Hotline : 07 088 44444
Thích
Chia sẻ

DDoS Là Gì

08/04/2021

Nền công nghiệp CNTT đang trải qua sự gia tăng không ngừng của các cuộc tấn công DDoS trong những năm qua. Nó không những gây thiệt hại to lớn về kinh tế mà còn cả thương hiệu. Vậy DDoS là gì? Nó hoạt động như thế nào?

Tấn công DDoS đã bắt đầu từ những năm khởi nguyên của thời đại internet. Tuy nhiên, nó đang ngày càng trở nên mạnh mẽ hơn bao giờ hết. Theo một báo cáo năm 2018 của IDG, một cuộc tấn công DDoS gây ra 7 đến 12 giờ ngưng hoạt động của server. Với thiệt hại trung bình 5600 USD/phút ngưng hoạt động, một cuộc tấn công DDoS sẽ làm các doanh nghiệp mất từ 2,3 đến 4 triệu USD. Thiệt hại trên phần lớn là do thiếu hụt hoạt động kinh doanh, chưa tính đến chi phí cho nhân viên hay các khoản khác.

Cùng với sự phát triển của CNTT, các hacker luôn sử dụng các loại hình tấn công mới để đạt được mục đích của chúng. Trong phần đầu của bài viết này, chúng tôi sẽ khái quát bản chất của DDoS là gì và tổng quan về tấn công DDoS.

DDoS là gì?

DDoS (là viết tắt của Distributed Denial-of-Service) có nghĩa là tấn công từ chối dịch vụ phân tán. Tấn công DDoS xảy ra khi các server và mạng bị tràn ngập với lưu lượng truy cập nhiều quá mức. Mục đích của DDoS là áp đảo các trang web hoặc server với lượng lớn request, khiến hệ thống không thể hoạt động nữa.

Các cuộc tấn công DDoS cũng có thể được bắt nguồn từ hàng chục ngàn máy tính được kết nối mạng với nhau. Các máy này không phải botnet, tức là không bị xâm nhập. Thay vào đó, chúng là những máy bị cấu hình sai, hoặc chỉ đơn giản là bị lừa tham gia vào một botnet.

Khái niệm về bonet – là các mạng lưới máy tính rất rộng lớn. Botnet thường được sử dụng để thực hiện các cuộc tấn công DDoS. Chúng thường bao gồm các máy tính bị xâm nhập (thiết bị IoT, server, máy trạm, router…) được điều khiển bởi server trung tâm.

DDoS là gì?
DDoS là gì?

Ai là người thực hiện tấn công DDoS và họ có bị phát hiện không?

Những kẻ tấn công DDoS thường không bí ẩn như trên phim ảnh. Thực tế, các chính quyền thường biết rõ những nhóm này. Chúng sử dụng các chiến thuật tấn công DDoS để có được sự ảnh hưởng. Từ đó nhằm phá vỡ các hoạt động của chính phủ và quân sự. Khiến mọi người mất niềm tin dần vào một ngành thị trường, thượng hiệu hay tổ chức nào đó lâu đời.

Với bất kỳ mục đích hay động lực nào, các hacker đều có thể dễ dàng được thuê để thực hiện tấn công DDoS. Các cá nhân hay cả nhóm thương mại đều có sẵn để thuê trên darkweb. Thường là dưới dạng mô hình dịch vụ.

Vào tháng 12 năm 2019, hai hacker Nga đã bị truy tố vì triển khai một cuộc tấn công DDoS nhắm vào một ngân hàng ở Mỹ. Cuộc tấn công này cũng được xác nhận là hoạt động dựa trên mô hình DDoS-for-hire. Do đó, nó được xem là một trong những kế hoạch ngân hàng lớn nhất thập kỷ qua.

Ai đứng sau các cuộc tấn công DDoS?
Ai đứng sau các cuộc tấn công DDoS?

Vậy các hacker tấn công DDoS có bị phát hiện không?

Từ trước đến nay, các hacker chủ yếu sử dụng IP giả để tránh bị phát hiện khi tấn công DDoS. Hầu hết các chuyên gia CNTT cho rằng giao thức IPv4 không có biện pháp bảo vệ chống lại giả mạo. Đồng thời, phần lớn các triển khai IPv6 cũng không sử dụng đầy đủ các giao thức. Từ đó khiến việc giả mạo IP dễ dàng hơn.

Các hacker hiện nay còn sử dụng một phương pháp khác để tránh bị phát hiện: Fast Flux DNS. Bằng cách thao túng lưu lượng DNS, botnet DDoS sử dụng nhiều địa chỉ IP được gán cho một tài nguyên. Các botnet sau đó tráo đổi địa chỉ IP ngẫu nhiên. Quá trình này diễn ra rất nhanh. Do đó những người quản lý sẽ khó phản ứng kịp với cách tấn công này.

Một biến thể khác của Fast Flux DNS là Double Flux DNS. Trong đó, các hacker sử dụng nhiều tên DNS và thao túng các lệnh HTTP GET. Chiến thuật này có hiệu quả rất cao trong việc tránh bị phát hiện.

Cách các hacker thu thập thông tin trước khi tấn công DDoS

Những kẻ tấn công có thể sử dụng nhiều phương pháp khác nhau để khai thác các thông tin hữu ích. Trong đó có hai hình thức chính: Trực tiếp và gián tiếp.

