Tìm hiểu về DDoS SYN flood và cách giảm thiểu tấn công

Tấn công SYN flood là một dạng tấn công từ chối dịch vụ (DoS/DDoS) phổ biến, nhắm vào điểm yếu trong quá trình thiết lập kết nối của giao thức TCP. Trong bài viết này, mình sẽ giúp bạn hiểu rõ SYN flood là gì, cách SYN flood khai thác giao thức TCP, hậu quả và các biện pháp ngăn chặn hiệu quả.

Những điểm chính

1. Khái niệm SYN Flood: Là kiểu tấn công DoS/DDoS nhắm vào lớp vận chuyển (Layer 4), gửi hàng loạt gói tin SYN không hoàn chỉnh đến máy chủ, làm cạn kiệt tài nguyên và gây từ chối dịch vụ.
2. Cơ chế hoạt động: Khai thác quy trình bắt tay 3 bước của TCP, kẻ tấn công gửi SYN với IP giả mạo hoặc không gửi ACK, làm đầy “backlog queue” của máy chủ với các kết nối nửa mở, khiến máy chủ không thể xử lý kết nối hợp lệ.
3. Các hình thức tấn công: Gồm tấn công trực tiếp (dễ phát hiện), giả mạo IP (ẩn danh), và tấn công DDoS bằng botnet (rất khó truy vết, tăng cường sức mạnh).
4. Tác động và nguy cơ: Gây cạn kiệt tài nguyên (CPU, RAM), dẫn đến từ chối dịch vụ, mất doanh thu, tổn hại uy tín và niềm tin của khách hàng.
5. Dấu hiệu nhận biết: Website/server chậm hoặc không truy cập được, CPU/RAM tăng đột biến, nhiều kết nối ở trạng thái SYN_RECV, lưu lượng truy cập mạng bất thường với nhiều gói tin SYN.
6. Biện pháp phòng chống: Tăng hàng đợi backlog, tái sử dụng kết nối cũ, dùng SYN cookies, giới hạn tốc độ yêu cầu theo IP, và lọc bằng tường lửa (Firewall/WAF) dựa trên quy tắc hoặc IP độc hại.
7. Giải pháp Vietnix Firewall Anti-DDoS: Cung cấp lá chắn bảo vệ chuyên dụng chống SYN Flood và DDoS, hoạt động ở tầng mạng, với bộ chữ ký tấn công toàn diện, giao diện quản lý trực quan, giám sát mạng chi tiết và hỗ trợ kỹ thuật 24/7.
8. Giải đáp các thắc mắc: Trả lời các câu hỏi về SYN flood.

Tấn công SYN flood là gì?

SYN flood là một kiểu tấn công DoS/DDoS nhắm vào lớp vận chuyển của mô hình mạng. Kẻ tấn công gửi một lượng lớn yêu cầu kết nối, hay còn gọi là gói tin SYN (Synchronize), đến máy chủ mục tiêu. Tuy nhiên, chúng không hoàn tất quy trình bắt tay ba bước của giao thức TCP.

Mục tiêu chính của SYN flood là làm cạn kiệt tài nguyên máy chủ, như bộ nhớ dành cho các kết nối đang chờ. Điều này khiến máy chủ không thể xử lý các yêu cầu kết nối hợp lệ từ người dùng thực, dẫn đến tình trạng từ chối dịch vụ. Các kết nối không hoàn chỉnh này được gọi là kết nối nửa mở (half-open connections).

SYN flood là một kiểu tấn công lớp vận chuyển (Transport Layer attack hay Layer 4 attack) theo mô hình OSI. Kiểu tấn công này trực tiếp khai thác điểm yếu trong cách giao thức TCP/IP (Bộ giao thức liên mạng) xử lý việc thiết lập kết nối, cụ thể là quy trình TCP three-way handshake (bắt tay ba bước của TCP).

