Hotline : 1800 1093 - 07 088 44444
Thích
Chia sẻ

DDoS là gì? Tìm hiểu về tấn công từ chối dịch vụ từ A-Z

08/04/2021

Nền công nghiệp CNTT đang trải qua sự gia tăng không ngừng của các cuộc tấn công DDoS trong những năm qua. Nó không những gây thiệt hại to lớn về kinh tế mà còn cả thương hiệu. Vậy DDoS là gì? Nó hoạt động như thế nào?

Tấn công DDoS đã bắt đầu từ những năm khởi nguyên của thời đại internet. Tuy nhiên, nó đang ngày càng trở nên mạnh mẽ hơn bao giờ hết. Theo một báo cáo năm 2018 của IDG, một cuộc tấn công DDoS gây ra 7 đến 12 giờ ngưng hoạt động của server. Với thiệt hại trung bình 5600 USD/phút ngưng hoạt động, một cuộc tấn công DDoS sẽ làm các doanh nghiệp mất từ 2,3 dến 4 triệu USD. Thiệt hại trên phần lớn là do thiếu hụt hoạt động kinh doanh, chưa tính đến chi phí cho nhân viên hay các khoản khác.

Cùng với sự phát triển của CNTT, các hacker luôn sử dụng các loại hình tấn công mới để đạt được mục đích của chúng. Trong phần đầu của bài viết này, chúng tôi sẽ khái quát những kiến thức cơ bản nhất của DDoS và hiện thực của tấn công DDoS trong những năm gần đây.

Tấn công DDoS là gì?

Đầu tiên, DDoS là viết tắt của Distributed Denial-of-Service (Tấn công từ chối dịch vụ phân tán). Tấn công DDoS xảy ra khi các server và mạng bị tràn ngập với lưu lượng truy cập nhiều quá mức. Mục đích của DDoS là áp đảo các trang web hoặc server với lượng lớn request, khiến hệ thống không thể hoạt động nữa.

Thứ hai là khái niệm bonet – là các mạng lưới máy tính rất rộng lớn. Botnet thường được sử dụng để thực hiện các cuộc tấn công DDoS. Chúng thường bao gồm các máy tính bị xâm nhập (thiết bị IoT, server, máy trạm, router…) được điều khiển bởi server trung tâm.

Các cuộc tấn công DDoS cũng có thể được bắt nguồn từ hàng chục ngàn máy tính được kết nối mạng với nhau. Các máy này không phải botnet, tức là không bị xâm nhập. Thay vào đó, chúng là những máy bị cấu hình sai, hoặc chỉ đơn giản là bị lừa tham gia vào một botnet.

Thực trạng về tấn công DDoS hiện nay

Ngày nay, DDoS đang ngày càng trở nên mạnh mẽ. Sau đây là một số thông tin về thực trạng của tấn công DDoS trong những năm gần đây:

  • DDoS đang trở nên phổ biến hơn: Chỉ tính trong đầu năm 2019, TechRepublic cho biết số lượng các cuộc tấn công với mục đích làm nghẽn mạng và từ chối truy cập tài nguyên đã tăng đến 967%!
  • Quy mô các cuộc tấn công đã lớn hơn: Các báo cáo của InfoSecurity cho biết, các cuộc tấn công trung bình đã lớn hơn đến 500% về quy mô (2018).
  • Các cuộc tấn công trở nên tinh vi hơn: Tấn công DDoS hiện nay không chỉ dừng ở lớp thứ 3 nữa. Các hacker đã phát triển các cuộc tấn công ở lớp ứng dụng lớn. Neustar cho biết, 77% các cuộc tấn công được can thiệp trong quý 1 năm 2019, sử dụng 2 hoặc nhiều vector để tấn công (multivector).
  • Ứng dụng AI và học máy để tấn công DDoS: Lấy ví dụ, các botnet DDoS ứng dụng phương pháp học máy để tiến hành trinh sát các mạng tinh vi. Từ đó tìm ra các hệ thống dễ xâm nhập nhất. Ngoài ra, AI cũng được áp dụng để tự cấu hình lại nhằm thay đổi chiến lược tấn công, tránh bị phát hiện.
  • Kết hợp nhiều chiến lược tấn công: Các hacker ngày nay đã sử dụng nhiều phương pháp tấn công khác nhau. Từ ăn cắp thông tin, tấn công vật lý đến các kỹ thuật xã hội…khiến DDoS chỉ là một yếu tố để tiếp cận đến các mục đích của hacker.

Sự phát triển của tấn công DDoS

Sự thật mà nói, những kẻ tấn công đều là những cá nhân xuất sắc, vì chúng luôn tìm ra cách để đạt được mục tiêu của mình. Lấy ví dụ, các hacker chỉ cần tìm một giao thức cụ thể. Giả sử các hacker phát hiện ra có thể dùng TCP để tạo một cuộc tấn công flood SYN hay memcache…

Cùng với sự phát triển của AI, nó cũng đã mở ra những tiềm năng vô cùng lớn. Các hacker có thể sử dụng nhận diện giọng nói, học máy…để thao túng các thiết bị tích hợp trong nhà hay văn phòng. Từ đó có thể tự tạo ra các lỗ hổng để tấn công.

Các chiến thuật tấn công DDoS là gì?

Vậy các chiến thuật tấn công DDoS là gì để đạt được mục đích hiệu quả nhất? Hiện nay có hai chiến thuật tấn công DDoS chính mà ta có thể kể đến:

Bombardment (volumetric) – Bắn phá

Chiến thuật này là một cuộc tấn công phối hợp, nhắm vào hệ thống cụ thể từ một nhóm các thiết bị. Các lưu lượng truy cập sẽ được sử dụng để bắn phá (bombard) các hệ thống. Loại tấn công này tập trung vào Layer 3 của mô hình OSI. Nó thường được đo lường bằng đơn vị packet/giây (PPS) hay megabit/giây (Mbps).

Hai hình thức tấn công bắn phá:

  • Tấn công lâu dài: Cuộc tấn công sẽ được triển khai trong nhiều ngày hoặc nhiều giờ.
  • Tấn công burst: Tấn công diễn ra trong thời gian rất ngắn (một phút hoặc vài giây). Dù thời gian ngắn, nhưng tấn công burst gây thiệt hại cực kỳ lớn. Cụ thể, với sự phát triển của các thiết bị IoT và các siêu máy tính, các hacker hoàn toàn có thể tạo ra các lưu lượng cực lớn để tấn công. Khi đó, hacker có thể tạo lưu lượng lớn trong khoảng thời gian rất ngắn.

Technology Infection

Trong chiến thuật này, các hacker thường thao túng kiểm soát các ứng dụng. Nó thường được gọi tấn tấn công Layer 7, kết hợp cùng với các botnet để tấn công. Cụ thể, các thiết bị IoT thường được sử dụng để gửi lưu lượng đến mục tiêu. Bên cạnh đó, tấn công Layer 7 cũng có thể vô hiệu hóa các ứng dụng web và cloud quan trọng trên quy mô lớn. Chúng nhằm vào các tài nguyên dựa trên cloud, nên việc thay đổi nhà cung cấp cloud sẽ không thể giải quyết được vấn đề.

Các lỗ hổng cho tấn công DDoS là gì?

Các cuộc tấn công DDoS (và cả những loại tấn công khác) đều phát sinh từ ba loại lỗ hổng chung: monoculture, technical debt và system complexity.

Monoculture

Đây là một thuật ngữ trong kinh tế, là khi ta chỉ quan tâm đến những điều mang lại giá trị. Thật vậy, chúng ta có xu hướng chỉ thích tự động hóa và sao chép các hệ thống. Trong thời đại của cloud và siêu ảo hóa, các bộ phận CNTT thường chỉ tạo một lần, và deploy thường xuyên. Điều này có nghĩa là, khi tạo một dịch vụ cụ thể, chẳng hạn như workplace của Amazon Web Serivces (AWS), hay một web server, ta sẽ sao chép và sử dụng nó nhiều lần. Điều này tạo ra một Monoculture. Tức là một tình huống mà ở đó hàng chục, hàng trăm sự vật giống nhau cùng tồn tại.

Vì vậy, các hacker tập trung tấn công vào các loại tình huống này. Sở dĩ vì chúng có thể khai thác một lỗ hổng nhỏ để đạt được những thiệt hại cực lớn. Và chỉ cần một malware nhỏ bé cũng đủ để tấn công vô vàn hệ thống lớn.

