banner speed optimizerbanner speed optimizer
Email Doanh NghiệpSSLFirewall Anti DDoSTối ưu tốc độ websiteHosting Speed Demo

NỘI DUNG

Banner blog lễ 30.4 và 1.5

Tấn công Low and Slow là gì? Cách phòng chống DDoS Layer 7 hiệu quả

Hưng Nguyễn

Đã kiểm duyệt nội dung

Ngày đăng:13/09/2025
64
Lượt xem

Đánh giá

5/5 - (137 bình chọn)
công nghệ Vietnix Speed Optimizer

Tấn công Low and Slow là một biến thể DDoS tinh vi ở Lớp 7, sử dụng lưu lượng thấp và kết nối chậm để làm quá tải tài nguyên máy chủ, khiến website đột ngột chậm hoặc không thể truy cập nhưng lại khó bị phát hiện bằng các phương pháp truyền thống. Bài viết này mình sẽ giải thích chi tiết bản chất, cơ chế hoạt động, cách nhận biết và đặc biệt là giới thiệu giải pháp Firewall Anti-DDoS Layer 7 chuyên sâu để giúp bạn bảo vệ website hiệu quả.

Những điểm chính

  1. Bản chất tấn công Low and Slow: Nhắm vào Lớp Ứng dụng (Layer 7), sử dụng kết nối chậm, kéo dài để từ từ làm cạn kiệt tài nguyên máy chủ web (Apache, Nginx), chiếm hết kết nối đồng thời, khó bị IDS/IPS truyền thống phát hiện do lưu lượng thấp.
  2. Cơ chế hoạt động: Gửi dữ liệu chậm và từng phần nhỏ, giữ kết nối mở lâu nhất có thể, chiếm dụng và làm cạn kiệt tài nguyên máy chủ, gây từ chối dịch vụ cho người dùng hợp lệ.
  3. Các hình thức phổ biến: Gồm Slowloris (gửi HTTP header không hoàn chỉnh), R.U.D.Y (gửi HTTP POST request với body cực chậm), Sockstress (khai thác xử lý kết nối TCP), Slow Read Attack (client đọc phản hồi rất chậm).
  4. Dấu hiệu nhận biết website bị tấn công: Các dấu hiệu chính bao gồm số lượng kết nối đồng thời tăng cao bất thường, tài nguyên máy chủ bị chiếm dụng ở mức cao dù lưu lượng băng thông thấp, thời gian phản hồi của website tăng đột ngột và log của web server ghi nhận nhiều kết nối kéo dài đáng ngờ.
  5. Cách phòng chống hiệu quả: Tinh chỉnh cấu hình web server, sử dụng Reverse Proxy/Load Balancer, tăng cường tài nguyên server, triển khai Firewall Anti-DDoS Layer 7 chuyên biệt, giám sát và phân tích log thường xuyên, cập nhật hệ thống, thiết lập hạn chế truy cập.
  6. Giới thiệu Vietnix: Biết được Vietnix là nhà cung cấp Firewall Anti DDoS độc quyền, chống tấn công hiệu quả, bảo vệ hệ thống luôn ổn định.
  7. Giải đáp các câu hỏi thắc mắc thường gặp về tấn công Low and Slow.
những điểm chính

Tấn công Low and Slow là gì?

Tấn công Low and Slow là một hình thức tấn công từ chối dịch vụ (DoS/DDoS) tinh vi, chủ yếu nhắm vào Lớp ứng dụng (Layer 7) của mô hình OSI. Điểm khác biệt cốt lõi so với các cuộc tấn công DDoS truyền thống (thường dựa vào việc làm ngập băng thông) là tấn công Low and Slow sử dụng các kết nối có vẻ hợp lệ nhưng được duy trì ở tốc độ rất chậm và kéo dài.

Mục tiêu chính của kiểu tấn công này là từ từ làm cạn kiệt tài nguyên của máy chủ web (web server) như Apache hay Nginx bằng cách giữ cho máy chủ bận rộn với các kết nối chậm, chúng chiếm hết các kết nối đồng thời (concurrent connections) cho phép. Điều này khiến máy chủ không còn khả năng phục vụ các yêu cầu từ người dùng thật.

Điểm tinh vi của Low and Slow là khó bị phát hiện bởi các hệ thống IDS/IPS truyền thống do lưu lượng truy cập thấp, không gây ra đột biến trong cả băng thông và số lượng kết nối. Việc phân biệt giữa traffic tấn công và traffic thật trở nên khó khăn. Đặc biệt, loại tấn công này không cần nhiều tài nguyên và có thể thực hiện từ một máy tính duy nhất, Slowloris và R-U-Dead-Yet? (RUDY) là hai ví dụ điển hình.

tan cong low and slow 1
Tấn công DDoS truyền thống và Low and Slow

Cơ chế hoạt động của tấn công Low and Slow

Nguyên lý cốt lõi của tấn công Low and Slow là kẻ tấn công thiết lập các kết nối TCP đến máy chủ mục tiêu và thực hiện các hành vi sau:

  • Gửi dữ liệu chậm và từng phần nhỏ: Thay vì gửi toàn bộ yêu cầu (Ví dụ: HTTP header hoặc HTTP POST request) một cách nhanh chóng, kẻ tấn công cố tình gửi từng phần dữ liệu rất nhỏ với độ trễ lớn giữa mỗi lần gửi.
  • Giữ kết nối mở càng lâu càng tốt: Mục đích chính là duy trì các kết nối này ở trạng thái chờ (treo) càng lâu càng tốt. Điều này buộc máy chủ phải cấp phát và giữ tài nguyên (như bộ nhớ đệm, luồng xử lý) cho từng kết nối đang dang dở.
  • Chiếm dụng và làm cạn kiệt tài nguyên máy chủ: Khi số lượng lớn các kết nối treo như vậy được tạo ra đồng thời, chúng sẽ từ từ chiếm dụng hết các tài nguyên có sẵn của máy chủ, ví dụ như tổng số kết nối đồng thời cho phép (connection pool) hoặc số lượng tiến trình/luồng xử lý (worker processes/threads).
  • Gây từ chối dịch vụ cho người dùng hợp lệ: Kết quả cuối cùng là máy chủ không còn đủ tài nguyên để tiếp nhận và xử lý các yêu cầu mới từ người dùng thực sự, dẫn đến tình trạng từ chối dịch vụ (website không phản hồi hoặc phản hồi rất chậm).
tan cong low and slow 2
Luồng dữ liệu tấn công Low and Slow

Ngoài ra, kẻ tấn công có thể áp dụng thêm các kỹ thuật tinh vi khác để tăng hiệu quả và tránh bị phát hiện:

  • Giảm tốc độ và tần suất gửi yêu cầu: Thay vì gửi ồ ạt, các yêu cầu được gửi với số lượng ít hoặc dàn trải đều trong một khoảng thời gian dài, khiến hệ thống bảo mật khó nhận diện đây là một cuộc tấn công.
  • Thực hiện hoạt động độc hại ngẫu nhiên: Các hành động tấn công có thể được thực hiện một cách không đồng đều và không liên tục, xen kẽ với các hoạt động có vẻ bình thường để tránh sự chú ý.
  • Sử dụng kỹ thuật ngụy trang: Kẻ tấn công có thể sử dụng địa chỉ IP nguồn giả mạo, các giao thức mã hóa hoặc thay đổi phương thức hoạt động liên tục để làm cho hành vi của chúng khó bị phát hiện và phân tích.
  • Tận dụng lỗ hổng và nhược điểm hệ thống (nếu có): Kẻ tấn công có thể khai thác các lỗ hổng hoặc điểm yếu cụ thể trong cấu hình máy chủ hoặc ứng dụng để thực hiện các cuộc tấn công nhỏ lẻ, không nổi bật nhằm tránh sự chú ý của hệ thống bảo mật.