Cơ chế hoạt động của tấn công SYN flood

Quy trình bắt tay 3 bước (Three-way Handshake) của TCP

Để hiểu SYN flood, trước tiên cần biết cách một kết nối TCP thông thường được thiết lập qua quy trình bắt tay 3 bước:

1. Bước 1 (SYN): Máy khách (Client) muốn kết nối sẽ gửi một gói tin SYN đến Máy chủ (Server). Đây như một lời chào “Tôi muốn kết nối”.
2. Bước 2 (SYN-ACK): Máy chủ nhận được SYN, nếu đồng ý, sẽ gửi lại một gói tin SYN-ACK (Synchronize-Acknowledge). Đây là lời đáp “Tôi sẵn sàng, bạn xác nhận lại nhé”. Máy chủ lúc này sẽ mở một cổng chờ gói tin xác nhận cuối cùng.
3. Bước 3 (ACK): Máy khách nhận SYN-ACK, gửi lại một gói tin ACK (Acknowledge) để xác nhận. Thông điệp là “OK, kết nối nào!”. Kết nối TCP được thiết lập hoàn chỉnh.

Cách hacker khai thác lỗ hổng TCP Handshake

Kẻ tấn công gửi một lượng lớn gói tin SYN đến máy chủ mục tiêu. Chúng thường sử dụng địa chỉ IP giả mạo (spoofed IP address), tức là địa chỉ nguồn không có thật hoặc không thuộc quyền kiểm soát của kẻ tấn công. Hoặc, kẻ tấn công (thường từ một botnet – mạng lưới các mạng máy tính bị nhiễm mã độc và được điều khiển từ xa) chỉ gửi gói SYN mà không bao giờ gửi gói tin ACK cuối cùng.

Mỗi máy chủ có một giới hạn về số lượng kết nối nửa mở mà nó có thể duy trì, quy định bởi kích thước của SYN backlog queue. Khi kẻ tấn công gửi hàng loạt gói SYN, SYN backlog queue trên máy chủ nhanh chóng bị lấp đầy.

Khi hàng đợi này đầy, máy chủ không thể chấp nhận thêm bất kỳ yêu cầu kết nối TCP hợp lệ nào từ người dùng thực. Điều này dẫn đến tình trạng từ chối dịch vụ.

Cụ thể hơn, đối với hình thức tấn công DDoS SYN Flood, quá trình này sẽ bị thay đổi như sau:

1. Gửi SYN packet cho phía server thông báo mở kết nối.
2. Server phản hồi yêu cầu bằng SYN ACK packet để xác nhận.
3. Phía tấn công không gửi ACK packet hiện lại mà tiếp tục gửi SYN packet mới cho phía server.
4. Server nhận được SYN packet mới và không nhận được ACK packet của yêu cầu trước đó, buộc duy trì kết nối cũ và đồng thời mở kết nối mới.
5. Quá trình liên tục lặp lại và tài nguyên hệ thống mục tiêu bị tiêu bao ngày càng nhiều hơn, hiệu suất giảm rõ rệt.

Cuối cùng hệ thống quá tải cho tràn cache kết nối, Hiện tượng từ chối dịch vụ xảy ra và các truy cập hợp lệ sau đó sẽ không thể xử lý.

Trong kết nối mạng, khi 1 bên để kết nối mở trong khi phía còn lại thì không, đây được gọi là kết nối “half-open”. Hình thức này khi áp dụng vào tấn công DDoS sẽ gọi là tấn công “half-open”.

Các hình thức tấn công SYN DDoS

Có 3 cách mà tấn công SYN Flood có thể xảy ra như sau:

• Tấn công trực tiếp: IP không làm giả hoặc che dấu. Vì thế mà hình thức này khá dễ phát hiện và ứng phó Các quy định firewall ngăn chặn các packet gửi đi mà không phải là SYN hoặc bằng cách lọc các gói SYN ACK nào đến trước khi sang bên tấn công (phương pháp này hiện không còn phổ biến do cách ứng phó khá dễ dàng).
• Tấn công có giả mạo: Giả mạo IP trên các SYN packet, làm danh tính và nguồn gốc được ẩn kỹ càng hơn. Mặc dù từ các manh mối này vẫn có thể truy ngược nguồn gốc nhưng đây là việc không hề dễ dàng và cần nhiều nguồn lực liên quan hợp tác hỗ trợ (bao gồm cả ISP).
• Tấn công DDoS: Việc dùng botnet để tấn công thì việc truy ngược nguồn gốc sẽ rất khó. Kẻ tấn công hoàn toàn có thể giả mạo IP trên mỗi thiết bị gửi packet đi. Tuy nhiên, nếu phe tấn công sử dụng mạng botnet như Mirai thì việc che giấu IP các thiết bị bot có vẻ không cần quan tâm nhiều.