DDoS là gì

Technical debt

Các công ti khi bắt đầu triển khai một giải pháp doanh nghiệp mới thường bỏ qua một số bước quan trọng. Có thể là một phần mềm, một triển khai cloud hay một web server mới. Ngành công nghiệp CNTT lâu nay đã xác định rõ các bước quan trọng mà các tổ chức cần đi theo để tạo ra phần mềm và các dịch vụ an toàn. Đáng buồn là, các tổ chức lại thường bỏ qua những bước quan trọng nhất. Chỉ để tiết kiệm một chút thời gian hay tiền bạc.

DDoS là gì

Mỗi lần như vậy, các tổ chức này được xem là đang chịu một khoản “nợ kỹ thuật”. Dĩ nhiên, có nợ thì phải trả nợ. Nếu tổ chức không trả lại khoản nợ ấy, bằng cách sửa phần mềm hay cấu hình, các bảo mật dịch vụ quan trọng…, tổ chức ấy sẽ phải chịu hậu quả. Khi đó, họ sẽ trở thành mục tiêu của các cuộc tấn công mạng. Một ví dụ về nợ kĩ thuật có thể được tìm thấy ở các thiết bị IoT. Chúng thường được trang bị khả năng mạng mạnh mẽ. Nhưng lại không có mật khẩu mặc định. Vì vậy, các hacker có thể dễ dàng tranh thủ đưa các thiết bị này vào botnet. Nhưng những người phải trả món nợ kỹ thuật này lại chính là người dùng của các doanh nghiệp ấy.

Độ phức tạp (Complexity)

Các hệ thống với độ phức tạp cao thường sẽ khó để quản lý và theo dõi. Đặc biệt là với các hệ thống được tạo ra quá vội vàng, cẩu thả. Sự tinh tế đúng là cần thiết. Nhưng khi chúng ta tạo ra nhiều hệ thống kết nối hơn, sự phức tạp này lại có thể khiến chúng ta mất đi quyền kiểm soát thông tin của mình. Các lỗi xảy ra thường dần đến những phần mềm bị dính bug. Khi các phần mềm này được kết nối với các cloud khác, các bug sẽ lan rộng ra các quy mô lớn hơn nữa.

DDoS là gì

Kế hoạch tấn công botnet của DDoS là gì?

Lưu lượng của DDoS có khá nhiều loại khác nhau. Việc hiểu rõ sự khác nhau giữa các loại lưu lượng tấn công DDoS là gì giúp ta có được các biện pháp chủ động để nhận dạng và giảm thiểu tấn công DDoS.

1. Command & Control (C&C)

Một admin botnet sử dụng server trung tâm hoặc mạng các server để kiểm soát hàng ngàn thành viên của botnet. Khi admin phát một lệnh điều khiển botnet, đó được gọi là lưu lượng C&C. Admin thực tế thường bị xóa khỏi server botnet hay C&C sau đó. Và lưu lượng cũng thường được giả mạo, khó phát hiện hơn.

2. Phối hợp

Các cuộc tấn công có tính phối hợp cao nhất là những cuộc tấn công hiệu quả nhất. Lấy ví dụ, một cuộc tấn công botnet phối hợp cũng như một tổ kiến lửa vậy. Khi đàn kiến lửa tấn công, chúng sẽ bố trí vị trí và chuẩn bị. Sau đó là chờ đợi tín hiệu và đồng loạt thực hiện tấn công.

3. Lưu lượng Beaconing/Hearbeat

Khi một hệ thống bị xâm nhập gọi về một server C&C, nó được gọi là beaconing. Lưu lượng này đi qua một botnet và bộ điều khiển của nó. Và nó có những hành vi và khuôn mẫu riêng biệt. Khi đó, các nhà phân tích bảo mật có thể xác định lưu lượng này. Sau đó có thể đánh dấu nó. Từ đó họ có thể tìm ra các hệ thống bị xâm nhập. Cũng như quản lý hoặc chặn loại lưu lượng này. Hơn nữa là theo dõi và cô lập các botnet lây nhiễm.

4. Lưu lượng tấn công

  • TCP: Trong các cuộc tấn công DDoS, hacker sẽ đánh dấu các lỗ hổng trong kết nối TCP. Đôi khi, lỗ hổng tồn tại do mã hóa yếu hoặc thậm chí không được mã hóa. Thông thường, khi một client gửi packet SYN, server sẽ phản hồi một ACK. Sau đó, client sẽ trả lại packet ACK đó. Giao tiếp này sẽ xác định một kết nối. Một hacker có thể giả mạo IP và gửi request mà không bao giờ được công nhận. Khi đó sẽ có một cổng luôn luôn mở đợi phản hồi. Bằng cách tiếp tục gửi các packet SYN đến các cổng, hacker sẽ có thể vô hiệu hóa được server.
  • UDP: Các packet UDP thường được gửi đến máy chủ trong chế độ truyền tải thông thường. Trong một cuộc tấn công, các request sẽ tràn vào server, chứa các lưu lượng bất hợp pháp. Khi đó server sẽ không còn khả năng phản hồi các lưu lượng bình thường nữa.
  • Layer 7: Nhiều cuộc tấn công hiện đại sử dụng các lưu lượng flood HTTP GET và POST. Chúng cũng tập trung vào những lỗ hổng được tìm thấy trên nhiều server. Gồm cả server của Apache hay NGINX. Các cuộc tấn công này thường được đo theo đơn vị request/giây (RPS). Một ví dụ phổ biến của loại tấn công này chính là Slowloris.
  • Khuếch đại: Những kẻ tấn công DDoS, kể cả botnet, thường lợi dụng các dịch vụ hợp pháp và hành vi giao thức. Ví dụ, chúng thường lợi dụng lưu lượng ICMP và server NTP. Từ đó có thể dễ dàng khuếch đại các cuộc tấn công.

5. OT/IoT

  • OT (Operational Technology): Liên quan đến các item vật lý có lập trình và được liên kết với một địa chỉ IP. Đây có thể là các thiệt bị được dùng để điều khiển lưới điện, pipeline, xe hơi, drone hay robot.
  • IoT: Các thiết bị này chứa những hệ thống riêng lẻ, có thể giao tiếp với nhau hoặc được tích hợp với nhau. Các thiết bị này có thể là đồng hồ thông minh, máy in…

6. Memcache

Memcache là một dịch vụ thường dùng để phân phối bộ nhớ đệm trên nhiều hệ thống. Nó được dùng để tăng tốc website bằng cách lưu trữ thông tin trong RAM. Botnet thường khai thác các triển khai Memcache không được bảo mật đúng cách.

7. Lưu lượng bất thường

Các lưu lượng bất thường có thể liên quan đến việc sử dụng chiến lược khuếch đại hay phản xạ.

  • Phản xạ – Reflection: Gửi lưu lượng thông qua các thiết bị. Sau đó chuyển hướng sự chú ý khỏi các hệ thống của kẻ tấn công.
  • Khuếch đại – Amplification: Xảy ra khi botnet gửi lưu lượng qua các thiết bị. Chúng sẽ respond như bình thường trong khi đang nhân bản nhiều lưu lượng đến mục tiêu.

8. Monoculture

Như đã đề cập ở trên. Đây là một nhóm các hệ thống được cấu hình tương tự nhau. Và dĩ nhiên, chứa cùng một loại lỗ hổng. Các hacker có thể từ đó khai thác điểm yếu của các hệ thống này.

9. Multivector

Các cuộc tấn công hiện đại có thể kết hợp nhiều chiến lược khác nhau. Thường là Layer 7, Volumetric và Ransomware. Thực ra, ba loại hình tấn công này đã trở thành bộ ba trifecta trong thế giới DDoS.

Các công cụ tìm hiểu cách botnet hoạt động

Sau khi tìm hiểu DDoS là gì, ta đã biết botnet thường được sử dụng để tiến hành tấn công DDoS. Vì vậy, những người dùng CNTT cần trang bị đầy đủ những kiến thức cơ bản về DDoS. Có hai mô hình có thể giúp ta hiểu hơn về những cuộc tấn công này:

  • Lockheed Cyber Kill Chain: Mô hình này phác thảo 7 bước một hakcer có thể thực hiện để tiến hành một cuộc tấn công DDoS lâu dài. Mô hình này không kể đến việc sử dụng các botnet để tấn công hệ thống.
  • Mitre ATT&CK Model: Mô hình này sẽ tạo hồ sơ các cuộc tấn công ngoài đời thực. Sau đó, nó sẽ chứa các thông tin này vào một nhóm lớn, nhằm giúp người dùng phân tích và ngăn chặn các sự cố trong tương lai. Mô hình này đặc biệt hữu ích cho những cá nhân muốn tự chống tấn công DDoS.

