Nếu bạn đang phải chịu trách nhiệm xây dựng và vận hành Website bán hàng của doanh nghiệp bạn, bạn cần phải tìm hiểu và biết rõ những mối đe dọa có thể ảnh hưởng tới website của bạn, khiến nó bị quá tải và bị buộc ngừng hoạt động. Những cuộc tấn công này thường có nhiều loại khác nhau nhưng phổ biến nhất vẫn là các cuộc tấn công DDoS.
Vậy DDoS là gì? Các cuộc tấn công DDoS vẫn thường xảy ra trên không gian mạng được thực hiện bằng cách nào. Các dạng thức tấn công DDoS nào phổ biến? Mời các bạn cùng tìm hiểu qua bài viết này nhé!
DDoS là gì?
DDoS hay Distributed Denial of Service (Từ chối dịch vụ phân tán) là một nỗ lực nhằm phá vỡ lưu lượng truy cập bình thường của một máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với một lượng lớn lưu lượng truy cập Internet.
Các cuộc tấn công DDoS thành công nhờ vào việc sử dụng nhiều thiết bị bị xâm nhập và bị biến thành nguồn lưu lượng tấn công (Botnet). Các thiết bị được khai thác có thể bao gồm máy tính, điện thoại thông minh hoặc là các tài nguyên có được nối mạng trong mạng lưới IoT (Internet of Things – Internet vạn vật)
Từ một góc độ khác, bạn có thể tưởng tượng đến việc tấn công DDoS giống như một vụ tắc đường đột ngột trên đường cao tốc do tội phạm mạng gây ra, ngăn cản người dùng di chuyển đến trang đích (Website của bạn).
Các cuộc tấn công DDoS diễn ra như thế nào?
Các cuộc tấn công DDoS được thực hiện dựa vào mạng của các thiết bị có kế nối Internet.
Các thiết bị này có thể bao gồm máy tính, điện thoại thông minh hay thậm chí là các thiết bị IoT (Internet of Things – Internet vạn vật) thường bị thiếu tính bảo mật. Sau khi đã bị nhiễm phần mềm độc hại (Malware), các thiết bị này sẽ tạo thành một mạng lưới (thường được gọi là Botnet) và được tội phạm mạng sử dụng để đi tấn công các máy khác.
Khi máy chủ hoặc mạng của nạn nhân bị nhiễm Botnet, các bot sẽ gửi yêu cầu truy cập đến địa chỉ IP của bạn, điều đó sẽ khiến cho máy chủ hoặc mạng của bạn bị quá tải, dẫn đến hiện tượng từ chối dịch vụ đối với các khách hàng bình thường truy cập.
Bởi vì một một bot đều là các thiết bị sử dụng Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng truy cập thông thường có thể sẽ rất khó khăn.
Làm thế nào để xác định đã bị tấn công DDoS?
Cách dễ dàng nhất để nhận biết khi đã bị tấn công DDoS là khi một Website hoặc một mạng Internet đột nhiên trở nên chậm chạp hoặc không còn khả dụng. Nhưng vì một số nguyên nhân – việc lưu lượng truy cập vào Website tăng đột biến có thể tạo ra các vấn đề về hiệu suất hoạt động (có thể không phải vì DDoS), nên cần được điều tra thêm.
Trong trường hợp đó, bạn có thể sử dụng một số công cụ phân tích để xác định xác dấu hiệu khi đã bị tấn công DDoS, như sau:
+ Lưu lượng truy cập vào Website tăng đột biến bắt nguồn từ một địa chỉ IP hoặc một dải IP.
+ Lưu lượng truy cập lớn từ những người dùng chia sẻ một hồ sơ hành vi, chẳng hạn như loại thiết bị, vị trí địa lý hoặc phiên bản trình duyệt web
+ Sự gia tăng về yêu cầu đối với Website không giải thích được
+ Các mẫu lưu lượng truy cập kỳ lạ như tăng đột biến vào các giờ lẻ trong ngày hoặc các mẫu truy cập có thể không được tự nhiên (ví dụ: tăng đột biến sau 10 phút)
Và còn nhiều dấu hiệu khác thể hiện việc Website của bạn có thể bị tấn công DDoS, nhưng còn phải tùy thuộc cụ thể vào từng loại hình tấn công khác nhau.
Những kiểu tấn công DDoS thường thấy
Các kiểu tấn công DDoS khác nhau sẽ nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu các cuộc tấn công DDoS khác nhau hoạt động như thế nào, trước tiên ta cần phải biết hệ thống mạng được kết nối như thế nào.
Kết nối mạng Internet được tạo ra bởi rất nhiều thành phần hay nhiều “lớp”, giống như cách xây dựng một ngôi nhà với nhiều tầng khác nhau, với mỗi tầng có một tác dụng riêng, mỗi “lớp” trong kết cấu hệ thống mạng sẽ nhằm vào một mục đích khác nhau.