Thay vì các cuộc tấn công số lượng lớn nhằm mục đích bão hòa cơ sở hạ tầng mạng xung quanh mục tiêu, các cuộc tấn công SYN chỉ cần lớn hơn lượng backlog có sẵn trong hệ điều hành của mục tiêu. Nếu kẻ tấn công có thể xác định kích thước của backlog và thời gian mỗi kết nối sẽ được mở trước khi hết thời gian chờ, kẻ tấn công có thể nhắm mục tiêu các tham số chính xác cần thiết để vô hiệu hóa hệ thống, từ đó giảm tổng lưu lượng truy cập xuống mức tối thiểu cần thiết để tạo từ chối dịch vụ.

Tác động và nguy cơ của tấn công SYN flood

Gây cạn kiệt tài nguyên máy chủ

Tấn công SYN flood tiêu tốn nghiêm trọng các tài nguyên máy chủ:

• CPU (Central Processing Unit – Bộ xử lý trung tâm): Phải xử lý các yêu cầu SYN.
• RAM (Random Access Memory – Bộ nhớ truy cập ngẫu nhiên): Phải cấp phát bộ nhớ cho mỗi kết nối nửa mở trong backlog queue.

Hệ quả là hiệu suất website, ứng dụng hoặc dịch vụ khác chạy trên server giảm sút, phản hồi chậm chạp.

Từ chối dịch vụ (Denial of Service)

Đây là hậu quả trực tiếp và nghiêm trọng nhất. Người dùng hợp lệ không thể truy cập vào website, ứng dụng hoặc các dịch vụ trực tuyến mà máy chủ đó cung cấp.

Ảnh hưởng đến uy tín và kinh doanh

Tấn công SYN flood gây ra nhiều thiệt hại:

• Mất khách hàng tiềm năng và hiện tại.
• Giảm doanh thu trực tiếp.
• Tổn hại nghiêm trọng đến danh tiếng và uy tín doanh nghiệp.
• Phát sinh chi phí khôi phục hệ thống và xử lý sự cố.
• Mất niềm tin từ người dùng.

Dấu hiệu nhận biết website/server bị tấn công SYN flood

Bạn có thể nghi ngờ website/server của mình đang bị tấn công SYN flood nếu thấy các dấu hiệu sau:

• Website, ứng dụng hoặc server trở nên rất chậm hoặc không thể truy cập.
• Mức sử dụng CPU và/hoặc RAM trên server tăng đột ngột và ở mức rất cao.
• Kiểm tra kết nối mạng (ví dụ bằng lệnh netstat trên Linux) thấy lượng lớn kết nối ở trạng thái SYN_RECV hoặc SYN_RECEIVED.
• Lưu lượng truy cập mạng (network traffic) đến server tăng bất thường, đặc biệt là số lượng lớn gói tin SYN từ nhiều địa chỉ IP (Internet Protocol – Giao thức Internet) khác nhau (có thể là giả mạo).

Làm thế nào để phòng chống và giảm thiểu tấn công SYN flood?

Có một số kỹ thuật cơ bản có thể cấu hình ở phía máy chủ hoặc Firewall (tường lửa – hệ thống bảo mật mạng kiểm soát lưu lượng truy cập) để giảm thiểu tác động của SYN flood. Dưới đây là một số phương pháp phổ biến, kết hợp từ cả nội dung mới và chi tiết từ nội dung cũ:

Tăng hàng đợi backlog

Các hệ thống bị nhắm đến thường có số lượng kết nối half-open nhất định, khi vượt quá con số cho phép sẽ gây ra các gián đoạn trong hoạt động.

Biện pháp này đề cập đến việc hệ thống tăng giới hạn số lượng kết nối half-open tối đa để có thể xử lý các yêu cầu mới. Trong trường hợp hệ thống không đủ bộ nhớ để có thể xử lý khi kích thước backlog tăng, hiệu suất sẽ bị ảnh hưởng nhưng vẫn tốt hơn bị tấn công DDoS.

Tái sử dụng các kết nối TCP half-open cũ

Một giải pháp khác được đề cập là ghi đè các kết nối cũ sau khi các backlog đã được xử lý. Việc này yêu cầu các kết nối hợp lệ phải thiết lập trong thời gian ngắn hơn để có thể xử lý các SYN packet không hợp lệ. Nhược điểm của biện pháp này là khi số lượng tấn công tăng lên hoặc nếu kích thước backlog quá nhỏ để thực hiện, cơ chế ghi đè trở nên vô hiệu.

SYN cookies

Biện pháp này liên quan tới tạo cookie bởi phía server. Để tránh nguy cơ mất kết nối khi backlog đã xử lý, phía server sẽ phản hồi từng yêu cầu kết nối bằng gói SYN ACK nhưng sẽ loại bỏ SYN request khỏi backlog, xoá chúng khỏi bộ nhớ, để port mở cho kết nối mới. Nếu kết nối là một yêu cầu hợp pháp và gói ACK cuối cùng được gửi từ máy khách trở lại máy chủ thì máy chủ sẽ xây dựng lại (với một số hạn chế) mục nhập hàng đợi tồn đọng SYN. Tuy nhiên biện pháp này sẽ làm thiếu sót đi một số thông tin về các kết nối TCP.

Giới hạn tốc độ yêu cầu

Cấu hình giới hạn số lượng gói tin SYN từ một địa chỉ IP trong một khoảng thời gian. Cần cẩn trọng vì có thể chặn nhầm người dùng hợp lệ, đặc biệt nếu họ đến từ cùng một mạng NAT.

Lọc bằng tường lửa

Sử dụng Firewall (network firewall và web application firewall – WAF (Tường lửa ứng dụng web)) để phát hiện và chặn các gói tin SYN bất thường dựa trên các quy tắc được định sẵn, ví dụ như chặn các gói tin từ những địa chỉ IP đã biết là độc hại hoặc có hành vi đáng ngờ.

Firewall Vietnix – Giải pháp chống SYN flood và DDoS toàn diện

Vietnix Firewall Anti DDoS là giải pháp bảo mật chuyên dụng, được thiết kế để bảo vệ hạ tầng của khách hàng khỏi các cuộc tấn công DDoS, bao gồm SYN flood. Hệ thống này hoạt động ở tầng mạng, như một lá chắn mạnh mẽ giữa Internet và máy chủ của bạn với các tính năng nổi bật như:

• Firewall Vietnix sử dụng bộ chữ ký tấn công toàn diện giúp nhanh chóng nhận diện và phản ứng với mọi tấn công DDoS/Botnet.
• Giao diện quản lý Firewall trực quan của Vietnix cho phép khách hàng kiểm soát truy cập quốc tế và quản lý IP mà không cần hỗ trợ kỹ thuật.
• Firewall Vietnix với tính năng giám sát kết nối giúp bạn theo dõi, phân tích mạng chi tiết, đảm bảo hệ thống hoạt động ổn định và an toàn.
• Lớp bảo vệ từ phần cứng – phần mềm đến mô hình lắp đặt, đảm bảo khả năng chống chịu trước các cuộc tấn công phức tạp, quy mô lớn.
• Vietnix hỗ trợ kỹ thuật 24/7 cùng khả năng tùy chỉnh linh hoạt, giúp bạn tối ưu hóa Firewall theo nhu cầu riêng và đối phó nhanh chóng với các phương thức tấn công mới.
• Firewall Anti DDoS Vietnix đã được chứng nhận sở hữu trí tuệ và đạt chứng nhận tiêu chuẩn về bảo mật và chất lượng.

Thông tin liên hệ:

• Website: https://vietnix.vn/
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh

Tấn công SYN Flood là một trong những hình thức DDoS phổ biến và nguy hiểm, có thể khiến hệ thống mạng bị tê liệt nếu không được phòng ngừa đúng cách. Việc nắm rõ cơ chế hoạt động, áp dụng các biện pháp bảo mật và chống DDoS chuyên dụng sẽ giúp doanh nghiệp chủ động bảo vệ hạ tầng. Chủ động đầu tư vào an ninh mạng chính là chìa khóa để đảm bảo sự ổn định, an toàn và phát triển bền vững cho hệ thống.