Có thể bạn đã từng nghe nhiều về DoS, DDoS hay tiến công từ chối dịch vụ và cũng luôn tồn tại thể đã từng là nạn nhân của kiểu tiến công này. Vậy DoS, DDoS là gì, tín hiệu nào để nhận diện DoS, DDoS và tác hại của chúng ra sao? Trong nội dung bài viết này, Quantrimang.com sẽ cùng bạn tìm hiểu về kiểu tiến công kinh điển này, cũng như đưa ra cho bạn một số việc cần làm nếu nghi ngờ dịch vụ của mình hiện giờ đang bị DDoS, rồi cách kiểm tra, phòng tránh DDoS đang rất được vận dụng tại những trung tâm tài liệu.

Bạn Đang Xem: Tấn công từ chối dịch vụ DoS và DDoS là gì? Tác hại của chúng ra sao?

DoS là gì?

DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ. Tiến công từ chối dịch vụ DoS là cuộc tiến công nhằm làm sập một sever hoặc mạng, khiến người dùng khác không thể truy cập vào sever/mạng đó. Kẻ tiến công thực hiện điều này bằng phương pháp “tuồn” ồ ạt traffic hoặc gửi thông tin có thể kích hoạt sự cố đến sever, khối hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (viên chức, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi.

Nạn nhân của tiến công DoS thường là sever web của nhiều tổ chức thời thượng như nhà băng, doanh nghiệp thương nghiệp, đơn vị truyền thông, các trang báo, social…

Ví dụ, khi chúng ta nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến sever của trang này để xem. Sever chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng chừng thời kì, vì vậy nếu kẻ tiến công gửi ồ ạt nhiều yêu cầu đến sever sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.

Kẻ tiến công có thể sử dụng thư rác để thực hiện các tiến công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email của đơn vị hay dùng dịch vụ miễn phí như Gmail thì vẫn bị giới hạn số lượng tài liệu trong tài khoản. Bằng phương pháp gửi nhiều email đến tài khoản của bạn, kẻ tiến công có thể làm đầy hộp thư đến và ngăn chặn bạn nhận được những mail khác.

DDoS là gì?

DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tiến công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng phương pháp làm tràn ngập nó với traffic từ nhiều nguồn.

Khi DDoS, kẻ tiến công có thể sử dụng máy tính của bạn để tiến công vào các máy tính khác. Bằng phương pháp tận dụng những lỗ hổng về bảo mật thông tin cũng như sự không hiểu biết, kẻ này còn có thể giành quyền tinh chỉnh máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn tài liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tiến công phân tán vì kẻ tiến công sử dụng nhiều máy tính, gồm có có cả máy tính của bạn để thực hiện tiến công Dos.

Mặc dù DDoS cung cấp một cơ chế tiến công ít phức tạp hơn các dạng tiến công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. Có ba loại tiến công cơ bản:

• Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng
• Protocol: Tập trung vào việc khai thác các tài nguyên sever
• Application: Tập trung vào các ứng dụng web và được xem là loại tiến công tinh vi và nghiêm trọng nhất

Các cuộc tiến công DDoS được thực hiện với mạng các máy kết nối Internet.

Các mạng này gồm có máy tính và những thiết bị khác (ví như thiết bị IoT) đã trở nên nhiễm phần mềm ô nhiễm, được cho phép kẻ tiến công tinh chỉnh chúng từ xa. Các thiết bị riêng lẻ này được gọi là bot (hoặc zombie) và một nhóm bot được gọi là botnet. Khi mạng botnet đã được thiết lập, kẻ tiến công có thể chỉ huy một cuộc tiến công bằng phương pháp gửi các hướng dẫn từ xa đến từng bot.

Khi sever hoặc mạng của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ gửi yêu cầu đến địa chỉ IP của mục tiêu, có khả năng khiến sever hoặc mạng bị quá tải, dẫn đến việc từ chối dịch vụ so với lưu lượng truy cập thường ngày. Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng tiến công khỏi lưu lượng truy cập thông thường sẽ rất khó khăn.

Triệu chứng rõ ràng nhất của cuộc tiến công DDoS là một website hoặc dịch vụ đột nhiên trở thành chậm chạp hoặc không khả dụng. Nhưng vì một số nguyên nhân – lưu lượng truy cập tăng đột biến như vậy – có thể tạo ra các vấn đề về hiệu suất tương tự, nên thường cần phải điều tra thêm. Các phương tiện phân tích lưu lượng có thể giúp đỡ bạn phát hiện một số tín hiệu đáng lưu ý sau của cuộc tiến công DDoS:

• Lượng lưu lượng truy cập đáng ngờ bắt nguồn từ một địa chỉ IP hoặc dải IP
• Một lượng lớn lưu lượng truy cập từ những người dân dùng san sẻ một profile hành vi, ví như loại thiết bị, vùng địa lý hoặc phiên bản trình duyệt web
• Sự ngày càng tăng không giảng giải được về yêu cầu so với một trang hoặc điểm cuối
• Các mẫu lưu lượng truy cập kỳ lạ ví như tăng đột biến vào các giờ cụ thể trong thời gian ngày hoặc có vẻ không tự nhiên (ví dụ, tăng đột biến cứ sau 10 phút)
• Có những tín hiệu khác, cụ thể hơn của cuộc tiến công DDoS có thể khác nhau tùy thuộc vào loại tiến công.

Sự khác biệt giữa tiến công DoS và DDoS

Tóm lại, tiến công DoS tức là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy tính của nạn nhân và đánh “sập” nó. Tiến công DoS là một cuộc tiến công trực tuyến được sử dụng để làm cho website không khả dụng với những người dùng, khi được thực hiện trên một website. Cuộc tiến công này làm cho sever của một website được kết nối với Internet “sập” bằng phương pháp gửi một lượng lớn lưu lượng truy cập đến nó.

Còn trong cuộc tiến công DDoS, các cuộc tiến công được thực hiện từ nhiều địa điểm khác nhau bằng phương pháp sử dụng nhiều khối hệ thống.

2 kiểu tiến công này còn có những điểm khác biệt như sau:

DOSDDOSDoS là viết tắt của Denial of service.DDoS là viết tắt của Distributed Denial of service.Trong cuộc tiến công DoS, chỉ một khối hệ thống nhắm mục tiêu vào khối hệ thống nạn nhân.Trong DDos, nhiều khối hệ thống tiến công khối hệ thống nạn nhân.PC bị nhắm mục tiêu được load từ gói tài liệu gửi từ một vị trí duy nhất.PC bị nhắm mục tiêu được load từ gói tài liệu gửi từ nhiều vị trí.Tiến công DoS chậm hơn so với DDoS.Tiến công DDoS nhanh hơn tiến công DoS.Có thể bị chặn dễ dàng vì chỉ sử dụng một khối hệ thống.Rất khó để ngăn chặn cuộc tiến công này vì nhiều thiết bị đang gửi gói tin và tiến công từ nhiều vị trí.Trong cuộc tiến công DoS, chỉ một thiết bị duy nhất được sử dụng với những phương tiện tiến công DoS.Trong cuộc tiến công DDoS, nhiều bot được sử dụng để tiến công cùng một lúc.Các cuộc tiến công DoS rất dễ theo dõi.Các cuộc tiến công DDoS rất khó theo dõi.Lưu lượng truy cập trong cuộc tiến công DoS thấp hơn so với DDoS.Các cuộc tiến công DDoS được cho phép kẻ tiến công gửi một lượng lớn lưu lượng truy cập đến mạng nạn nhân.Các loại tiến công DoS là:1. Tiến công tràn bộ đệm2. Tiến công Ping of Death hoặc ICMP flood3. Tiến công Teardrop AttackCác loại tiến công DDoS là:1. Tiến công Volumetric (tiến công băng thông)2. Tiến công Fragmentation Attack (phân mảnh tài liệu)3. Application Layer Attack (khai thác lỗ hổng trong các ứng dụng)

Tác hại của DoS và DDoS

Đây là những hậu quả tiêu biểu mà DDoS và DoS gây ra:

• Mạng lưới hệ thống, sever bị DoS sẽ sập khiến người dùng không truy cập được
• Doanh nghiệp sở hữu sever, khối hệ thống sẽ bị mất doanh thu, chưa tính đến khoản ngân sách cần phải ném ra để khắc phục sự cố.
• Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián đoạn công việc, ảnh hưởng tác động đến hiệu suất công việc.
• Nếu người dùng truy cập website khi nó bị sập sẽ ảnh hưởng tác động đến tăm tiếng của đơn vị, nếu website sập trong thời kì dài thì có thể người dùng sẽ bỏ đi, lựa chọn dịch vụ khác thay thế.
• So với những vụ tiến công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền nong, tài liệu khách hàng của đơn vị.

Các kiểu tiến công từ chối dịch vụ phổ thông hiện nay

Xem Thêm : Bột Whey là gì? Nên uống Whey khi nào để tăng cơ giảm mỡ hiệu quả?

SYN Flood:

SYN Flood khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba chiều. Sever sẽ nhận được một thông điệp đồng bộ (SYN) để khai mạc “bắt tay”. Sever nhận tin nhắn bằng phương pháp gửi cờ báo nhận (ACK) tới máy lưu trữ lúc đầu, sau đó đóng kết nối. Tuy nhiên, trong một SYN Flood, tin nhắn mạo được gửi đi và kết nối không đóng => dịch vụ sập.

UDP Flood:

User Datagram Protocol (UDP) là một giao thức mạng không session. Một UDP Flood nhắm tới các cổng tình cờ trên máy tính hoặc mạng với những gói tin UDP. Sever kiểm tra ứng dụng tại những cổng đó nhưng không tìm thấy ứng dụng nào.

HTTP Flood:

HTTP Flood gần như những yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tiến công khác nhưng nó có thể buộc sever sử dụng các nguồn lực tối đa.

Ping of Death:

Ping of Death tinh chỉnh các giao thức IP bằng phương pháp gửi những đoạn mã độc đến một khối hệ thống. Đây là loại DDoS phổ thông từ thời điểm cách đó hai thập kỷ nhưng dường như không còn hiệu quả vào thời khắc ngày nay.

Smurf Attack:

Smurf Attack khai thác giao thức Internet (IP) và ICMP (Internet Control Message Protocol) sử dụng một Khóa học phần mềm ô nhiễm gọi là smurf. Nó mạo một địa chỉ IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định.

Fraggle Attack:

Fraggle Attack sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của router. Nó giống như một cuộc tiến công Smurf, sử dụng UDP nhiều hơn là ICMP.

Slowloris:

Slowloris được cho phép kẻ tiến công sử dụng nguồn lực tối thiểu trong một cuộc tiến công và các mục tiêu trên sever web. Khi đã kết nối với mục tiêu mong muốn, Slowloris giữ liên kết đó mở càng lâu càng tốt với HTTP tràn ngập. Kiểu tiến công này đã được sử dụng trong một số DDoSing kiểu hacktivist (tiến công vì mục tiêu chính trị) thời thượng, gồm có cuộc bầu cử tổng thống Iran năm 2009. Việc giảm thiểu ảnh hưởng tác động với quy mô tiến công này là rất khó khăn.

Application Level Attacks:

Application Level Attacks khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tiến công này sẽ không phải là toàn máy bộ chủ, mà là các ứng dụng với những điểm yếu được nghe biết.

NTP Amplification:

NTPAmplification khai thác các sever NTP (Network Time Protocol), một giao thức được sử dụng để đồng bộ thời kì mạng, làm tràn ngập lưu lượng UDP. Đây là reflection attack bị khuếch đại. Trong reflection attack bất kỳ nào đều sẽ sở hữu được phản hồi từ sever đến IP mạo, khi bị khuếch đại, thì phản hồi từ sever sẽ không còn còn tương xứng với yêu cầu lúc đầu. Vì sử dụng băng thông lớn khi bị DDoS nên loại tiến công này còn có tính phá hoại và volumne cao.

Advanced Persistent DoS (APDoS):

Xem Thêm : Bệnh Basedow: Nguyên nhân, đối tượng và cách chẩn đoán

Advanced Persistent DoS (APDoS) là một loại tiến công được sử dụng bởi hacker với mong muốn gây ra những thiệt hại nghiêm trọng. Nó sử dụng nhiều kiểu tiến công được đề cập trước đó HTTP Flood, SYN Flood, v.v…) và thường nhắm tiến công theo phong cách gửi hàng triệu yêu cầu/giây. Các cuộc tiến công của APDoS có thể lê dài hàng tuần, phụ thuộc vào khả năng của hacker để chuyển đổi các chiến thuật bất kỳ lúc nào và tạo ra sự đa dạng để tránh các bảo vệ bình yên.

Zero-day DDoS Attacks:

Zero-day DDoS Attacks là tên gọi được đặt cho những phương pháp tiến công DDoS mới, khai thác các lỗ hổng không được vá.

HTTP GET

HTTP GET là một kiểu tiến công lớp ứng dụng (Application Layer attack), quy mô nhỏ hơn và được nhắm tới những mục tiêu hơn. Application Level Attacks khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tiến công này sẽ không phải là toàn máy bộ chủ, mà là các ứng dụng với những điểm yếu được nghe biết.

Kiểu tiến công này sẽ nhắm vào Lớp thứ 7 trong mô hình OSI. Đây là lớp có lưu lượng mạng tốt nhất có thể, thay vì hướng về phía lớp thứ 3 thường được chọn làm mục tiêu trong các cuộc tiến công Bulk Volumetric. HTTP GET khai thác quy trình trình của một trình duyệt web hoặc ứng dụng HTTP nào đó và yêu cầu một ứng dụng hoặc sever cho từng yêu cầu HTTP, đó là GET hoặc POST.

HTTP Flood gần như những yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tiến công khác nhưng nó có thể buộc sever sử dụng các nguồn lực tối đa. Rất khó để chống lại kiểu tiến công này vì chúng sử dụng các yêu cầu URL tiêu chuẩn, thay vì các tập lệnh bị hỏng hoặc khối lượng lớn.

Làm thế nào để tránh bị tiến công từ chối dịch vụ?

Thực sự không có một giải pháp cụ thể nào để tránh trở thành nạn nhân của DoS hay DDoS. Tuy nhiên chúng tôi sẽ giới thiệu cho những bạn vài bước với mục tiêu giảm bớt phần nào kiểu tiến công mà sẽ sử dụng máy tính của bạn đế đi tiến công máy tính khác.

Cụ thể, ví dụ như so với 1 data center, nên triển khai các giải pháp phòng tránh sau:

Các ISP thường có bảo vệ DDoS ở lớp 3 và Lớp 4 (lưu lượng mạng), nhưng lại bỏ qua Lớp 7, nơi bị nhắm làm mục tiêu nhiều hơn, và nhìn chung thì sự đồng đều ở các lớp bảo vệ cũng không được đảm bảo.

Các đơn vị xử lý DDoS: họ sử dụng hạ tầng hiện có của mình để chống lại bất kỳ mối rình rập đe dọa nào đến với họ. Thông thường, điều này được thực hiện thông qua cân bằng tải (load balancer), mạng phân phối nội dung (CDN) hoặc phối hợp cả hai. Các website nhỏ hơn và các dịch vụ có thể thuê phía bên ngoài của nhiều bên thứ ba nếu họ không có vốn để duy trì một loạt các sever.

