DDoS là gì và cách phòng thủ tấn công DDoS hiệu quả

1. DoS là gì?

DoS (Denial of Service) là viết tắt của tấn công từ chối dịch vụ. Đây là một sự cố bảo mật xảy ra khi kẻ tấn công tìm cách ngăn cản người dùng máy tính sử dụng mạng truy cập đến máy chủ. Hình thức tấn công DoS phổ biến chính là tin tặc sẽ gửi một lưu lượng lớn truy cập vào hệ thống máy chủ làm cạn kiệt tài nguyên của nạn nhân. Hậu quả gây ra là việc website của bạn sẽ không thể truy cập trong một thời gian, gây tổn hại cho doanh nghiệp.

2. Tìm hiểu về phương pháp tấn công từ chối dịch vụ DoS

Mục tiêu của các cuộc tấn công DoS phổ biến hiện nay thường là máy chủ ảo (VPS) hoặc máy chủ web của ngân hàng, các trang thương mại điện tử,… Tấn công từ chối dịch vụ chỉ nhắm đến một mục tiêu của hệ thống nạn nhân với tốc độ tấn công chậm và có thể dễ dàng ngăn chặn vì tin tặc chỉ sử dụng một hệ thống từ một vị trí. Bên cạnh đó, trong suốt cuộc tấn công DoS thì tin tặc chỉ có thể sử dụng một thiết bị duy nhất chung dãy IP để tấn công. Vì thế, việc theo dõi các cuộc tấn công DoS khá dễ dàng và có thể khắc phục trong thời gian ngắn.

3. DDoS là gì và cách để ngăn chặn?

3.1. DDoS là gì?

Một biến thể nâng cấp khác của DoS là DDoS (Distributed Denial of Service) được viết tắt của tấn công từ chối dịch vụ phân tán. Trong DDoS. tin tặc sẽ lợi dụng tấn công vào tầng Layer 7 (tầng mạng) nơi mà các nhà cung cấp ISP (Internet Service Provider) bỏ qua bảo mật, kẻ tấn công sẽ gửi một lưu lượng lớn các truy cập không hợp lệ với tốc độ tấn công nhanh hơn cả DoS khiến cho website doanh nghiệp gặp phải tình trạng lỗi không thể truy cập. DDoS còn nguy hiểm hơn cho Server của doanh nghiệp khi mà các cuộc tấn công này được gửi từ nhiều thiết bị khác nhau khiến ta không thể theo dõi và ngăn chặn kịp thời.

Một Server chỉ có thể xử lý một số yêu cầu nhất định tại một thời điểm, do đó khi tin tặc gửi quá nhiều các yêu cầu cùng lúc sẽ làm cạn kiệt nguồn tài nguyên cho máy chủ, gây quá tải và dẫn đến tình trạng mất khả năng xử lý các yêu cầu khác. Hậu quả là người dùng không thể truy cập vào Server của bạn khi đang bị tấn công.

3.2. Các loại tấn công DDoS bằng giao thức

Những loại tấn công DDoS dựa trên giao thức phổ biến nhất là:

• Volumetric Attacks: đây là cuộc tấn công DDoS dựa trên khả năng tiêu thụ băng thông có sẵn của máy chủ mục tiêu. Đây là một loại tấn công nguy hiểm cho Server của bạn nếu băng thông của Server không lớn hơn băng thông cuộc tấn công sẽ dẫn đến việc Server không khả dụng truy cập.

Ví dụ: nếu Server bạn có cổng mạng 15Gbps, tin tặc sẽ gửi các yêu cầu vượt quá 15Gps khiến cho các yêu cầu từ người dùng thật sẽ không đến được máy chủ và ngược lại. Nếu cuộc tấn công quy mô lớn khiến cho máy chủ full port thì dịch vụ có thể chậm và chập chờn.

• SYN floods: Cuộc tấn công này khai thác quy trình của TCP. Kẻ tấn công sẽ gửi các yêu cầu TCP có địa chỉ IP giả đến mục tiêu. Hệ thống đích phản hồi và chờ người gửi xác nhận bắt tay. Vì kẻ tấn công không bao giờ gửi phản hồi để hoàn thành quá trình này, các quy trình không hoàn chỉnh chồng chất và cuối cùng làm hỏng máy chủ.
• Smurf DDoS: Tin tặc sử dụng phần mềm độc hại để tạo ra một gói gắn với một địa chỉ IP giả mạo. Gói này chứa đựng thông báo ping ICMP yêu cầu gửi lại phản hồi liên tục và từ đó tạo ra một vòng lặp phản hồi vô hạn khiến cho hệ thống bị treo tạm thời.
• Zero Day DDoS: Cuộc tấn công dựa vào “Zero Day” chỉ đơn giản là một phương pháp tấn công vào lỗ hổng web khi chúng chưa có bản vá.
• Application Level Attacks: Nhằm vào mục tiêu là các ứng dụng có nhiều lỗ hổng. Thay vì cố gắng làm ngập lụt toàn bộ máy chủ, một kẻ tấn công sẽ tập trung tấn công vào một hoặc một vài ứng dụng. Các ứng dụng email dựa trên web, WordPress, Joomla và phần mềm diễn đàn là những ví dụ điển hình về các mục tiêu cụ thể.