  • Trực tiếp: Những kẻ tấn công thường sử dụng các công ục như Nmap để đánh giá một mạng. Nmap dùng để xác định bất kỳ thiết bị được nào được kết nối. Đồng thời tiết lộ các đánh giá chi tiết về mạng. Bên cạnh đó, Nmap cũng có thể được dùng để xác định các ứng dụng đang có cổng mở. Từ đó, các hacker có được một hình ảnh toàn diện về các thiết bị được kết nối.
  • Gián tiếp: Trong phương pháp gián tiếp, các hacker sẽ kiểm kê các mục tiêu, nhằm xác định phương pháp tấn công hợp lý. Chúng thường giới thiệu các phần mềm độc hại cho những cá nhân dễ bị dụ dỗ. Hoặc có thể cấu hình lại mạng để loại các lưu lượng cần thiết, nhằm đạt được mục đích.

Ngoài ra, các hacker có thể dùng kỹ thuật network profiling. Chẳng hạn như scan các cổng, ping. Nhằm tìm ra lỗ hổng mạng.

Lý do tấn công DDoS là gì?

Để có thể ngăn chặn tấn công DDoS, trước hết cần biết các động lực để thúc đẩy DDoS là gì. Hiện nay, DDoS xảy ra nhằm một số mục đích như sau:

  • Tài chính: Tấn công DDoS thường được kết hợp với tấn công ransomeware. Những kẻ tấn công thường là một phần của một nhóm tội phạm có tổ chức. Thậm chí, các doanh nghiệp đối thủ cũng có thể thực hiện tấn công DDoS để có được lợi thế cạnh tranh.
  • Bất đồng về ý thức hệ: Các cuộc tấn công thường nhắm vào các cơ quan quản lý hay các nhóm biểu tình áp bực trong chính trị. Những cuộc tấn công này thường được tiến hành để hỗ trợ một hệ thống chính trị hay tôn giáo cụ thể.
  • Chiến thuật: Trong trường hợp này, tấn công DDoS thường chỉ là một phần trong các chiến dịch lớn. Đôi khi, các chiến dịch còn kết hợp với tấn công vật lý hay tấn công phần mềm.
  • Thương mại: Tấn công DDoS có thể thu thập được những thông tin hoặc gây thiệt hại cho các ngành công nghiệp cụ thể. Lấy ví dụ, các cuộc tấn công vào Sony, British Airways…khiến người tiêu dùng mất niềm tin vào cả ngành công nghiệp ấy.
  • Tống tiền: Các cuộc tấn công có thể được sử dụng cho các lợi ích cá nhân, hoặc thậm chí tống tiền.
  • Tấn công do nhà nước: Một số cuộc tấn công DDoS được tiến hành nhằm gây rối loạn trong quân sự cũng như người dân.
Lý do để xảy ra các cuộc tấn công DDoS
Lý do để xảy ra các cuộc tấn công DDoS

Thực trạng về tấn công DDoS hiện nay

Ngày nay, DDoS đang ngày càng trở nên mạnh mẽ. Sau đây là một số thông tin về thực trạng của tấn công DDoS trong những năm gần đây:

  • DDoS đang trở nên phổ biến hơn: Chỉ tính trong đầu năm 2019, TechRepublic cho biết số lượng các cuộc tấn công với mục đích làm nghẽn mạng và từ chối truy cập tài nguyên đã tăng đến 967%!
  • Quy mô các cuộc tấn công đã lớn hơn: Các báo cáo của InfoSecurity cho biết, các cuộc tấn công trung bình đã lớn hơn đến 500% về quy mô (2018).
  • Các cuộc tấn công trở nên tinh vi hơn: Tấn công DDoS hiện nay không chỉ dừng ở lớp thứ 3 nữa. Các hacker đã phát triển các cuộc tấn công ở lớp ứng dụng lớn. Neustar cho biết, 77% các cuộc tấn công được can thiệp trong quý 1 năm 2019, sử dụng 2 hoặc nhiều vector để tấn công (multivector).
  • Ứng dụng AI và học máy để tấn công DDoS: Lấy ví dụ, các botnet DDoS ứng dụng phương pháp học máy để tiến hành trinh sát các mạng tinh vi. Từ đó tìm ra các hệ thống dễ xâm nhập nhất. Ngoài ra, AI cũng được áp dụng để tự cấu hình lại nhằm thay đổi chiến lược tấn công, tránh bị phát hiện.
  • Kết hợp nhiều chiến lược tấn công: Các hacker ngày nay đã sử dụng nhiều phương pháp tấn công khác nhau. Từ ăn cắp thông tin, tấn công vật lý đến các kỹ thuật xã hội…khiến DDoS chỉ là một yếu tố để tiếp cận đến các mục đích của hacker.

DDoS Attack đã phát triển như thế nào?

1996: DDoS attack đầu tiên được biết đến

Cuộc tấn công đầu tiên vào năm 1996 nhắm vào Panix, đó là nhà cung cấp ISP lâu đời nhất tại New York. Tin tặc đã đánh sập hệ thống máy tính với SYN flood. Phương pháp này khai thác quá trình bắt tay ba bước của TCP (TCP three-way handshake) bằng cách gửi nhiều SYN packet từ nhiều IP khác nhau. Do đó, mục tiêu sẽ hết tài nguyên và không thể xử lý các request từ user thực. Panix đã phải mất 36 giờ để có thể xử lý xong vụ việc này

2000: DDoS attack trở nên chuyên nghiệp hơn, hacktivism bắt đầu

Các chiến thuật, kỹ thuật và phương pháp hoạt động của DDoS đã có một bước nhảy vọt vào tháng 2 năm 2000. Khi này, Amazon, Ebay, Yahoo!, Dell, CNN và FIFA đều trải qua cuộc tấn công lớn bởi một thiếu niên Canada có nickname là “Mafiaboy”

Để thiết lập cuộc tấn công, “người vô tích sự” đã sử dụng tool TFN2, khai thác mạng lưới máy tính đã bị nhiễm trước đây để tạo ra lượng truy cập lớn vào các trang web độc hại. Để tránh khỏi các cơ chế bảo mật truyền thống, ứng dụng tấn công này có thể giả mạo bằng các mã hóa các giao thức truyền thông mạng

Đầu năm 2008, các kỹ sư mạng đã nổi lên để tiến hành một cuộc chiến về ý thức. Gây tranh cãi và trở thành xu hướng trên các mạng xã hội. Nhóm hacker Anonymous đã làm sập website của Church of Scientology với một cuộc tấn công có tốc độ 220Mbps.

