Tấn công DDoS là gì? Cẩm nang về DDoS (Phần 2) | Vietnix - Cloud Server Anti DDoS Chuyên Nghiệp

Tấn công DDoS là gì? Cẩm nang về DDoS (Phần 2)

08/04/2021
21 Lượt xem

Nền công nghiệp CNTT đang trải qua sự gia tăng không ngừng của các cuộc tấn công DDoS trong những năm qua. Nó không những gây thiệt hại to lớn về kinh tế mà còn cả thương hiệu. Vậy DDoS là gì? Nó hoạt động như thế nào?

Trong phần đầu của bài viết, ta đã đi qua một số thông tin cơ bản về DDoS. Phần 1 đã đề cập khái niệm DDoS là gì; thực trạng DDoS những năm gần đây; các lỗ hổng cũng như kế hoạch để hacker thực hiện tấn công DDoS. Phần 2 của series về DDoS này sẽ viết về những chủ thể của tấn công DDoS.

Lịch sử các cuộc tấn công DDoS

Nếu bạn không hứng thú về lịch sử các cuộc tấn công DDoS từng diễn ra, hãy bỏ qua phần này để tiếp tục với những mục khác.

1. Estonia: 27/4/2007

Điểm qua một chút về bối cảnh xã hội lúc bấy giờ ở Estonia. Khi đó đang có một sự phân chia chính trị về một nghĩa trang quân sự ở Estonia. Đối với cộng đồng người Estonia nói tiếng Nga, bức tượng đại diện cho sự giải phóng của Đức quốc xã. Mặt khác, những người dân tộc Estonian lại cho rằng đó là biểu tượng của sự áp bức từ Liên Xô.

Vào ngày 27/4 năm 2007, một loạt các cuộc tấn công mạng đã nổ ra. Hầu hết đó là các cuộc tấn công DDoS. Các cá nhân đã sử dụng ping flood và botnet để spam và lật đổ nhiều tổ chức tài chính. Cùng với đó là nhiều cơ quan chính phủ lẫn cửa hàng truyền thông. Các cuộc tấn công này hiện vẫn được coi là một trong những cuộc tấn công tinh vi nhất. Đồng thời, đây cũng là một ví dụ tiêu biểu về tấn công chính trị bằng DDoS.

2. Cộng hòa Georgia: 20/7/2008

Vào năm 2008, Cộng hòa Georgia đã trải qua một đợt tấn công DDoS khổng lồ. Nó diễn ra chỉ vài tuần trước khi bị xâm lược bởi Nga. Cuộc tấn công này dường như nhắm vào tổng thống Georgia, hạ gục các trang web chính phủ. Sau này, các cuộc tấn công được cho rằng là để giảm nỗ lực giao tiếp với những người ủng hộ Đảng Georgia. Không lâu sau đó, Georgia trở thành nạn nhân trong cuộc xâm lăng của nước Nga.

Cuộc tấn công này đã được ghi chép lại như một ví dụ về tấn công mạng kết hợp với tấn công vật lý. Cuộc tấn công này được nghiên cứu trên toàn thế giới. Không chỉ bởi các chuyên gia mạng mà còn bởi các nhóm quân sự.

3. Spamhaus: 18/3/2013

Spamhaus, hay còn được gọi là “Cuộc tấn công gần như đã phá vỡ cả Internet”. Lúc bấy giờ, đây chính là cuộc tấn công DDoS lớn nhất trong lịch sử internet.

Cuộc tấn công được thúc đẩy khi một nhóm có tên Cyberpunk bị blacklist bởi Spamhaus. Nhằm trả thù, nhóm đã nhắm vào tổ chức anti-spam đang cố gắng cắt giảm nỗ lực spam với một cuộc tấn công DDoS. Cuối cùng, tổng dữ liệu của đợt tấn công DDoS này lên đến 300 Gbps.

Lần tấn công này lớn đến nỗi nó đã hạ gục được cả CloudFlare, một công ty bảo mật internet được thiết kế đặc biệt để chống lại các cuộc tấn công này. Và CloudFlare đã gục ngã hoàn toàn chỉ trong một thời gian ngắn ngủi.

4. Occupy Central: Tháng 6/2014

Occupy Central – Chiếm dịch chiếm lĩnh Trung Hoàn từng nổ ra ở Hong Kong vào năm 2014. Trong giai đoạn này, các cuộc tấn công DDoS được thực hiện với mục đích làm tê liệt các cuộc biểu tình dân chủ đang xảy ra vào lúc đó. Hai trang web tin tức, Apple Daily và PopVote lúc ấy cũng đã phát hành các nội dung nhằm hỗ trợ phe dân chủ.

Cuộc tấn công này còn lớn hơn nhiều so với Spamhaus, với tổng dữ liệu đạt đến 500 Gbps. Cuộc tấn công này đã phá vỡ khả năng phát hiện bằng cách nguy trang các packet giống như lưu lượng bình thường. Nhiều người cho rằng cuộc tấn công này được triển khai bởi chính phủ Trung Quốc. Với mục đích giảm suy yếu sự ủng hộ dành cho phe dân chủ.

5. Dyn: 21/10/2016

Năm 2016, một cuộc tấn công DDoS khổng lồ đã được triển khai để chống lại nhà cung cấp DNS Dyn. Nó nhằm vào các server của công ty bằng botnet Mirai, chiếm lấy hàng ngàn trang web. Cuộc tấn công này đã ảnh hưởng nghiêm trọng đến thị trường chứng khoán. Đồng thời cũng là hồi chuông cảnh tỉnh về các lỗ hổng của thiết bị IoT.

Botnet Mirai bao gồm một nhóm các thiết bị IoT được kết nối với nhau. Các botnet được tạo bằng cách khai thác thông tin đăng nhập trên các thiết bị tiêu dùng. Các thông tin này hầu như không bao giờ được thay đổi bởi các người dùng. Cuộc tấn công này đã ảnh hưởng đến 69 công ti khác nữa. Trong đó bao gồm cả các nhà sản xuất lớn như Amazon, CNN và Visa.

6. GitHub: 28/8/2018

Một trong những cuộc tấn công DDoS lớn nhất lịch sử đã được nhắm vào GitHub. Đây chính là một trong những nền tảng phát triển nổi tiếng nhất thế giới. Vào lúc đó, đây chính là cuộc tấn công lớn nhất từng xuất hiện. Tuy nhiên, nhờ vào các biện pháp phòng chống DDoS hiệu quả, nền tảng chị bị offline trong vài phút.

Các kẻ tấn công đã giả mạo địa chỉ IP của GitHub, lấy được quyền truy cập vào memcache để tăng lượng lưu lượng vào nền tảng. Tuy vậy, tổ chức đã nhanh chóng cảnh báo hỗ trợ. Sau đó, các lưu lượng đã được chuyển qua những trung tâm khác để hạn chế thiệt hại. GitHub đã hoàn tất việc sao lưu và tái hoạt động chỉ trong 10 phút.

DDoS là gì?

Ai là người thực hiện tấn công DDoS?

Những kẻ tấn công DDoS thường không bí ẩn như trên phim ảnh. Thực tế, các chính quyền thường biết rõ những nhóm này. Chúng sử dụng các chiến thuật tấn công DDoS để có được sự ảnh hưởng. Từ đó nhằm phá vỡ các hoạt động của chính phủ và quân sự. Khiến mọi người mất niềm tin dần vào một ngành thị trường, thượng hiệu hay tổ chức nào đó lâu đời.

Với bất kỳ mục đích hay động lực nào, các hacker đều có thể dễ dàng được thuê để thực hiện tấn công DDoS. Các cá nhân hay cả nhóm thương mại đều có sẵn để thuê trên darkweb. Thường là dưới dạng mô hình dịch vụ.

Vào tháng 12 năm 2019, hai hacker Nga đã bị truy tố vì triển khai một cuộc tấn công DDoS nhắm vào một ngân hàng ở Mỹ. Cuộc tấn công này cũng được xác nhận là hoạt động dựa trên mô hình DDoS-for-hire. Do đó, nó được xem là một trong những kế hoạch ngân hàng lớn nhất thập kỷ qua.

Cách các hacker tránh bị phát hiện trong DDoS là gì?

Từ trước đến nay, các hacker chủ yếu sử dụng IP giả để tránh bị phát hiện khi tấn công DDoS. Hầu hết các chuyên gia CNTT cho rằng giao thức IPv4 không có biện pháp bảo vệ chống lại giả mạo. Đồng thời, phần lớn các triển khai IPv6 cũng không sử dụng đầy đủ các giao thức. Từ đó khiến việc giả mạo IP dễ dàng hơn.

Các hacker hiện nay còn sử dụng một phương pháp khác để tránh bị phát hiện: Fast Flux DNS. Bằng cách thao túng lưu lượng DNS, botnet DDoS sử dụng nhiều địa chỉ IP được gán cho một tài nguyên. Các botnet sau đó tráo đổi địa chỉ IP ngẫu nhiên. Quá trình này diễn ra rất nhanh. Do đó những người quản lý sẽ khó phản ứng kịp với cách tấn công này.

Một biến thể khác của Fast Flux DNS là Double Flux DNS. Trong đó, các hacker sử dụng nhiều tên DNS và thao túng các lệnh HTTP GET. Chiến thuật này có hiệu quả rất cao trong việc tránh bị phát hiện.

Lý do cho các cuộc tấn công DDoS là gì?

