Có rất nhiều mối đe dọa mạng mà người dùng Internet và quản trị viên mạng cần phải cảnh giác, nhưng đối với các tổ chức có dịch vụ chủ yếu hoạt động trực tuyến, một trong những cuộc tấn công quan trọng nhất cần phải lưu ý do mức độ phổ biến ngày càng tăng của chúng là các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Nhưng tấn công từ chối dịch vụ là gì, chúng hoạt động như thế nào và có cách nào để ngăn chặn chúng không?
Tấn công từ chối dịch vụ phân tán (DDoS)
Tấn công DDoS là gì? Đôi khi được gọi là Tấn công mạng phân tán, loại tấn công mạng này lợi dụng các giới hạn dung lượng cụ thể áp dụng cho mọi tài nguyên mạng – chẳng hạn như cơ sở hạ tầng cho phép trang web của công ty hoạt động. Cuộc tấn công DDoS sẽ gửi nhiều yêu cầu đến tài nguyên web bị tấn công – với mục đích vượt quá khả năng xử lý nhiều yêu cầu của trang web và ngăn trang web hoạt động bình thường. Mục tiêu điển hình của các cuộc tấn công DDoS bao gồm các trang web thương mại điện tử và bất kỳ tổ chức nào cung cấp dịch vụ trực tuyến.
Nó hoạt động như thế nào?
Một phần thiết yếu để hiểu về các cuộc tấn công DDoS là tìm hiểu cách thức các cuộc tấn công này hoạt động. Tài nguyên mạng – chẳng hạn như máy chủ web – có giới hạn hữu hạn về số lượng yêu cầu mà chúng có thể xử lý cùng lúc. Ngoài giới hạn dung lượng của máy chủ, kênh kết nối máy chủ với Internet cũng sẽ có băng thông hoặc dung lượng hữu hạn. Bất cứ khi nào số lượng yêu cầu vượt quá giới hạn dung lượng của bất kỳ thành phần nào của cơ sở hạ tầng, mức độ dịch vụ có thể bị ảnh hưởng.
Thông thường, mục tiêu của kẻ tấn công trong bất kỳ cuộc tấn công DDoS nào là làm quá tải máy chủ của tài nguyên web, ngăn chặn chức năng bình thường và dẫn đến tình trạng từ chối dịch vụ hoàn toàn. Kẻ tấn công cũng có thể yêu cầu thanh toán để ngăn chặn cuộc tấn công. Trong một số trường hợp, cuộc tấn công DDoS thậm chí có thể là một nỗ lực nhằm làm mất uy tín hoặc gây tổn hại đến hoạt động kinh doanh của đối thủ cạnh tranh.
Để thực hiện cuộc tấn công, kẻ tấn công sẽ chiếm quyền kiểm soát mạng hoặc thiết bị bằng cách lây nhiễm phần mềm độc hại , tạo ra một mạng botnet . Sau đó, chúng bắt đầu tấn công bằng cách gửi các hướng dẫn cụ thể tới các bot. Đổi lại, botnet bắt đầu gửi yêu cầu đến máy chủ mục tiêu thông qua địa chỉ IP của nó, khiến máy chủ này quá tải và gây ra tình trạng từ chối dịch vụ đối với lưu lượng truy cập thông thường.
Ví dụ về tấn công DDoS: Có những loại tấn công nào?
Tìm hiểu ý nghĩa của DDoS và cách thức các cuộc tấn công này hoạt động là một bước để ngăn ngừa chúng, nhưng điều quan trọng nữa là phải hiểu rằng có nhiều loại tấn công DDoS khác nhau. Điều này phụ thuộc vào việc phác thảo cách thức hình thành các kết nối mạng.
Mô hình Kết nối hệ thống mở (OSI), do Tổ chức tiêu chuẩn hóa quốc tế phát triển, xác định bảy lớp riêng biệt tạo nên các kết nối mạng internet. Chúng bao gồm lớp vật lý, lớp liên kết dữ liệu, lớp mạng, lớp vận chuyển, lớp phiên, lớp trình bày và lớp ứng dụng.
Nhiều ví dụ về tấn công DDoS khác nhau tùy thuộc vào lớp kết nối mà chúng nhắm tới. Dưới đây là một số ví dụ phổ biến nhất.
Tấn công lớp ứng dụng
Đôi khi được gọi là cuộc tấn công lớp 7 (vì nó nhắm vào lớp thứ 7 (ứng dụng) của mô hình OSI), các cuộc tấn công này làm cạn kiệt tài nguyên của máy chủ mục tiêu bằng cách sử dụng các trang web DDoS. Lớp thứ 7 là nơi máy chủ tạo ra các trang web để phản hồi yêu cầu HTTP. Kẻ tấn công thực hiện nhiều yêu cầu HTTP, làm quá tải máy chủ mục tiêu khi phản hồi bằng cách tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu cần thiết để tạo trang web.
Lũ HTTP
Hãy nghĩ về các cuộc tấn công DDoS này như việc làm mới trình duyệt web nhiều lần trên nhiều máy tính. Điều này tạo ra một "làn sóng" yêu cầu HTTP, dẫn đến từ chối dịch vụ. Việc thực hiện các cuộc tấn công này có thể đơn giản – sử dụng một URL có phạm vi địa chỉ IP hẹp – hoặc phức tạp, sử dụng một mảng địa chỉ IP và URL ngẫu nhiên.
Tấn công giao thức
Thường được gọi là các cuộc tấn công làm cạn kiệt trạng thái, các cuộc tấn công DDoS này khai thác lỗ hổng ở lớp thứ 3 và thứ 4 của mô hình OSI (lớp mạng và lớp vận chuyển). Các cuộc tấn công này tạo ra tình trạng từ chối dịch vụ bằng cách làm quá tải tài nguyên máy chủ hoặc tài nguyên thiết bị mạng, chẳng hạn như tường lửa . Có một số loại tấn công giao thức, bao gồm cả tấn công SYN. Những kẻ tấn công này khai thác giao thức bắt tay TCP (Giao thức điều khiển truyền dẫn), cho phép thiết lập kết nối mạng bằng cách gửi một số lượng lớn "Yêu cầu kết nối ban đầu" TCP từ các địa chỉ IP giả.
Tấn công thể tích
Các ví dụ về tấn công DDoS này tạo ra tình trạng từ chối dịch vụ bằng cách sử dụng toàn bộ băng thông khả dụng trên máy chủ mục tiêu bằng cách gửi một lượng lớn dữ liệu để tạo ra sự gia tăng lưu lượng truy cập đến máy chủ.
khuếch đại DNS
Đây là một cuộc tấn công dựa trên phản xạ, trong đó một yêu cầu được gửi đến máy chủ DNS từ một địa chỉ IP giả mạo (của máy chủ mục tiêu), nhắc nhở máy chủ DNS "gọi" lại mục tiêu để xác minh yêu cầu. Hành động này được khuếch đại bằng cách sử dụng botnet, nhanh chóng làm quá tải tài nguyên của máy chủ mục tiêu.
Nhận dạng một cuộc tấn công DDoS
Các cuộc tấn công DDoS có thể khó xác định vì chúng có thể bắt chước các sự cố dịch vụ thông thường và ngày càng tinh vi hơn. Tuy nhiên, có một số dấu hiệu nhất định có thể cho thấy hệ thống hoặc mạng đã trở thành nạn nhân của một cuộc tấn công DDoS. Một số khía cạnh này bao gồm:
- Một sự gia tăng đột ngột về lưu lượng truy cập bắt nguồn từ một địa chỉ IP không xác định
- Một luồng lưu lượng truy cập từ nhiều người dùng có điểm tương đồng cụ thể, như vị trí địa lý hoặc phiên bản trình duyệt web
- Sự gia tăng không thể giải thích được trong các yêu cầu cho một trang duy nhất
- Mẫu giao thông bất thường
- Hiệu suất mạng chậm
- Một dịch vụ hoặc trang web đột nhiên ngừng hoạt động mà không có lý do
Phòng ngừa và giảm thiểu tấn công DDoS
Mặc dù các cuộc tấn công DDoS có thể khó phát hiện, nhưng có thể thực hiện một số biện pháp để cố gắng ngăn chặn các loại tấn công mạng này và giảm thiểu thiệt hại trong trường hợp bị tấn công. Đối với người dùng đang thắc mắc làm thế nào để ngăn chặn các cuộc tấn công DDoS, điều quan trọng là lập kế hoạch hành động để bảo vệ hệ thống và giảm thiểu thiệt hại trong trường hợp bị tấn công. Nhìn chung, việc triển khai giải pháp như Kaspersky DDoS Protection cho doanh nghiệp, giải pháp này liên tục phân tích và chuyển hướng lưu lượng truy cập độc hại, sẽ mang lại lợi ích. Ngoài ra, những lời khuyên chung sau đây có thể giúp tăng cường khả năng phòng thủ của bạn:
- Đánh giá thiết lập hệ thống hiện tại - bao gồm phần mềm, thiết bị, máy chủ và mạng - để xác định rủi ro bảo mật và các mối đe dọa tiềm ẩn, sau đó triển khai các biện pháp để giảm thiểu những rủi ro này; tiến hành đánh giá rủi ro thường xuyên.
- Luôn cập nhật tất cả phần mềm và công nghệ để đảm bảo chúng đang chạy bản vá bảo mật mới nhất.
- Phát triển chiến lược khả thi để phòng ngừa, phát hiện và giảm thiểu tấn công DDoS.
- Đảm bảo bất kỳ ai tham gia vào kế hoạch phòng ngừa tấn công đều hiểu ý nghĩa của cuộc tấn công DDoS và vai trò được giao cho họ.
Trong trường hợp bị tấn công, những hành động này có thể giúp giảm thiểu một số tác hại:
- Mạng Anycast: Sử dụng mạng Anycast để phân phối lại lưu lượng có thể giúp duy trì khả năng sử dụng của máy chủ trong khi sự cố đang được giải quyết, đảm bảo máy chủ không cần phải tắt hoàn toàn.
- Định tuyến lỗ đen: Trong trường hợp này, quản trị viên mạng của ISP sẽ định tuyến lại toàn bộ lưu lượng từ máy chủ đích vào tuyến đường lỗ đen (địa chỉ IP mục tiêu), loại bỏ nó khỏi mạng và bảo toàn tính toàn vẹn của nó. Tuy nhiên, đây có thể là một bước đi cực đoan vì nó cũng chặn cả lưu lượng truy cập hợp lệ.
- Giới hạn tốc độ: Tính năng này giới hạn số lượng yêu cầu mà máy chủ có thể chấp nhận tại bất kỳ thời điểm nào. Mặc dù phương pháp này không thực sự hiệu quả khi áp dụng riêng lẻ, nhưng nó có thể hữu ích khi là một phần của chiến lược lớn hơn.
- Tường lửa: Các tổ chức có thể sử dụng Tường lửa ứng dụng web (WAF) để hoạt động như một proxy ngược nhằm bảo vệ máy chủ của mình. WAF có thể được thiết lập theo các quy tắc để lọc lưu lượng truy cập và người quản trị có thể sửa đổi quy tắc này theo thời gian thực nếu họ nghi ngờ có cuộc tấn công DDoS.
Các bài viết và đường liên kết liên quan:
- Virus Trojan Horse là gì? các loại và cách loại bỏ nó
- Cách ngăn chặn các cuộc tấn công DDoS phá hỏng phiên chơi game tiếp theo của bạn
Các sản phẩm và dịch vụ liên quan:
