DDoS là gì? Các loại tấn công DDoS và cách phòng tránh

Chắc hẳn các cuộc tấn công từ chối dịch vụ không còn quá xa lạ với những nhân viên quản trị CNTT hiện nay. Nhưng làm cách nào để ngăn chặn các cuộc tấn công DDoS. Bài viết sau đây được MC&TT biên soạn sẽ cung cấp đầy đủ cho bạn đọc cái nhìn chi tiết nhất về DDoS Attack. Bạn đọc hãy cùng tham khảo!

1. DDoS là gì?

Đầu tiên DDoS là viết tắt của Distributed Denial of Service - Một hình thức tấn công mạng phổ biến với tên gọi là Từ chối dịch vụ phân tán. Cụ thể hình thức tấn công này sẽ xảy ra khi kẻ tấn công sử dụng hàng ngàn hoặc hàng triệu thiết bị đầu cuối như máy tính, điện thoại, thiết bị IoT và nhiều hơn nữa để tạo ra một lượng lớn lưu lượng truy cập mạng giả đến một trang web hay dịch vụ nào đó, gây ra quá tải và đánh sập server hay gián đoạn dịch vụ.

Tấn công DDoS có thể được thực hiện bởi một cá nhân hoặc một nhóm người, hoặc thậm chí là bởi các tổ chức hoặc quốc gia. Các cuộc tấn công DDoS có thể được thực hiện theo nhiều cách khác nhau, nhưng mục đích chung của chúng là tấn công và làm tê liệt dịch vụ mạng đích.

2. Hậu quả khi bị tấn công DDoS là gì?

Sau khi đã nắm rõ tấn công DDoS là gì, bạn đọc cần biết rõ hậu quả nghiêm trọng có thể xảy ra nếu Server bị DDoS bao gồm:

Gián đoạn dịch vụ: Các cuộc tấn công DDoS có thể làm cho các dịch vụ trực tuyến như trang web, ứng dụng mạng hoặc hệ thống server không thể hoạt động, gây ra sự gián đoạn trong việc sử dụng các dịch vụ này.
Tổn thất tài sản: Nếu tấn công DDoS xảy ra, các dịch vụ trực tuyến không thể hoạt động. Vì vậy các doanh nghiệp hoặc tổ chức chủ quản có thể mất hàng triệu đô la do không thể tiếp cận được khách hàng và mất thêm các khoản phí khác để khắc phục sự cố sau cuộc tấn công.
Thiệt hại về danh tiếng: Website hay server của doanh nghiệp bị DDoS tấn công có thể làm giảm uy tín và danh tiếng của các doanh nghiệp hoặc tổ chức bị tấn công, gây ra thiệt hại lâu dài cho hình ảnh của họ.
Rò rỉ dữ liệu: Tấn công DDoS có thể làm bước đệm để tin tăc xâm nhập vào cấu trúc dữ liệu và đánh cắp thông tin người dùng hoặc thu thập thông tin nhạy cả, dữ liệu của doanh nghiệp.
Gây nên tình trạng bất ổn cho hệ thống Server: Các tấn công DDoS có thể gây ra các vấn đề về hiệu suất mạng và khiến cho hệ thống server không ổn định, gián đoạn hay bị sập hoàn toàn.

Các vụ tấn công DDoS có thể gây ra các thiệt hại nghiêm trọng cho doanh nghiệp và người dùng.

3. Điểm khác biệt giữa DoS và tấn công DDoS là gì?

Đầu tiên bạn cần biết thêm khái niệm của tấn công DoS: DoS viết tắt của cụm từ Denial of Service có nghĩa tấn công từ chối dịch vụ. DoS và DDoS có sự tương đồng trong hình thức tấn công bằng cách tạo ra một lượng lớn lưu lượng truy cập và yêu cầu giả đến website mục tiêu nhằm đánh sập và gián đoạn dịch vụ. Tuy nhiên điểm khác biệt giữa DoS và tấn công DDoS là gì? Bạn có thể xem bảng dưới đây:

Tiêu chí	DoS	DDoS
Số lượng hệ thống tấn công	Chỉ có 1 hệ thống nhắm mục tiêu vào hệ thống mục tiêu.	Nhiều hệ thống thiết bị đầu cuối tấn công vào hệ thống mục tiêu.
Vị trí gửi gói dữ liệu	Hệ thống bị nhắm mục tiêu load gói dữ liệu được gửi từ 1 vị trí thiết bị duy nhất.	Hệ thống bị nhắm mục tiêu load gói dữ liệu được gửi từ nhiều vị trí thiết bị khác nhau.
Tốc độ tấn công	Chậm hơn.	Nhanh hơn.
Khả năng ngăn chặn tấn công	Dễ dàng hơn vì kẻ tấn công chỉ dùng 1 hệ thống.	Khó khăn hơn vì kẻ tấn công dùng nhiều thiết bị và từ nhiều vị trí khác nhau.
Số lượng thiết bị tấn công	Chỉ 1 thiết bị duy nhất.	Nhiều bot được sử dụng và tấn công đồng thời.
Khả năng theo dõi tấn công	Dễ theo dõi.	Khó theo dõi.
Lưu lượng truy cập đến mạng mục tiêu	Lưu lượng thấp hơn so với tấn công DDoS.	Lưu lượng cực lớn gây ra gián đoạn, sập hệ thống mục tiêu
Các dạng tấn công chính	1. Tràn bộ nhớ đệm. 2. ICMP flood hoặc Ping of Death. 3. Teardrop Attack.	1. Băng thông (Volumetric). 2. Phân mảnh dữ liệu (Fragmentation Attack). 3. Khai thác lỗ hổng trong ứng dụng (Application Layer Attack).

Điểm khác biệt giữa DoS và tấn công DDoS

4. Các loại tấn công DDoS thông dụng nhất hiện nay

Có nhiều loại tấn công DDoS khác nhau, và các kẻ tấn công thường lựa chọn phương thức tấn công phù hợp với mục đích của họ. Một số phương thức tấn công DDoS phổ biến bao gồm:

Tấn công TCP SYN Flood: Dạng tấn công này tạo ra nhiều yêu cầu kết nối “nửa vời” đến một máy chủ mạng. SYN Flood thường xảy ra khi lớp TCP bị bão hòa, tin tặc sẽ gửi nhiều yêu cầu SYN nhưng không phản hồi SYN-ACK của máy chủ hoặc gửi các yêu cầu SYN từ địa chỉ IP giả mạo để làm gián đoạn trình kết nối TCP giữa máy khách và máy chủ trên mọi cổng. SYN Flood không có ý định sử dụng hết bộ nhớ của máy chủ mà chỉ muốn làm cạn kiệt nguồn dự trữ của các kết nối mở.
Tấn công UDP Flood: Tấn công này gửi một lượng lớn các gói tin UDP (User Datagram Protocol) đến một máy chủ hoặc hệ thống mạng đích từ xa, tương tự như tấn công ICMP Flood.
Tấn công HTTP Flood: Tấn công này tạo ra một lượng lớn các yêu cầu HTTP (Hypertext Transfer Protocol) đến một trang web hoặc dịch vụ mạng đích. Dạng tấn công này diễn ra hiệu quả nhất khi máy chủ hoặc ứng dụng bị buộc phải phân bổ tài nguyên ở mức tối đa để có thể đáp ứng tất cả các yêu cầu đơn lẻ được gửi đến.
Tấn công DNS Flood: Tấn công này tạo ra một lượng lớn các yêu cầu DNS (Domain Name System) đến một máy chủ DNS đích, tấn công vào khả năng phân giải IP của hệ thống DNS. Khối lượng yêu cầu từ các thiết bị IoT của tin tặc sẽ làm gián đoạn các dịch vụ của nhà cung cấp DNS và ngăn khả năng truy cập vào máy chủ DNS đối với người dùng hợp pháp.
Tấn công Slowloris: Tấn công này tạo ra nhiều kết nối đến máy chủ mạng nhưng không hoàn thành chúng, giữ kết nối đó mở để đẩy máy chủ vào trạng thái quá tải, thất thoát lượng tài nguyên cực lớn.
NTP Amplification: Thủ phạm sẽ khai thác các máy chủ NTP có thể truy cập công khai để tấn công vào các mục tiêu máy chủ với lưu lượng UDP. Bất kỳ kẻ tấn công nào nắm được danh sách các máy chủ NTP mở đều có thể dễ dàng gây ra các cuộc tấn công DDoS cực kì lớn.
Smurf Attack: Hình thức tấn công này còn được biết đến với cái tên Tấn công ICMP Flood. Tin tặc sẽ tận dụng các lỗ hổng IP và ICMP để gửi các gói ICMP độc hại, đính kèm địa chỉ IP giả đến mạng phát sóng IP. Các gói ICMP giả mạo sẽ gửi yêu cầu Ping tới càng nhiều máy chủ, qua đó Địa chỉ IP máy chủ mục tiêu sẽ bị quá tải và gián đoạn hay xấu hơn là sập hoàn toàn.
Fraggle Attack: Fraggle Attack là kỹ thuật tấn công mạng bằng cách gửi một lượng lớn lưu lượng UDP giả mạo tới mạng phát sóng của bộ định tuyến.
Advanced persistent Dos: Advanced Persistent DoS là hình thức tấn công sử dụng rất nhiều các hình thức đã được đề cập tại phần trên để tấn công máy chủ đích. cuộc tấn công của APDoS có thể kéo dài hàng tuần với hàng triệu requests/s
HTTP GET: Hinh thức tấn công này sẽ thông qua mạng botnet truy cập vào số lượng lớn các trang trên website có chứa nội dung tĩnh đặc biệt lớn như video hình ảnh hoặc một số phương tiện khác. Máy chủ của website sẽ xảy ra tình trạng quá tải theo thời gian khi có yêu cầu hợp pháp vào các nội dung tĩnh trên.

Để đối phó với các loại tấn công DDoS này, các chuyên gia bảo mật cần phải phát triển các giải pháp hiệu quả để phát hiện và ngăn chặn các tấn công này trước khi chúng gây ra thiệt hại. Bạn đọc có thể tham khảo trong phần nội dung ngay sau đây!

5. Cách ngăn chặn các cuộc tấn công DDoS bạn cần biết

Có nhiều cách để giảm thiểu tấn công DDoS trên mạng, bao gồm:

5.1. Định tuyến hố đen (Blackhole routing)

Định tuyến hố đen giải pháp đơn giản nhất, đẩy lưu lượng không đáp ứng được vào vùng bất định. Định tuyến hố đen là tuyến phòng thủ đầu tiên của hệ thống mạng. Khi thực hiện lọc lỗ đen các quản trị viên mạng cần cấu hình định tuyến với các tiêu chí hạn chế cụ thể để tránh khả năng cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến lỗ đen và bị loại khỏi mạng. Qua đó có thể gây ra gián đoạn nguồn lưu lượng truy cập vào mạng một cách bừa bãi.

Mô phỏng hình thức định tuyến hố đen (Blackhole routing)

5.2. Giới hạn tỷ lệ (Rate limiting)

Hiểu đơn giản Rate Limiting là chiến lược ngăn chặn DDoS bằng cách cho phép hạn chế số lượng yêu cầu sẽ được chấp nhận trong một khoảng thời gian nhất định, giảm thiểu nỗ lực đăng nhập brute force và làm chậm quá trình ăn cắp nội dung của tin tặc.

Hình ảnh mô phỏng cách ngăn chặn DDoS bằng giới hạn tỷ lệ(Rate limiting)

5.3. Tường lửa ứng dụng web (Web Application Firewall)

Web Application Firewall là cách thức ngăn chặn các cuộc tấn công DDoS lớp 7 (Lớp ứng dụng). WAF thường được đặt giữa Internet và máy chủ dịch vụ, đóng vai trò như một proxy ngược để bảo vệ máy chủ mục tiêu khỏi một số loại lưu lượng độc hại. Với những doanh nghiệp lớn có thể lựa chọn sử dụng các thiết bị tường lửa firewall chuyên biệt để nâng cao lớp bảo mật cho doanh nghiệp của mình.

Web Application Firewall là hình thức ngăn chặn DDoS 7 lớp

5.4. Anycast Network Diffusion

Mạng Anycast là hình thức ngăn chặn DDoS dựa trên việc phân tán lưu lượng tấn công qua mạng của các máy chủ phân tán đến điểm lưu lượng được mạng hấp thụ. Anycast Network Diffusion sẽ phân tán các ảnh hưởng của lưu lượng tấn công đến các điểm có thể quản lý được. Mức độ hiệu quả của Anycast trong một cuộc tấn công DdoS sẽ phụ thuộc vào 2 yếu tố: quy mô của cuộc tấn công và hiệu quả của mạng.

5.5. Chuẩn bị băng thông dự phòng

Các doanh nghiệp và tổ chức cần tăng cường năng lực mạng bằng cách nâng cấp hệ thống mạng, tăng băng thông và đưa ra các biện pháp để đảm bảo khả năng hoạt động ổn định trong trường hợp bị tấn công DDoS.

5.6. Sử dụng giải pháp mạng phân tán (CDN)

Sử dụng các dịch vụ CDN giúp phân tán lưu lượng truy cập của người dùng đến các máy chủ trên toàn cầu, giúp giảm thiểu tác động của các cuộc tấn công DDoS.

Sử dụng giải pháp mạng phân tán (CDN)

5.7. Sử dụng các dịch vụ hosting cao cấp

Các nhà cung cấp hosting cao cấp sẽ cung cấp các server lưu trữ, tính năng bảo mật cao cấp, hỗ trợ xử lý kịp thời khi website của bạn gặp phải cuộc tấn công DDoS.

6. Các trường hợp nổi tiếng về tấn công DDoS đã từng được ghi nhận

Cuộc tấn công vào Dyn DNS: Vào năm 2016, một cuộc tấn công DDoS lớn đã xảy ra vào Dyn DNS - một công ty cung cấp dịch vụ tên miền trên toàn thế giới. Cuộc tấn công này đã khiến cho một số lượng lớn các trang web trên toàn thế giới bị tạm ngừng hoạt động trong vài giờ.
Cuộc tấn công vào Sony: Vào năm 2011, Sony đã trở thành mục tiêu của một cuộc tấn công DDoS lớn nhằm vào hệ thống PlayStation Network của họ. Cuộc tấn công này đã khiến cho hàng triệu người chơi không thể truy cập vào hệ thống và gây ra thiệt hại nghiêm trọng cho doanh nghiệp này.
Cuộc tấn công vào GitHub: Vào năm 2018, GitHub - một nền tảng lưu trữ mã nguồn mở trực tuyến - đã bị tấn công DDoS lớn, khiến cho dịch vụ của họ bị tạm ngừng hoạt động trong vài phút.
Cuộc tấn công vào trang web của chính phủ Estonia: Vào năm 2007, chính phủ Estonia đã trở thành mục tiêu của một cuộc tấn công DDoS lớn nhằm vào trang web của họ. Cuộc tấn công này được cho là có thể do các nhóm tội phạm mạng ở Nga thực hiện.
Cuộc tấn công vào trang web của CNN: Vào năm 2014, trang web của CNN đã bị tấn công DDoS, khiến cho trang web của họ bị tạm ngừng hoạt động trong vài phút. Cuộc tấn công này được cho là có thể do các nhóm tội phạm mạng thực hiện.

Có rất nhiều tập đoàn, quốc gia đã từng bị tấn công DDoS

Tổng kết

Trên đây là toàn bộ các thông tin mà chúng tôi đã biên soạn xoay quanh chủ đề DDoS là gì và cách ngăn chặn các loại hình DDoS Attack. Hi vọng rằng các kiến thức trên sẽ giúp ích cho bạn đọc trong việc nhận biết và tìm ra cách xử lý nếu các cuộc tấn công DDoS xảy ra với website doanh nghiệp.