Các hình thức tấn công Low and Slow phổ biến

Kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để thực hiện các cuộc tấn công Low and Slow. Dưới đây là một số hình thức phổ biến mà bạn cần biết:

  • Slowloris: Kỹ thuật này mở nhiều kết nối HTTP đến máy chủ. Sau đó, kẻ tấn công gửi các HTTP headers (tiêu đề HTTP) không hoàn chỉnh (partial headers) và định kỳ gửi thêm các tiêu đề nhỏ giọt để duy trì kết nối ở trạng thái sống (keep-alive). Mục tiêu là làm cạn kiệt nhóm kết nối của web server, đặc biệt hiệu quả với các máy chủ sử dụng kiến trúc mỗi kết nối một tiến trình/luồng (process/thread-per-connection) như các phiên bản Apache 2.2 trở xuống.
  • R.U.D.Y (R-U-Dead-Yet?): Kiểu tấn công này nhắm vào các form trên website cho phép HTTP POST request (yêu cầu HTTP POST để gửi dữ liệu). Kẻ tấn công gửi tiêu đề Content-Length với giá trị lớn, báo hiệu sẽ gửi một lượng lớn dữ liệu. Tuy nhiên, sau đó, phần thân của yêu cầu được gửi với tốc độ cực kỳ chậm, từng byte một, để giữ kết nối mở. Máy chủ phải giữ kết nối và dành tài nguyên để chờ dữ liệu, dẫn đến tình trạng cạn kiệt worker thread hoặc RAM.
  • Sockstress: Kỹ thuật này khai thác cách xử lý kết nối TCP của hệ điều hành. Kẻ tấn công tạo ra nhiều kết nối TCP nhưng không hoàn thành quá trình bắt tay ba bước (TCP three-way handshake) một cách bình thường, hoặc gửi các gói tin TCP với kích thước cửa sổ (window size) bằng 0 sau khi kết nối đã thiết lập. Mục tiêu là gây TCP connection exhaustion (cạn kiệt kết nối TCP) ở tầng hệ điều hành của máy chủ.
  • Slow Read Attack: Trong kiểu tấn công này, máy khách của kẻ tấn công gửi một yêu cầu hợp lệ đến máy chủ. Khi máy chủ bắt đầu gửi phản hồi, máy khách cố tình đọc phản hồi này với tốc độ rất chậm, ví dụ, đọc từng byte một với độ trễ lớn. Điều này thường được thực hiện bằng cách quảng bá kích thước cửa sổ TCP nhận (TCP receive window) rất nhỏ. Mục tiêu là buộc máy chủ phải giữ kết nối và dữ liệu phản hồi trong bộ nhớ buffer (bộ đệm) trong thời gian dài, làm cạn kiệt bộ nhớ và tài nguyên xử lý của máy chủ.

Dấu hiệu nhận biết website bị tấn công Low and Slow

Phát hiện tấn công Low and Slow là một thách thức lớn vì chúng không gây ra sự tăng vọt về băng thông như các cuộc tấn công DDoS truyền thống, khiến các công cụ giám sát lưu lượng thông thường khó nhận diện. Tuy nhiên, bạn có thể theo dõi một số dấu hiệu bất thường sau trên máy chủ để nghi ngờ về loại tấn công này:

  • Số lượng kết nối đồng thời tăng cao bất thường: Máy chủ ghi nhận số lượng kết nối TCP đang mở tăng đột biến, đặc biệt là các kết nối ở trạng thái chờ xử lý (Ví dụ: ESTABLISHED, FIN_WAIT, CLOSE_WAIT) kéo dài mà không có nhiều dữ liệu thực sự được truyền tải.
  • Tài nguyên máy chủ (CPU, RAM) bị sử dụng ở mức cao dù lưu lượng thấp: Mặc dù tổng lưu lượng truy cập (bandwidth) vào/ra không lớn nhưng CPU và RAM của máy chủ lại bị chiếm dụng ở mức cao. Điều này xảy ra do máy chủ phải liên tục dùng tài nguyên để quản lý và duy trì một số lượng lớn các kết nối treo hoặc đang chờ xử lý.
  • Thời gian phản hồi của website/ứng dụng tăng đột ngột: Người dùng hợp lệ bắt đầu trải nghiệm website rất chậm, thời gian tải trang kéo dài bất thường, hoặc thậm chí không thể truy cập được do lỗi thời gian chờ (timeout), mặc dù không có dấu hiệu nghẽn băng thông rõ rệt.
  • Nhật ký (Log) của Web Server ghi nhận bất thường: Kiểm tra log của máy chủ web (Ví dụ: Apache access log, Nginx access log) có thể phát hiện nhiều kết nối mở kéo dài một cách đáng ngờ hoặc các yêu cầu HTTP không hoàn chỉnh, không đầy đủ dữ liệu.
  • Thời gian xử lý tác vụ thông thường kéo dài bất thường: Nếu các hành động thông thường của người dùng trên website (như điền biểu mẫu, gửi form đăng ký, tải một trang cụ thể) đột nhiên mất nhiều thời gian hơn đáng kể so với bình thường (từ vài giây lên vài phút hoặc thậm chí vài giờ) và chiếm nhiều tài nguyên máy chủ hơn, đây có thể là một dấu hiệu của tấn công Low and Slow.
tan cong low and slow 3
Dấu hiệu nhận biết website bị tấn công Low and Slow

Cách phòng chống tấn công Low and Slow hiệu quả

Đối phó với tấn công Low and Slow đòi hỏi một chiến lược phòng thủ đa lớp, kết hợp nhiều biện pháp khác nhau. Dưới đây là những phương pháp hiệu quả mà bạn nên cân nhắc:

Cấu hình Web Server (Apache, Nginx)

Đây là bước cơ bản và quan trọng. Bạn cần thiết lập thời gian chờ hợp lý cho việc client gửi header, gửi body và thời gian chờ giữa các gói dữ liệu. Nếu client không gửi dữ liệu trong khoảng thời gian này, máy chủ sẽ chủ động đóng kết nối. Đồng thời, giới hạn số lượng kết nối đồng thời từ một địa chỉ IP và tốc độ client có thể gửi request cũng là những cấu hình cần thiết.

Ví dụ Nginx: client_body_timeout, client_header_timeout, send_timeout, keepalive_timeout.
Ví dụ Apache: Timeout, KeepAliveTimeout, và sử dụng module mod_reqtimeout.

# Ví dụ cấu hình Nginx cơ bản
http {
client_body_timeout 10s;
client_header_timeout 10s;
send_timeout 10s;
keepalive_timeout 60s 20s;
}

# Ví dụ cấu hình Apache cơ bản (httpd.conf hoặc vhost)
Timeout 20
KeepAliveTimeout 5
<IfModule mod_reqtimeout.c>
RequestReadTimeout header=20-40,minrate=500
RequestReadTimeout body=20-40,minrate=500
</IfModule>

Sử dụng Reverse Proxy/Load Balancer

Các thiết bị hoặc phần mềm như Nginx (khi hoạt động như một reverse proxy), HAProxy hoặc các Load Balancer (Bộ cân bằng tải) chuyên dụng có khả năng hấp thụ một phần các kết nối chậm trước khi chúng đến được máy chủ web backend. Chúng thường có các cơ chế timeout và giới hạn kết nối tinh vi hơn, giúp bảo vệ máy chủ chính hiệu quả hơn.

Tăng cường tài nguyên Server

Việc nâng cấp tài nguyên máy chủ có thể giúp hệ thống chịu đựng được số lượng kết nối lớn hơn trong một khoảng thời gian nhất định. Tuy nhiên, đây không phải là giải pháp triệt để chống lại tấn công Low and Slow, mà chỉ mang tính hỗ trợ, tạo thêm không gian để các biện pháp bảo vệ khác phát huy tác dụng. Kẻ tấn công vẫn có thể mở rộng quy mô tấn công để vượt qua ngưỡng tài nguyên mới.

Triển khai Giải pháp Bảo mật Lớp 7 chuyên biệt của Vietnix

Đây được xem là tuyến phòng thủ tiên tiến và hiệu quả nhất đối với các cuộc tấn công ứng dụng phức tạp, bao gồm cả Low and Slow. Các Firewall Anti-DDoS Layer 7 chuyên dụng không chỉ dựa vào việc phát hiện lưu lượng tăng đột biến mà còn sử dụng các thuật toán thông minh để phân tích hành vi (behavioral analysis) của từng kết nối. Chúng có khả năng nhận diện các đặc điểm của tấn công Low and Slow như tốc độ gửi dữ liệu cực chậm, thời gian giữ kết nối quá lâu mà không có hoạt động đáng kể, hoặc các header/body không hoàn chỉnh.

Các kỹ thuật như Rate Limiting (giới hạn tốc độ) thông minh, Connection Limiting (giới hạn kết nối) và các biện pháp thách thức (Ví dụ: JavaScript challenge, CAPTCHA) được áp dụng để phân biệt người dùng thật và bot tấn công mà ít ảnh hưởng đến trải nghiệm người dùng hợp lệ.

tan cong low and slow 5
Hiệu quả bảo vệ website trước và sau khi sử dụng Firewall Anti DDoS Vietnix

Giám sát và phân tích Log thường xuyên

Dù đã triển khai các biện pháp bảo vệ tự động, việc thường xuyên giám sát log của máy chủ web và log của firewall vẫn đóng vai trò rất quan trọng. Điều này giúp phát hiện sớm các dấu hiệu bất thường, các mẫu tấn công mới và tinh chỉnh cấu hình bảo mật một cách kịp thời, đảm bảo hệ thống luôn được bảo vệ ở mức tối ưu.

Thiết lập hạn chế truy cập và cấu hình chặn hợp lý

Thiết lập các quy tắc hạn chế truy cập từ các nguồn không xác định hoặc không tin cậy. Điều này có thể bao gồm việc cấu hình tường lửa để chặn các địa chỉ IP hoặc các mạng cụ thể có hành vi đáng ngờ, hoặc giới hạn lưu lượng truy cập từ các khu vực địa lý không phải là mục tiêu của bạn.

Bảo vệ website toàn diện với Firewall Anti DDoS độc quyền của Vietnix

Vietnix mang đến giải pháp bảo mật tối ưu với Firewall Anti DDoS độc quyền, được thiết kế đặc biệt để chống lại các cuộc tấn công DDoS đa dạng, bao gồm cả các cuộc tấn công Low and Slow tinh vi. Firewall của Vietnix hoạt động như một lớp lá chắn vững chắc, lọc và ngăn chặn traffic độc hại trước khi chúng tiếp cận máy chủ của bạn, đảm bảo website luôn hoạt động ổn định và liên tục. Với Vietnix, bạn có thể yên tâm tập trung vào phát triển kinh doanh mà không phải lo lắng về các mối đe dọa từ tấn công mạng.

Thông tin liên hệ:

  • Website: https://vietnix.vn/
  • Hotline: 1800 1093
  • Email: sales@vietnix.com.vn
  • Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh
tan cong low and slow 4
Giải pháp Bảo mật Lớp 7 chuyên biệt tại Vietnix

Câu hỏi thường gặp

Tấn công Low and Slow có gây mất dữ liệu không?

Thông thường là không. Mục tiêu chính của Low and Slow là làm cạn kiệt tài nguyên máy chủ để gây từ chối dịch vụ (DoS/DDoS Layer 7), khiến website không thể truy cập được chứ không phải để đánh cắp hay xóa dữ liệu. Tuy nhiên, tình trạng quá tải kéo dài có thể tạo điều kiện cho các lỗ hổng khác bị khai thác nếu hệ thống không được bảo trì tốt.

Sự khác biệt chính giữa Slowloris và R.U.D.Y là gì?

Slowloris tấn công bằng cách giữ nhiều kết nối HTTP mở bằng việc gửi HTTP headers không hoàn chỉnh và chậm rãi. R.U.D.Y thì gửi HTTP POST request với header Content-Length lớn nhưng sau đó gửi phần body của request cực kỳ chậm. Cả hai đều nhằm làm cạn kiệt connection pool của máy chủ.

Tôi đang dùng VPS/Hosting tại Vietnix, làm sao để biết mình có được bảo vệ khỏi Low and Slow không?

Nhiều gói dịch vụ Hosting và VPS Vietnix đã được tích hợp các biện pháp bảo vệ cơ bản. Tuy nhiên, để chống lại các cuộc tấn công Low and Slow tinh vi và quy mô lớn, Vietnix cung cấp giải pháp Firewall Anti DDoS Layer 7 chuyên sâu. Bạn nên liên hệ với đội ngũ hỗ trợ của Vietnix để kiểm tra gói dịch vụ hiện tại và được tư vấn về giải pháp bảo vệ tối ưu nhất.