Để có thể ngăn chặn tấn công DDoS, trước hết cần biết các động lực thúc đẩy DDoS là gì. Hiện nay, những kẻ tấn công DDoS có các động lực phổ biến sau:

  • Tài chính: Tấn công DDoS thường được kết hợp với tấn công ransomeware. Những kẻ tấn công thường là một phần của một nhóm tội phạm có tổ chức. Thậm chí, các doanh nghiệp đối thủ cũng có thể thực hiện tấn công DDoS để có được lợi thế cạnh tranh.
  • Bất đồng về ý thức hệ: Các cuộc tấn công thường nhắm vào các cơ quan quản lý hay các nhóm biểu tình áp bực trong chính trị. Những cuộc tấn công này thường được tiến hành để hỗ trợ một hệ thống chính trị hay tôn giáo cụ thể.
  • Chiến thuật: Trong trường hợp này, tấn công DDoS thường chỉ là một phần trong các chiến dịch lớn. Đôi khi, các chiến dịch còn kết hợp với tấn công vật lý hay tấn công phần mềm.
  • Thương mại: Tấn công DDoS có thể thu thập được những thông tin hoặc gây thiệt hại cho các ngành công nghiệp cụ thể. Lấy ví dụ, các cuộc tấn công vào Sony, British Airways…khiến người tiêu dùng mất niềm tin vào cả ngành công nghiệp ấy.
  • Tống tiền: Các cuộc tấn công có thể được sử dụng cho các lợi ích cá nhân, hoặc thậm chí tống tiền.
  • Tấn công do nhà nước: Một số cuộc tấn công DDoS được tiến hành nhằm gây rối loạn trong quân sự cũng như người dân.

Các công cụ để tấn công DDoS là gì?

Những kẻ tấn công DDoS thường vận dụng nhiều công cụ khác nhau để thực hiện tấn công. Dưới đây là một số phương tiện phổ biến để tấn công DDoS:

  • Botnet: Là nhóm các hệ thống bị xâm nhập, khá phổ biến trong tấn công DDoS.
  • Thiết bị IoT: Những lỗ hổng trong những thiết bị được kết nối có thể bị khai thác bởi các hacker. Như ở phần trên, botnet Mirai khét tiếng cũng từng được sử dụng để khởi động nhiều cuộc tấn công DDoS.
  • AI: Trí tuệ nhân tạo được các hacker sử dụng để tự động sửa mã, khiến các biện pháp bảo vệ không thể ngăn chặn tấn công được nữa.
  • Khai thác thiết bị cũ: Các phần cứng cũ thường tiếp xúc với nhiều lỗ hổng hơn. Do đó, chúng thường bị chọn làm mục tiêu tấn công và khai thác.
  • Các hệ thống cấu hình sai: Nhiều thiết bị và dịch vụ hiện nay quá “mở” nên dễ bị tấn công. Một vấn đề hiện nay được phát hiện trên các nền tảng cloud là thiếu asset discovery thích hợp. Do đó, các hệ thống thường dễ bị tấn công hoặc trở thành một phần của botnet.

Cách các hacker thu thập thông tin trước khi tấn công DDoS

Những kẻ tấn công có thể sử dụng nhiều phương pháp khác nhau để khai thác các thông tin hữu ích. Trong đó có hai hình thức chính: Trực tiếp và gián tiếp.

Trực tiếp

Những kẻ tấn công thường sử dụng các công ục như Nmap để đánh giá một mạng. Nmap dùng để xác định bất kỳ thiết bị được nào được kết nối. Đồng thời tiết lộ các đánh giá chi tiết về mạng. Bên cạnh đó, Nmap cũng có thể được dùng để xác định các ứng dụng đang có cổng mở. Từ đó, các hacker có được một hình ảnh toàn diện về các thiết bị được kết nối.

Gián tiếp

Trong phương pháp gián tiếp, các hacker sẽ kiểm kê các mục tiêu, nhằm xác định phương pháp tấn công hợp lý. Chúng thường giới thiệu các phần mềm độc hại cho những cá nhân dễ bị dụ dỗ. Hoặc có thể cấu hình lại mạng để loại các lưu lượng cần thiết, nhằm đạt được mục đích.

Ngoài ra, các hacker có thể dùng kỹ thuật network profiling. Chẳng hạn như scan các cổng, ping. Nhằm tìm ra lỗ hổng mạng.

Mục tiêu phổ biến của tấn công DDoS là gì?

Thông thường, các hacker sẽ nhắm vào các thiết bị sau để có được quyền kiểm soát mạng:

  • End Point: Bao gồm các thiết bị như điện thoại, máy trạm, server…tức là mọi thứ được kết nối với mạng.
  • Các nhà cung cấp ISP/Cloud: Các nhà cung cấp này thường phục vụ nhiều công ty khác nhau. Cho nên cũng dễ trở thành mục tiêu tấn công DDoS.
  • OT: OT thường trở thành nạn nhân vì các hacker thường nhắm vào cơ sở hạ tầng.
  • Mạng xã hội: Instagram và Facebook đều là những mục tiêu của các cuộc tấn công DDoS, làm ảnh hưởng đến quyền truy cập cho tất cả người dùng trên nền tảng.

Bên cạnh đó, có một số ngành dễ trở thành nạn nhân nhất của tấn công DDoS, gồm:

  • Chăm sóc sức khỏe
  • Chính quyền
  • Nhà cung cấp dịch vụ internet
  • Nhà cung cấp cloud

Trong phần thứ hai của loạt bài về DDoS, ta đã biết được lịch sử khái quát của DDoS cũng như các chủ thể của nó. Trong phần 3 sẽ là các kỹ năng cần thiết để có thể phòng chống DDoS.

Theo CompTIA.