Ngay sau đó, một nhóm hacker mũ đen được gọi là LulzSec. Chúng nổi lên nhờ đã đánh sập website của CIA khỏi internet vào ngày 15 tháng 6 năm 2011. Năm ngày sau, họ dựng một cuộc DDoS attack nhắm vào một tổ chức pháp luật UK được gọi là Serious Organized Crime Agency (SOCA). Mục tiêu của chúng cũng bao gồm một số trang web chính phủ của Bồ Đào Nha và Brazil

2007: DDoS attack trở thành mối đe dọa với các quốc gia

DDoS đã mở rộng phạm vi tấn công trong năm 2007, trở thành công cụ chiến tranh chống lại chính phủ. Estonia trở thành sân chơi cho sự thay đổi này. Sau khi nước châu Âu nhỏ này rời khỏi Liên Xô, Nga đã lên án một số ý kiến về chính trị. Từ đây, cuộc đối đầu đã diễn ra

Khi các quan chức của Estonia quyết định di chuyển đài tưởng niệm Soldier Bronze (biểu tượng chiến thắng của Liên Xô với Nazism) ra khỏi thủ đô Tallinn thì một loại các website của chính phủ Estonia bị đánh sập

Các traffic tấn công trang web được xác định là từ các địa chỉ IP của Nga. Chính phủ Estonia sau đó tuyên bố thực hiện cuộc tấn công vào Kremlin như một sự trả thù

Tháng 7 năm 2009, hàng chục trang web chính phủ của US. Bao gồm Lầu năm góc, Bộ quốc phòng và Nhà Trắng đã trải qua một loại cuộc tấn công DDoS. Bằng chứng cho thấy chiến dịch này được phối hợp thực hiện bởi các nhóm đe dọa từ Bắc Hàn

2016: DDoS thông qua IoT botnets xuất hiện

Internet of Things ngày càng thông minh và phổ biến. Nó làm cho những điều phức tạp trở nên dễ dàng và mang lại các công nghệ tiên tiến. Tuy nhiên, sự tuyệt vời này cũng có những mặt trái. Với những nỗ lực để giành chiến thắng trong cuộc đua công nghệ, một số nhà sản xuất ưu tiên trải nghiệm người dùng và bỏ bê bảo mật

DDoS actors đã sử dụng các thiết bị IoT bảo mật kém lần đầu tiên vào tháng 10 năm 2016. Họ sử dụng một mạng botnet bao gồm hàng trăm nghìn thiết bị để chiếm đoạt tài nguyên của Dyn, một công ty cơ sở hạ tầng trực tuyến đáng chú ý. Sức mạnh của cuộc tấn công này ước tính lớn hơn cả 1Tbps. Nó đánh sập Reddit, Etsy, Spotify, các trang web cho CNN và Times New York cũng như hàng chục dịch vụ nổi tiếng khác

2018: Ransom DDoS xuất hiện

Tống tiền là một động lực đặc biệt đằng sau các cuộc tấn công DDoS. Vector này lần đầu được phát hiện vào năm 2018 khi các actor bắt đầu thực hiện những gì được gọi là “memcached” attacks. Điểm nhấn trong chiến thuật này là xử lý sai dữ liệu caching service được áp dụng rộng rãi trong môi trường cloud. Framework này dựa trên giao tiếp UDP bởi UDP không hỗ trợ xác thực và dễ dàng khai thác

Attacker sẽ đánh vào “memcached” với các UDP request chứa địa chỉ IP của server mục tiêu. Khi response, server gửi packet lại IP đó, tất cả chỉ để làm giảm khả năng xử lý của victim. Phương pháp này cho phép attacker khuếch đại traffic truy cập lên đến 20 lần

Các nhà nghiên cứu bắt đầu phân tích một trong những cuộc tấn công “memcached”. Ban đầu đã bắt gặp một ghi chú về tiền chuộc được đưa vào rogue traffic. Nó yêu cầu 50 XMR (tiền điện tử Monero) để ngừng tấn công

Theo thời gian, chiến thuật tống tiền của các DDoS actors trở nên đơn giản hơn. Họ bắt đầu liên hệ với victims qua email thay vì ghi chú tiền chuộc trong các đoạn code. Thật thú vị, những mối đe dọa tống tiền này thường được thực hiện trước khi bị tấn công. Vậy nên khó có thể phân biệt được đâu là mối đe dọa thực sự, đâu là giả mạo

Ngày nay: Multi-pronged attacks

Trải qua nhiều thập kỷ, DDoS đang được khai thác rộng rãi trong các cuộc tấn công và kết hợp với các kỹ thuật khác nhau.

Một cơ chế nữa là tận dụng cuộc tấn công DDoS để khai thác các lỗ hổng khác. Ví dụ trong khi nhân viên IT đang bận rộn giải quyết Flood bất thường thì các actors có thể lặng lẽ gây ra một cái gì đó trên hệ thống. Với kịch bản này, đối thủ thường đánh lạc hướng để triển khai các phần mềm độc hại, gian lận tài chính, trộm cắp dữ liệu nhạy cảm hoặc phishing scams

Nhìn chung, DDoS vẫn là một “ông lớn” trong lĩnh vực cybercrime. Các tổ chức cũng nên chuẩn bị các biện pháp phòng thủ phù hợp. Việc sử dụng web application firewall (WAF) và một dịch vụ giảm thiểu mối đe dọa đáng tin cậy như Akamai hoặc Cloudflare có thể cải thiện đáng kể

Nếu kẻ xấu đe dọa đánh sập mạng doanh nghiệp trong trường hợp không thanh toán. Các nhà phân tích bảo mật cũng khuyên bạn nên bỏ qua nhu cầu về tiền chuộc. Bởi tỷ lệ tống tiền thành công sẽ khuyến khích các attackers càng hứng thú hơn trong việc sử dụng DDoS. Hơn nữa, nhiều nỗ lực tống tiền này xoay quanh các mối đe dọa sẽ không thực hiện được.