Trong phần hai của bài viết, chúng tôi sẽ đi sâu hơn vào các cuộc tấn công DDoS. Ai là người tấn công? Làm sao các hacker có thể tránh bị phát hiện? Lý do để tấn công DDoS là gì? Liệu có phải chỉ vì mục đích kinh tế hay không?…cùng nhiều câu hỏi khác sẽ được trả lời trong phần 2 của bài viết này.

Lịch sử các cuộc tấn công DDoS

Nếu bạn không hứng thú về lịch sử các cuộc tấn công DDoS từng diễn ra, hãy bỏ qua phần này để tiếp tục với những mục khác.

1. Estonia: 27/4/2007

Điểm qua một chút về bối cảnh xã hội lúc bấy giờ ở Estonia. Khi đó đang có một sự phân chia chính trị về một nghĩa trang quân sự ở Estonia. Đối với cộng đồng người Estonia nói tiếng Nga, bức tượng đại diện cho sự giải phóng của Đức quốc xã. Mặt khác, những người dân tộc Estonian lại cho rằng đó là biểu tượng của sự áp bức từ Liên Xô.

Vào ngày 27/4 năm 2007, một loạt các cuộc tấn công mạng đã nổ ra. Hầu hết đó là các cuộc tấn công DDoS. Các cá nhân đã sử dụng ping flood và botnet để spam và lật đổ nhiều tổ chức tài chính. Cùng với đó là nhiều cơ quan chính phủ lẫn cửa hàng truyền thông. Các cuộc tấn công này hiện vẫn được coi là một trong những cuộc tấn công tinh vi nhất. Đồng thời, đây cũng là một ví dụ tiêu biểu về tấn công chính trị bằng DDoS.

2. Cộng hòa Georgia: 20/7/2008

Vào năm 2008, Cộng hòa Georgia đã trải qua một đợt tấn công DDoS khổng lồ. Nó diễn ra chỉ vài tuần trước khi bị xâm lược bởi Nga. Cuộc tấn công này dường như nhắm vào tổng thống Georgia, hạ gục các trang web chính phủ. Sau này, các cuộc tấn công được cho rằng là để giảm nỗ lực giao tiếp với những người ủng hộ Đảng Georgia. Không lâu sau đó, Georgia trở thành nạn nhân trong cuộc xâm lăng của nước Nga.

Cuộc tấn công này đã được ghi chép lại như một ví dụ về tấn công mạng kết hợp với tấn công vật lý. Cuộc tấn công này được nghiên cứu trên toàn thế giới. Không chỉ bởi các chuyên gia mạng mà còn bởi các nhóm quân sự.

3. Spamhaus: 18/3/2013

Spamhaus, hay còn được gọi là “Cuộc tấn công gần như đã phá vỡ cả Internet”. Lúc bấy giờ, đây chính là cuộc tấn công DDoS lớn nhất trong lịch sử internet.

Cuộc tấn công được thúc đẩy khi một nhóm có tên Cyberpunk bị blacklist bởi Spamhaus. Nhằm trả thù, nhóm đã nhắm vào tổ chức anti-spam đang cố gắng cắt giảm nỗ lực spam với một cuộc tấn công DDoS. Cuối cùng, tổng dữ liệu của đợt tấn công DDoS này lên đến 300 Gbps.

Lần tấn công này lớn đến nỗi nó đã hạ gục được cả CloudFlare, một công ty bảo mật internet được thiết kế đặc biệt để chống lại các cuộc tấn công này. Và CloudFlare đã gục ngã hoàn toàn chỉ trong một thời gian ngắn ngủi.

4. Occupy Central: Tháng 6/2014

Occupy Central – Chiếm dịch chiếm lĩnh Trung Hoàn từng nổ ra ở Hong Kong vào năm 2014. Trong giai đoạn này, các cuộc tấn công DDoS được thực hiện với mục đích làm tê liệt các cuộc biểu tình dân chủ đang xảy ra vào lúc đó. Hai trang web tin tức, Apple Daily và PopVote lúc ấy cũng đã phát hành các nội dung nhằm hỗ trợ phe dân chủ.

Cuộc tấn công này còn lớn hơn nhiều so với Spamhaus, với tổng dữ liệu đạt đến 500 Gbps. Cuộc tấn công này đã phá vỡ khả năng phát hiện bằng cách nguy trang các packet giống như lưu lượng bình thường. Nhiều người cho rằng cuộc tấn công này được triển khai bởi chính phủ Trung Quốc. Với mục đích giảm suy yếu sự ủng hộ dành cho phe dân chủ.

5. Dyn: 21/10/2016

Năm 2016, một cuộc tấn công DDoS khổng lồ đã được triển khai để chống lại nhà cung cấp DNS Dyn. Nó nhằm vào các server của công ty bằng botnet Mirai, chiếm lấy hàng ngàn trang web. Cuộc tấn công này đã ảnh hưởng nghiêm trọng đến thị trường chứng khoán. Đồng thời cũng là hồi chuông cảnh tỉnh về các lỗ hổng của thiết bị IoT.

Botnet Mirai bao gồm một nhóm các thiết bị IoT được kết nối với nhau. Các botnet được tạo bằng cách khai thác thông tin đăng nhập trên các thiết bị tiêu dùng. Các thông tin này hầu như không bao giờ được thay đổi bởi các người dùng. Cuộc tấn công này đã ảnh hưởng đến 69 công ti khác nữa. Trong đó bao gồm cả các nhà sản xuất lớn như Amazon, CNN và Visa.

6. GitHub: 28/8/2018

Một trong những cuộc tấn công DDoS lớn nhất lịch sử đã được nhắm vào GitHub. Đây chính là một trong những nền tảng phát triển nổi tiếng nhất thế giới. Vào lúc đó, đây chính là cuộc tấn công lớn nhất từng xuất hiện. Tuy nhiên, nhờ vào các biện pháp phòng chống DDoS hiệu quả, nền tảng chị bị offline trong vài phút.

Các kẻ tấn công đã giả mạo địa chỉ IP của GitHub, lấy được quyền truy cập vào memcache để tăng lượng lưu lượng vào nền tảng. Tuy vậy, tổ chức đã nhanh chóng cảnh báo hỗ trợ. Sau đó, các lưu lượng đã được chuyển qua những trung tâm khác để hạn chế thiệt hại. GitHub đã hoàn tất việc sao lưu và tái hoạt động chỉ trong 10 phút.

DDoS là gì?

Ai là người thực hiện tấn công DDoS?

Những kẻ tấn công DDoS thường không bí ẩn như trên phim ảnh. Thực tế, các chính quyền thường biết rõ những nhóm này. Chúng sử dụng các chiến thuật tấn công DDoS để có được sự ảnh hưởng. Từ đó nhằm phá vỡ các hoạt động của chính phủ và quân sự. Khiến mọi người mất niềm tin dần vào một ngành thị trường, thượng hiệu hay tổ chức nào đó lâu đời.

Với bất kỳ mục đích hay động lực nào, các hacker đều có thể dễ dàng được thuê để thực hiện tấn công DDoS. Các cá nhân hay cả nhóm thương mại đều có sẵn để thuê trên darkweb. Thường là dưới dạng mô hình dịch vụ.

Vào tháng 12 năm 2019, hai hacker Nga đã bị truy tố vì triển khai một cuộc tấn công DDoS nhắm vào một ngân hàng ở Mỹ. Cuộc tấn công này cũng được xác nhận là hoạt động dựa trên mô hình DDoS-for-hire. Do đó, nó được xem là một trong những kế hoạch ngân hàng lớn nhất thập kỷ qua.

Cách các hacker tránh bị phát hiện trong DDoS là gì?

Từ trước đến nay, các hacker chủ yếu sử dụng IP giả để tránh bị phát hiện khi tấn công DDoS. Hầu hết các chuyên gia CNTT cho rằng giao thức IPv4 không có biện pháp bảo vệ chống lại giả mạo. Đồng thời, phần lớn các triển khai IPv6 cũng không sử dụng đầy đủ các giao thức. Từ đó khiến việc giả mạo IP dễ dàng hơn.

Các hacker hiện nay còn sử dụng một phương pháp khác để tránh bị phát hiện: Fast Flux DNS. Bằng cách thao túng lưu lượng DNS, botnet DDoS sử dụng nhiều địa chỉ IP được gán cho một tài nguyên. Các botnet sau đó tráo đổi địa chỉ IP ngẫu nhiên. Quá trình này diễn ra rất nhanh. Do đó những người quản lý sẽ khó phản ứng kịp với cách tấn công này.

