị treo. Bởi vì có một số lượng tương tác TCP có thể xảy ra đồng thời trên một máy chủ nhất định, số lượng yêu cầu này cao hơn có thể nhanh chóng gây ra sự cố.
Tấn công gói tin bị phân mảnh (Fragmented packet attacks) – kiểu tấn công này nhắm vào dung lượng tối đa của Internet Control Message Protocol. Có một kích thước được xác định trước mà thông tin liên lạc internet thông thường không thể vượt quá. Sau đó kẻ tấn công sẽ phân mảnh gói tin và gửi nó thành nhiều phần. Sau khi máy chủ nhận và tập hợp các mảnh lại thành gói tin, nó sẽ trả về một lỗi, làm hỏng hệ thống.
Tấn công phân mảnh IP/ICMP (IP/ICMP fragmentation attack) – cuộc tấn công này được thiết lập bằng cách gửi các gói dữ liệu độc hại vượt quá đơn vị truyền tải tối đa. Trong trường hợp này, nếu một gói tin quá lớn, nó sẽ được chuyển sang lưu trữ tạm thời. Khi đó, nó sẽ chèn bộ nhớ, khiến các yêu cầu khác bị từ chối.
Smurf DDoS – cuộc tấn công này khai thác Giao thức Internet Control Message với IP giả mạo của nạn nhân để tạo các vòng truy vấn vô hạn. Kẻ tấn công sử dụng nạn nhân làm mồi nhử, khuếch đại các truy vấn được tạo ra từ mạng máy chủ. Nó hoạt động như thể các truy vấn được yêu cầu từ mục tiêu, làm tràn các phản hồi.
Tấn công vào hạ tầng mạng
Các tấn công vào hạ tầng mạng liên quan đến việc tấn công các mục tiêu bằng các gói dữ liệu. Kiểu tấn công này tích lũy một lượng truy cập khổng lồ. Nó hướng đến các máy chủ không thể duy trì tải đầy đủ trong một thời gian dài và sẽ gặp sự cố.
Tấn công tràn HTTP (HTTP flooding attack) – kiểu tấn công này áp đảo máy chủ mục tiêu với một số lượng lớn các yêu cầu HTTP. Quá nhiều yêu cầu được xử lý khiến người dùng thực sự có ít tài nguyên hơn. Vậy nên máy chủ sẽ từ chối người dùng thực vì đang bận trả lời các truy vấn của bot.
Tấn công tràn ICMP (ICMP flood attack) – Đây là loại tấn công phổ biến nhất. Nó hoạt động bằng cách gửi một số lượng lớn các yêu cầu Giao thức Internet Control Message, còn được gọi là ping. Mỗi khi máy chủ nhận được một yêu cầu như vậy, nó phải chẩn đoán tình trạng mạng của nó. Điều này làm cạn kiệt tài nguyên và mất nhiều thời gian hơn để tạo truy vấn.
IPSec flood – cuộc tấn công này nhắm mục tiêu vào máy chủ VPN của nạn nhân. Kẻ tấn công gửi một khối lượng lớn các yêu cầu IKE IPSec, khiến máy chủ phản hồi với lưu lượng được chuyển hướng. Sau khi giao thức tunnel IKEv2 ra đời, lỗ hổng này phần lớn đã được giải quyết.
Tấn công UDP flood – kiểu tấn công này sử dụng một số lượng lớn các yêu cầu Giao thức dữ liệu người dùng (UDP), được gửi nhanh hơn mức mà máy chủ có thể đáp ứng. Do tác động tích lũy thêm của việc bị tấn công với các yêu cầu không trả về đích, ngay cả tường lửa của máy chủ cũng có thể sập. Điều này cũng ngăn hệ thống phản hồi các yêu cầu thực.
Các cuộc tấn công khuếch đại phản xạ (Reflection amplification attacks) – cuộc tấn công này hoạt động bằng cách gửi một khối lượng lớn các gói UDP có địa chỉ IP giả mạo đến một máy chủ DNS. Về cơ bản, nó gửi chúng đến IP của nạn nhân. Mục tiêu bị tấn công bởi một loạt các phản hồi như thể nạn nhân đã truy cập tất cả các máy chủ này. Điều này cho phép hacker ẩn danh, quấy rối người dùng bằng những đợt truy cập tăng đột biến làm tắc nghẽn băng thông.
Sự nguy hiểm của các cuộc tấn công DDoS
Có rất nhiều lý do bạn nên ngăn chặn các mối đe dọa do các cuộc tấn công DDoS và mạng botnet gây ra. Dưới đây là một vài ví dụ về những gì có thể xảy ra nếu khả năng phòng thủ của hệ thống bị giảm.
Các hệ thống thương mại có thể bị lỗi – vào năm 2018, nhà điều hành đường sắt DSB của Đan Mạch đã trở thành nạn nhân của một cuộc tấn công DDoS và nó đã phá hủy lịch trình định tuyến của họ. Hệ thống bán vé đã ngừng hoạt động và các chuyến tàu chạy chậm lại để bảo vệ an toàn cho người lái.
Sự cố máy chủ game bị gián đoạn – vào năm 2016, thế giới game trực tuyến đã rung chuyển khi phát hiện ra cuộc tấn công mạng botnet Mirai. Trong trường hợp này, những kẻ tấn công đã tìm cách đánh sập các máy chủ Minecraft. Cuộc tấn công này không chỉ làm gián đoạn những người chơi Minecraft trên toàn thế giới. Điều tồi tệ hơn nữa là thực tế mạng botnet này đã “lừa đảo”, gây ra thiệt hại trên khắp các máy chủ ở miền đông Hoa Kỳ.
Phá sản – vào năm 2014, công ty internet Code Spaces đã chứng minh mình là một ví dụ tuyệt vời cho trường hợp xấu nhất do các cuộc tấn công DDoS. Sau nhiều lần tấn công, trung tâm mã hóa đã đóng cửa. Đây là điều có thể xảy ra với bất kỳ tổ chức nào nếu bạn không có kế hoạch ngăn chặn các kẻ tấn công DDoS.
Một trong những khía cạnh tồi tệ nhất của các cuộc tấn công DDoS là rất khó phát hiện hệ thống của bạn có bị xâm phạm hay không. Mặc dù có một số ảnh hưởng đến tốc độ kết nối, nhưng hầu hết người dùng hầu như không nhận thấy bất kỳ sự khác biệt nào. Thay vào đó, họ tiếp tục các hoạt động trực tuyến bình thường của mình mà không hề hay biết về những thiệt hại mà họ đang tạo ra trên toàn thế giới.
Tuy nhiên, có những hậu quả đối với người dùng hàng ngày. Ví dụ, game thủ có thể thấy tốc độ kết nối giảm và độ trễ tăng đáng kể khi các cuộc tấn công DDoS diễn ra. Một số game như Runescape đã từng là nạn nhân của những cuộc tấn công như vậy, dẫn đến việc nhiều người chơi bị ping khủng khiếp.
Cách ngăn chặn các cuộc tấn công DDoS
Điều khó khăn nhất trong việc ngăn chặn các cuộc tấn công DDoS là không có giải pháp nhanh gọn nào có thể bảo vệ bạn. Tuy nhiên, vẫn có một số cách có thể được thực hiện để giảm thiểu rủi ro có thể xảy ra.
- Giám sát: Nếu bạn đang điều hành một doanh nghiệp, bạn nên tích cực giám sát mạng của mình để tìm tất cả các loại mối đe dọa có thể xảy ra, các cuộc tấn công DDoS chỉ là một trong những mối đe dọa có thể xảy ra. Bạn càng nhanh chóng phân biệt được một cuộc tấn công bằng botnet với lưu lượng truy cập người dùng tăng đột biến, thì bạn càng có thể giảm thiểu thiệt hại trước khi máy chủ của bạn bị quá tải.
- Chuẩn bị sẵn giải pháp: Bạn sẽ ngạc nhiên khi có rất nhiều chủ doanh nghiệp thiết lập máy chủ giá rẻ. Nó có thể nhanh chóng phản tác dụng nếu cấu hình máy chủ bị lỗi. Việc thêm một rào cản như tường lửa với giới hạn lưu lượng thích hợp có thể giúp bạn tránh khỏi sự tấn công của những kẻ có mạng botnet nhỏ.
- Phòng cháy hơn chữa cháy: Bạn nên có kế hoạch về những việc cần làm khi cuộc tấn công diễn ra. Bao gồm liên hệ với ISP của bạn để yêu cầu họ định tuyến lại lưu lượng truy cập. Hoặc liên hệ với nhà cung cấp dịch vụ giảm thiểu DDoS. Nó sẽ phụ thuộc nhiều vào tình huống mà bạn đang gặp phải. Tuy nhiên, bạn càng phản ứng nhanh thì bạn càng có cơ hội ngăn chặn nó trước khi nó gây ra quá nhiều thiệt hại.
- Bảo vệ mạng của bạn: Điều chính mà mỗi người dùng nên làm là đảm bảo rằng hệ thống của mình không bị tin tặc chiếm đoạt. Điều này có thể xảy ra khi bạn nhấp vào các liên kết đáng ngờ và cài đặt phần mềm độc hại, sau đó phần mềm này được liên kết với một mạng botnet quy mô lớn.
