Hình thức tấn công low and slow thuộc DDoS nhằm mục đích ngăn chặn dịch vụ web sử dụng lưu lượng HTTP hoặc TCP với thời gian dài bằng luồng truy cập nhỏ, thấp. Với cách này, tỉ lệ bị phát hiện hay phản ứng cũng nhỏ hơn và có thể gây thiệt hại rất nghiêm trọng cho mục tiêu nếu không xử lý kịp thời. Hãy cùng Vietnix tìm hiểu thêm về chủ đề này qua bài viết sau đây.
Giới thiệu
Điều đặc biệt về loại tấn công này là nó không tạo ra một lượng lớn yêu cầu hoặc dữ liệu trong một thời gian ngắn như các tấn công DDoS thông thường, mà thay vào đó tấn công low and slow thường diễn ra một cách chậm rãi và không rõ ràng, giảm nguy cơ bị phát hiện.
Chúng tạo ra lượng truy cập thấp cũng như thời gian triển khai dài làm cho việc phân biệt giữ lưu lượng giả với lượng truy cập từ người dùng thật trở nên khó khăn hơn, không yêu cầu nhiều tài nguyên vận hành nên có thể thực hiện thành công bằng một máy tính, trái ngược với các hình thức DDoS khác cần hệ thống mạng botnet. Hai ví dụ điển hình của hình thức low and slow chính là Slowloris và RUDY.
Cơ chế hoạt động của tấn công low and slow
- Giảm tốc độ gửi yêu cầu: làm giảm tốc độ gửi các request HTTP GET hoặc POST đến một hệ thống mục tiêu. Thay vì gửi một lượng lớn yêu cầu trong một khoảng thời gian ngắn, họ có thể gửi các request số lượng ít hoặc dàn trải đều trong một khoảng thời gian dài. Điều này có thể làm cho các hệ thống bảo mật khó phát hiện và phản ứng với tấn công.
- Giảm tần suất hoạt động: Thay vì thực hiện các hoạt động liên tục và liên tục, kẻ tấn công có thể chọn các hoạt động độc hại một cách ngẫu nhiên và không đồng đều. Họ có thể thực hiện các hành động không đáng ngờ chỉ đôi khi hoặc ở tần suất thấp, giúp tránh bị phát hiện bởi hệ thống giám sát và bảo mật.
- Sử dụng kỹ thuật nguỵ trang: Kẻ tấn công có thể sử dụng các kỹ thuật giấu thông tin như sử dụng địa chỉ IP nguồn giả mạo, sử dụng các giao thức mã hóa hoặc thay đổi phương thức hoạt động để làm cho các hoạt động của họ khó phát hiện và phân tích.
- Tận dụng lỗ hổng và nhược điểm: Kẻ tấn công có thể sử dụng các lỗ hổng và yếu điểm trong hệ thống để thực hiện các hoạt động tấn công một cách chậm rãi và không rõ ràng. Thay vì khai thác lỗ hổng một cách nhanh chóng, họ có thể tiến hành các cuộc tấn công nhỏ nhặt và không nổi bật để tránh sự chú ý của hệ thống bảo mật.
Những kẻ tấn công có thể sử dụng HTTP header , request HTTP POST hoặc lưu lượng TCP để thực hiện các cuộc tấn công low and slow. Dưới đây là 3 ví dụ phổ biến:
- Công cụ Slowloris kết nối với máy chủ rồi từ từ gửi một phần HTTP header. Điều này khiến máy chủ phải giữ kết nối mở để có thể nhận phần còn lại của header và gộp chúng lại.
- Một công cụ khác có tên RUDY (R-U-DEAD-YET?) tạo các yêu cầu HTTP POST để điền vào các trường biểu mẫu. Nó cho máy chủ biết lượng dữ liệu dự kiến nhưng sau đó gửi dữ liệu đó rất chậm. Máy chủ giữ kết nối mở vì nó đang dự đoán nhiều dữ liệu hơn.
- Còn một kiểu khác là tấn công Sockstress, khai thác lỗ hổng trong quy trình “bắt tay 3 bước” TCP/IP, tạo ra kết nối không xác định.
Dấu hiệu nhận biết cuộc tấn công low and slow
Các kỹ thuật phát hiện tốc độ được sử dụng để xác định và ngăn chặn các cuộc tấn công DDoS truyền thống sẽ không phát hiện được cuộc tấn công low and slow vì chúng khá giống như lưu lượng truy cập thông thường của người dùng. Cách tốt nhất để phát hiện chúng là theo dõi và ghi lại log hoạt động cẩn thận việc sử dụng tài nguyên máy chủ kết hợp với phân tích hành vi. Bên cạnh đó bạn hãy sánh lưu lượng truy cập và hành vi của người dùng trong thời gian bình thường với lưu lượng truy cập và hành vi của người dùng trong giai đoạn có thể bị tấn công.