Một biến thể khác của Fast Flux DNS là Double Flux DNS. Trong đó, các hacker sử dụng nhiều tên DNS và thao túng các lệnh HTTP GET. Chiến thuật này có hiệu quả rất cao trong việc tránh bị phát hiện.

Lý do cho các cuộc tấn công DDoS là gì?

Để có thể ngăn chặn tấn công DDoS, trước hết cần biết các động lực thúc đẩy DDoS là gì. Hiện nay, những kẻ tấn công DDoS có các động lực phổ biến sau:

  • Tài chính: Tấn công DDoS thường được kết hợp với tấn công ransomeware. Những kẻ tấn công thường là một phần của một nhóm tội phạm có tổ chức. Thậm chí, các doanh nghiệp đối thủ cũng có thể thực hiện tấn công DDoS để có được lợi thế cạnh tranh.
  • Bất đồng về ý thức hệ: Các cuộc tấn công thường nhắm vào các cơ quan quản lý hay các nhóm biểu tình áp bực trong chính trị. Những cuộc tấn công này thường được tiến hành để hỗ trợ một hệ thống chính trị hay tôn giáo cụ thể.
  • Chiến thuật: Trong trường hợp này, tấn công DDoS thường chỉ là một phần trong các chiến dịch lớn. Đôi khi, các chiến dịch còn kết hợp với tấn công vật lý hay tấn công phần mềm.
  • Thương mại: Tấn công DDoS có thể thu thập được những thông tin hoặc gây thiệt hại cho các ngành công nghiệp cụ thể. Lấy ví dụ, các cuộc tấn công vào Sony, British Airways…khiến người tiêu dùng mất niềm tin vào cả ngành công nghiệp ấy.
  • Tống tiền: Các cuộc tấn công có thể được sử dụng cho các lợi ích cá nhân, hoặc thậm chí tống tiền.
  • Tấn công do nhà nước: Một số cuộc tấn công DDoS được tiến hành nhằm gây rối loạn trong quân sự cũng như người dân.

Các công cụ để tấn công DDoS là gì?

Những kẻ tấn công DDoS thường vận dụng nhiều công cụ khác nhau để thực hiện tấn công. Dưới đây là một số phương tiện phổ biến để tấn công DDoS:

  • Botnet: Là nhóm các hệ thống bị xâm nhập, khá phổ biến trong tấn công DDoS.
  • Thiết bị IoT: Những lỗ hổng trong những thiết bị được kết nối có thể bị khai thác bởi các hacker. Như ở phần trên, botnet Mirai khét tiếng cũng từng được sử dụng để khởi động nhiều cuộc tấn công DDoS.
  • AI: Trí tuệ nhân tạo được các hacker sử dụng để tự động sửa mã, khiến các biện pháp bảo vệ không thể ngăn chặn tấn công được nữa.
  • Khai thác thiết bị cũ: Các phần cứng cũ thường tiếp xúc với nhiều lỗ hổng hơn. Do đó, chúng thường bị chọn làm mục tiêu tấn công và khai thác.
  • Các hệ thống cấu hình sai: Nhiều thiết bị và dịch vụ hiện nay quá “mở” nên dễ bị tấn công. Một vấn đề hiện nay được phát hiện trên các nền tảng cloud là thiếu asset discovery thích hợp. Do đó, các hệ thống thường dễ bị tấn công hoặc trở thành một phần của botnet.

Cách các hacker thu thập thông tin trước khi tấn công DDoS

Những kẻ tấn công có thể sử dụng nhiều phương pháp khác nhau để khai thác các thông tin hữu ích. Trong đó có hai hình thức chính: Trực tiếp và gián tiếp.

Trực tiếp

Những kẻ tấn công thường sử dụng các công ục như Nmap để đánh giá một mạng. Nmap dùng để xác định bất kỳ thiết bị được nào được kết nối. Đồng thời tiết lộ các đánh giá chi tiết về mạng. Bên cạnh đó, Nmap cũng có thể được dùng để xác định các ứng dụng đang có cổng mở. Từ đó, các hacker có được một hình ảnh toàn diện về các thiết bị được kết nối.

Gián tiếp

Trong phương pháp gián tiếp, các hacker sẽ kiểm kê các mục tiêu, nhằm xác định phương pháp tấn công hợp lý. Chúng thường giới thiệu các phần mềm độc hại cho những cá nhân dễ bị dụ dỗ. Hoặc có thể cấu hình lại mạng để loại các lưu lượng cần thiết, nhằm đạt được mục đích.

Ngoài ra, các hacker có thể dùng kỹ thuật network profiling. Chẳng hạn như scan các cổng, ping. Nhằm tìm ra lỗ hổng mạng.

Mục tiêu phổ biến của tấn công DDoS là gì?

Thông thường, các hacker sẽ nhắm vào các thiết bị sau để có được quyền kiểm soát mạng:

  • End Point: Bao gồm các thiết bị như điện thoại, máy trạm, server…tức là mọi thứ được kết nối với mạng.
  • Các nhà cung cấp ISP/Cloud: Các nhà cung cấp này thường phục vụ nhiều công ty khác nhau. Cho nên cũng dễ trở thành mục tiêu tấn công DDoS.
  • OT: OT thường trở thành nạn nhân vì các hacker thường nhắm vào cơ sở hạ tầng.
  • Mạng xã hội: Instagram và Facebook đều là những mục tiêu của các cuộc tấn công DDoS, làm ảnh hưởng đến quyền truy cập cho tất cả người dùng trên nền tảng.

Bên cạnh đó, có một số ngành dễ trở thành nạn nhân nhất của tấn công DDoS, gồm:

  • Chăm sóc sức khỏe
  • Chính quyền
  • Nhà cung cấp dịch vụ internet
  • Nhà cung cấp cloud

Phản ứng và giảm thiểu DDoS

Chuẩn bị tốt, phản ứng nhanh là những yếu tố quan trọng khi đối mặt với tấn công DDoS. Biết được những gì cần tìm hiểu và nơi tìm thông tin sẽ giúp ta giảm thiểu được thiệt hại của DDoS

DDoS là gì?

Cảnh giác với kẻ thù

Hãy luôn cảnh giác với những dấu hiệu cảnh báo tấn công DDoS sau:

  • Khách hàng báo cáo dịch vụ bị chậm hoặc không khả dụng.
  • Nhân viên sử dụng cùng một kết nối nhưng cũng có vấn đề về tốc độ.
  • Nhiều request đến từ cùng một địa chỉ IP trong một khoảng thời gian ngắn.
  • Dù đang không thực hiện bảo trì nhưng vẫn bị lỗi 503 service unavailable.
  • Ping request đến tài nguyên bị timeout do TTL timeout.
  • Log báo cáo sự tăng đột biện trong lưu lượng.

Theo dõi các lưu lượng – Các ứng dụng theo dõi lưu lượng

Sau đây là một số ứng dụng cho phép theo dõi lưu lượng phổ biến. Dựa vào đây, ta có thể nhanh chóng phát hiện ra các lưu lượng bất thường. Từ đó tránh được những cuộc tấn công DDoS.

Công cụMô tả
ntopCung cấp lưu lượng mạng chi tiết cùng với thống kê sử dụng.
WireSharkỨng dụng capture các packet tiêu chuẩn
CapinfosIn ra các file thống kê từ pcap file
SnortHệ thống phát hiện xâm nhập mã nguồn mở (IDS)
Cisco IOS NetflowTương tự như ntop
Endpoint Protection Phần mềm gồm những sản phẩm như: Tanium, Symantec, Sophos…
SpreadsheetCác bảng tính được cung cấp bởi IDS và SIEM (Security Information and Event Management)
SIEMCác sản phẩm: AlienVault, Splunk Enterprise Security, RSA NetWitness
Các nhà cung cấp bảo mật bên thứ baNhiều nhà cung cấp cho phép theo dõi và quản lý lưu lượng. Nhằm tránh được tấn công DDoS

Thông thường, các chuyên gia IT sẽ dành thời gian để tìm ra nguồn gốc của các lưu lượng giả mạo. Các phần mềm hỗ trợ phổ biến gồm:

Cách giảm thiểu và phòng chống DDoS là gì?

Các chiến thuật sau đây có thể được sử dụng để giảm thiểu và bảo vệ server khỏi DDoS:

Cấu hình mạngMô phỏng
Kiểm tra cách mạng được cấu hình có thể tìm ra được các điểm yếu trước khi bị khai thác. Giao thức Border Gateway (BGP) cũng có thể giúp định tuyến lại lưu lượng mạng. Quá trình tái cấu hình có thể được thực hiện thủ công hoặc tự động bằng AI.Có thể thực hiện các mô phỏng về tấn công DDoS. Khi đó các nhân viên CNTT có thể thực hành kỹ năng phản ứng cũng như các kỹ thuật thực tế của mình.
TrainingNâng cao nhận thức
Mỗi nhân viên nên được đào tạo bài bản để nhanh chóng nhận ra dấu hiệu tấn công DDoS. Mỗi cá nhân, đặc biệt là lãnh đạo, cần nâng cao nhận thức bản thân về an ninh mạng (cybersecurity). Từ đó có thể chuẩn bị và phân bổ các nguồn lực cần thiết cho phòng chống DDoS.