Trong mô hình OSI ở dưới, hệ thống mạng được thể hiện dưới 7 lớp như sau:
Dù hầu hết các cuộc tấn công DDoS đều liên quan đến việc làm quá tải một Website hoặc một mạng mục tiêu với một lưu lượng truy cập lớn, nhưng về cơ bản, vẫn có thể chia các cuộc tấn công DDoS ra làm 3 dạng, trong ba dạng này, tội phạm mạng có thể sử dụng một hoặc nhiêu vectơ tấn công khác nhau hoặc sử dụng vectơ tấn công theo chu kỳ để đáp lại các biện pháp chống lại mục tiêu.
Tấn công vào các lớp ứng dụng
Mục tiêu tấn công:
Tấn công vào lớp ứng dụng đôi khi được gọi là tấn công DDoS lớp 7 (do liên quan đến lớp thứ 7 của mô hình OSI), mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên của máy chủ nạn nhận và tạo ra một loạt các hiện tượng từ chối dịch vụ.
Các cuộc tấn công này thường sẽ nhắm mục tiêu vào “lớp” mạng nơi Website của bạn được tạo ra trên hệ thống máy chủ và được phân phối theo yêu cầu HTTP. Một yêu cầu HTTP đơn lẻ sẽ rất rẻ ở phía khách hàng, nhưng nó sẽ tốn kém đối với máy chủ của các nạn nhân nếu muốn phản hồi lại kiêu cầu của khách hàng, bởi máy chủ của nạn nhân thường phải tải rất nhiều tệp và chạy các truy vấn cơ sở dữ liệu để có thể tạo nên một trang Web hoàn chỉnh.
Hơn thế nữa, các cuộc tấn công DDoS vào lớp 7 của kết nối mạng sẽ rất khó để chống lại vì rất khó để phân biệt được lưu lượng độc hại và lưu lượng hợp pháp.
Cuộc tấn công lũ HTTP (HTTP Flood) – Một ví dụ về việc tấn công vào các lớp ứng dụng.
Tấn công lũ HTTP giống với việc nhấn refresh trình duyệt web nhiều lần trên các máy tính khác nhau vào cùng một lúc, gây ra hiện tượng “lũ” HTTP tràn ngập máy chủ, dẫn đến việc từ chối dịch vụ.
Tấn công vào giao thức
Mục tiêu tấn công
Các cuộc tấn công vào giao thức, hay còn được gọi là cuộc tấn công gây cạn kiệt trang thái, gây gián đoạn dịch vụ do sử dụng quá nhiều tài nguyên máy chủ hoặc tài nguyên của thiết bị mạng như tường lửa và bộ cân bằng tải.
Các cuộc tấn công vào giao thức thường sử dụng các lỗ hổng trong lớp 3 hoặc lớp 4 của hệ thống mạng để khiến mục tiêu không thể truy cập được.
Cuộc tấn công lũ SYN – Một ví dụ về việc tấn công vào các giao thức
Tấn công lũ SYN tương tự với việc một người chủ bán hàng online thường nhận được rất nhiều đơn hàng cùng một lúc. Tuy nhiên, khi đã chốt đơn và chuẩn bị hàng xong để gửi cho khách thì lại thấy đơn hàng đã bị hủy, và người khách đăng ký mua đơn hàng đó không hề tồn tại.
Tấn công dạng SYN flood khai thác quá trình TCP handshake (chuỗi giao tiếp mà hai máy tính bắt đầu kết nối mạng) bằng cách gửi tới máy chủ mục tiêu một lượng lớn các gói tin SYN TCP với nguồn địa chỉ IP giả mạo.
Khi máy chủ mục tiêu phản hồi có đủ điều kiện để phản hồi các yêu cầu đó thì lại không tìm thấy được đối tượng yêu cầu, điều đó làm cạn kiệt tài nguyên của máy chủ mục tiêu, dẫn đến hiện tượng “từ chối dịch vụ”.
Tấn công vào băng thông mạng
Mục tiêu của cuộc tấn công
Mục tiêu của các cuộc tấn công này là việc tạo ra tắc nghẽn bằng việc tiêu thụ tất cả các băng thông có sẵn giữa mục tiêu và Internet lớn hơn. Một lượng lớn dữ liệu được gửi đến mục tiêu bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiên khác để tạo ra lưu lượng truy cập lớn, chẳng hạn như các yêu cầu từ một mạng Botnet.
Tấn công DNS Amplification – Một ví dụ về cuộc tấn công vào băng thông mạng
DNS Amplification là một cuộc tấn công khai thác các lỗ hổng trong Máy chủ DNS (Domain Name System) để làm tiêu tốn băng thông và “hạ gục” các máy chủ mục tiêu.
Quy trình ngăn chặn một cuộc tấn công DDoS
Mối quan tâm lớn nhất trong việc ngăn chặn một cuộc tấn công DDoS là phải phân biệt được lưu lượng tấn công và lưu lượng thông thường.
Ví dụ: Nếu một công ty bạn ra mặt một sản phẩm mới, lưu lượng truy cập tăng đột biến có thể là do các khách hàng cũ cùng với các khách hàng mới được thu hút thêm nhờ vào việc Marketing sản phẩm cho công ty, khi đó, việc cắt đứt tất cả các truy cập của khách hàng là một quyết định sai lầm. Tuy nhiên, nếu công ty bạn có lưu lượng truy cập tăng vọt từ những đối tượng tội phạm mạng mà bạn đã nắm rõ, thì việc nỗ lực để cắt đứt lượng truy cập đó để ngăn chặn tấn công là cần thiết.
Nhưng, điều khó khăn nhất ở đây là việc làm sao để phân biệt được IP nào là khách hàng của công ty bạn và IP nào là do tội phạm mạng đang ẩn nấp.
Với hiện đại sử dụng Internet ngày nay, lưu lượng đến từ các cuộc tấn công DDoS có nhiều dạng. Lưu lượng này có thể đến từ các cuộc tấn công đa vectơ phức tạp. Các cuộc tấn công đa vectơ sẽ sử dụng nhiều con đường tấn công để áp đảo máy chủ mục tiêu theo nhiều cách khác nhau.
Một cuộc tấn công DDoS có thể nhắm tới nhiều lớp của hệ thống mạng, chẳng hạn như một cuộc tấn công vào giao thức SYN (nhắm vào lớp 3 hoặc lớp 4) kết hợp với một cuộc tấn công bè lũ HTTP (nhắm vào lớp 7) là một ví dụ về việc tấn công đa vectơ.
Ngăn chặn một cuộc tấn công đa vectơ tương đối phức tạp, cần có nhiều chiến lược khác nhau để chống lại được các quỹ đạo tấn công khác nhau. Có thể thể hiện bởi 4 cách dưới đây:
Cách 1: Xây dựng lỗ đen
Một trong những cách để ngăn chặn được việc tấn công DDoS là Xây dựng một lỗ đen và chuyển tất cả lưu lượng truy cập vào trong đó để lọc truy cập. Nếu một mạng Internet gặp phải một cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) của mạng đó có thể sẽ gửi tất cả lưu lượng truy cập của Website này vào một lỗ đen bảo mật.
Đây không phải là một giải pháp lý tưởng, vì nó mang lại hiệu quả cho mục tiêu mong muốn của các tội phạm mạng, đó là, làm cho mạng không thể truy cập được.
Cách 2: Giới hạn số lượng yêu cầu
Giới hạn số lượng yêu cầu mà máy chủ chấp nhận trong một khoảng thời gian nhất định cũng là một cách để ngăn chặn các cuộc tấn công từ chối dịch vụ.
Cách 3: Xây dựng tường lửa ứng dụng Web
Tường lửa ứng dụng Web (WAF – Web Application Firewall) là một công cụ có thể hỗ trợ giảm thiếu các cuộc tấn công DDoS vào lớp 7. Bằng cách đặt WAF giữa Internet vào máy chủ gốc, WAF có thể hoạt động như một Proxy ngược, bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại
Cách 4: Khuếch tán mạng Anycast
Phương pháp ngăn chặn tấn công DDoS này dùng mạng Anycast để phân tán lưu lượng tấn công qua mạng các máy chủ phân tán đến điểm mà lưu lượng mạng được hấp thụ.
Giải pháp chống tấn công DDoS tối ưu
Một giải pháp bảo vệ DDoS hoàn toàn mạnh mẽ bao gồm các yếu tố giúp doanh nghiệp trong cả bảo vệ tài nguyên mạng và giám sát.
Khi mức độ tinh vi và phức tạp của các cuộc tấn công tiếp tục phát triển, các công ty cần một giải pháp có thể hỗ trợ chống lại các dạng thức tấn công DDoS phổ biến và các dạng thức tấn công Zero-day nổi tiếng. Một giải pháp bảo vệ DDoS nên sử dụng một loạt các công cụ có thể bảo vệ chống lại mọi loại tấn công DDoS và theo dõi hàng trăm nghìn thông số đồng thời.
Bảo vệ doanh nghiệp của bạn khỏi các cuộc tấn công đã biết và tấn công Zero-day bằng dịch vụ chống tấn công DDoS của Gdata ngay hôm nay.