Lịch sử các cuộc tấn công DDoS tiêu biểu

Nếu bạn không hứng thú về lịch sử các cuộc tấn công DDoS từng diễn ra, hãy bỏ qua phần này để tiếp tục với những mục khác thú vị hơn khi tìm hiểu về DDoS là gì?

1. Estonia: 27/4/2007

Điểm qua một chút về bối cảnh xã hội lúc bấy giờ ở Estonia. Khi đó đang có một sự phân chia chính trị về một nghĩa trang quân sự ở Estonia. Đối với cộng đồng người Estonia nói tiếng Nga, bức tượng đại diện cho sự giải phóng của Đức quốc xã. Mặt khác, những người dân tộc Estonian lại cho rằng đó là biểu tượng của sự áp bức từ Liên Xô.

Vào ngày 27/4 năm 2007, một loạt các cuộc tấn công mạng đã nổ ra. Hầu hết đó là các cuộc tấn công DDoS. Các cá nhân đã sử dụng ping flood và botnet để spam và lật đổ nhiều tổ chức tài chính. Cùng với đó là nhiều cơ quan chính phủ lẫn cửa hàng truyền thông. Các cuộc tấn công này hiện vẫn được coi là một trong những cuộc tấn công tinh vi nhất. Đồng thời, đây cũng là một ví dụ tiêu biểu về tấn công chính trị bằng DDoS.

2. Cộng hòa Georgia: 20/7/2008

Vào năm 2008, Cộng hòa Georgia đã trải qua một đợt tấn công DDoS khổng lồ. Nó diễn ra chỉ vài tuần trước khi bị xâm lược bởi Nga. Cuộc tấn công này dường như nhắm vào tổng thống Georgia, hạ gục các trang web chính phủ. Sau này, các cuộc tấn công được cho rằng là để giảm nỗ lực giao tiếp với những người ủng hộ Đảng Georgia. Không lâu sau đó, Georgia trở thành nạn nhân trong cuộc xâm lăng của nước Nga.

Cuộc tấn công này đã được ghi chép lại như một ví dụ về tấn công mạng kết hợp với tấn công vật lý. Cuộc tấn công này được nghiên cứu trên toàn thế giới. Không chỉ bởi các chuyên gia mạng mà còn bởi các nhóm quân sự.

3. Spamhaus: 18/3/2013

Spamhaus, hay còn được gọi là “Cuộc tấn công gần như đã phá vỡ cả Internet”. Lúc bấy giờ, đây chính là cuộc tấn công DDoS lớn nhất trong lịch sử internet.

Cuộc tấn công được thúc đẩy khi một nhóm có tên Cyberpunk bị blacklist bởi Spamhaus. Nhằm trả thù, nhóm đã nhắm vào tổ chức anti-spam đang cố gắng cắt giảm nỗ lực spam với một cuộc tấn công DDoS. Cuối cùng, tổng dữ liệu của đợt tấn công DDoS này lên đến 300 Gbps.

Lần tấn công này lớn đến nỗi nó đã hạ gục được cả CloudFlare, một công ty bảo mật internet được thiết kế đặc biệt để chống lại các cuộc tấn công này. Và CloudFlare đã gục ngã hoàn toàn chỉ trong một thời gian ngắn ngủi.

4. Occupy Central: Tháng 6/2014

Occupy Central – Chiếm dịch chiếm lĩnh Trung Hoàn từng nổ ra ở Hong Kong vào năm 2014. Trong giai đoạn này, các cuộc tấn công DDoS được thực hiện với mục đích làm tê liệt các cuộc biểu tình dân chủ đang xảy ra vào lúc đó. Hai trang web tin tức, Apple Daily và PopVote lúc ấy cũng đã phát hành các nội dung nhằm hỗ trợ phe dân chủ.

Cuộc tấn công này còn lớn hơn nhiều so với Spamhaus, với tổng dữ liệu đạt đến 500 Gbps. Cuộc tấn công này đã phá vỡ khả năng phát hiện bằng cách nguy trang các packet giống như lưu lượng bình thường. Nhiều người cho rằng cuộc tấn công này được triển khai bởi chính phủ Trung Quốc. Với mục đích giảm suy yếu sự ủng hộ dành cho phe dân chủ.

5. Dyn: 21/10/2016

Năm 2016, một cuộc tấn công DDoS khổng lồ đã được triển khai để chống lại nhà cung cấp DNS Dyn. Nó nhằm vào các server của công ty bằng botnet Mirai, chiếm lấy hàng ngàn trang web. Cuộc tấn công này đã ảnh hưởng nghiêm trọng đến thị trường chứng khoán. Đồng thời cũng là hồi chuông cảnh tỉnh về các lỗ hổng của thiết bị IoT.

Botnet Mirai bao gồm một nhóm các thiết bị IoT được kết nối với nhau. Các botnet được tạo bằng cách khai thác thông tin đăng nhập trên các thiết bị tiêu dùng. Các thông tin này hầu như không bao giờ được thay đổi bởi các người dùng. Cuộc tấn công này đã ảnh hưởng đến 69 công ti khác nữa. Trong đó bao gồm cả các nhà sản xuất lớn như Amazon, CNN và Visa.

6. GitHub: 28/8/2018

Một trong những cuộc tấn công DDoS lớn nhất lịch sử đã được nhắm vào GitHub. Đây chính là một trong những nền tảng phát triển nổi tiếng nhất thế giới. Vào lúc đó, đây chính là cuộc tấn công lớn nhất từng xuất hiện. Tuy nhiên, nhờ vào các biện pháp phòng chống DDoS hiệu quả, nền tảng chị bị offline trong vài phút.

Các kẻ tấn công đã giả mạo địa chỉ IP của GitHub, lấy được quyền truy cập vào memcache để tăng lượng lưu lượng vào nền tảng. Tuy vậy, tổ chức đã nhanh chóng cảnh báo hỗ trợ. Sau đó, các lưu lượng đã được chuyển qua những trung tâm khác để hạn chế thiệt hại. GitHub đã hoàn tất việc sao lưu và tái hoạt động chỉ trong 10 phút.

Cuộc tấn công DDoS tới GitHub
Cuộc tấn công DDoS tới GitHub

Các công cụ hỗ trợ để tấn công DDoS

Những kẻ tấn công DDoS thường vận dụng nhiều công cụ khác nhau để thực hiện tấn công. Dưới đây là một số phương tiện phổ biến để tấn công DDoS:

  • Botnet: Là nhóm các hệ thống bị xâm nhập, khá phổ biến trong tấn công DDoS.
  • Thiết bị IoT: Những lỗ hổng trong những thiết bị được kết nối có thể bị khai thác bởi các hacker. Như ở phần trên, botnet Mirai khét tiếng cũng từng được sử dụng để khởi động nhiều cuộc tấn công DDoS.
  • AI: Trí tuệ nhân tạo được các hacker sử dụng để tự động sửa mã, khiến các biện pháp bảo vệ không thể ngăn chặn tấn công được nữa.
  • Khai thác thiết bị cũ: Các phần cứng cũ thường tiếp xúc với nhiều lỗ hổng hơn. Do đó, chúng thường bị chọn làm mục tiêu tấn công và khai thác.
  • Các hệ thống cấu hình sai: Nhiều thiết bị và dịch vụ hiện nay quá “mở” nên dễ bị tấn công. Một vấn đề hiện nay được phát hiện trên các nền tảng cloud là thiếu asset discovery thích hợp. Do đó, các hệ thống thường dễ bị tấn công hoặc trở thành một phần của botnet.

3 lỗ hổng bị lợi dụng DDoS Attack

Các cuộc tấn công từ chối dịch vụ phân tán (và cả những loại tấn công khác) đều phát sinh từ ba loại lỗ hổng chung: monoculture, technical debt và system complexity.

Monoculture

Đây là một thuật ngữ trong kinh tế, là khi ta chỉ quan tâm đến những điều mang lại giá trị. Thật vậy, chúng ta có xu hướng chỉ thích tự động hóa và sao chép các hệ thống. Trong thời đại của cloud và siêu ảo hóa, các bộ phận CNTT thường chỉ tạo một lần, và deploy thường xuyên. Điều này có nghĩa là, khi tạo một dịch vụ cụ thể, chẳng hạn như workplace của Amazon Web Serivces (AWS), hay một web server, ta sẽ sao chép và sử dụng nó nhiều lần. Điều này tạo ra một Monoculture. Tức là một tình huống mà ở đó hàng chục, hàng trăm sự vật giống nhau cùng tồn tại.

Vì vậy, các hacker tập trung tấn công vào các loại tình huống này. Sở dĩ vì chúng có thể khai thác một lỗ hổng nhỏ để đạt được những thiệt hại cực lớn. Và chỉ cần một malware nhỏ bé cũng đủ để tấn công vô vàn hệ thống lớn.

Monoculture
Monoculture

Technical debt

Các công ti khi bắt đầu triển khai một giải pháp doanh nghiệp mới thường bỏ qua một số bước quan trọng. Có thể là một phần mềm, một triển khai cloud hay một web server mới. Ngành công nghiệp CNTT lâu nay đã xác định rõ các bước quan trọng mà các tổ chức cần đi theo để tạo ra phần mềm và các dịch vụ an toàn. Đáng buồn là, các tổ chức lại thường bỏ qua những bước quan trọng nhất. Chỉ để tiết kiệm một chút thời gian hay tiền bạc.

Technical debt
Technical debt

Mỗi lần như vậy, các tổ chức này được xem là đang chịu một khoản “nợ kỹ thuật”. Dĩ nhiên, có nợ thì phải trả nợ. Nếu tổ chức không trả lại khoản nợ ấy, bằng cách sửa phần mềm hay cấu hình, các bảo mật dịch vụ quan trọng…, tổ chức ấy sẽ phải chịu hậu quả. Khi đó, họ sẽ trở thành mục tiêu của các cuộc tấn công mạng. Một ví dụ về nợ kĩ thuật có thể được tìm thấy ở các thiết bị IoT. Chúng thường được trang bị khả năng mạng mạnh mẽ. Nhưng lại không có mật khẩu mặc định. Vì vậy, các hacker có thể dễ dàng tranh thủ đưa các thiết bị này vào botnet. Nhưng những người phải trả món nợ kỹ thuật này lại chính là người dùng của các doanh nghiệp ấy.

Độ phức tạp (Complexity)

Các hệ thống với độ phức tạp cao thường sẽ khó để quản lý và theo dõi. Đặc biệt là với các hệ thống được tạo ra quá vội vàng, cẩu thả. Sự tinh tế đúng là cần thiết. Nhưng khi chúng ta tạo ra nhiều hệ thống kết nối hơn, sự phức tạp này lại có thể khiến chúng ta mất đi quyền kiểm soát thông tin của mình. Các lỗi xảy ra thường dần đến những phần mềm bị dính bug. Khi các phần mềm này được kết nối với các cloud khác, các bug sẽ lan rộng ra các quy mô lớn hơn nữa.

DDoS là gì
Độ phức tạp (Complexity)

Phân loại các kiểu tấn công DDoS

UDP Flood

UDP Flood là kiểu tấn công mà trong đó một số lượng lớn các packets User Datagram Protocol (UDP) được gửi đến server mục tiêu để áp đảo khả năng xử lý và phản hồi của thiết bị. Các Firewall bảo vệ server mục tiêu cũng có thể bị cạn kiệt do UDP Flood dẫn đến DDoS với lưu lượng 1 cách hợp pháp.

Tấn công UDP Flood
Tấn công UDP Flood

HTTP Flood

HTTP Flood là kiểu tấn công trong đó kẻ tấn công khai thác các yêu cầu HTTP GET hoặc POST có vẻ là hợp pháp để tấn công máy chủ web hoặc ứng dụng. Tấn công bằng HTTP Flood là những cuộc tấn công thường sử dụng một đội quân “zombie” botnet, một nhóm máy tính có kết nối Internet, mỗi máy tính đã bị chiếm quyền kiểm soát, thường là với sự hỗ trợ của phần mềm độc hại như Trojan Horse.

Đây là một cuộc tấn công Lớp 7 tinh vi, nó không sử dụng các gói có định dạng kỳ lạ, các kỹ thuật spoofing (giả mạo) hoặc reflection và yêu cầu ít băng thông hơn các cuộc tấn công khác, để “hạ bệ” trang web hoặc máy chủ được nhắm mục tiêu.

Tấn công HTTP Flood
Tấn công HTTP Flood

SYN Flood

SYN Flood là một kiểu tấn công với mục đích làm cho máy chủ không có lưu lượng để truy cập hợp pháp bằng cách tiêu thụ tất cả tài nguyên server đang có sẵn. Bằng việc gửi liên tục gửi các packet tin yêu cầu kết nối ban đầu. Người tấn công có thể áp đảo tất cả các cổng có sẵn trên máy chủ được chọn muc tiêu, làm cho thiết bị Client đáp ứng lưu lượng hợp pháp một cách chậm chạp hoặc không đáp ứng kịp thời.

Tấn công SYN Flood
Tấn công SYN Flood

Advanced Persistent Dos (APDos)

APDos là hình thức tấn công vô cùng phức tạp và nguy hiểm bởi vì nó sử dụng kết hợp tất cả những hình thức tấn công khác như HTTP Flood hay SYN Flood,… Kẻ tấn công sử dụng Advanced Persistent Dos luôn mong muốn gây ra những tác hại nghiêm trọng. Cuộc tấn công này cực kỳ lớn và nguy hiểm vì có thể sẽ kéo dài hàng tuần hoặc hằng tháng, với điều kiện là hacker phải có khả năng thay đổi chiến thuật liên tục tránh các bảo vệ an ninh.

NTP Amplification

NTP là một kiểu tấn công dựa trên một lượng lớn các gói tin mà kẻ tấn công khai thác máy chủ Network Time Protocol (NTP) đang hoạt động và cố gắng làm cho hệ thống mạng hay máy chủ của nạn nhân quá tải với lượng lớn các gói tin UDP được khuếch đại.

Ping of Death

Ping of Death (còn gọi là PoD) là một kiểu tấn công mà trong đó kẻ tấn công cố gắng làm sập, mất ổn định hoặc đóng băng máy tính hoặc dịch vụ được nhắm mục tiêu, bằng cách gửi các gói tin có định dạng sai hoặc quá lớn bằng lệnh ping đơn giản.

Fraggle Attack

Fraggle Attack là một kiểu tấn công sử dụng nhiều lưu lượng UDP vào mạng phát sóng của Router. Cũng tương tự như cách tấn công Smurf nhưng nó không sử dụng nhiều ICMP.

Slowloris

Slowloris là một chương trình tấn công từ chối dịch vụ cho phép kẻ tấn công áp đảo máy chủ mục tiêu bằng cách mở và duy trì nhiều kết nối HTTP đồng thời giữa kẻ tấn công và mục tiêu.

Application Level Attack

Application Layer Attack là các cuộc tấn công lớp ứng dụng hay tấn công DDoS lớp 7 (Layer 7) đề cập đến một loại hành vi độc hại được thiết kế để nhắm mục tiêu đến lớp “trên cùng” trong mô hình OSI, nơi xảy ra các yêu cầu Internet phổ biến như HTTP GET và HTTP POST. Các cuộc tấn công lớp 7 này, trái ngược với những cuộc tấn công lớp mạng như DNS Amplification, đặc biệt hiệu quả do chúng tiêu thụ tài nguyên máy chủ, ngoài tài nguyên mạng.

Zero-day DDos Attack

Zero-day là một cuộc tấn công khai thác điểm yếu bảo mật phần mềm nghiêm trọng mà nhà cung cấp hoặc nhà phát triển phần mềm có thể không biết. Nhà phát triển phần mềm phải giải quyết điểm yếu đó ngay khi phát hiện, nhằm hạn chế mối đe dọa cho người dùng phần mềm. Giải pháp đó được gọi là bản vá phần mềm. Các cuộc tấn công khai thác lỗ hổng Zero-day có thể được sử dụng để tấn công Internet vạn vật (IoT).

Cách nhận biết xảy ra một cuộc tấn công từ chối dịch vụ

Không phải sự ngưng hoạt động của dịch vụ cũng là kết quả của một tấn công từ chối dịch vụ phân tán. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các quản trị viên đang thực hiện việc bảo trì và quản lý. Một số cách nhận biết nguy cơ của một cuộc tấn công DDoS:

  • Thực thi mạng chậm một cách không bình thường (mở file hay truy cập website)
  • Không vào được website bạn vẫn thường hay xem
  • Không thể truy cập đến bất kỳ một website nào khác như: trang mạng xã hội, ngân hàng, …
  • Số lượng thư rác tăng một cách đột biến trong tài khoản của bạn.

Cách để chống DDoS hiệu quả

Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là gì? Đó chính là phân biệt được giữa lưu lượng tấn công và lưu lượng truy cập bình thường.

Ví dụ như, nếu trang web của công ty nhận được nhiều sự quan tâm của mọi người. Tuy nhiên, không nên cắt đứt tất cả lưu lượng truy cập. Trừ khi công ty đó đột nhiên có sự gia tăng lưu lượng truy cập từ kẻ xấu được biết trước. Lúc này, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết.

Khó khăn nằm ở việc phân biệt khách hàng thực sự và lưu lượng tấn công.

Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng có thể thay đổi trong thiết kế từ các cuộc tấn công nguồn đơn không giả mạo. Tương tự đến các cuộc tấn công đa vector phức tạp và thích ứng.

Một cuộc tấn công DDoS đa phương thức sử dụng nhiều con đường tấn công. Mục đích là để áp đảo mục tiêu theo nhiều cách khác nhau. Vì vậy, nó có khả năng làm mất tập trung các nỗ lực giảm thiểu trên bất kỳ một quỹ đạo nào.

Một cuộc tấn công nhắm vào nhiều lớp của giao thức cùng một lúc. Chẳng hạn như khuếch đại DNS (nhắm vào layer 3/4) kết hợp với lũ HTTP (nhắm vào layer 7). Đây là một ví dụ về DDoS đa phương thức.

Vậy làm thế nào để giảm thiểu một cuộc tấn công DDoS đa phương thức? Điều này đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau.

Nói chung, cuộc tấn công càng phức tạp, lưu lượng truy cập càng khó tách khỏi lưu lượng thông thường. Mục tiêu của kẻ tấn công là phối hợp càng nhiều càng tốt. Từ đó, làm giảm thiểu hiệu quả của việc ngăn chặn nhất có thể.

Thông thường, một số cá nhân áp dụng cách giảm hoặc hạn chế traffic một cách bừa bãi. Điều này có thể tác động đến cả traffic tốt và xấu. Để vượt qua một nỗ lực phức tạp về sự gián đoạn, một giải pháp lớp sẽ mang lại lợi ích lớn nhất.

Hiển nhiên rằng các cuộc tấn công DDoS sẽ gây ra những thiệt hại nặng nề nếu không được xác định và xử lý kịp thời. Ta có thể sử dụng các bước cơ bản sau để bảo vệ tổ chức của mình:

  • Phát hiện: Phát hiện sớm là rất quan trọng để bảo vệ chống lại tấn công DDoS. Luôn tìm kiếm các dấu hiệu cảnh báo mục tiêu đã được đề cập ở trên.
  • Phân tán: Tiếp theo, nên phân tán các lưu lượng để nó không ảnh hưởng đến những tài nguyên quan trọng. Ta có thể gửi các lưu lượng DDoS vào một trung tâm “thanh lọc” (scrubbing center) khác.
  • Lọc: Các quá trình sàng lọc sẽ giúp giảm được những lưu lượng không mong muốn. Việc này có thể được thực hiện bằng cách cài đặt các rule hợp lý trên các thiết bị mạng.
  • Phân tích: Biết được nguồn gốc của các cuộc tấn công DDoS là một điều quan trọng. Có được kiến thức phân tích tốt có thể giúp ta phát triển các giao thức để chủ động chống lại các cuộc tấn công trong tương lai.
Cách chống DDoS hiệu quả
Cách chống DDoS hiệu quả

Theo dõi các lưu lượng bằng ứng dụng

Sau đây là một số ứng dụng cho phép theo dõi lưu lượng phổ biến. Dựa vào đây, ta có thể nhanh chóng phát hiện ra các lưu lượng bất thường. Từ đó tránh được những cuộc tấn công DDoS.

Công cụMô tả
ntopCung cấp lưu lượng mạng chi tiết cùng với thống kê sử dụng.
WireSharkỨng dụng capture các packet tiêu chuẩn
CapinfosIn ra các file thống kê từ pcap file
SnortHệ thống phát hiện xâm nhập mã nguồn mở (IDS)
Cisco IOS NetflowTương tự như ntop
Endpoint Protection Phần mềm gồm những sản phẩm như: Tanium, Symantec, Sophos…
SpreadsheetSpreadsheet được cung cấp bởi IDS và SIEM (Security Information and Event Management)
SIEMCác sản phẩm: AlienVault, Splunk Enterprise Security, RSA NetWitness
Nhà cung cấp giải pháp chống DDoSNhiều nhà cung cấp cho phép theo dõi và quản lý lưu lượng. Nhằm tránh được tấn công DDoS

Thông thường, các chuyên gia IT sẽ dành thời gian để tìm ra nguồn gốc của các lưu lượng giả mạo. Các phần mềm hỗ trợ phổ biến gồm:

Blackhole

Một giải pháp khả dụng cho hầu hết tất cả các quản trị viên mạng. Đó là tạo blackhole. Nói cách khác, ở dạng đơn giản nhất, khi blackhole filter được triển khai mà không có tiêu chí hạn chế cụ thể. Điều này khiến cả lưu lượng truy cập mạng không hợp pháp và độc hại được chuyển đến null route hoặc blackhole. Cuối cùng bị loại khỏi mạng.