Tấn công Low and Slow là một mối đe dọa tiềm ẩn và ngày càng tinh vi. Việc hiểu rõ cơ chế, nhận biết sớm dấu hiệu và triển khai các biện pháp phòng chống đa lớp, đặc biệt là các giải pháp chuyên dụng như Firewall Anti-DDoS Layer 7 của Vietnix là vô cùng quan trọng để đảm bảo website của bạn luôn hoạt động ổn định, an toàn và mang lại trải nghiệm tốt nhất cho người dùng.

Mọi người cũng xem:

THEO DÕI VÀ CẬP NHẬT CHỦ ĐỀ BẠN QUAN TÂM

Đăng ký ngay để nhận những thông tin mới nhất từ blog của chúng tôi. Đừng bỏ lỡ cơ hội truy cập kiến thức và tin tức hàng ngày

Đánh giá mức độ hữu ích của bài viết

icon 1 sao

Thất vọng

icon 2 sao

Chưa hữu ích

icon 3 sao

Bình thường

icon 4 sao

Hữu ích

icon 5 sao

Rất hữu ích

Hưng Nguyễn

Co-Founder
tại

Kết nối với mình qua

Tôi là Nguyễn Hưng (Bo) – Chuyên gia hệ thống, mạng và bảo mật với hơn 13 năm kinh nghiệm, đồng thời là Co-Founder của Vietnix, nhà cung cấp dịch vụ Hosting, VPS và điện toán đám mây hàng đầu tại Việt Nam. Với niềm đam mê chia sẻ kiến thức, tôi luôn nỗ lực mang đến những bài viết hữu ích cho cộng đồng yêu công nghệ.

Kết nối với mình qua

Tăng tốc độ website - Nâng tầm giá trị thương hiệu

Banner group
Tăng tốc tải trang

95 điểm

Nâng cao trải nghiệm người dùng

Tăng 8% tỷ lệ chuyển đổi

Thúc đẩy SEO, Google Ads hiệu quả

Tăng tốc ngay

SẢN PHẨM NỔI BẬT

Icon tab

MAXSPEED HOSTING

TĂNG TỐC WEBSITE TOÀN DIỆN

CÔNG NGHỆ ĐỘC QUYỀN

Vector

PHẦN CỨNG MẠNH MẼ

Vector

HỖ TRỢ 24/7

Vector
ĐĂNG KÝ NGAYGroup icon
khuyến mãi tháng 9
Tốc độ cao – Hỗ trợ 24/7
01/09/2025 - 30/09/2025
Pattern

7 NGÀY DÙNG THỬ HOSTING

NẮM BẮT CƠ HỘI, THÀNH CÔNG DẪN LỐI

Cùng trải nghiệm dịch vụ hosting tốc độ cao được hơn 100,000 khách hàng sử dụng

icon popup single post

CẢM ƠN BẠN ĐÃ ĐÁNH GIÁ BÀI VIẾT

Vietnix sẽ luôn cố gắng cải thiện chất lượng dịch vụ mỗi ngày

ĐÓNG

Đánh giá mức độ hữu ích của bài viết

icon 1 sao

Thất vọng

icon 2 sao

Chưa hữu ích

icon 3 sao

Bình thường

icon 4 sao

Hữu ích

icon 5 sao

Rất hữu ích

Icon
ĐĂNG KÝ NHẬN TÀI LIỆU THÀNH CÔNG
Cảm ơn bạn đã đăng ký nhận tài liệu mới nhất từ Vietnix!
ĐÓNG

ĐĂNG KÝ DÙNG THỬ HOSTING

Asset

7 NGÀY MIỄN PHÍ

Asset 1

ĐĂNG KÝ DÙNG THỬ HOSTING

Asset

7 NGÀY MIỄN PHÍ

Asset 1
Icon
XÁC NHẬN ĐĂNG KÝ DÙNG THỬ THÀNH CÔNG
Cảm ơn bạn đã đăng ký thông tin thành công. Đội ngũ CSKH sẽ liên hệ trực tiếp để kích hoạt dịch vụ cho bạn nhanh nhất!
ĐÓNG