Tấn công từ chối dịch vụ (DDoS) là một vấn đề nghiêm trọng gây ảnh hưởng đến hoạt động của website và tác động tiêu cực về mặt lợi nhuận, kinh doanh và danh tiếng của doanh nghiệp. Vì thế, việc chống lại các cuộc tấn công DDoS đang được rất nhiều doanh nghiệp và người dùng hiện nay quan tâm. Cùng Peco tham khảo bài viết sau đây để biết rõ DDoS là gì? Nhận biết và cách xử lý DDoS xâm nhập website doanh nghiệp nhé!
Tấn Công Từ Chối Dịch Vụ DDoS Là Gì?
DDoS được viết tắc từ Distributed Denial of Service (Từ chối Dịch vụ Phân phối). Đây là kiểu tấn công thông qua luồng lưu lượng truy cập trên nhiều máy tính khác nhau tại nhiều thời điểm khác nhau. Làm tê liệt, ngừng sử dụng máy tính hoặc máy tính là đối tượng của tấn công từ chối dịch vụ. Việc tấn công sẽ làm tê liệt dịch vụ và sau một khi đã chiếm lại toàn quyền điều khiển máy tính, kẻ tấn công sẽ chuyển thông tin xấu hay đòi hỏi sang các máy khác thông qua website hoặc email.
Một dạng tấn công khác làm các website không khả dụng với người truy cập nữa là tấn công DDoS website. DDoS web sẽ đưa đến một số lượng đòi hỏi truy cập khổng lồ đến từ vô số website khác nhau. DDoS web sẽ làm máy chủ bị treo, website báo lỗi hoặc không thể truy cập.
Dấu Hiệu Nhận Biết Server Bị Tấn Công Từ Chối Dịch Vụ
Một số dấu hiệu nhận biết khi một server bị tấn công DDoS có thể nhận biết thông qua các điểm sau đây:
- Hiệu suất giảm sút
- Lưu lượng mạng tăng cao
- Sự giảm sút trong khả năng sử dụng tài nguyên
- Hành vi truy cập thay đổi với một lượng lớn yêu cầu truy cập giả mạo hoặc không hợp lệ
- Hệ thống quá tải và server không thể xử lý được yêu cầu từ người dùng hợp lệ
- Phát hiện IP đáng ngờ…
Các Hình Thức Tấn Công DDoS Thường Gặp Hiện Nay
SYN Flood
Hiện nay, một trong những hình thức tấn công DDoS phổ biến là SYN Flood. Tấn công này khai thác điểm yếu trong trình kết nối TCP để làm cạn kiệt nguồn dự trữ của các kết nối mở với các IP đơn lẻ và giả mạo.
Cuộc tấn công SYN Flood, hay còn gọi là “tấn công nửa mở”, có chủ ý truyền một loạt thông điệp SYN ngắn vào máy chủ, tạo ra liên kết không an toàn và dẫn đến lỗi máy chủ toàn bộ.
Khi lớp TCP quá tải, tấn công SYN Flood xảy ra khi kẻ tấn công gửi nhiều yêu cầu SYN nhưng không phản hồi SYN-ACK từ máy chủ hoặc gửi yêu cầu SYN từ địa chỉ IP giả mạo để ngăn chặn việc giao tiếp ba chiều TCP giữa máy khách và máy chủ.
Hậu quả của việc lưu lượng truy cập hợp pháp bị ngăn chặn là tiêu tốn tài nguyên của máy chủ, khiến máy khó hoặc không thể hoạt động đúng đối với những người dùng được uỷ quyền đã được kết nối. Để ngăn chặn việc này, cần phải xử lý số lượng lớn các kết nối TCP để tránh tiêu tốn tài nguyên của máy chủ và duy trì sự hoạt động bình thường.
Việc này làm cho hệ thống máy chủ phải chờ đợi xác thực đối với mỗi truy vấn, khóa các nguồn tài nguyên cho đến khi không có kết nối mới nào khác được thiết lập, và cuối cùng dẫn đến cuộc tấn công DDoS.
UDP Flood
UDP Flood là cuộc tấn công DDoS gây ra hiệu ứng Flooding với mục tiêu là các gói Giao thức dữ liệu người dùng (UDP), làm ngập lụt ngẫu nhiên các kết nối trên một máy chủ từ xa là mục tiêu của cuộc tấn công. Điều này khiến máy chủ phải tìm kiếm ứng dụng đang hoạt động tại cổng kia, và khi không có ứng dụng, máy chủ sẽ phản hồi thông qua gói ICMP Destination Unreachable. Quá trình này làm cạn kiệt tài nguyên của máy chủ, cuối cùng có thể dẫn đến ngừng hoạt động máy chủ.
HTTP Flood
Trong một cuộc tấn công của HTTP Flood, tin tặc có thể dễ dàng tấn công máy chủ web hoặc ứng dụng, kẻ tấn công sẽ khai thác các yêu cầu HTTP GET hoặc POST hợp pháp. HTTP Flood không sử dụng các gói tin, kỹ thuật giả mạo hay sử dụng các phản hồi không đúng định dạng. So với các cuộc tấn công thông thường, cuộc tấn công diễn ra hiệu quả nhất khi HTTP Flood đòi hỏi ít băng thông hơn khi nó yêu cầu máy chủ hoặc ứng dụng phân bổ tài nguyên tối ưu để có thể xử lý từng yêu cầu riêng lẻ được gửi đến.
Ping of Death
Khi diễn ra cuộc tấn công Ping of Death (POD), kẻ tấn công sẽ gửi nhiều hiệu lệnh ping không đúng cách hoặc quá lớn đến máy tính gây ra tình trạng không ổn định, máy tính hoặc dịch vụ được nhắm mục tiêu bị ngắt, dừng hoạt động.
Độ dài gói tối đa của gói IP (bao gồm cả tiêu đề) là 65. 535 byte. Khi Ping of Death được thực thi, một gói IP lớn sẽ được phân chia thành nhiều gói IP và máy chủ người dùng sẽ tổng hợp tất cả các mảnh IP trên thành gói đầy đủ.
Người dùng kết thúc với một gói IP lớn hơn 65. 535 byte sau khi máy nhận lại toàn bộ số mảnh IP. Điều này có thể làm đầy bộ đệm bộ nhớ đã cấp phát cho gói, gây ra từ chối dịch vụ đối với các gói hợp lệ.
Smurf Attack
Tấn công Smurf là một hình thức tấn công DDoS, được gọi là tương tự vì có nhiều nét tương đồng với Ping Flood khi đối tượng đã thực hiện các yêu cầu ICMP tấn công, điểm khác biệt ở đây, Smurf Attack dùng phần mềm độc hại đầu tiên nhằm tiến hành vụ tấn công DDoS. Trong trường hợp Ping Flood, không phải dùng phần mềm độc hại đầu tiên nhằm tiến hành vụ tấn công.
Smurf Attack đã lợi dụng các lỗ hổng bằng việc gây ra tình trạng mất mát của toàn bộ mạng lưới với mục đích khiến tất cả các máy tính cá nhân dừng vận hành. Các lỗi không được đề cập sẽ xuất hiện giữa IP và ICMP. Gói tin ICMP độc hại sẽ được tung ra bằng phần mềm độc hại của Smurf. Gói tin sẽ được đính kèm với một địa chỉ IP giả mạo, hay còn được Hiệp hội An toàn Thông tin (InfoSec) mô tả là “spoofing”.
Các gói tin giả mạo cũng tấn công tới các địa chỉ MAC thực của thiết bị hoặc mạng của nạn nhân. Các gói tin ICMP có chứa phần mềm độc hại sẽ được kẻ tấn công truyền đi qua mạng phát sóng IP. Gói tin ICMP giả mạo có các yêu cầu ping, yêu cầu hồi đáp từ các thiết bị mạng và sau đấy lây lan yêu cầu trên tới tất cả các thiết bị trong mạng.
Fraggle Attack – Tấn Công DDoS
Fraggle Attack là một cuộc tấn công từ chối dịch vụ (DOS) dẫn đến việc chuyển tiếp một lượng đáng kể lưu lượng UDP giả mạo đến trạm thu phát của bộ định tuyến. Mặc dù chung một mục đích nhưng Smurf Attack thường thích sử dụng lưu lượng ICMP giả mạo hơn là sử dụng lưu lượng UDP, việc này thể hiện điểm chung giữa họ với Fraggle Attack. Do đó các bộ định tuyến (tính từ năm 1999) không bao giờ gửi các gói lưu lượng hướng về địa chỉ MAC của chúng, song các dịch vụ Internet hiện nay đã miễn nhiễm với các cuộc tấn công Fraggle (và Smurf).
Slowloris – Tấn Công DDoS
Slowloris là một kiểu tấn công có mục tiêu cao, khi một máy chủ web tấn công vào trực tiếp một máy chủ khác mà không ảnh hưởng các nhà cung cấp dịch vụ hoặc máy chủ khác trên mạng mục tiêu. Slowloris được thực hiện thông qua việc gửi kết nối với máy chủ mục tiêu, đồng thời gửi nhiều HTTP header hơn nữa, tuy nhiên không được tiến hành tấn công và giữ càng nhiều kết nối với máy chủ web mục tiêu khác càng nhiều càng tốt.
NTP Amplification
Thay vì tấn công vào các máy chủ đích với lưu lượng UDP, tin tặc sẽ tấn công vào máy chủ FPT có thể truy cập công khai thông qua các cuộc tấn công NTP. Cuộc tấn công được coi là một cuộc tấn công DDoS bởi vì tỷ lệ truy vấn trên hồi đáp hoặc các tình huống tương tự có thể xảy ra bất cứ lúc nào trong phạm vi số từ 1:20 hoặc 1:200 trở lên. Điều này có nghĩa là bất kỳ kẻ tấn công nào có được danh sách các máy chủ NTP mở (chẳng hạn: các phần mềm như Metasploit hoặc thông tin từ Open NTP Project) thì có thể nhanh chóng mở khoá một cuộc tấn công DDoS qui mô lớn.
HTTP GET – Tấn Công DDoS
Phương pháp HTTP GET được sử dụng rộng rãi để lấy thông tin từ máy chủ mục tiêu. Khi các yêu cầu HTTP-GET được truyền qua kết nối TCP bình thường và có định dạng hợp lệ, hệ thống phát hiện đột nhập (IDS) không thể phát hiện chúng.
Một số kẻ tấn công sử dụng mạng botnet để truy cập vào nhiều trang web chứa dữ liệu tĩnh lớn, bao gồm hình ảnh, video và các tệp khác thông qua cuộc tấn công HTTP GET. Các tệp này sau đó được chuyển tới máy chủ của website, gây ra quá tải theo thời gian. Kết quả là máy tính không thể phản hồi bất kỳ yêu cầu nào thêm vào đó là trang web hoặc ứng dụng gặp phải tình trạng không thể truy cập được. IDS không thể nhận biết cuộc tấn công này khi thông qua kết nối TCP bình thường và yêu cầu có định dạng hợp lệ.
Advanced Persistent Dos (Apdos)
Các vectơ tấn công APDoS, được tổ chức trong một chiến dịch duy nhất, đại diện cho nhiều khái niệm và thuộc tính an ninh mạng hiện nay. Mỗi cuộc tấn công APDoS có thể tạo ra hàng chục triệu yêu cầu mỗi giây. Mục tiêu của chúng không chỉ là các “điểm mù” của hệ thống mạng, mà còn là các nhà cung cấp dịch vụ, bằng cách tăng cường số lượng vectơ tấn công và đồng thời nhằm vào các tầng khác nhau của hạ tầng mạng, bao gồm trung tâm dữ liệu.
Kẻ tấn công sử dụng các chiến thuật sao chép hành vi người dùng khi sử dụng plugin trên trình duyệt Chrome hoặc ứng dụng sao chép. Cuộc tấn công được thực hiện thông qua việc sử dụng JavaScript, download video và sao chép nội dung đã tham chiếu. Để tránh bị phát hiện thông qua IP, kẻ tấn công có thể dễ dàng thay đổi địa chỉ IP nguồn.
Làm Thế Nào Để Nhận Biết Các Cuộc Tấn Công Từ Chối Dịch Vụ DDoS?
Một trong những vấn đề khó khăn nhất của cuộc tấn công DDoS chính là việc không có sự cảnh báo trước. Thường thì, các đe dọa được gửi trước bởi các nhóm hacker lớn, nhưng hầu hết kẻ tấn công lại thực hiện cuộc tấn công mà không có bất kỳ cảnh báo nào.
Ban đầu, có thể bạn sẽ không nhận ra rằng mình đang trải qua một cuộc tấn công DDoS, và thay vào đó bạn chỉ nghĩ rằng máy tính của mình gặp phải các vấn đề kỹ thuật cơ bản. Mặc dù đã tiến hành kiểm tra và thực hiện các xác minh cơ bản, bạn vẫn chỉ nhận ra rằng lượng lưu lượng truy cập mạng tăng cao và tài nguyên máy tính hoạt động ở mức tối đa.
Thông thường, khi server của website gặp phải cuộc tấn công DDoS, biểu hiện sẽ rõ ràng, mặc dù internet vẫn hoạt động ổn định và việc truy cập các website khác diễn ra bình thường, song việc truy cập vào website của bạn lại chậm hơn bình thường hoặc gặp phải sự chậm trễ không thông thường.
Bên cạnh đó, việc nhận được nhiều email rác hay không thể truy cập vào các phần của website hoặc nhiều website khác cũng là biểu hiện cho một cuộc tấn công DDoS.
Phương Pháp Ngăn Chặn Cuộc Tấn Công DDoS
Sử Dụng Dịch Vụ Hosting Cao Cấp
Sử dụng dịch vụ hosting cao cấp giúp máy chủ của bạn có thể ngăn chặn các cuộc tấn công DDoS một cách kịp thời. Bởi khi đó, các server lưu trữ và cấu hình hoạt động cao cấp sẽ được cung cấp bởi nhà cung cấp hosting, từ đó độ bảo mật sẽ được cải thiện đáng kể.
Lưu Lượng Truy Cập Nên Được Theo Dõi Để Phòng Ngừa Cuộc Tấn Công DDoS
Bạn có thể làm nhiều điều khác nữa nhằm đảm bảo hạ tầng của mình khi bạn phát hiện có một cuộc tấn công đang diễn ra. Khi cuộc tấn công xảy ra, các file dữ liệu độc hại sẽ được lưu trữ trên server thông qua “định tuyến rỗng”, điều này sẽ ngăn cản sự gửi các yêu cầu Flooding dưới sự kiểm soát của máy chủ botnet.
Để xem xét các yêu cầu hợp lệ và những yêu cầu độc hại một cách cẩn thận hơn, toàn bộ lưu lượng truy cập sẽ được gửi thông qua một “bộ lọc” trong một vài tình huống. Tuy nhiên, nhiều giải pháp an ninh mạng có thể gây choáng ngợp trước các cuộc tấn công qui mô rộng và dựa trên dữ liệu.
Định Tuyến Hố Đen
Trong trường hợp bị tấn công, một giải pháp phổ biến được sử dụng là việc chuyển toàn bộ lưu lượng mạng, bao gồm cả lưu lượng hợp pháp và độc hại, vào một tuyến rỗng hoặc hố đen để loại bỏ khỏi mạng. Khi một trang web đối diện với cuộc tấn công DDoS, nhà cung cấp dịch vụ internet (IPS) có thể chuyển toàn bộ lưu lượng truy cập của trang web vào một hố đen, làm nó trở thành tuyến phòng thủ đầu tiên.
Tấn công DDoS có thể dẫn đến việc chuyển toàn bộ lưu lượng mạng vào”lỗ đen” và khiến nó bị loại khỏi mạng. Tuy nhiên, việc áp dụng phương pháp này mà không có tiêu chí hạn chế cụ thể có thể dẫn đến việc loại bỏ cả lưu lượng hợp pháp và độc hại ra khỏi mạng.
Đối với các tổ chức không có các biện pháp khác để ngăn chặn cuộc tấn công, việc sử dụng điều này là một giải pháp hiệu quả. Tuy nhiên, khi không được thực hiện đúng cách, nó có thể gây ra gián đoạn trong luồng lưu lượng truy cập vào mạng hoặc dịch vụ một cách không kiểm soát, từ đó tạo điều kiện cho kẻ xấu sử dụng các ip giả mạo và các vectơ để tiếp tục tấn công.
Sử Dụng Tường Lửa Ứng Dụng Web (WAF)
Một biện pháp hữu hiệu khác chống lại các vụ tấn công khi nhúng SQL hoặc giả mạo đòi hỏi trên nhiều trang web để cố tình lợi dụng sơ hở trong phần mềm của bạn đó là thông qua Tường lửa Ứng dụng Web (WAF). Với việc phát hiện và loại trừ các liên kết không hợp lệ đã lên đến mức giới hạn, WAF được tối ưu đối với mục đích chống tấn công DDoS. Để giảm căng thẳng trên server, bạn cũng có thể hạn chế hiệu suất của thiết bị định tuyến.
Ngoài ra, nhằm chống lại các truy cập trái phép, bạn có thể dễ dàng sử dụng các phương pháp giảm nhẹ tuỳ chọn, đặc biệt là cải trang các lưu lượng truy cập bất hợp pháp đến từ các IP xấu. Điều này có thể góp phần hạn chế các vụ tấn công và trợ giúp bạn trong quá trình phân tích dữ liệu lưu lượng truy cập và xây dựng cơ chế bảo mật phù hợp một khi xảy ra vấn đề.
Băng Thông Dự Phòng Cần Được Chuẩn Bị
Việc bổ sung thêm băng thông (các mức băng thông có thể nâng cao) nhằm giải quyết sự gia tăng vọt băng thông đột ngột có thể được cân nhắc như một biện pháp phòng vệ vì nguyên tắc vận hành của cuộc tấn công DDoS là phá huỷ các máy chủ có lưu lượng tải lớn.
Tuy nhiên, do hầu hết băng thông sẽ không được dùng nên biện pháp trên có thể cho thấy không hiệu quả. Hơn nữa, việc thêm băng thông không giúp ngăn ngừa các cuộc tấn công DDoS tương tự trước đây. Các cuộc tấn công ngày một tinh vi và phức tạp hơn nữa, vì vậy không có gói băng thông nào có thể chịu đựng nổi các cuộc tấn công vượt trên 1 TBps nếu như không có các phương pháp phòng chống DDoS khác. Tuy nhiên, việc sử dụng mức băng thông có thể cao hơn nữa có thể giúp hạn chế tác động của một cuộc tấn công, đem lại thời hạn thực hiện các hành động chống lại cuộc tấn công.
Giới Hạn Tỉ Lệ
Một cách khác để giảm thiểu các cuộc tấn công DDoS phức tạp là hạn chế các điều kiện được máy chủ web đáp ứng trong một khung giờ cố định. Mặc dù hạn chế này có thể giúp ích trong việc làm chậm trễ quy trình ngăn chặn kẻ tấn công đánh cắp dữ liệu và thậm chí giảm thiểu các yêu cầu đăng nhập bất thường, tuy nhiên chỉ riêng hạn chế trên có lẽ sẽ không đủ để giải quyết một cuộc tấn công DDoS phức tạp một cách hữu hiệu.
Anycast Network Diffusion
Phương pháp sử dụng mạng Anycast sẽ giảm thiểu sự tấn công của các server ở những khu vực thông tin chưa được tiếp nhận. Để hạn chế một cuộc tấn công DDoS, sự hiệu quả của mạng Anycast sẽ phụ thuộc vào quy mô của cuộc tấn công cũng như quy mô và tốc độ của mạng.
Cách Xử Lý DDoS Xâm Nhập Website Doanh Nghiệp Hiệu Quả
Liên Hệ Nhà Cung Cấp Internet (ISP)
Việc tiếp xúc với nhà cung cấp Internet (ISP) là bước đầu tiên cần thực hiện khi mạng gặp vấn đề, chẳng hạn như không thể truy cập vào trang web. ISP có các kỹ sư mạng và lập trình có kiến thức chuyên môn cao, họ sẵn sàng giúp đỡ bạn xem xét sự cố, nhận dạng từng vị trí cụ thể và chỉ dẫn bạn cách khắc phục thích hợp.
Liên Hệ Nhà Cung Cấp Dịch Vụ Lưu Trữ (Hosting)
Cần liên hệ với nhà cung cấp dịch vụ lưu trữ (hosting) khi máy chủ gặp vấn đề liên quan đến cuộc tấn công. Họ có thể tạo ra một”lỗ đen”(black hole) để hấp thụ lưu lượng truy cập cho đến khi cuộc tấn công tự ngừng.
Trong khoảng thời gian này, không có yêu cầu truy cập nào, bất kể hợp pháp hay không, sẽ được chuyển tiếp. Đồng thời bảo vệ máy chủ của các khách hàng khác không bị ảnh hưởng. Sau đó, sẽ được tiến hành định tuyến lại lưu lượng truy cập và cho phép các yêu cầu hoạt động bình thường.
Sử Dụng Dịch Vụ Ngăn Chặn Tấn Công DDoS Tại Peco
Một trong những cách xử lý DDoS xâm nhập website doanh nghiệp mà bạn có thể sử dụng một cách hiệu quả là thông qua việc sử dụng dịch vụ của các đối tác bên thứ ba. Peco là một trong những đơn vị chuyên cung cấp IT Services giúp khách hàng đảm bảo an toàn, hỗ trợ kỹ thuật và đặc biệt là ngăn chặn tấn công DDoS một cách hiệu quả nhất.
Khi bạn chọn Peco, bạn sẽ được tư vấn nhiệt tình bởi các chuyên gia có nhiều kinh nghiệm trong lĩnh vực IT. Đội ngũ chuyên viên của Peco rất chuyên nghiệp, trung thực và đáng tin cậy, do đó bạn không cần lo lắng về việc dữ liệu của bạn bị tổn thất hoặc hỏng hóc. Ngoài ra, khi sử dụng dịch vụ của Peco, bạn sẽ được hưởng nhiều ưu đãi và giá cả phải chăng.
Xem thêm: Máy Tính Doanh Nghiệp Bị Chậm Và Cách Khắc Phục
Tạm Kết
Bạn vừa tìm hiểu về DDoS là gì cũng như cách xử lý DDoS xâm nhập website doanh nghiệp. Hi vọng bài viết trên sẽ giúp bạn giải đáp những thắc mắc có liên quan đến tấn công từ chối dịch vụ. Theo dõi Peco trong những bài viết sắp tới để nhận thêm nhiều thông tin hữu ích khác nhé!