Nếu máy chủ hoạt động chậm hoặc gặp sự cố và nghi ngờ có một cuộc tấn công low and slow DDoS, một dấu hiệu của cuộc tấn công đó là quá trình xử lý thông thường của người dùng sẽ mất nhiều thời gian hơn. Nếu một hành động của người dùng (chẳng hạn như điền vào biểu mẫu, gửi form đăng kí,….) thường mất vài giây nhưng thay vào đó lại mất vài phút hoặc vài giờ, chiếm nhiều tài nguyên máy chủ hơn bình thường thì nguyên nhân có thể là do một cuộc tấn công low and slow.
Cách ngăn chặn tấn công low and slow
Một cách để giảm thiểu cuộc tấn công low and slow là nâng cấp tính khả dụng của máy chủ của bạn; máy chủ của bạn càng có thể duy trì nhiều kết nối đồng thời thì việc tấn công làm tắc nghẽn máy chủ của bạn càng khó khăn hơn. Vấn đề với cách tiếp cận này là kẻ tấn công có thể cố gắng mở rộng quy mô cuộc tấn công của chúng để đáp ứng tính khả dụng của máy chủ của bạn.
Một giải pháp tiếp theo là bảo vệ dựa trên reverse proxy, giải pháp này sẽ giảm thiểu các cuộc tấn công low and slow trước khi chúng tiếp cận được server của bạn. Ngoài ra còn một số biện pháp phòng ngừa giúp giảm thiểu tấn công low and slow như sau:
- Giám sát và phát hiện: Thực hiện giám sát hệ thống mạng và các hoạt động trên nó để phát hiện sớm các hoạt động không bình thường. Các công cụ giám sát mạng có thể phát hiện các mẫu hoạt động không đồng đều, tốc độ chậm, hoặc hoạt động độc hại đối với hệ thống mạng.
- Thiết lập hạn chế và cấu hình chặn: Thiết lập hạn chế truy cập và cấu hình chặn để ngăn chặn các hoạt động không bình thường hoặc không đáng ngờ từ các nguồn không xác định hoặc không tin cậy. Điều này có thể bao gồm việc thiết lập các quy tắc tường lửa, hạn chế lưu lượng mạng, hoặc chặn các địa chỉ IP hoặc mạng cụ thể.
- Cập nhật hệ thống và ứng dụng: Đảm bảo rằng tất cả các hệ thống và ứng dụng đều được cập nhật lên phiên bản mới nhất để khắc phục các lỗ hổng bảo mật đã biết. Việc cập nhật định kỳ giúp giảm nguy cơ tấn công sử dụng các lỗ hổng đã được công bố.
- Sử dụng các giải pháp bảo mật mạng: Sử dụng các giải pháp bảo mật mạng như IDS (Intrusion Detection System) hoặc IPS (Intrusion Prevention System) để phát hiện và ngăn chặn các hoạt động tấn công low and slow. Các giải pháp này có thể giúp phát hiện các mẫu hoạt động không bình thường và tự động thực hiện các biện pháp phòng ngừa.
- Hạn chế quyền truy cập: Hạn chế quyền truy cập vào hệ thống và dữ liệu chỉ cho những người dùng hoặc máy chủ cần thiết. Điều này giúp giảm nguy cơ bị tấn công từ bên trong hệ thống và giảm thiểu tác động của các cuộc tấn công nếu chúng xảy ra.
- Đào tạo an ninh mạng: Đào tạo nhận thức về các nguy cơ và biện pháp phòng ngừa tấn công mạng, bao gồm cả tấn công low and slow. Người dùng có kiến thức vững về an ninh mạng có thể phát hiện và phản ứng kịp thời khi gặp phải các tấn công mạng.
Kết luận
Hy vọng nội dung trên sẽ giúp các bạn hiểu hơn về hình thức tấn công Low and Slow, thông tin liên quan và các cách nhận biết có cuộc tấn công xảy ra như thế nào. Qua đó giúp bạn chủ động hơn trong việc ứng phó và giảm thiểu cuộc tấn công mạng. Đừng ngần ngại để lại bình luận bên dưới và đội ngũ admin Vietnix có thể hỗ trợ bạn sớm nhất. Ngoài ra các bạn có thể tham khảo và tìm hiểu thêm về chủ đề DDoS ở các bài viết tiếp theo của Vietnix để tích luỹ kiến thức cho chính mình.