Cách ngăn chặn một cuộc tấn công DDoS là gì?

Hiển nhiên rằng các cuộc tấn công DDoS sẽ gây ra những thiệt hại nặng nề nếu không được xác định và xử lý kịp thời. Ta có thể sử dụng các bước cơ bản sau để bảo vệ tổ chức của mình:

  • Phát hiện: Phát hiện sớm là rất quan trọng để bảo vệ chống lại tấn công DDoS. Luôn tìm kiếm các dấu hiệu cảnh báo mục tiêu đã được đề cập ở trên.
  • Phân tán: Tiếp theo, nên phân tán các lưu lượng để nó không ảnh hưởng đến những tài nguyên quan trọng. Ta có thể gửi các lưu lượng DDoS vào một trung tâm “thanh lọc” (scrubbing center) khác.
  • Lọc: Các quá trình sàng lọc sẽ giúp giảm được những lưu lượng không mong muốn. Việc này có thể được thực hiện bằng cách cài đặt các rule hợp lý trên các thiết bị mạng.
  • Phân tích: Biết được nguồn gốc của các cuộc tấn công DDoS là một điều quan trọng. Có được kiến thức phân tích tốt có thể giúp ta phát triển các giao thức để chủ động chống lại các cuộc tấn công trong tương lai.

Các công cụ giảm thiểu tấn công DDoS là gì?

Với sự phát triển nhanh chóng của DDoS trong những năm gần đây, có nhiều công cụ đã được phát triển nhằm giảm thiểu thiệt hại do các cuộc tấn công này gây ra.

  • Scrubbing center: Các trung tâm này sẽ lọc ra các lưu lượng hợp lệ và định tuyến nó đến một vị trí khác. Trung tâm này sẽ làm sạch các dữ liệu, chỉ cho phép những lưu lượng đã được lọc đến các điểm đích.
  • Scrubber: Cung cấp dịch vụ giảm thiểu DDoS cho các tổ chức. Các nhà cung cấp nổi tiếng gồm có: Akamai, Radware, CloudFlare…
Nhà cung cấp dịch vụDịch vụ
AWS ShieldBảo vệ tấn công layer 3 và layer 4
Neustar DDoS ProtectionCung cấp giải pháp dựa trên cloud, tại chỗ và hybrid DDoS protection
Cloudflare DDoS ProtectionBảo vệ tấn công layer 3, 4 và 7
AkamaiBảo vệ khỏi tấn công volumetric. Sở hữu nhiều trang khắp thế giới, giúp phát hiện và lọc lưu lượng nhanh chóng
AppTranaTập trung vào Layer 7, bên cạnh các lưu lượng layer 3 và 4
Alibaba DDoS Chuyên biệt cho việc giảm thiểu tấn công volumetric

Tấn công lớp ứng dụng trong DDoS là gì?

Mục tiêu của cuộc tấn công:

Đôi khi được gọi là một cuộc tấn công DDoS layer 7 (liên quan đến layer 7 của mô hình OSI). Mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên của mục tiêu.

Các cuộc tấn công nhắm vào lớp nơi các trang web được tạo trên máy chủ. Được phân phối theo yêu cầu HTTP . Một yêu cầu HTTP khi thực hiện ở phía máy khách và có thể tốn kém để máy chủ đích đáp ứng. Vì máy chủ thường phải tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu để tạo trang web.

Các cuộc tấn công layer 7 rất khó để bảo vệ vì lưu lượng có thể khó gắn cờ là độc hại.

HTTP Flood

Cuộc tấn công này tương tự như nhấn làm mới trình duyệt web nhiều lần trên nhiều máy tính khác nhau. Một số lượng lớn yêu cầu HTTP tràn vào máy chủ, dẫn đến từ chối dịch vụ.

Việc triển khai đơn giản là truy cập một URL với cùng một phạm vi tấn công của địa chỉ IP. Các phiên bản phức tạp có thể sử dụng một số lượng lớn địa chỉ IP tấn công và nhắm mục tiêu các URL ngẫu nhiên. Việc này diễn ra bằng cách sử dụng các tham chiếu ngẫu nhiên và tác nhân người dùng.

Tấn công giao thức (protocol)

Mục tiêu của cuộc tấn công:

Các cuộc tấn công giao thức, còn được gọi là các cuộc tấn công cạn kiệt tài nguyên. Từ đó, gây ra sự gián đoạn dịch vụ bằng cách tiêu thụ tất cả dung lượng tài nguyên có sẵn của các máy chủ ứng dụng web. Tương tự, nó cũng tác động đến tài nguyên trung gian như tường lửa (firewall) và cân bằng tải (load balancer).

Ngoài ra, các cuộc tấn công giao thức sử dụng các điểm yếu trong layer 3 và layer 4 của protocol stack. Mục đích là để khiến mục tiêu không thể truy cập được.

SYN Flood

SYN Flood tương tự như một công nhân trong phòng cung cấp. Họ nhận được yêu cầu từ phía trước cửa hàng.

Công nhân nhận được yêu cầu, đi và nhận gói hàng, và chờ xác nhận. Điều này được thực hiện trước khi đưa gói hàng ra phía trước. Công nhân sau đó nhận được nhiều yêu cầu gói hơn mà không cần xác nhận. Họ làm việc đó cho đến khi họ không thể mang thêm gói nào nữa. Tuy nhiên, điều đó sẽ khiến họ trở nên quá tải và yêu cầu bắt đầu không được trả lời.

Cuộc tấn công này khai thác việc bắt tay TCP. Thực hiện bằng cách gửi cho mục tiêu một số lượng lớn các gói SYN TCP (gói yêu cầu khởi tạo kết nối mới). Thực hiện với các địa chỉ IP giả mạo .

Kết luận, máy đích đáp ứng với từng yêu cầu kết nối và sau đó chờ bước cuối cùng trong quá trình. Tuy nhiên, điều này không bao giờ xảy ra, làm cạn kiệt tài nguyên của mục tiêu.

Tấn công thể tích trong DDoS là gì?

Mục tiêu của cuộc tấn công:

Kiểu tấn công này tạo ra tắc nghẽn bằng cách tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và Internet. Một lượng lớn dữ liệu được gửi đến mục tiêu. Thực hiện bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện khác. Mục tiêu để tạo lưu lượng lớn, chẳng hạn như các yêu cầu từ botnet.

Khuếch đại DNS

Sự khuếch đại DNS giống như nếu ai đó gọi cho một nhà hàng. Sau đó, nói rằng tôi sẽ có một trong tất cả mọi thứ. Tiếp tục, yêu cầu vui lòng gọi lại cho tôi. Cuối cùng là cho tôi biết toàn bộ đơn hàng của tôi, trong đó số điện thoại gọi lại họ cung cấp số của mục tiêu. Với rất ít nỗ lực, một phản ứng dài được tạo ra.

Bằng cách gửi yêu cầu đến máy chủ DNS mở có địa chỉ IP giả mạo (địa chỉ IP thực của mục tiêu). Địa chỉ IP đích sau đó sẽ nhận được phản hồi từ máy chủ.

Kẻ tấn công cấu trúc yêu cầu sao cho máy chủ DNS phản hồi mục tiêu với một lượng lớn dữ liệu. Kết quả là, mục tiêu nhận được sự khuếch đại truy vấn ban đầu của kẻ tấn công.

Quá trình để giảm thiểu một cuộc tấn công DDoS là gì?

Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là gì? Chính là phân biệt giữa tấn công và lưu lượng truy cập bình thường.

Ví dụ:

Nếu trang web của công ty nhận được nhiều sự quan tâm của mọi người. Tuy nhiên, không nên cắt đứt tất cả lưu lượng truy cập. Trừ khi công ty đó đột nhiên có sự gia tăng lưu lượng truy cập từ kẻ xấu được biết trước. Lúc này, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết.

Khó khăn nằm ở việc phân biệt khách hàng thực sự và lưu lượng tấn công.

Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng có thể thay đổi trong thiết kế từ các cuộc tấn công nguồn đơn không giả mạo. Tương tự đến các cuộc tấn công đa vector phức tạp và thích ứng.