Nếu một dịch vụ Internet đang gặp phải một cuộc tấn công DDoS thì phải làm thế nào? Nhà cung cấp dịch vụ Internet (ISP) của dịch vụ đó có thể gửi tất cả lưu lượng truy cập của trang web vào một blackhole như một sự bảo vệ.

Giới hạn tần số

Có một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ. Chính là, giới hạn số lượng yêu cầu máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định. 

Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm các kẻ phá hoại web khỏi việc đánh cắp nội dung. Tương tự, giảm thiểu các nỗ lực đăng nhập xấu. Tuy nhiên, một mình nó sẽ không đủ khả năng để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả.

Tóm lại, giới hạn tần số là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả.

Web Application Firewall

Web Application Firewall (WAF) là một công cụ có thể hỗ trợ trong việc giảm thiểu tấn công DDos ở layer 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc. WAF có thể hoạt động như một reverse proxy. Nó bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại.

Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng. Nhờ đó, xác định các công cụ DDoS. Các cuộc tấn công layer 7 có thể bị ngăn chặn. Một giá trị quan trọng của WAF hiệu quả là khả năng thực hiện nhanh chóng các rule tùy chỉnh. Điều này giúp đáp ứng với một cuộc tấn công. Một phần quan trọng của giảm thiểu DDoS do Vietnix triển khai là việc sử dụng WAF. Với bộ lọc được nâng cấp sau nhiều năm kinh nghiệm thực chiến.

Anycast

Cách tiếp cận giảm thiểu này sử dụng mạng Anycast. Mục đích để phân tán lưu lượng tấn công qua mạng của các máy chủ phân tán đến điểm lưu lượng được mạng hấp thụ.

Giống như chuyển một dòng sông ào ạt xuống các kênh nhỏ hơn riêng biệt. Cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến điểm có thể quản lý được. Đồng thời, khuếch tán bất kỳ khả năng gây rối nào.

Độ tin cậy của mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công. Tương tự, cũng như quy mô và hiệu quả của mạng. 

Liên lạc với nhà cung cấp dịch vụ chống DDoS

Khi cảm thấy website, server của mình có nguy cơ bị tấn công DDoS. Bạn hãy liên hệ ngay với nhà cung cấp Firewall chống DDoS để được hỗ trợ và khắc phục.

Một trong những nhà cung cấp dịch vụ phòng chống DDoS tốt nhất Việt Nam hiện nay là Vietnix với gần 10 năm kinh nghiệm cung cấp dịch vụ chống DDoS cho VPS/Server ở Việt Nam, Vietnix tự tin đem đến cho bạn dịch vụ Anti DDoS hiệu quả với chi phí hợp lý giúp hệ thống hoạt động ổn định, gia tăng doanh thu và uy tín.

Một số thuật ngữ trong tấn công từ chối dịch vụ phân tán

  • ACK: Acknowledgement packet – Gói xác nhận
  • DNS: Domain Name System – Hệ thống tên miền
  • HTTP: Hyper Text Transfer Protocol – Giao thức truyền siêu văn bản
  • ICMP: Internet Control Message Protocol – Giao thức thông báo kiểm soát internet
  • OSI/RM: Open Systems Interconnection/Reference Model – Mô hình tham chiếu/kết nối hệ thống mở
  • SYN: Synchronize packet – Gói đồng bộ hóa
  • SYN flood: Hacker thao túng TCP để tạo ra một cuộc tấn công DDoS
  • TCP: Transmission control protocol
  • UDP: User Datagram Protocol

Lời cuối

Trong phần cuối của bài viết DDoS là gì, chúng tôi sẽ điểm qua một số điều nên và không nên làm khi phải đối đầu với các cuộc tấn công DDoS:

  • Cần nhanh chóng tập hợp các chuyên gia IT của tổ chức để kịp thời ứng phó với các cuộc tấn công. Bên cạnh đó, thường xuyên nâng cao nhận thức về tấn công DDoS, phát triển các kế hoạch hiệu quả để quản lý sản phẩm và ứng dụng.
  • Không nên cố gắng giải quyết vấn đề một mình, không đùn đẩy trách nhiểm. Đồng thời cần cập nhật báo cáo dữ liệu thường xuyên, ít nhất 6 tháng 1 lần.

Cảm ơn các bạn đã đọc hết bài viết khá dài này. Chúc bạn có cái nhìn tổng quan hơn về tấn công DDoS và cách pòng tránh. Nếu có thắc mắc, bạn có thể để lại bình luận phía dưới bài viết này. Vietnix xin chân thành cảm ơn bạn!

Vietnix hiện đang có chương trình khuyến mãi lớn nhất trong năm

Giảm giá: Giảm giá TRỌN ĐỜI: Ngoài ra, khi sử dụng dịch vụ VPS và Hosting, quý khách sẽ được tặng bộ Theme & Plugin Wordpress bản quyền trị giá đến 800$/năm.

Đăng ký dùng thử ngay và Vietnix sẽ hoàn tiền 100% nếu quý khách không hài lòng với chất lượng sản phẩm, dịch vụ!

Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với Vietnix thông qua các kênh sau:
  • Hotline: 1800 1093 - 07 088 44444
  • Email: support@vietnix.vn
  • Hoặc chat trực tiếp với Vietnix thông qua biểu tượng Livechat ở góc phải màn hình. Đội ngũ chuyên viên của chúng tôi luôn sẵn sàng tư vấn và hỗ trợ bạn 24/7.
Mình là Bo - admin của Quản Trị Linux. Mình đã có 10 năm làm việc trong mảng System, Network, Security và đã trải nghiệm qua các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS. Gần đây mình trải nghiệm thêm Digital Marketing và đã hòan thành chứng chỉ CDMP của PersonVUE. Mình rất thích được chia sẻ và hỗ trợ cho mọi người, nhất là các bạn sinh viên. Hãy kết nối với mình nhé!
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments