Tấn công từ chối dịch vụ phân tán (DDoS) là một hành vi phá hoại của tội phạm mạng. Chúng làm ngập lụt website của bạn bằng một lượng lớn lưu lượng truy cập giả mạo, khiến hệ thống cạn kiệt tài nguyên và trở nên không thể truy cập được.
Hậu quả là doanh nghiệp phải đối mặt với những ảnh hưởng nghiêm trọng, khi khách hàng không thể sử dụng website để liên lạc hay thực hiện các giao dịch.
Bài viết này của Dầu gội đầu sẽ giúp bạn làm rõ DDoS là gì và cung cấp những phương pháp hiệu quả để bảo vệ doanh nghiệp khỏi các mối đe dọa tấn công mạng.
I. DoS là gì?
DoS (Denial of Service), hay Tấn công Từ chối Dịch vụ, là một kiểu vi phạm an ninh mạng mà trong đó kẻ tấn công tìm cách ngăn chặn người dùng hợp pháp truy cập vào một tài nguyên mạng hoặc dịch vụ.
Phương thức phổ biến nhất là tin tặc sẽ “tấn công dồn dập” máy chủ bằng một lượng lớn yêu cầu truy cập không hợp lệ, khiến tài nguyên của nạn nhân bị cạn kiệt. Hậu quả là trang web hoặc dịch vụ của bạn sẽ trở nên không thể truy cập được trong một khoảng thời gian, gây tổn thất đáng kể cho doanh nghiệp.
Tìm Hiểu Chi Tiết Về Các Cuộc Tấn Công DoS
Các mục tiêu hàng đầu của những cuộc tấn công DoS hiện nay thường là máy chủ ảo (VPS) hoặc các máy chủ web của những tổ chức lớn như ngân hàng hay các trang thương mại điện tử. Điểm đặc trưng của tấn công DoS là nó chỉ nhắm vào một mục tiêu duy nhất trong hệ thống của nạn nhân. Tốc độ tấn công thường tương đối chậm và dễ dàng bị ngăn chặn.
Lý do là vì tin tặc chỉ sử dụng một hệ thống duy nhất từ một vị trí cụ thể và chỉ có thể sử dụng một thiết bị duy nhất với chung một dãy địa chỉ IP trong suốt quá trình tấn công. Chính vì vậy, việc theo dõi và truy vết các cuộc tấn công DoS khá đơn giản, cho phép khắc phục trong thời gian ngắn.
II. DDoS là gì và cách để ngăn chặn vấn đề này
1. Định nghĩa về DDoS
DDoS (Distributed Denial of Service), hay còn gọi là Tấn công Từ chối Dịch vụ Phân tán, là một biến thể nguy hiểm và phức tạp hơn nhiều so với DoS thông thường. Trong một cuộc tấn công DDoS, những kẻ tấn công sẽ khai thác điểm yếu ở tầng Layer 7 (tầng ứng dụng/mạng) – nơi mà các nhà cung cấp dịch vụ Internet (ISP) đôi khi có thể bỏ qua các biện pháp bảo mật chặt chẽ.
Chúng sẽ đồng loạt gửi một lưu lượng truy cập khổng lồ, không hợp lệ từ nhiều nguồn khác nhau, với tốc độ nhanh hơn đáng kể so với tấn công DoS truyền thống.
Điều này khiến website của doanh nghiệp nhanh chóng bị quá tải, dẫn đến tình trạng lỗi nghiêm trọng và hoàn toàn không thể truy cập được.
DDoS đặc biệt nguy hiểm hơn đối với máy chủ của doanh nghiệp bởi lẽ các cuộc tấn công này được phát động từ vô số thiết bị khác nhau (thường là các máy tính đã bị chiếm quyền điều khiển tạo thành botnet). Sự đa dạng về nguồn gốc khiến việc theo dõi, xác định và ngăn chặn kịp thời trở nên cực kỳ khó khăn.
Một máy chủ chỉ có khả năng xử lý một lượng yêu cầu nhất định trong cùng một thời điểm. Khi tin tặc đồng loạt gửi quá nhiều yêu cầu cùng lúc, chúng sẽ làm cạn kiệt tài nguyên xử lý của máy chủ, gây ra tình trạng quá tải nghiêm trọng. Hệ quả là máy chủ mất khả năng đáp ứng các yêu cầu hợp lệ khác, khiến người dùng không thể truy cập vào dịch vụ hay website của bạn trong suốt thời gian bị tấn công.
2. Các loại tấn công DDoS thường gặp
Các cuộc tấn công DDoS có thể được phân loại dựa trên cách chúng khai thác các giao thức mạng, nhằm gây tắc nghẽn hoặc làm tê liệt dịch vụ. Dưới đây là một số dạng tấn công DDoS dựa trên giao thức phổ biến:
Tấn Công Chiếm Băng Thông (Volumetric Attacks)
Đây là loại tấn công DDoS tập trung vào việc làm cạn kiệt băng thông sẵn có của máy chủ mục tiêu. Kẻ tấn công sẽ tạo ra một lượng lớn lưu lượng truy cập giả mạo, làm ngập đường truyền. Nếu băng thông của máy chủ không đủ lớn để chống chịu, hệ thống sẽ nhanh chóng trở nên không khả dụng, không thể đáp ứng các yêu cầu hợp lệ từ người dùng.
Tấn Công SYN Flood
Kiểu tấn công này lợi dụng quy trình bắt tay ba bước của giao thức TCP. Kẻ tấn công gửi liên tục các yêu cầu kết nối TCP (gói SYN) đến máy chủ mục tiêu, nhưng lại sử dụng địa chỉ IP giả mạo. Máy chủ đích phản hồi bằng gói SYN-ACK và chờ phản hồi ACK từ người gửi để hoàn tất kết nối. Vì kẻ tấn công không bao giờ gửi gói ACK cuối cùng, các kết nối chưa hoàn thành này sẽ tích tụ và chiếm hết tài nguyên của máy chủ, cuối cùng khiến máy chủ bị treo hoặc từ chối dịch vụ.
Tấn Công Smurf DDoS
Trong kiểu tấn công này, tin tặc sử dụng phần mềm độc hại để tạo ra một gói dữ liệu với địa chỉ IP giả mạo (địa chỉ của nạn nhân). Gói này chứa một thông báo ping ICMP và được gửi tới một mạng máy tính lớn. Các máy tính trong mạng đó sẽ đồng loạt gửi phản hồi ping về địa chỉ IP giả mạo (tức là nạn nhân). Điều này tạo ra một vòng lặp phản hồi vô hạn, làm ngập lụt hệ thống của nạn nhân và gây ra tình trạng treo tạm thời.
Tấn Công Zero-Day DDoS
Kiểu tấn công này khai thác các lỗ hổng bảo mật “zero-day” – tức là những lỗ hổng mới được phát hiện và chưa có bản vá lỗi hoặc biện pháp phòng ngừa công khai. Kẻ tấn công tận dụng điểm yếu chưa được biết đến này để thực hiện DDoS, khiến việc phòng thủ trở nên cực kỳ khó khăn cho đến khi nhà phát triển kịp thời phát hành bản vá.
Tấn Công Tầng Ứng Dụng (Application Level Attacks)
Thay vì làm quá tải toàn bộ máy chủ bằng băng thông, loại tấn công này nhắm vào các ứng dụng cụ thể có nhiều lỗ hổng bảo mật. Kẻ tấn công tập trung vào việc khai thác các điểm yếu trong một hoặc một vài ứng dụng để làm chúng ngừng hoạt động. Ví dụ điển hình bao gồm các ứng dụng email nền web, các hệ thống quản lý nội dung như WordPress, Joomla, hoặc phần mềm diễn đàn. Mục tiêu là làm gián đoạn chức năng của ứng dụng mà không nhất thiết phải làm sập toàn bộ máy chủ.
3. Hướng dẫn tấn công DDoS thử nghiệm
Các cuộc tấn công DDoS vào website hoặc ứng dụng không chỉ gây tổn thất nặng nề cho doanh nghiệp mà còn hủy hoại trải nghiệm của khách hàng. Trong suốt thời gian website bị tấn công DDoS, người dùng sẽ không thể truy cập, thực hiện các thao tác hay giao dịch như mong muốn. Để giúp bạn hình dung rõ hơn về mức độ nguy hiểm của loại tấn công từ chối dịch vụ phân tán này, hiện có nhiều công cụ miễn phí cho phép bạn tự thử nghiệm mô phỏng DDoS.
Một trong những công cụ phổ biến cho mục đích thử nghiệm DDoS là LOIC (Low Orbit Ion Cannon). Đây là phần mềm được phát triển bởi Praetox Technology và từng được nhóm hacker nổi tiếng Anonymous sử dụng trong các cuộc tấn công DDoS lớn.
Các Bước Thực Hiện Thử Nghiệm Tấn Công DDoS Với LOIC
Nếu bạn muốn mô phỏng một cuộc tấn công DDoS để hiểu rõ hơn về cách thức hoạt động của nó, dưới đây là các bước cơ bản với LOIC:
- Tải xuống LOIC: Bạn có thể tìm và tải LOIC từ trang SourceForge. Sau khi tải về tệp nén (zip), bạn cần tắt các cảnh báo từ phần mềm diệt virus (nếu có) và tiến hành giải nén.
- Khởi động LOIC và Cấu hình Tấn công: Khi chạy LOIC, một giao diện cấu hình sẽ xuất hiện. Tại đây, bạn có thể thiết lập các tùy chọn cho cuộc tấn công mô phỏng của mình. Bạn có thể chọn mục tiêu bằng địa chỉ IP hoặc URL, cấu hình cổng (port), số lượng luồng (threads), và tốc độ tấn công.
- Kích hoạt và Quan sát: Sau khi hoàn tất cấu hình, chỉ cần nhấp vào nút “IMMA CHARGIN MAH LAZER” để kích hoạt cuộc tấn công mô phỏng. Bạn có thể quan sát trạng thái và tác động của nó.
Sau khi thử nghiệm mô phỏng tấn công, bạn sẽ thấy website hoặc ứng dụng bị tấn công sẽ tiêu tốn một lượng lớn tài nguyên. Điều này là do nó phải xử lý liên tục các yêu cầu từ lưu lượng truy cập không hợp lệ khổng lồ mà cuộc tấn công DDoS tạo ra.
III. Cách ngăn chặn DDoS
Để đối phó với các kiểu tấn công DDoS như tấn công dựa trên giao thức, lưu lượng hoặc băng thông, hiện có ba loại Tường lửa Ứng dụng Web (WAF) với kiến trúc khác nhau:
- WAF Dựa trên Mạng (Network-Based)
- WAF Dựa trên Đám mây (Cloud-Based)
- WAF Dựa trên Máy chủ (Host-Based)
WAF Dựa trên Máy chủ (Host-Based WAF)
Trong ba loại trên, WAF Dựa trên Máy chủ mang đến mức độ tùy chỉnh cao nhất, cho phép thiết lập nhiều quy tắc riêng biệt. Điều này đặc biệt hiệu quả trong việc xử lý các dạng tấn công DDoS cường độ cao như UDP flood. Loại WAF này rất phù hợp với những hệ thống cục bộ, ví dụ như mạng nội bộ của các ngân hàng, nơi yêu cầu kiểm soát chặt chẽ.
Tuy nhiên, phương pháp này đòi hỏi phải chạy trực tiếp trên các máy chủ cục bộ, dẫn đến việc phải bảo trì tại chỗ. Điều này khiến Host-Based WAF trở nên tốn kém đáng kể về cả chi phí hạ tầng lẫn phí bản quyền (license). Hạn chế khác của nó là khả năng mở rộng (scale up/down) còn hạn chế, khiến việc xử lý các cuộc tấn công DDoS dạng lưu lượng lớn trở nên khó khăn.
WAF Dựa trên Đám mây (Cloud-Based WAF)
Chính vì những hạn chế của Host-Based WAF, WAF Dựa trên Đám mây đang ngày càng nhận được sự quan tâm từ nhiều doanh nghiệp. Giải pháp này nổi bật nhờ tính đơn giản và tiện lợi mà công nghệ đám mây mang lại, cùng với khả năng mở rộng (scale up/down) không giới hạn. Ngoài ra, việc sử dụng Cloud-Based WAF còn giúp tối ưu hóa đáng kể chi phí lưu trữ và bảo trì, vì những công việc này được nhà cung cấp dịch vụ đám mây quản lý.