DDoS là gì? 4 Cách khắc phục khi bị tấn công dịch vụ DDoS

Kinh doanh Online luôn đem lại những lợi ích vô cùng to lớn, bởi vì nó tốn ít kinh phí mà thu hồi lợi nhuận khá cao. Tuy nhiên với những lợi ích đó..kinh doanh Online cũng có những mối nguy tiềm ẩn, có thể kể đến là những hoạt động Tấn công từ chối dịch vụ ( DDoS) nhằm vào những trang web mà họ không thích.

Vậy đó tấn công từ chối dịch vụ ( DDoS) là gì? Nó hoạt động ra sao và làm thế nào để ngăn chặn những cuộc tấn công này? Bài viết hôm nay mình xin chia sẻ cho các bạn vấn đề này.

1.Tấn công từ chối dịch vụ ( DDoS) là gì?

Cuộc tấn công từ chối dịch vụ phân tán (DDoS) là hành động làm cho website cá nhân hay tổ chức nào đó truy cập được những không thể đọc bài viết hay có bất cứ hành động gì trên Websiste đó.

Hay nói cách khác Tấn công từ chối dịch vụ ( DDoS) là một nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập bình thường của một máy chủ dịch vụ hoặc mạng được nhắm mục tiêu trước đó.

Trong một cuộc tấn công từ chối dịch vụ phân tán ( tấn công DDoS ), lưu lượng truy cập đến tràn ngập nạn nhân bắt nguồn từ nhiều nguồn khác nhau. Một cuộc tấn công DoS hoặc DDoS tương tự như một nhóm người vây kín cửa vào của một cửa hàng và những người muốn mua hàng không thể vào cửa hàng đó.

ddos

2.Tấn công DDoS hoạt động như thế nào?

Các cuộc tấn công DDoS thường hoạt động bởi các botnet – một nhóm lớn các máy tính phân tán hoạt động phối hợp với nhau – đồng thời gửi thư rác một trang web hoặc nhà cung cấp dịch vụ với các yêu cầu dữ liệu.

Những kẻ tấn công sử dụng  phần mềm độc hại hoặc các lỗ hổng chưa được vá để cài đặt phần mềm Command and Control (C2) trên hệ thống của người dùng nhằm tạo ra một mạng botnet.  Các cuộc tấn công DDoS dựa vào số lượng lớn máy tính trong mạng botnet để đạt được hiệu quả mong muốn

Cuộc tấn công DYNDNS đã  khai thác các camera WIFI với mật khẩu mặc định để tạo ra một mạng botnet khổng lồ. Khi chúng đã sẵn sàng botnet, những kẻ tấn công sẽ gửi lệnh bắt đầu đến tất cả các nút botnet  và sau đó các botnet sẽ gửi các yêu cầu được lập trình của chúng đến máy chủ mà họ muốn.

Nếu cuộc tấn công vượt qua được hàng phòng thủ của dịch vụ máy chủ, nó sẽ nhanh chóng áp đảo hầu hết các hệ thống máy chủ, lúc này gây ra tình trạng ngừng hoạt động dịch vụ và trong một số trường hợp, làm hỏng máy chủ.

Kết quả cuối cùng của một cuộc tấn công DDoS chủ yếu là mất năng suất hoặc gián đoạn dịch vụ – khách hàng không thể nhìn thấy trang web.

3.Sự khác biệt giữa DoS và DDoS Attack là gì?

Tấn công từ chối dịch vụ (DoS) bao gồm nhiều loại tấn công được thiết kế để làm gián đoạn dịch vụ. Ngoài DDoS, bạn có thể có DoS lớp ứng dụng, DoS liên tục nâng cao và DoS dưới dạng dịch vụ. 

Nói tóm lại, DDoS là một kiểu tấn công DoS – tuy nhiên, DoS cũng có thể có nghĩa là kẻ tấn công đã sử dụng một nút duy nhất để bắt đầu cuộc tấn công, thay vì sử dụng botnet. Cả hai định nghĩa đều đúng.

4.Các kiểu tấn công DDoS phổ biến

Có một số cách khác nhau để kẻ tấn công thực hiện một cuộc tấn công DDoS. Dưới đây là những cuộc tấn công mà bạn nên xem qua

4.1vSYN Flood:

SYN Flood khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba chiều. Máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu “bắt tay”. Máy chủ nhận tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau đó đóng kết nối. Tuy nhiên, trong một SYN Flood, tin nhắn giả mạo được gửi đi và kết nối không đóng => dịch vụ sập.

4.2 UDP Flood:

User Datagram Protocol (UDP) là một giao thức mạng không session. Một UDP Flood nhắm đến các cổng ngẫu nhiên trên máy tính hoặc mạng với các gói tin UDP. Máy chủ kiểm tra ứng dụng tại các cổng đó nhưng không tìm thấy ứng dụng nào.

4.3 HTTP Flood:

HTTP Flood gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác bởi một hacker. Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thể buộc máy chủ sử dụng các nguồn lực tối đa.

4.4 Ping of Death:

Ping of Death điều khiển các giao thức IP bằng cách gửi những đoạn mã độc đến một hệ thống. Đây là loại DDoS phổ biến cách đây hai thập kỷ nhưng đã không còn hiệu quả vào thời điểm hiện tại.

4.5 Smurf Attack:

Smurf Attack khai thác giao thức Internet (IP) và ICMP (Internet Control Message Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf. Nó giả mạo một địa chỉ IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định.

4.6 Fraggle Attack:

Fraggle Attack sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của router. Nó giống như một cuộc tấn công Smurf, sử dụng UDP nhiều hơn là ICMP.

4.7 Slowloris:

Slowloris cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấn công và các mục tiêu trên máy chủ web. Khi đã kết nối với mục tiêu mong muốn, Slowloris giữ liên kết đó mở càng lâu càng tốt với HTTP tràn ngập.

Kiểu tấn công này đã được sử dụng trong một số DDoSing kiểu hacktivist (tấn công vì mục tiêu chính trị) cao cấp, bao gồm cuộc bầu cử tổng thống Iran năm 2009. Việc giảm thiểu ảnh hưởng với loại hình tấn công này là rất khó khăn.

4.8 Application Level Attacks:

Application Level Attacks khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu được biết đến.

4.9 NTP Amplification:

NTPAmplification khai thác các máy chủ NTP (Network Time Protocol), một giao thức được sử dụng để đồng bộ thời gian mạng, làm tràn ngập lưu lượng UDP. Đây là reflection attack bị khuếch đại.

Trong reflection attack bất kỳ nào đều sẽ có phản hồi từ máy chủ đến IP giả mạo, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ không còn tương xứng với yêu cầu ban đầu. Vì sử dụng băng thông lớn khi bị DDoS nên loại tấn công này có tính phá hoại và volumne cao.

4.10 Advanced Persistent DoS (APDoS):

Advanced Persistent DoS (APDoS) là một loại tấn công được sử dụng bởi hacker với mong muốn gây ra những thiệt hại nghiêm trọng.

Nó sử dụng nhiều kiểu tấn công được đề cập trước đó HTTP Flood, SYN Flood, v.v…) và thường nhắm tấn công theo kiểu gửi hàng triệu yêu cầu/giây.

Các cuộc tấn công của APDoS có thể kéo dài hàng tuần, phụ thuộc vào khả năng của hacker để chuyển đổi các chiến thuật bất cứ lúc nào và tạo ra sự đa dạng để tránh các bảo vệ an ninh.

4.11 Zero-day DDoS Attacks:

Zero-day DDoS Attacks là tên được đặt cho các phương pháp tấn công DDoS mới, khai thác các lỗ hổng chưa được vá.

5. Làm thế nào có thể ngăn chặn các cuộc tấn công DDoS?

Về vấn đề này thì những ai làm dịch vụ đều phải tính đến. Tất là có phương án dự phòng khi bị DDoS. Một số bước bạn cần chuẩn bị đó là:

Cài đặt và duy trì phần mềm chống virus.

Cài đặt tường lửa và cấu hình nó để giới hạn lưu lượng đến và đi từ máy tính của bạn.

Làm theo các hướng dẫn thực hành an toàn về phân phối địa chỉ email của bạn.

Dùng các bộ lọc email để giúp bạn quản lý lưu lượng không mong muốn.

Ngoài ra bạn có thể tính đến phương án khác đó là:

5.1 Blackhole routing

Một giải pháp có sẵn cho hầu như tất cả các quản trị viên mạng là tạo một tuyến lỗ hổng và chuyển lưu lượng truy cập vào tuyến đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được thực hiện mà không có tiêu chí hạn chế cụ thể, cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến một tuyến rỗng, hoặc lỗ đen và bị loại bỏ khỏi mạng.

5.2 Rate limiting

Giới hạn số lượng yêu cầu mà máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ.

5.3 Web application firewall

Một Web Application Firewall (WAF) là một công cụ có thể hỗ trợ trong việc giảm thiểu DDoS tấn công. Bằng cách đặt WAF giữa Internet và máy chủ gốc, WAF có thể hoạt động như một proxy ngược , bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại.

5.4 Anycast network diffusion

Cách tiếp cận giảm thiểu này sử dụng mạng Anycast để phân tán lưu lượng tấn công qua mạng các máy chủ phân tán đến điểm mà lưu lượng được mạng hấp thụ.

Ví dụ: Một con thác A chảy qua dóng sông sẽ có vận tốc nước rất lớn. Nhưng bạn có một con thác và cho chảy qua 7 con sông nhỏ, vậy tốc độ nước sẽ giảm hơn nhiều phải không. Cũng giống như khi lưu lượng truy cập quá lớn, máy chủ sẽ không chịu tải được. Lúc này bạn cần chia nhỏ máy chủ ra để giảm thiểu tốc độ lưu lượng truy cập

Ngoài ra bạn có thể những dịch vụ của bên thứ 3 để hạn chế DDoS như các công ty như Cloudflare và Akamai, bạn có thể sử dụng các biện pháp bảo mật điểm cuối tiêu chuẩn của mình.

6. Kết

Thông qua bài viết này bạn chắc chắn đã hiểu khái niệm “tấn công dịch vụ DDoS là gì” rồi phải không nào? Ngoài ra chúng tôi còn hướng dẫn bạn cách phòng chống nếu trường hợp bị DDoS.

Chắc chắn còn nhiều ý kiến trái chiều về bài viết này. Do đó các bạn có thể để lại bình luận bên dưới để chúng ta cùng thảo luận. Cảm ơn và hẹn gặp lại trong bài viết sau. À nếu bạn không biết cách nào để khắc phục vấn đề này..Vậy hãy tham khảo qua dịch vụ của chúng tôi đó là https://vfftech.vn/dich-vu/bao-tri-va-cham-soc-website/ để khắc phục tình trạng này nhé.

Cảm ơn

https://quantrimang.com/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos-34926

https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

https://www.varonis.com/blog/what-is-a-ddos-attack/

đã cho chúng tôi tham khảo bài viết này.