Một cuộc tấn công DDoS đa phương thức sử dụng nhiều con đường tấn công. Mục đích là để áp đảo mục tiêu theo nhiều cách khác nhau. Vì vậy, nó có khả năng làm mất tập trung các nỗ lực giảm thiểu trên bất kỳ một quỹ đạo nào.

Một cuộc tấn công nhắm vào nhiều lớp của giao thức cùng một lúc. Chẳng hạn như khuếch đại DNS (nhắm vào layer 3/4) kết hợp với lũ HTTP (nhắm vào layer 7). Đây là một ví dụ về DDoS đa phương thức.

Vậy làm thế nào để giảm thiểu một cuộc tấn công DDoS đa phương thức? Điều này đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau.

Tóm lại:

Nói chung, cuộc tấn công càng phức tạp, lưu lượng truy cập càng khó tách khỏi lưu lượng thông thường. Mục tiêu của kẻ tấn công là phối hợp càng nhiều càng tốt. Từ đó, làm giảm thiểu hiệu quả của việc ngăn chặn nhất có thể.

Thông thường, một số cá nhân áp dụng cách giảm hoặc hạn chế traffic một cách bừa bãi. Điều này có thể tác động đến cả traffic tốt và xấu. Để vượt qua một nỗ lực phức tạp về sự gián đoạn, một giải pháp lớp sẽ mang lại lợi ích lớn nhất.

Blackhole

Một giải pháp khả dụng cho hầu hết tất cả các quản trị viên mạng. Đó là tạo blackhole. Nói cách khác, ở dạng đơn giản nhất, khi blackhole filter được triển khai mà không có tiêu chí hạn chế cụ thể. Điều này khiến cả lưu lượng truy cập mạng không hợp pháp và độc hại được chuyển đến null route hoặc blackhole. Cuối cùng bị loại khỏi mạng.

Nếu một dịch vụ Internet đang gặp phải một cuộc tấn công DDoS thì phải làm thế nào? Nhà cung cấp dịch vụ Internet (ISP) của dịch vụ đó có thể gửi tất cả lưu lượng truy cập của trang web vào một blackhole như một sự bảo vệ.

Giới hạn tần số

Có một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ. Chính là, giới hạn số lượng yêu cầu máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định. 

Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm các kẻ phá hoại web khỏi việc đánh cắp nội dung. Tương tự, giảm thiểu các nỗ lực đăng nhập xấu. Tuy nhiên, một mình nó sẽ không đủ khả năng để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả.

Tóm lại, giới hạn tần số là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả.

Web Application Firewall

Web Application Firewall (WAF) là một công cụ có thể hỗ trợ trong việc giảm thiểu tấn công DDos ở layer 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc. WAF có thể hoạt động như một reverse proxy. Nó bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại.

Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng. Nhờ đó, xác định các công cụ DDoS. Các cuộc tấn công layer 7 có thể bị ngăn chặn. Một giá trị quan trọng của WAF hiệu quả là khả năng thực hiện nhanh chóng các rule tùy chỉnh. Điều này giúp đáp ứng với một cuộc tấn công. Một phần quan trọng của giảm thiểu DDoS do Vietnix triển khai là việc sử dụng WAF. Với bộ lọc được nâng cấp sau nhiều năm kinh nghiệm thực chiến.

Anycast

Cách tiếp cận giảm thiểu này sử dụng mạng Anycast. Mục đích để phân tán lưu lượng tấn công qua mạng của các máy chủ phân tán đến điểm lưu lượng được mạng hấp thụ.

Giống như chuyển một dòng sông ào ạt xuống các kênh nhỏ hơn riêng biệt. Cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến điểm có thể quản lý được. Đồng thời, khuếch tán bất kỳ khả năng gây rối nào.

Độ tin cậy của mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công. Tương tự, cũng như quy mô và hiệu quả của mạng. 

Sự nguy hiểm của DDoS Attack

Ngày nay, các threat actor ngày càng tận dụng DDoS để tống tiền bằng cách làm sập hạ tầng mạng nếu không trả tiền. Trong một số trường hợp, nó được sử dụng để làm mất tập trung nạn nhân. Sau đó thực hiện các hành động chính như đánh cắp dữ liệu, tấn công Ransomware

Tất nhiên những điều này chưa đủ, DDoS đã dần trở thành một yếu tố cạnh tranh phi đạo đức. Các doanh nhân xấu sẽ sử dụng nó như một phương thức ngăn cản đối thủ của họ. Bởi vì sử dụng dịch vụ không bị gián đoạn rất quan trọng với doanh nghiệp. Downtime có thể ảnh hưởng trực tiếp đến trải nghiệm của khách hàng. Dẫn đến các vấn đề nghiêm trọng khác, khiến doanh nghiệp tổn thất tài chính.

DDoS đang tiến triển mạnh mẽ với những công nghệ tiên tiến trên toàn cầu. Sự phát triển của IoT, kết hợp với sự kém bảo mật của các thiết bị thông minh được kết nối mạng đã mở đường cho sự xuất hiện của IoT botnets, tạo ra traffic tấn công hơn 1Tbps. Thậm chí, AWS (Amazon Web Services) đã phải chịu cuộc tấn công DDoS lên đến 2.3Tbps

DDoS attack đã khiến các tổ chức và chính phủ phải cảnh giác trong hơn hai thập kỷ. Trong quý 1 năm 2020, số lượng cuộc tấn công tăng gấp đôi so với quý 4 năm 2019. Đều đó đồng nghĩa với việc các mối đe dọa đang ngày càng leo thang.

Những cột mốc quan trọng trong sự phát triển của DDoS attack

1996: DDoS attack đầu tiên được biết đến

Cuộc tấn công đầu tiên vào năm 1996 nhắm vào Panix, đó là nhà cung cấp ISP lâu đời nhất tại New York. Tin tặc đã đánh sập hệ thống máy tính với SYN flood. Phương pháp này khai thác quá trình bắt tay ba bước của TCP (TCP three-way handshake) bằng cách gửi nhiều SYN packet từ nhiều IP khác nhau. Do đó, mục tiêu sẽ hết tài nguyên và không thể xử lý các request từ user thực. Panix đã phải mất 36 giờ để có thể xử lý xong vụ việc này

2000: DDoS attack trở nên chuyên nghiệp hơn, hacktivism bắt đầu

Các chiến thuật, kỹ thuật và phương pháp hoạt động của DDoS đã có một bước nhảy vọt vào tháng 2 năm 2000. Khi này, Amazon, Ebay, Yahoo!, Dell, CNN và FIFA đều trải qua cuộc tấn công lớn bởi một thiếu niên Canada có nickname là “Mafiaboy”

Để thiết lập cuộc tấn công, “người vô tích sự” đã sử dụng tool TFN2, khai thác mạng lưới máy tính đã bị nhiễm trước đây để tạo ra lượng truy cập lớn vào các trang web độc hại. Để tránh khỏi các cơ chế bảo mật truyền thống, ứng dụng tấn công này có thể giả mạo bằng các mã hóa các giao thức truyền thông mạng

Đầu năm 2008, các kỹ sư mạng đã nổi lên để tiến hành một cuộc chiến về ý thức. Gây tranh cãi và trở thành xu hướng trên các mạng xã hội. Nhóm hacker Anonymous đã làm sập website của Church of Scientology với một cuộc tấn công có tốc độ 220Mbps.

Ngay sau đó, một nhóm hacker mũ đen được gọi là LulzSec. Chúng nổi lên nhờ đã đánh sập website của CIA khỏi internet vào ngày 15 tháng 6 năm 2011. Năm ngày sau, họ dựng một cuộc DDoS attack nhắm vào một tổ chức pháp luật UK được gọi là Serious Organized Crime Agency (SOCA). Mục tiêu của chúng cũng bao gồm một số trang web chính phủ của Bồ Đào Nha và Brazil

2007: DDoS attack trở thành mối đe dọa với các quốc gia

DDoS đã mở rộng phạm vi tấn công trong năm 2007, trở thành công cụ chiến tranh chống lại chính phủ. Estonia trở thành sân chơi cho sự thay đổi này. Sau khi nước châu Âu nhỏ này rời khỏi Liên Xô, Nga đã lên án một số ý kiến về chính trị. Từ đây, cuộc đối đầu đã diễn ra

Khi các quan chức của Estonia quyết định di chuyển đài tưởng niệm Soldier Bronze (biểu tượng chiến thắng của Liên Xô với Nazism) ra khỏi thủ đô Tallinn thì một loại các website của chính phủ Estonia bị đánh sập

Các traffic tấn công trang web được xác định là từ các địa chỉ IP của Nga. Chính phủ Estonia sau đó tuyên bố thực hiện cuộc tấn công vào Kremlin như một sự trả thù

Tháng 7 năm 2009, hàng chục trang web chính phủ của US. Bao gồm Lầu năm góc, Bộ quốc phòng và Nhà Trắng đã trải qua một loại cuộc tấn công DDoS. Bằng chứng cho thấy chiến dịch này được phối hợp thực hiện bởi các nhóm đe dọa từ Bắc Hàn

2016: DDoS thông qua IoT botnets xuất hiện

Internet of Things ngày càng thông minh và phổ biến. Nó làm cho những điều phức tạp trở nên dễ dàng và mang lại các công nghệ tiên tiến. Tuy nhiên, sự tuyệt vời này cũng có những mặt trái. Với những nỗ lực để giành chiến thắng trong cuộc đua công nghệ, một số nhà sản xuất ưu tiên trải nghiệm người dùng và bỏ bê bảo mật

DDoS actors đã sử dụng các thiết bị IoT bảo mật kém lần đầu tiên vào tháng 10 năm 2016. Họ sử dụng một mạng botnet bao gồm hàng trăm nghìn thiết bị để chiếm đoạt tài nguyên của Dyn, một công ty cơ sở hạ tầng trực tuyến đáng chú ý. Sức mạnh của cuộc tấn công này ước tính lớn hơn cả 1Tbps. Nó đánh sập Reddit, Etsy, Spotify, các trang web cho CNN và Times New York cũng như hàng chục dịch vụ nổi tiếng khác

2018: Ransom DDoS xuất hiện

Tống tiền là một động lực đặc biệt đằng sau các cuộc tấn công DDoS. Vector này lần đầu được phát hiện vào năm 2018 khi các actor bắt đầu thực hiện những gì được gọi là “memcached” attacks. Điểm nhấn trong chiến thuật này là xử lý sai dữ liệu caching service được áp dụng rộng rãi trong môi trường cloud. Framework này dựa trên giao tiếp UDP bởi UDP không hỗ trợ xác thực và dễ dàng khai thác

Attacker sẽ đánh vào “memcached” với các UDP request chứa địa chỉ IP của server mục tiêu. Khi response, server gửi packet lại IP đó, tất cả chỉ để làm giảm khả năng xử lý của victim. Phương pháp này cho phép attacker khuếch đại traffic truy cập lên đến 20 lần

Các nhà nghiên cứu bắt đầu phân tích một trong những cuộc tấn công “memcached”. Ban đầu đã bắt gặp một ghi chú về tiền chuộc được đưa vào rogue traffic. Nó yêu cầu 50 XMR (tiền điện tử Monero) để ngừng tấn công

Theo thời gian, chiến thuật tống tiền của các DDoS actors trở nên đơn giản hơn. Họ bắt đầu liên hệ với victims qua email thay vì ghi chú tiền chuộc trong các đoạn code. Thật thú vị, những mối đe dọa tống tiền này thường được thực hiện trước khi bị tấn công. Vậy nên khó có thể phân biệt được đâu là mối đe dọa thực sự, đâu là giả mạo

Ngày nay: Multi-pronged attacks

Trải qua nhiều thập kỷ, DDoS đang được khai thác rộng rãi trong các cuộc tấn công và kết hợp với các kỹ thuật khác nhau.

Một cơ chế nữa là tận dụng cuộc tấn công DDoS để khai thác các lỗ hổng khác. Ví dụ trong khi nhân viên IT đang bận rộn giải quyết Flood bất thường thì các actors có thể lặng lẽ gây ra một cái gì đó trên hệ thống. Với kịch bản này, đối thủ thường đánh lạc hướng để triển khai các phần mềm độc hại, gian lận tài chính, trộm cắp dữ liệu nhạy cảm hoặc phishing scams

Nhìn chung, DDoS vẫn là một “ông lớn” trong lĩnh vực cybercrime. Các tổ chức cũng nên chuẩn bị các biện pháp phòng thủ phù hợp. Việc sử dụng web application firewall (WAF) và một dịch vụ giảm thiểu mối đe dọa đáng tin cậy như Akamai hoặc Cloudflare có thể cải thiện đáng kể

Nếu kẻ xấu đe dọa đánh sập mạng doanh nghiệp trong trường hợp không thanh toán. Các nhà phân tích bảo mật cũng khuyên bạn nên bỏ qua nhu cầu về tiền chuộc. Bởi tỷ lệ tống tiền thành công sẽ khuyến khích các attackers càng hứng thú hơn trong việc sử dụng DDoS. Hơn nữa, nhiều nỗ lực tống tiền này xoay quanh các mối đe dọa sẽ không thực hiện được.

Kiến thức DDoS – phân tích IP header

Lấy mẫu gói tin

Đơn giản nhất, ta có thể mở Terminal với lệnh ping liên tục ping 8.8.8.8. Song song, mở một Terminal thứ hai dùng tcpdump capture 2 gói tin ICMP request và ICMP response để làm mẫu.

Kết quả có thể như sau:

root@livebox:/tmp# tcpdump -nni any icmp -vv -X -c2
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
23:45:19.121629 IP (tos 0x0, ttl 64, id 27680, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.29 > 8.8.8.8: ICMP echo request, id 26786, seq 1, length 64
    0x0000:  4500 0054 6c20 4000 4001 fcb3 c0a8 011d  E..Tl.@.@.......
    0x0010:  0808 0808 0800 e7e8 68a2 0001 9f68 445d  ........h....hD]
    0x0020:  0000 0000 03db 0100 0000 0000 1011 1213  ................
    0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
    0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
    0x0050:  3435 3637                                4567
23:45:19.152894 IP (tos 0x20, ttl 55, id 0, offset 0, flags [none], proto ICMP (1), length 84)
    8.8.8.8 > 192.168.1.29: ICMP echo reply, id 26786, seq 1, length 64
    0x0000:  4520 0054 0000 0000 3701 b1b4 0808 0808  E..T....7.......
    0x0010:  c0a8 011d 0000 efe8 68a2 0001 9f68 445d  ........h....hD]
    0x0020:  0000 0000 03db 0100 0000 0000 1011 1213  ................
    0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
    0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
    0x0050:  3435 3637                                4567
2 packets captured
2 packets received by filter
0 packets dropped by kernel

Ta “hít” được 2 packets, thông tin về packet đầu tiên được bắt đầu và kết thúc:

23:45:19.121629 IP (tos 0x0, ttl 64, id 27680, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.29 > 8.8.8.8: ICMP echo request, id 26786, seq 1, length 64
    0x0000:  4500 0054 6c20 4000 4001 fcb3 c0a8 011d  E..Tl.@.@.......
    0x0010:  0808 0808 0800 e7e8 68a2 0001 9f68 445d  ........h....hD]
    0x0020:  0000 0000 03db 0100 0000 0000 1011 1213  ................
    0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
    0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
    0x0050:  3435 3637                                4567

, trong đó:

  • Với tcpdump option -vv, 2 dòng đầu tiên hiển thị tóm tắt các thông tin về IP header và ICMP header mà gói tin mang theo:
    23:45:19.121629 IP (tos 0x0, ttl 64, id 27680, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.29 > 8.8.8.8: ICMP echo request, id 26786, seq 1, length 64
  • Tham số -X giúp hiển thị data “hít” được dưới dạng số hex và ASCII. Những giá trị này giúp ích khi sử dụng một số iptables modules như string, u32, bpf,…
    0x0000:  4500 0054 6c20 4000 4001 fcb3 c0a8 011d  E..Tl.@.@.......
    0x0010:  0808 0808 0800 e7e8 68a2 0001 9f68 445d  ........h....hD]
    0x0020:  0000 0000 03db 0100 0000 0000 1011 1213  ................
    0x0030:  1415 1617 1819 1a1b 1c1d 1e1f 2021 2223  .............!"#
    0x0040:  2425 2627 2829 2a2b 2c2d 2e2f 3031 3233  $%&'()*+,-./0123
    0x0050:  3435 3637                                4567

Tương tự, gói tin thứ 2 chứa tin nhắn “ICMP echo reply”.

PHÂN TÍCH IP HEADER

Cấu trúc một IP header:

Nếu đọc giả chưa có kiến thức hoặc không thoải mái với các định nghĩa trên IP Header, bạn có thể tạm dừng và tham khảo lại tài liệu về IP header trước khi tiếp tục.

Chúng ta bắt đầu tập phân tích từ Field đầu tiên của IP Header:

Version (4 bits đầu)

Giá trị 0x4 cho biết đây là một gói tin IPv4. Nếu là IPv6 sẽ có giá trị 0x6.

  • Liệu có bất thường nếu một ngày server nhận hàng loạt packets có giá trị khác?

IHL (Internet Header Length). 4 bits.

Giá trị 0x5 cho biết độ dài của IP Header là 5 words (Mỗi word 32 bits), do đó:

  • IP header có độ dài 20 bytes, bắt đầu và kết thúc “4500 0054 6c20 4000 4001 fcb3 c0a8 011d 0808 0808”. Phần còn lại là data (gói ICMP).
  • 20 bytes là độ dài tối thiểu của một IP header, vậy packet này không có IP options.
  • Dịch vụ của bạn có sử dụng thêm IP options?

TOS (Type of Service). 8 bits.

Field TOS của gói echo-request bằng 0x00, gói tin echo-reply từ Google 8.8.8.8 bằng “0x20”.

  • “0x20” tương ứng |0010 0000|. Field TOS được bật bit thứ 5 có ý nghĩa gì?
  • Ứng dụng của bạn khi trao đổi dữ liệu có sử dụng bit đặc biệt nào không? Giá trị thường thấy là bao nhiêu?

Total length. 16 bits.

Tổng độ dài packet (Tính cả IP Header và Data mang theo) là 0x0054 hay 84 bytes. Ta biết IP Header dài 20 byptes, vậy Data phía sau dài 84 – 20 = 64 bytes.

Identification. 16 bits.

Định danh gói tin, mỗi gói tin được đánh số duy nhất. Gói một có id 0x6c20 hay id 27608. Mặt định khi build gói tin, HĐH đánh số packet sau tăng một đơn vị so với packet trước đó.

Trường hợp gói tin reply từ Google có id cố định bằng 0x0000 (không) là một giá trị đặc biệt của máy chủ Google. Một số công cụ (hoặc lập trình) crafted packets tạo ra traffic DoS với các gói tin có id cố định, đây cũng là một dấu hiệu nhận biết để phân biệt traffic tấn công.

IP fragmentation fieds. 16 bit.

4 bytes tiếp theo cung cấp thông tin: liệu gói tin có phân mảnh (fragment). Nếu có phân mảnh xảy ra, HĐH sẽ thực hiện quá trình hợp nhất (reassembly) các gói tin bị phân mảnh lại với nhau, dựa theo giá trị offset trên từng gói.

Theo qui định, 1 bit unused đầu tiên không được sử dụng và thường set về 0.
1 bit flag DF (Don’t fragment).
1 bit fag MF (More fragments).
13 bits còn lại, giá trị offset. Offset thường chỉ có giá trị nếu Datagram có phân mảnh.

Trong hai gói tin mẫu:

  • Gói tin thứ nhất: 0x4000 tương đương |0100 0000 0000 0000|, cho biết bit “DF” được bật, không có More fragments và offset bằng không.
  • Gói tin thứ hai: 0x0000 |0000 0000 0000 0000| không có bit flag nào bật, offset bằng không.

IP fragmentation là một chủ đề rộng và có nhiều dạng tấn công khai thác xoay quanh(Teardrop, TCP Header Fragments…).
Kiến thức fragmentation cũng giúp ta phân biệt được những crafted packets không được build theo đúng chuẩn, gói không phân mảnh nhưng offset khác 0 là một ví dụ.

TTL (Time to Live). 8 bits.

Mặc định khi build gói tin, giá trị TTL khởi tạo của HĐH Linux là 64, HĐH Windows là 128, các thiết bị Cisco là 254,… Đồng thời, khi truyền đi trên Internet, giá trị TTL được giảm đi 1 khi đi qua một hop (router, modem, host,.. các thiết bị layer 3).

  • Gói tin thứ nhất có TTL 0x40 hay 64, được tạo bởi máy tính cá nhân HĐH Linux, được captured trên card mạng khi chưa đi qua hop nào. Do đó, giá trị TTL 64 và chưa giảm.
  • Gói tin thứ hai có TTL 0x37 hay 55, bạn có thể dự đoán tại server 8.8.8.8 gói tin được khởi tạo với TTL 64, vào internet về đến máy tính của tôi đã truyền qua qua 9 hops khác nhau.

Dựa vào TTL, bạn có thể đoán một gói tin tạo ra bởi HĐH Windows hay Linux.
Một số công cụ tấn công DDoS tạo ra gói tin cố định hoặc giá trị bất thường, bạn có thể dựa vào TTL để phân biệt được traffic tấn công.

Protocol. 8 bits.

Giá trị 0x01 cho biết giao thức lớp trên là ICMP – hay gói tin mang theo một tin nhắn ICMP phía sau.

Giao thức lớp trên: TCP có giá trị 0x06, UDP có giá trị 0x11.

Header checksum. 16 bits.

2 bytes tiếp theo là giá trị checksum của IP header và IP options.

Source IP address. 32 bits.

4 bytes 0xc0a8011d lưu địa chỉ source IP của gói tin.

Cụ thể, 0xc0a8011d chia thành 4 octecs | c8 | a9 | 01 | 1d | tương đương thập phân |192 | 168 | 1 | 29|.

Vậy gói tin này được tạo từ máy tính của tôi với source IP 192.168.1.29.

Destination IP address. 32 bits.

4 bytes lưu địa chỉ đích của gói tin. Với giá trị 0x08080808, ta dễ dàng nhận biết gói tin được gửi đến địa chỉ 8.8.8.8 của Google.

IP data

Thông qua IP Header Length, chúng ta đã biết phần Header của gói tin IP đang xét dài 20 bytes và không có IP Options. Chúng ta đã xét đủ từ byte đầu tiên đến byte thứ 20 của IP Header.

Phần còn lại dài 64 bytes là data mà gói IP đang mang. Thông qua field Protocol bằng 0x01 ta cũng biết được thêm rằng data phía sau là một gói ICMP.

Phân tích chi tiết về gói tin ICMP nằm ngoài phạm vi bài viết, đọc giả có thể tự mình tìm hiểu và phân tích ICMP header một cách tương tự.

Lời cuối

Trong phần cuối của bài viết, cũng như là của cả series Cẩm nang về DDoS, chúng tôi sẽ điểm qua một số điều nên và không nên làm khi phải đối đầu với các cuộc tấn công DDoS:

  • Cần nhanh chóng tập hợp các chuyên gia IT của tổ chức để kịp thời ứng phó với các cuộc tấn công. Bên cạnh đó, thường xuyên nâng cao nhận thức về tấn công DDoS, phát triển các kế hoạch hiệu quả để quản lý sản phẩm và ứng dụng.
  • Không nên cố gắng giải quyết vấn đề một mình, không đùn đẩy trách nhiểm. Đồng thời cần cập nhật báo cáo dữ liệu thường xuyên, ít nhất 6 tháng 1 lần.

Thông tin thêm: Một số thuật ngữ về DDoS

  • ACK: Acknowledgement packet – Gói xác nhận
  • DNS: Domain Name System – Hệ thống tên miền
  • HTTP: Hyper Text Transfer Protocol – Giao thức truyền siêu văn bản
  • ICMP: Internet Control Message Protocol – Giao thức thông báo kiểm soát internet
  • OSI/RM: Open Systems Interconnection/Reference Model – Mô hình tham chiếu/kết nối hệ thống mở
  • SYN: Synchronize packet – Gói đồng bộ hóa
  • SYN flood: Hacker thao túng TCP để tạo ra một cuộc tấn công DDoS
  • TCP: Transmission control protocol
  • UDP: User Datagram Protocol

Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với Vietnix thông qua các kênh sau:
  • Hotline: 1800 1093 - 07 088 44444
  • Email: support@vietnix.vn
  • Hoặc chat trực tiếp với Vietnix thông qua biểu tượng Livechat ở góc phải màn hình. Đội ngũ chuyên viên của chúng tôi luôn sẵn sàng tư vấn và hỗ trợ bạn 24/7.
Vietnix hiện đang có chương trình khuyến mãi lớn nhất trong năm, giảm giá 50%  dịch vụ Hosting. Đăng ký dùng thử ngay và Vietnix sẽ hoàn tiền 100% nếu quý khách không hài lòng với chất lượng sản phẩm, dịch vụ!
Mình là Bo - admin của Quản Trị Linux. Mình đã có 10 năm làm việc trong mảng System, Network, Security và đã trải nghiệm qua các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS. Gần đây mình trải nghiệm thêm Digital Marketing và đã hòan thành chứng chỉ CDMP của PersonVUE. Mình rất thích được chia sẻ và hỗ trợ cho mọi người, nhất là các bạn sinh viên. Hãy kết nối với mình nhé!
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments