Nếu một ngày đẹp trời nào đó, website của bạn bỗng dưng không thể truy cập, hoặc bạn nhận ra là có một lượng traffic cực khủng đang truy cập vào chính website của bạn, thì đó chính là dấu hiệu rõ ràng cho thấy bạn đang trở thành đối tượng đang bị tấn công DDOS.
Có thể bạn đã từng nghe qua rất nhiều về DOS, DDOS hay các kiểu tấn công từ chối dịch vụ, nhưng bạn sẽ thật sự quan tâm tới vấn đề này khi trở thành nạn nhân của kiểu tấn công này.
Vậy, DDOS là gì? Dấu hiệu nào nhận biết và tác hại của chúng là gì? Trong giới hạn bài viết này, Mona Media sẽ cùng bạn tìm hiểu mọi thứ về kiểu tấn công kinh điển này, cũng như một số việc bạn cần làm nếu nghi ngờ dịch vụ của mình đang bị DDOS và cách phòng tránh hiệu quả đã và đang được áp dụng tại các trung tâm dữ liệu.
DDOS là gì?
DDOS là viết tắt của cụm từ Distributed Denial of Service, dịch ra là “từ chối dịch vụ phân tán”.
Nói một cách dễ hiểu hơn, DDOS là phương pháp tấn công đến server chứa website bằng cách sử dụng nhiều thiết bị, máy tính khác nhau để đánh sập server. Hiện tượng tấn công DDOS sẽ xảy ra khi có rất nhiều truy cập vào website của bạn trong cùng 1 lúc, khiến website bị gián đoạn dịch vụ và không sử dụng được server.
Đối tượng tấn công DDOS không chỉ sử dụng máy tính của mình để tấn công, mà chính máy tính của bạn cũng sẽ có thể đang được sử dụng để tấn công máy tính khác. Những kẻ tấn công sẽ lợi dụng các lỗ hổng về bảo mật hoặc sự thiếu hiểu biết về máy tính của chủ nhân máy để đoạt quyền kiểm soát máy tính của bạn để gửi đi các dữ liệu, yêu cầu đến một website, hoặc một địa chỉ email nào đó.
DOS và DDOS có giống nhau không?
Hai khái niệm này không giống nhau, nhưng rất nhiều người vẫn bị nhầm lẫn.
Tấn công bằng DOS nghĩa là một máy tính gửi một lượng lớn traffic đến máy tính của nạn nhân để đánh sập nó. DOS là một cuộc tấn công trực tuyến để khiến trang web trở nên không khả dụng với người dùng khi được thực hiện trên 1 website.
Còn DDOS thì các cuộc tấn công sẽ được thực hiện từ nhiều địa điểm khác nhau, bằng cách sử dụng nhiều hệ thống, quy mô hơn.
Song những hậu quả điển hình mà DDOS và DOS gây ra lại có điểm tương đồng, cụ thể:
- Hệ thống máy chủ bị sập khiến người dùng không truy cập được
- Doanh nghiệp sở hữu máy chủ, hệ thống sẽ mất doanh thu, chưa kể phát sinh một khoản chi phí để khắc phục sự cố.
- Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, gây gián đoạn, ảnh hưởng hiệu suất công việc
- Việc người dùng truy cập vào website khi đang bị DOS và DDOS sẽ ảnh hưởng đến danh tiếng của doanh nghiệp, nếu không được fix trong thời gian sớm nhất, người dùng có thể sẽ bỏ đi và lựa chọn dịch vụ thay thế khác.
- Một số vụ tấn công DDOS kỹ thuật cao thậm chí còn dẫn đến thất thoát về tiền bạc, dữ liệu khách hàng của công ty.
Các loại tấn công từ chối dịch vụ phổ biến trên nền tảng Internet
Những loại tấn công DDOS cơ bản
Chúng ta sẽ tìm hiểu về những chế độ tấn công ít phức tạp hơn so với những hình thức tấn công mạng khác, nhưng những hình thức này đang ngày càng cải tiến, tinh vi và trở nên mạnh hơn. Một số loại tấn công DDOS cơ bản như sau:
- Volume-based attacks: Đây là loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng
- Protocol attacks: Loại tấn công này tập trung vào việc khai thác nguồn tài nguyên của máy chủ
- Application attacks: Tấn công hướng vào các ứng dụng web và có thể được coi là một loại tấn công tinh vi và nghiêm trọng nhất
Các hình thức tấn công DDOS phổ biến thường gặp phải
SYN Flood
SYN Flood là hình thức tấn công lợi dụng những yếu điểm trên chuỗi kết nối TCP, những kết nối không được hoàn thành hoàn chỉnh.
Khi một người dùng nào đó thực hiện request TCP Syn sẽ không nhận được phản hồi từ máy chủ, đồng nghĩa với việc kết nối đó không hoạt động.
Kẻ tấn công sẽ tiêu thụ tất cả tài nguyên có sẵn của server, làm cho các server không có đủ lưu lượng để truy cập hợp pháp. Chúng sẽ áp đảo các server mục tiêu bằng cách liên tục gửi tin yêu cầu kết nối SYN, khiến các máy của Client không thể đáp ứng lưu lượng hoặc đáp ứng rất chậm chạp.
UDP Flood
UDP – dịch là User Datagram Protocol, hay có thể hiểu đây là một giao thức kết nối mạng không tin cậy. Cuộc tấn công UDP thường nhắm vào các cổng trên máy chủ từ xa bằng những gói tin UDP số lượng lớn, dẫn đến việc các máy chủ này sẽ kiểm tra những ứng dụng nghe trên các cổng này nhưng không tìm thấy ứng dụng nào.
HTTP Flood
Là hình thức mà các yêu cầu HTTP GET hoặc POST gần như hợp pháp bị khai thác bởi các hackers.
Khi tấn công DDOS kiểu HTTP Flood, kẻ tấn công sẽ sử dụng hàng loạt botnet và hàng ngàn máy tính đã bị kiểm soát do sử dụng các phần mềm độc hại. Hình thức này sẽ sử dụng ít băng thông hơn các loại tấn công khác nhưng các máy chủ buộc phải sử dụng tối đa nguồn tài nguyên.
Ping of Death
Phương thức tấn công từ chối dịch vụ Ping of Death thao túng các giao thức IP bằng cách gửi rất nhiều ping độc hại đến hệ thống. Kiểu tấn công này thường bắt gặp trên các hệ điều hành Windows NT trở xuống. Chúng phổ biến vào khoảng 2 thập kỷ trước hơn là hiện tại, do đó khách quan mà nói thì cách này không mang lại hiệu quả cao.
Smurf Attack
Smurf là kiểu tấn công lợi dụng địa chỉ IP và các giao thức ICMP nhờ các chương trình độc hại có tên là Smurf.
Cách thức là kẻ tấn công giả vờ lấy địa chỉ IP nguồn là mục tiêu tấn công để ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều mạng, khiến địa chỉ IP này sẽ nhận một loạt phản hồi gói ICMP cực kỳ lớn, làm cho mạng bị chậm lại hoặc không thể đáp ứng bất cứ dịch vụ nào khác.
Fraggle Attack
Cuộc tấn công Fraggle Attack sửu dụng nhiều lưu lượng UDP vào mạng phát sóng của Router. Tương tự như cách tấn công Smurf, nhưng Fraggle Attack không sử dụng nhiều ICMP.
Slowloris
Hình thức tấn công DDOS mang tên Slowloris sử dụng ít nguồn tài nguyên để tấn công các website đích, bởi nó là công cụ cụ thể cho phép kẻ tấn công có thể đánh bại 1 máy chủ khác mà không cần tốn nhiều băng thông.
Slowloris giúp thực hiện cuộc tấn công đến phần lớn các ứng dụng thông qua nhiều yêu cầu HTTP một phần. Chức năng tấn công chính là duy trì mở các kết nối đến máy chủ mục tiêu và luôn luôn giữ cho kết nối đó mở.
NTP Amplification
NTP Amplification tấn công bằng các gói tin mà kẻ tấn công khai thác máy chủ Network Time Protocol đang hoạt động và khiến cho hệ thống mạng hoặc máy chủ mục tiêu bị quá tải do một lượng lớn các gói UDP đang được khuếch đại.
HTTP GET
HTTP GET là hình thức tấn công vào các lớp ứng dụng với quy mô nhỏ nhưng nhắm đến nhiều mục tiêu. Mục tiêu của hình thức tấn công HTTP GET nhắm vào những ứng dụng xảy ra nhiều điểm yếu, đặc biệt là nhắm vào lớp thứ 7 trong mô hình OSI thay vì lớp thứ 3 như các hình thức khác, lý do bởi đây là lớp có lưu lượng mạng cao nhất. Kiểu tấn công này hay sử dụng các URL tiêu chuẩn thay vì các tệp hỏng hoặc tệp có khối lượng lớn nên việc chống lại cách thức tấn công từ chối dịch vụ này là điều tương đối khó
Advanced Persistent Dos (APDos)
Là hình thức tấn công phức tạp và nghiêm trọng bởi nó sử dụng tất cả các hình thức tấn công khác như HTTP Flood hay SYN Flood,…
Kẻ tấn công sử dụng hình thức này với mong muốn gây ra những thiệt hại nghiêm trọng. Cuộc tấn công này cực kỳ lớn và nguy hiểm bởi việc sửa chữa thiệt hại có thể kéo dài hàng tuần, thậm chí là hằng tháng. Hacker có thể thực hiện cũng là người có khả năng thay đổi chiến thuật liên tục để tránh các bảo vệ an ninh.
DDOS có thể được ngăn chặn được không? Làm cách nào để tránh?
Một điều đáng buồn là trên thực tế, không có biện pháp cụ thể nào để tránh việc trở thành nạn nhân của một vụ tấn công từ chối dịch vụ cả. Tuy nhiên, Mona Media vẫn sẽ giới thiệu với bạn một vài bước để giảm bớt phần nào thiệt hại từ kiểu tấn công sử dụng máy tính của bạn để đi tấn công máy tính khác.
Đối với người dùng có thể bị xâm nhập tham gia vào cuộc tấn công DDOS
- Cài đặt và cập nhật liên tục các phần mềm diệt Virus chất lượng, lưu ý là bạn nên sử dụng phần mềm diệt virus trả phí để đảm bảo tính bảo mật cao
- Cài đặt tường lửa (Firewall), thiết lập cấu hình tường lửa nhằm hạn chế những truy cập lạ từ bên ngoài và đi từ máy tính bạn ra ngoài.
- Sử dụng bộ lọc thư điện tử để hạn chế đến mức tối đa việc nhận những email lạ, email độc hại hoặc các truy cập không mong muốn.
Đối với máy chủ có thể trở thành nạn nhân của DDOS
- Sử dụng dịch vụ hosting uy tín. Một hosting uy tín, chất lượng sẽ cung cấp những nguồn tài nguyên, cấu hình website phù hợp và đặc biệt là đảm bảo có độ bảo mật cao, đồng thời có thể hỗ trợ bạn kịp thời khi xảy ra tấn công DDOS
- Lường trước sự tấn công sẽ xảy ra bằng cách thường xuyên theo dõi lưu lượng truy cập của website. Điều này sẽ giúp bạn biết được những ngày nào có dấu hiệu bất thường. Việc gia tăng lượng truy cập đột biến sẽ là dấu hiệu rõ rệt cho thấy một cuộc tấn công DDOS sắp diễn ra.
- Chuẩn bị băng thông dự phòng lớn hơn mức băng thông của trang web hiện tại. Mặc dù việc mở rộng băng thông không hẳn là cách giải quyết hiệu quả các cuộc tấn công DDOS, song nó vẫn có thể tạo thêm thời gian cho bạn để hành động trước khi máy chủ bị tấn công.
- Tạo ra định tuyến hố đen để nhà cung cấp dịch vụ Internet có thể chuyển các traffic vào đó, hạn chế tình trạng quá tải trên hệ thống.
- Giới hạn số lượng truy cập vào trang web, điều này sẽ làm chậm quá trình tấn công của hacker. Nhưng cũng phải nói thêm rằng phương pháp này sẽ không mấy hiệu quả nếu như hacker cố gắng sử dụng những kiểu tấn công DDOS phức tạp như HTTP GET hay APDos
- Sử dụng tường lửa ứng dụng web (WAF) nhằm tránh tấn công đến lớp thứ 7 dựa vào các quy tắc nhất định, và góp phần cứu hệ thống khỏi những truy cập độc hại
- Dùng mạng Anycast để phân tích lưu lượng truy cập và chuyển các traffic DDOS đến những nơi có thể quản lý.
Cách nhận biết tình trạng tấn công từ chối dịch vụ DDOS đang xảy ra và cách giải quyết?
Thường các server của website đang bị tấn công DDOS sẽ có những biểu hiện như sau:
- Mạng của hệ thống bị chậm bất thường khi truy cập website hoặc mở 1 tệp nào đó, dù mạng internet vẫn ổn định và truy cập các website khác bình thường
- Không thể truy cập vào 1 trang của website
- Không thể truy cập vào nhiều website
- Nhận nhiều thư rác một cách bất thường.
Vậy, nếu máy tính của bạn cũng có những dấu hiệu này này chúng ta có thể giải quyết bằng 1 số cách thức sau:
Liên hệ nhà cung cấp Internet (ISP)
Trong mọi trường hợp liên quan tới mạng, không truy cập được website, tốt nhất, bạn nên liên hệ ngay với nhà cung cấp Internet để yêu cầu sự giúp đỡ. Họ là những người sở hữu kỹ thuật mạng, lập trình viên chuyên môn cao để có thể phân tích vấn đề, tìm ra đích tấn công và hướng dẫn bạn các bước tiếp theo hoặc đưa ra phương pháp xử lý hiệu quả, phù hợp.
Liên hệ nhà cung cấp host
Nhà cung cấp host là người cung cấp và vận hành máy chủ, vậy nên bạn có thể liên lạc họ khi gặp vấn đề liên quan tới DDOS vì nó cũng liên quan tới máy chủ.
Khi biết server đang bị tấn công, họ sẽ giúp bạn tạo “black hole” để hút traffic cho đến khi nó tự dừng lại. Dù là yêu cầu truy cập chính thống hay không thì cũng bị gạt qua, đồng thời phương pháp xử lý này sẽ bảo vệ những máy chủ khách hàng khác không bị ảnh hưởng. Sau một thời gian, họ sẽ reroute lại tất cả traffic, lọc lại, và cho phép các yêu cầu chính thống hoạt động bình thường.
Liên hệ chuyên gia, người chuyên phân tích, xử lý tấn công DDOS
Trong trường hợp website hoặc ứng dụng của bạn bị tấn công ở mức độ cực kỳ lớn và nguy hiểm, kể cả bạn đã liên hệ nhà cung cấp host lẫn nhà cung cấp dịch vụ Internet nhưng vẫn không thể giải quyết thì chuyên gia chính là người bạn có thể nhờ cậy lúc này. Họ có thể giúp bạn điều hướng traffic, loại bỏ các traffic không chính thống dựa trên các máy chủ cực khủng.
Kết luận
Các cuộc tấn công DDOS chắc chắn sẽ gây ra rất nhiều phiền tài. Song, với sự chuẩn bị kỹ càng và hiểu biết về nó, bạn có thể sẵn sàng để ngăn chặn hoặc đưa ra những giải pháp khắc phục một cách hiệu quả, nhanh chóng, tránh những gián đoạn dịch vụ cho người dùng, đồng thời giảm thiểu một cách đáng kể những thiệt hại mà các cuộc tấn công từ chối dịch vụ DDOS có thể gây ra.
Hy vọng rằng với những thông tin trên, chúng tôi đã có thể cung cấp cho bạn đầy đủ các giá trị để hiểu rõ hơn về DDOS và tổng quan những vấn đề xung quanh nó. Chúc bạn thành công trong việc tìm kiếm giải pháp xử lý thích hợp.