Các nhà cung cấp dịch vụ chống DDoS luôn sẵn sàng. Thông thường, họ sẽ định tuyến lại lưu lượng truy cập đến của bạn thông qua khối hệ thống của riêng họ và “cọ rửa” nó để chống lại các phương thức tiến công đã biết. Họ có thể quét các lưu lượng truy cập đáng ngờ từ các nguồn hoặc từ các geolocation không phổ thông. Hoặc họ cũng luôn tồn tại thể định tuyến lại lưu lượng truy cập hợp pháp của bạn khỏi các nguồn botnet.

Hồ hết các tường lửa văn minh và Mạng lưới hệ thống bảo vệ xâm nhập (Intrusion Protection Systems – IPS) đều cung cấp khả năng phòng thủ trước các cuộc tiến công DDoS. Các thiết bị này còn có thể ở dưới dạng một thiết bị duy nhất quét tất cả lưu lượng truy cập đến khối hệ thống hoặc phần mềm được phân phối ở cấp sever. Các ứng dụng chống DDoS chuyên được sự dụng cũng luôn tồn tại sẵn trên thị trường và có thể bảo vệ tốt hơn trước đây các cuộc tiến công nhắm vào Lớp 7.

Quét mạng thường xuyên và theo dõi lưu lượng với những cảnh báo cũng luôn tồn tại thể giúp đỡ bạn nắm bắt được những nguy cơ của một cuộc tiến công DDoS sớm, cũng như đưa ra những hành động để giảm thiểu thiệt hại.

Nhận mặt các cuộc tiến công Dos và DDos

Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một tiến công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với những quản trị viên đang thực hiện việc bảo trì và quản lý. Mặc dù thế tuy vậy với các triệu chứng ở chỗ này bạn cũng có thể nhận ra tiến công DoS hoặc DdoS:

Nên làm gì nếu như khách hàng nghĩ mình hiện giờ đang bị tiến công từ chối dịch vụ?

Cho dù bạn có xác định đúng tiến công DoS hoặc DdoS đi chăng nữa thì bạn cũng không thể xác định được nguồn hoặc đích của tiến công. Chính vì vậy bạn nên liên hệ tới các Chuyên Viên kỹ thuật để được tương trợ.

Công việc kiểm tra và chuẩn bị sẵn sàng trong ứng phó với DDoS tại những trung tâm tài liệu

Khi chúng ta sở hữu một khối hệ thống bảo vệ DDoS tại chỗ, bước trước nhất cần thực hiện là xác định các phương thức tiến công và các ứng dụng quan trọng. Cổng nào đang mở? Băng thông nào đang sẵn có sẵn cho bạn sử dụng? Có khả năng ùn tắc mạng ở đâu? Những khối hệ thống quan trọng nào cần bảo vệ bổ sung?

Lưu ý hơn tới các khu vực dễ bị tổn thương dựa trên sự phụ thuộc vào các khối hệ thống khác trong hạ tầng của bạn, ví dụ như cơ sở tài liệu trung tâm có thể gỡ bỏ chức năng so với một số ứng dụng trong trường hợp nó bị quá tải.

Có nhiều phương tiện phần mềm mã nguồn mở mà bạn cũng có thể sử dụng để kiểm tra giảm thiểu từ DDoS, cũng như các tùy chọn phần cứng có thể đạt đến mức lưu lượng đa gigabit. Tuy nhiên, tùy chọn phần cứng sẽ là một giải pháp tốn kém. Thay vào đó, một đơn vị bảo mật thông tin mũ trắng chuyên nghiệp có thể cung cấp cho bạn những thử nghiệm như một dịch vụ tùy chọn.

Các cuộc tiến công DDoS kiên cố sẽ gây ra ra nhiều phiền toái, tuy vậy với những sự chuẩn bị sẵn sàng kỹ lưỡng, bạn cũng có thể sẵn sàng để ngăn chặn hoặc đưa ra những giải pháp khắc phục một cách nhanh chóng, thông qua đó tránh những gián đoạn dịch vụ cho tất cả những người dùng song song giảm thiểu đáng kể những thiệt hại mà DDoS gây ra.