Tấn công DDoS lớp 3-Network layer

Hưng Nguyễn

20/05/2024

8 phút đọc

Lượt xem

Theo dõi Vietnix

Đánh giá

5/5 - (168 bình chọn)

Theo dõi trên

Các cuộc tấn công DDoS lớp 3, triển khai qua việc khai thác các giao thức lớp mạng, nổi bật là ICMP, mở ra một chiến thuật tinh vi để làm suy yếu hoặc làm sập hoàn toàn các server, website và ứng dụng bị nhắm mục tiêu. Hãy cùng Vietnix tham khảo thêm về chủ đề tấn công DDoS lớp 3 trong bài viết dưới đây.

Giới thiệu

Một cuộc tấn công DDoS lớp 3 sẽ đánh vào mục tiêu bằng lượng cực lớn dữ liệu. Giống như các cuộc tấn công DDoS, mục đích của tấn công lớp 3 là làm chậm hoặc gây hư hỏng chương trình, dịch vụ, hệ thống mạng và không cho các truy cập thông thường khác tiếp cận phía server. Mục tiêu mà DDoS lớp 3 nhắm đến chính là cơ sở hạ tầng/thiết bị mạng.

Một số đặc điểm của tấn công DDoS lớp 3:

Không cần mở TCP với mục tiêu trước khi thực hiện tấn công.
Các cuộc tấn công không nhắm vào một port cụ thể của lớp mạng.

Với khả năng sử dụng và lợi dụng các giao thức mạng lớp 3 (network layer trong mô hình OSI), các cuộc tấn công này không chỉ làm băng thông bị “flood” (ngập băng thông), gây quá tải cho hệ thống server, mà còn làm suy giảm hiệu suất và độ tin cậy của các dịch vụ trực tuyến, gây ra những hậu quả nghiêm trọng cho cả tổ chức và người dùng cuối.

Lớp 3 trong mô hình OSI

Lớp 3 được gọi là lớp mạng (Network Layer). Lớp 3 bao gồm các giao thức và công nghệ giúp việc các mạng được kết nối với nhau – nói cách khác là Internet – trở nên khả thi. Lớp này là nơi diễn ra việc định tuyến qua các mạng. Dữ liệu truyền qua mạng được chia thành các gói và các gói này được đánh địa chỉ và gửi đến đích của chúng ở lớp 3. Giao thức quan trọng nhất cho quá trình này là IP.

Các giao thức ở lớp 3 không mở kết nối (chúng chỉ cung cấp các giao thức để định tuyến dữ liệu thông qua mạng), để đảm bảo phân phối dữ liệu đáng tin cậy hoặc chỉ ra dịch vụ nào trên thiết bị sẽ sử dụng dữ liệu, đó là nhiệm vụ của lớp 4. Đây là lý do tại sao nhiều giao thức lớp 3 luôn được sử dụng cùng với giao thức truyền tải lớp 4 để đảm bảo dữ liệu đến đúng nơi. Tuy nhiên, vẫn có thể gửi các gói dữ liệu đến đích mạng qua IP mà không cần sử dụng giao thức truyền tải.

Vì lớp 3 không có kết nối nên các cuộc tấn công DDoS lớp 3 không cần phải mở kết nối qua TCP hoặc chỉ định gán cổng. Các cuộc tấn công DDoS lớp 3 nhắm vào phần mềm mạng mà máy tính đang chạy thay vì một cổng cụ thể.

Các giao thức sử dụng cho lớp 3

Dưới đây là các giao thức dùng phổ biến và có nhiều khả năng dùng trong tấn công DDoS:

Các giao thức phổ biến có trong Lớp 3 - Network Layer — Các giao thức phổ biến có trong Lớp 3 – Network Layer

IP: định tuyến, gán địa chỉ đích cho gói dữ liệu.
IPsec: thực tế IPsec là tập hợp các giao thức, là phiên bản được mã hoá của IP dùng bởi VPN.
ICMP: giao thức xử lý báo cáo và kiểm tra lỗi, là giao thức không cần có kết nối (TCP, UDP) mà chỉ gửi qua IP, dùng cho tính năng PING hay traceroute.
IGMP: được gọi Giao thức quản lí nhóm Internet (Internet Group Managment Protocol), quản lý nhóm các IP multicast, cho phép nhiều thiết bị trong mạng này nhận cùng lưu lượng IP.
ARP: viết tắt của Address Resolution Protocol, sử dụng để tìm địa chỉ phần cứng (địa chỉ MAC – Media Access Control) tương ứng với một địa chỉ IP cụ thể trong cùng mạng LAN.

Xét về lý thuyết, bất kỳ giao thức nào cũng có thể dùng cho cuộc tấn công DDoS. Có thể kể đến ICMP làm tràn server (flood) vì quá nhiều PING để phản hồi hoặc 1 gói PING cực lớn làm hỏng thiết bị nhận (ping of death), hay dùng IPsec tấn công mục tiêu bằng dữ liệu rác (junk data) hoặc các chứng chỉ bảo mật lớn (thời gian xử lý chứng chỉ quá lâu).

Hiện nay phải cách nào cũng có thể thực hiện vì mục tiêu cập nhật phần cứng. Ví dụ ARP chỉ hoạt động trong mạng LAN nội bộ, đồng nghĩa để sử dụng giao thức này buộc đối tượng phải kết nối được với mạng này, hay ping of death của ICMP lại không thực hiện được với các phần cứng hiện nay, chúng sẽ tự bỏ qua các gói PING quá lớn hoặc bất thường.

Cách hoạt động của tấn công DDoS lớp 3

Cũng như các kiểu tấn công DDoS khác, kẻ tấn công gửi một lượng lớn lưu lượng mạng rác thông qua các giao thức này. Có nhiều phương pháp khác nhau để thực hiện việc này, tùy thuộc vào giao thức. Lưu lượng rác cản trở các reuqest hợp lệ của người dùng, làm chậm phản hồi hoặc chặn chúng hoàn toàn. Đôi khi có quá nhiều dữ liệu rác đến mức lấn át tài nguyên của mục tiêu và khiến mục tiêu gặp sự cố. Các bước tiến hành tấn công DDoS lớp 3 diễn ra như sau:

Cơ chế hoạt động của tấn công DDoS lớp 3

Thu thập thông tin: đối tượng thu thập thông tin về địa chỉ IP của mục tiêu mà họ muốn tấn công. Điều này có thể là địa chỉ IP của một website, server, hoặc dịch vụ cụ thể.
Tạo botnet hoặc máy chủ zombie: Kẻ tấn công sử dụng một mạng botnet hoặc nhiều máy chủ zombie đã bị chiếm quyền truy cập và kiểm soát bởi họ. Botnet là một mạng các máy tính đã bị nhiễm virus hoặc malware và được điều khiển từ xa bởi kẻ tấn công mà không được sự cho phép của chủ sở hữu.
Gửi request giả mạo: Kẻ tấn công sử dụng botnet hoặc máy chủ zombie để gửi một lượng lớn yêu cầu giả mạo đến địa chỉ IP của mục tiêu. Các yêu cầu này thường được tạo ra với tần suất cao và từ nhiều nguồn khác nhau, khiến cho server mục tiêu phải xử lý một lượng lớn yêu cầu đồng thời.
Quá tải hệ thống: Do số lượng yêu cầu giả mạo lớn, server không thể xử lý hết được tất cả các yêu cầu này. Kết quả là server trở nên quá tải và không thể phục vụ yêu cầu hợp lệ từ người dùng hợp lệ.
Dịch vụ bị ngưng hoạt động: Do quá tải hệ thống, server không thể phục vụ yêu cầu từ người dùng thực sự, dẫn đến việc dịch vụ trở nên không khả dụng hoặc làm chậm đến mức không thể sử dụng được.

Một số loại tấn công DDoS lớp 3 phổ biến

Trong nhiều cuộc tấn công xảy ra thì ICMP được nhắc đến phổ biến nhất, các cuộn tấn công ICMP nổi tiếng bao gồm:

Ping Flood: Gửi lượng cực lớn các ping request đến server mục tiêu cùng một lúc
Smurf: Gửi một lượng lớn các gói tin ICMP echo request giả mạo địa chỉ IP nguồn của server mục tiêu đến các mạng con khác nhau. Các mạng con này sẽ phản hồi bằng cách gửi các gói tin ICMP echo reply đến server mục tiêu, làm quá tải băng thông mạng của server mục tiêu.
Ping of Death: Gửi ping request có size lớn vượt mức giới hạn cho phép. Các bộ định tuyến trên đường đi sẽ chia ping thành các gói nhỏ hơn để được cho phép, sau đó sẽ gộp lại kích thước ban đầu làm hỏng server mục tiêu. Tuy nhiên phương thức này không hiệu quả với các thiết bị hiện đại sau này.

Note: trong mô hình TCP/IP, network layer nằm tầng 2 vì TCP/IP chỉ có 4 layer thay vì 7 như trong OSI, do đó DDoS lớp 3 mô hình OSI còn có thể gọi là DDoS lớp 2 trong mô hình TCP/IP.

Kết luận

Hy vọng nội dung trên sẽ giúp các bạn hiểu hơn về chủ đề DDoS lớp 3, phân loại, thông tin liên quan và các cách nhận biết có cuộc tấn công xảy ra như thế nào. Qua đó giúp bạn chủ động hơn trong việc ứng phó và giảm thiểu cuộc tấn công mạng. Đừng ngần ngại để lại bình luận bên dưới và đội ngũ admin Vietnix có thể hỗ trợ bạn sớm nhất. Ngoài ra các bạn có thể tham khảo và tìm hiểu thêm về chủ đề DDoS ở các bài viết tiếp theo của Vietnix để tích luỹ kiến thức cho chính mình.

THEO DÕI VÀ CẬP NHẬT CHỦ ĐỀ BẠN QUAN TÂM

Đăng ký ngay để nhận những thông tin mới nhất từ blog của chúng tôi. Đừng bỏ lỡ cơ hội truy cập kiến thức và tin tức hàng ngày

Hưng Nguyễn

Co-Founder

tại

Vietnix

Kết nối với mình qua

Tôi là Nguyễn Hưng (Bo) - Chuyên gia về hệ thống, mạng và bảo mật với hơn 10 năm kinh nghiệm. Là Co-Founder của Vietnix, một trong những nhà cung cấp dịch vụ Hosting, VPS và điện toán đám mây hàng đầu tại Việt Nam.Ngoài ra, tôi có kiến thức dịch vụ chuyên sâu về Linux, Control Panel, chứng chỉ SSL, Server, Web Server và đã tham gia vào nhiều dự án, cụ thể như cùng cộng sự phát triển hệ thống bảo mật cho Vietnix, giúp giảm thiểu chi phí và nâng cao hiệu suất bảo mật cho khách hàng.Với đam mê chia sẻ kiến thức thông qua các bài viết, hy vọng có thể cung cấp thông tin hữu ích đến độc giả!

Kết nối với mình qua

Tăng tốc độ website - Nâng tầm giá trị thương hiệu