Tấn công DDoS – Từ chối dịch vụ phân tán

tan-cong-DDoS-la-gi
tan-cong-DDoS-la-gi

Tấn công DDoS là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lưu lượng traffic từ nhiều nguồn khác nhau. Tấn công DDoS luôn nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính.

Tấn công DDoS là gì?

Tấn công DDoS có tên đầy đủ là “Distributed Denial of Service” là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống. Hoặc thậm chí là cả một hệ thống mạng nội bộ.

  • Tấn công DDoSđược phân tán từ nhiều dải IP khác nhau, chính vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được.
  • Hacker không chỉ sử dụng máy tính của họ để thực hiện một cuộc tấn công vào một trang web hay một hệ thống mạng nào đó, mà họ còn lợi dùng hàng triệu máy tính khác để thực hiện việc này.

Tấn công DDoS có thể làm gián đoán hoặc nghiêm trọng là mất kết nối của một máy hoặc cả một hệ thống mạng rất lớn. Mục đích thực sự, kẻ xâm nhập sẽ cố tình chiếm dụng một lượng lớn thông tin hay tài nguyên như băng thông, bộ nhớ… và làm cho các client khác không thể yêu cầu sự truy xuất yêu cầu dữ liệu.

Hành động phổ biến nhất của cuộc tấn công DDoS chính là kẻ tấn công cố gắng làm ngập lụt mạng của doanh nghiệp bằng cách gửi những dòng dữ liệu lớn tới mạng hay máy chủ website của doanh nghiệp. Khi bạn gõ một URL của một website cụ thể vào trình duyệt, bạn sẽ gởi một yêu cầu tới máy chủ của website đó để xem nội dung trang web.

Máy chủ web chỉ có thể xử lý một số yêu cầu cùng một lúc, như vậy nếu như một kẻ tấn công DDoS gửi quá nhiều các yêu cầu để làm cho máy chủ đó bị quá tải và nó sẽ không thể xử lý các yêu cầu khác. Đây chính là một cuốc tấn công DDoS vì doanh nghiệp sẽ không thể truy cập vào trang web hay dịch vụ nếu bị DDoS tấn công.

Các nạn nhân được khai thác mục tiêu có thể bao gồm máy tính và các tài nguyên được nối mạng khác như thiết bị IoT. Một ví dụ trực quan, cuộc tấn công DDoS giống như việc cố gắng làm tắc nghẽn đường cao tốc, ngăn chặn lưu lượng truy cập thường xuyên đến đích mong muốn.

cach-thuc-tan-cong-DDoS
cach-thuc-tan-cong-DDoS

Cách thức hoạt động của Tấn công DDoS

Khi tấn công DDoS, kẻ tấn công có thể sử dụng máy tính của doanh nghiệp để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của doanh nghiệp. Sau đó chúng sử dụng máy tính của doanh nghiệp để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máy tính của doanh nghiệp để thực hiện tấn công DDoS.

Mặc dù Tấn công DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. Có ba loại tấn công cơ bản:

  • Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng
  • Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ
  • Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất

Các vectơ tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu cách thức các cuộc tấn công DDoS khác nhau hoạt động, cần phải biết cách kết nối mạng được thực hiện. Một kết nối mạng trên Internet bao gồm nhiều thành phần khác nhau hoặc các lớp (layers) khác nhau theo mô hình OSI.

Vậy tại sao hacker họ lại có thể điều khiển được hàng triệu máy tính trên khắp thế giới?

Nguyên nhân lcủa các cuộc tấn DDoS là do hầu hết mọi người hiện nay đang có xu hướng dùng các phần mềm Crack, hay phần mềm lậu được chia sẻ tràn lan trên mạng đã bị chèn mã độc, virus, Ransomware…. Cẩn thận khi sử dụng các phần mềm trên mạng vì biết đâu doanh nghiệp bạn cũng có thể đang là nạn nhân của những cuộc tấn công DDoS.

Một số kiểu tấn công mà Hacker hay sử dụng là:

  • Đánh vào băng thông (Bandwidth).
  • Tấn công vào Giao thức.
  • Tấn công bằng cách gói tin bất thường.
  • Tấn công qua phần mềm trung gian.
  • Các công cụ tấn công dùng Proxy ví dụ như: Trinoo, Flood Network,Trinity, Knight, Kaiten, MASTER HTTP,…
moi-de-doa-DDoS-mang-lai-cho-doanh-nghiep
moi-de-doa-DDoS-mang-lai-cho-doanh-nghiep

Một số tác hại tiêu cực mà Tấn công DDoS mang lại

Đây là những hậu quả điển hình mà DDoS gây ra cho các doanh nghiệp “mục tiêu”

  • Hệ thống, máy chủ bị DDoS sẽ sập khiến người dùng không truy cập được
  • Doanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu, chưa kể đến khoản chi phí cần phải bỏ ra để khắc phục sự cố.
  • Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián đoạn công việc, ảnh hưởng đến hiệu suất công việc.
  • Nếu người dùng truy cập website khi nó bị sập sẽ ảnh hưởng đến danh tiếng của công ty, nếu website sập trong thời gian dài thì có thể người dùng sẽ bỏ đi, lựa chọn dịch vụ khác thay thế.
  • Đối với những vụ tấn công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền bạc, dữ liệu khách hàng của công ty.

Nhận biết các cuộc tấn công DDoS

Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một tấn công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các quản trị viên đang thực hiện việc bảo trì và quản lý. Mặc dù thế nhưng với các triệu chứng dưới đây bạn có thể nhận ra tấn công DDoS

  • Thực thi mạng chậm một cách không bình thường (mở file hay truy cập website)
  • Không vào được website bạn vẫn xem
  • Không thể truy cập đến bất kỳ một website nào
  • Số lượng thư giác tăng một cách đột biến trong tài khoản của doanh nghiệp.
phai-lam-gi-tranh-bị-tan-cong-DDoS
phai-lam-gi-tranh-bị-tan-cong-DDoS

Phải làm gì để tránh bị tấn công DDoS

Thực sự không có một biện pháp cụ thể nào để tránh trở thành nạn nhân của DDoS tuy nhiên giảm bớt phần nào “cơ hội” trở thành mục tiêu tấn công của những kẻ tấn công DDoS thì iVIM có thể bật mí cho bạn một số cách sau:

  • Cài đặt và duy trì phần mềm chống virus.
  • Cài đặt tường lửa và cấu hình nó để giới hạn lưu lượng đến và đi từ máy tính của bạn.
  • Làm theo các hướng dẫn thực hành an toàn về phân phối địa chỉ email của bạn.
  • Dùng các bộ lọc email để giúp bạn quản lý lưu lượng không mong muốn.

Các ISP thường có bảo vệ DDoS ở lớp 3 và Lớp 4 (lưu lượng mạng), nhưng lại bỏ qua Lớp 7, nơi bị nhắm làm mục tiêu nhiều hơn, và nhìn chung thì sự đồng đều ở các lớp bảo vệ cũng không được đảm bảo. Thông thường, điều này được thực hiện thông qua cân bằng tải (load balancer), mạng phân phối nội dung (CDN) hoặc kết hợp cả hai. Các trang web nhỏ hơn và các dịch vụ có thể thuê bên ngoài của các bên thứ ba nếu họ không có vốn để duy trì một loạt các máy chủ.

Các nhà cung cấp dịch vụ chống DDoS luôn sẵn sàng và họ sẽ định tuyến lại lưu lượng truy cập đến của doanh nghiệp bạn thông qua hệ thống và chống lại các phương thức tấn công đã biết. Họ có thể quét các lưu lượng truy cập đáng ngờ từ các nguồn hoặc từ các vị trí không phổ biến. Hoặc định tuyến lại lưu lượng truy cập hợp pháp của doanh nghiệp khỏi các nguồn botnet.

Hầu hết các tường lửa hiện đại và Hệ thống bảo vệ xâm nhập (Intrusion Protection Systems – IPS) đều cung cấp khả năng phòng thủ trước các cuộc tấn công DDoS. Các thiết bị này có thể ở dưới dạng một thiết bị duy nhất quét tất cả lưu lượng truy cập đến hệ thống hoặc phần mềm được phân phối ở cấp máy chủ. Quét mạng thường xuyên và theo dõi lưu lượng với các cảnh báo cũng có thể giúp doanh nghiệp nắm bắt được những nguy cơ của một cuộc tấn công DDoS sớm, cũng như đưa ra những hành động để giảm thiểu thiệt hại.