Có thể bạn đã từng nghe nhiều về DoS, DDoS hay tấn công từ chối dịch vụ và cũng có thể đã từng là nạn nhân của kiểu tấn công này. Vậy DoS, DDoS là gì, dấu hiệu nào để nhận biết DoS, DDoS và tác hại của chúng ra sao? Trong bài viết này, Quantrimang.com sẽ cùng bạn tìm hiểu về kiểu tấn công kinh điển này, cũng như đưa ra cho bạn một số việc cần làm nếu nghi ngờ dịch vụ của mình đang bị DDoS, rôi cách kiểm tra, phòng tránh DDoS đang được áp dụng tại các trung tâm dữ liệu.
Mục Lục [Ẩn]
DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch vụ DoS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ/mạng đó. Kẻ tấn công thực hiện điều này bằng cách "tuồn" ồ ạt traffic hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi.
Nạn nhân của tấn công DoS thường là máy chủ web của các tổ chức cao cấp như ngân hàng, doanh nghiệp thương mại, công ty truyền thông, các trang báo, mạng xã hội...
Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.
DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.
Khi DDoS, kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máy tính của bạn để thực hiện tấn công Dos.
Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. Có ba loại tấn công cơ bản: Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất
Cho dù bạn có xác định đúng tấn công DoS hoặc DdoS đi chăng nữa thì bạn cũng không thể xác định được nguồn hoặc đích của tấn công. Chính vì vậy bạn nên liên hệ đến các chuyên gia kỹ thuật để được hỗ trợ. Nếu bạn thấy rằng không thể truy cập vào chính các file của mình hoặc vào bất cứ website mở rộng nào từ máy tính thì bạn nên liên hệ với người quản trị mạng của mạng đó. Điều này có thể chỉ ra rằng máy tính của bạn hoặc mạng của tổ chức đang bị tấn công hay không. Nếu bạn thấy những vấn đề xảy ra trên chính máy tính của mình, thì bạn hãy liên hệ với nhà cung cấp dịch vụ (ISP). Nếu có vấn đề, ISP có thể khuyên bạn có những hành động thích hợp.
Tóm lại, tấn công DoS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy tính của nạn nhân và đánh "sập" nó. Tấn công DoS là một cuộc tấn công trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên một trang web. Cuộc tấn công này làm cho máy chủ của một trang web được kết nối với Internet "sập" bằng cách gửi một lượng lớn lưu lượng truy cập đến nó. Còn trong cuộc tấn công DDoS, các cuộc tấn công được thực hiện từ nhiều địa điểm khác nhau bằng cách sử dụng nhiều hệ thống.
2 kiểu tấn công này có những điểm khác biệt như sau:
| DOS | DDOS |
|---|---|
| DoS là viết tắt của Denial of service. | DDoS là viết tắt của Distributed Denial of service. |
| Trong cuộc tấn công DoS, chỉ một hệ thống nhắm mục tiêu vào hệ thống nạn nhân. | Trong DDos, nhiều hệ thống tấn công hệ thống nạn nhân. |
| PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ một vị trí duy nhất. | PC bị nhắm mục tiêu được load từ gói dữ liệu gửi từ nhiều vị trí. |
| Tấn công DoS chậm hơn so với DDoS. | Tấn công DDoS nhanh hơn tấn công DoS. |
| Có thể bị chặn dễ dàng vì chỉ sử dụng một hệ thống. | Rất khó để ngăn chặn cuộc tấn công này vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí. |
| Trong cuộc tấn công DoS, chỉ một thiết bị duy nhất được sử dụng với các công cụ tấn công DoS. | Trong cuộc tấn công DDoS, nhiều bot được sử dụng để tấn công cùng một lúc. |
| Các cuộc tấn công DoS rất dễ theo dõi. | Các cuộc tấn công DDoS rất khó theo dõi. |
| Lưu lượng truy cập trong cuộc tấn công DoS ít hơn so với DDoS. | Các cuộc tấn công DDoS cho phép kẻ tấn công gửi một lượng lớn lưu lượng truy cập đến mạng nạn nhân. |
| Các loại tấn công DoS là: 1. Tấn công tràn bộ đệm 2. Tấn công Ping of Death hoặc ICMP flood 3. Tấn công Teardrop Attack |
Các loại tấn công DDoS là: 1. Tấn công Volumetric (tấn công băng thông) 2. Tấn công Fragmentation Attack (phân mảnh dữ liệu) 3. Application Layer Attack (khai thác lỗ hổng trong các ứng dụng) |
Măc dù DDOS có những chế độ tấn công ít phức tạp hơn những hình thức tấn công mạng khác, nhưng chúng ta phải cẩn thận vì chúng càng ngày càng trở nên tinh vi và mạnh hơn. Có 3 loại tấn công DDOS cơ bản như sau:
Volume-based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng
Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy chủ
Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại tấn công tinh vi và nghiêm trọng nhất
1. SYN Flood
SYN Flood là hình tấn công lợi dụng những điểm yếu trên chuỗi kết nối TCP, dựa vào những kết nối không được hoàn thành hoàn chỉnh. Khi một người dùng nào đó thực hiện request TCP Syn thì sẽ không nhận được phản hồi từ máy chủ, đồng nghĩa với việc kết nối không hoạt động. Kẻ tấn công tiêu thụ tất cả tài nguyên có sẵn của server để làm cho các server không có đủ lưu lượng để truy cập hợp pháp. Kẻ tấn công có thể áp đảo các server mục tiêu bằng cách liên tục gửi nhiều tin yêu cầu kết nối SYN, khiến các máy của Client không thể đáp ứng lưu lượng hoặc đáp ứng rất chậm chạp.
2. UDP Flood
UDP – User Datagram Protocol là một giao thức kết nối mạng không tin cậy. Cuộc tấn công UDP nhắm vào các cổng trên máy chủ từ xa bằng những gói tin UDP số lượng lớn, làm cho các máy chủ này sẽ kiểm tra những ứng dụng nghe trên các cổng này nhưng không tìm thấy ứng dụng nào
3. HTTP Flood
Là hình thức mà các yêu cầu HTTP GET hoặc POST gần như hợp pháp bị khai thác bởi hackers. Tấn công kiểu HTTP Flood sử dụng hàng loạt botnet và hàng ngàn máy tính, những máy tính này đã bị kiểm soát do sử dụng các phần mềm độc hại. Hình thức này sẽ sử dụng ít băng thông hơn các loại tấn công khác nhưng các máy chủ buộc phải sử dụng tối đa nguồn tài nguyên.
4. Ping of Death Phương thức Ping of Death làm thao túng các giao thức IP bằng cách gửi rất nhiều ping độc hại đến một hệ thống, và kiểu tấn công này sẽ thường bắt gặp trên các hệ điều hành Windows NT trở xuống. Tấn công DDOS kiểu Ping of Death này phổ biến ở 2 thập kỷ trước hơn là hiện tại, cho nên thường không mang lại hiệu quả cao ở thời điểm này.
5. Smurf Attack
Smurf là kiểu tấn công bằng cách lợi dụng địa chỉ IP và các giao thức ICMP nhờ các chương trình độc hại có tên là Smurf. Kẻ tấn công giả vờ lấy địa chỉ IP nguồn là mục tiêu tấn công để ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều mạng, làm cho địa chỉ IP này sẽ nhận một loạt phản hồi gói ICMP cực kỳ lớn, khiến cho mạng bị chậm lại hoặc không thể đáp ứng các dịch vụ khác
6. Fraggle Attack
Fraggle Attack là một cuộc tấn công sử dụng nhiều lưu lượng UDP vào mạng phát sóng của Router. Cũng tương tự như cách tấn công Smurf nhưng nó không sử dụng nhiều ICMP.
7. Slowloris Slowloris
là hình thức tấn công sử dụng ít nguồn tài nguyên để tấn công những website đích, bởi vì Slowloris là một công cụ cụ thể cho phép kẻ tấn công có thể đánh bại được một máy chủ khác mà không tốn nhiều băng thông. Slowloris sẽ giúp thực hiện cuộc tấn công đến phần lớn là các ứng dụng thông qua nhiều yêu cầu HTTP một phần. Chức năng tấn công chính là luôn duy trì mở các kết nối đến máy chủ mục tiêu và luôn giữ cho kết nối đó mở.
8. NTP Amplification
NTP Amplification là một kiểu tấn công bằng các gói tin mà kẻ tấn công khai thác máy chủ NTP (Network Time Protocol) đang hoạt động và khiến cho hệ thống mạng hoặc máy chủ mục tiêu bị quá tải do một lượng lớn các gói UDP đang được khuếch đại.
9. HTTP GET
HTTP GET là hình thức tấn công vào những lớp ứng dụng với quy mô nhỏ nhưng nhắm đến nhiều mục tiêu. Mục tiêu của hình thức tấn công HTTP GET chính là nhắm vào những ứng dụng xảy ra nhiều điểm yếu, đặc biệt là nhắm vào lớp thứ 7 trong mô hình OSI thay vì lớp thứ 3, vì đây là lớp có lưu lượng mạng cao nhất. Kiểu tấn công này hay sử dụng các URL tiêu chuẩn thay vì các tệp hỏng hoặc tệp có khối lượng lớn nên việc chống lại là điều tương đối khó
10. Advanced persistent Dos (APDos):
Advanced Persistent Dos (ApDos) là hình thức tấn công vô cùng phức tạp và nghiêm trọng bởi vì nó sử dụng kết hợp tất cả những hình thức tấn công khác như HTTP Flood hay SYN Flood,…Kẻ tấn công sử dụng hình thức này luôn mong muốn gây ra những thiệt hại nghiêm trọng. Cuộc tấn công này cực kỳ lớn và nguy hiểm vì có thể sẽ kéo dài hàng tuần hoặc hằng tháng, với điều kiện là hacker phải có khả năng thay đổi chiến thuật liên tục tránh các bảo vệ an ninh.
Thông thường các server của website đang bị tấn công DDOS sẽ có những dấu hiệu như sau: Mạng của bạn hoặc mạng của hệ thống bị chậm bất thường khi truy cập vào website hoặc mở tệp mặc dù mạng Internet đang ổn định, và truy cập các website khác bình thường Không thể truy cập vào một trang của website Không thể truy cập vào nhiều website Nhận nhiều thư rác trong tài khoản một cách bất thường
Trong mọi trường hợp liên quan đến mạng, không truy cập được website, thì người đầu tiên bạn nên cần sự giúp đỡ đó chính là nhà cung cấp dịch vụ Internet. Bởi vì họ sở hữu những kỹ thuật mạng, lập trình viên có chuyên môn cao, nên có thể sẽ phân tích được vấn đề, tìm ra đích tấn công, và hướng dẫn bạn thực hiện những phương pháp xử lý phù hợp, hiệu quả
Nhà cung cấp host là người cung cấp máy chủ và vận hành máy chủ, vì vậy bạn có thể liên lạc với họ khi gặp những vấn đề liên quan đến máy chủ. Khi biết server đang bị tấn công, họ sẽ tạo “black hole” (lỗ đen) để hút các traffic cho đến khi nó tự dừng lại. Khi đó dù là yêu cầu truy cập chính thống hay không chính thống thì cũng bị gạt qua, đồng thời phương pháp này sẽ bảo vệ những máy chủ khách hàng khác không bị ảnh hưởng. Sau một thời gian, họ sẽ reroute lại tất cả traffic, lọc lại, và cho phép các yêu cầu chính thống hoạt động bình thường.
Nếu trang web hoặc ứng dụng của bạn bị tấn công ở mức độ cực kỳ lớn và nguy hiểm, và các phương pháp trên không thể giải quyết được thì bạn có thể nhờ đến sự giúp đỡ của các chuyên gia, những người chuyên phân tích và xử lý tấn công DDOS. Thông thường các chuyên gia này sẽ có những máy chủ cực khủng để điều hướng traffic, và loại bỏ những traffic không chính thống.
Địa chỉ: Số 7A, Đường Thới An 10, Khu phố 3, Phường Thới An, Quận 12, TP. Hồ Chí Minh
Trụ sở chính: E20/22E6 Ấp 5, Đ. Vĩnh Lộc, Bình Chánh, Thành phố Hồ Chí Minh
Email: info@webmoi.vn - tanlucit09@gmail.com
Hotline + Zalo: 0398259259
Website chính: https://webmoi.vn/
Web Mới là công ty thiết kế web chuyên nghiệp uy tín có trụ sở chính tại Tp HCM. Chúng tôi thiết kế web chuẩn SEO, chuẩn di động. Áp dụng những công nghệ tiên tiến nhất hiện nay để thiết kế website như HTML5, CSS3... Thiết kế website code tay PHP theo yêu cầu giao diện, chức năng...