Tìm hiểu thêm…
Cách phòng chống tấn công DDoS: Giải pháp nào tối ưu nhất?
Tấn công DDoS là gì? Cách tốt nhất để ngăn chặn DDoS

3.3. Hướng dẫn tấn công DDoS thử nghiệm

Việc tin tặc tấn công DDoS website/ ứng dụng không chỉ gây thiệt hại đến doanh nghiệp mà còn làm ảnh hưởng đến trải nghiệm của khách hàng. Trong thời gian website bị DDoS, khách hàng sẽ không thể truy cập cũng như thực hiện các thao tác, giao dịch mong muốn. Hiện nay, có rất nhiều công cụ có sẵn miễn phí mà bạn có thể sử dụng để thử nghiệm tấn công DDoS giúp bạn hiểu rõ hơn về mức độ nguy hiểm từ việc tấn công từ chối dịch vụ phân tán.

Để tấn công DDoS thử nghiệm ta sẽ sử dụng LOIC (Low Orbit Ion Cannon) được phát triển bởi Praetox Technology và được nhóm hacker Anonymous khét tiếng nhất thế giới sử dụng để tấn công DDoS trong khoảng thời gian qua.

Các bước để thực hiện một cuộc tấn công DDoS với LOIC:

Bước 1: Tải xuống LOIC

Bạn có thể tải xuống LOIC từ sourceforge. Việc cần làm tiếp theo là tắt đi cảnh báo phần mềm phát hiện virus và giải nén tập tin zip sau khi tải về thành công.

Bước 2: Khởi động LOIC và bắt đầu tấn công DDoS

Sau khi chạy LOIC, một menu sẽ hiện ra cho bạn có thể cấu hình với LOIC. Có nhiều tùy chọn mà bạn có thể cấu hình như việc chọn IP hoặc URL, cấu hình cổng cũng như số luồng, tốc độ tấn công DDoS,…

Bước 3: Xác nhận

Sau khi cấu hình thành công, bạn chỉ cầm bấm vào “IMMA CHARGIN MAH LAZER” để kích hoạt và xem trạng thái tấn công xảy ra như thế nào.

Sau khi thử nghiệm mô phỏng tấn công, website bị tấn công sẽ tiêu tốn một lượng lớn tài nguyên do phải xử lý hết các yêu cầu từ các lưu lượng lớn truy cập không hợp lệ mà DDoS tạo nên.

Để khắc phục tình trạng bị tấn công làm gián đoạn khả năng truy cập cũng như giảm thiểu thiệt hại tội phạm mạng gây ra cho doanh nghiệp, chúng ta hãy cùng VNETWORK tìm hiểu cũng như lựa chọn công cụ chống DDoS hiệu quả.

3.4. Cách ngăn chặn DDoS

Hiện tại, có ba kiểu WAF (Web Application Firewall) được xây dựng khác nhau, chúng có thể ngăn chặn các hình thức tấn công DDoS bằng giao thức, DDoS bằng lưu lượng hoặc DDoS bằng băng thông như sau:

1. Network-Based (Nền tảng mạng lưới)
2. Cloud-Based (Nền tảng đám mây)
3. Host-Based (Nền tảng máy chủ)

Loại WAF thứ 3 có khả năng cung cấp mức độ tùy chỉnh cao hơn (nhiều rules tùy chỉnh). Nó giúp xử lý các dạng tấn công DDoS như UDP cực mạnh. Loại WAF này đặc biệt phù hợp cho các hệ thống local (chẳng hạn mạng nội bộ của ngân hàng). Tuy nhiên, phương pháp này cần chạy trên các máy chủ cục bộ, yêu cầu bảo trì tại chỗ. Đây là một WAF tốn kém về hạ tầng và chi phí về license. Điểm hạn chế tiếp theo của nó là khả năng scale up/ scale down, và khó có khả năng xử lý các tấn công DDoS dạng traffic.

Do đó, Cloud-Based đang là giải pháp được nhiều doanh nghiệp chú ý hơn vì tính đơn giản, tiện lợi của đám mây đem lại, khả năng scale up/down không giới hạn. Ngoài ra, nó còn giúp tối ưu hơn về chi phí lưu trữ và bảo trì.

Giải pháp VNIS – Phòng thủ đa lớp trước mọi hình thức tấn công DDoS

Một trong những giải pháp nổi bật trên thị trường hiện nay là VNIS (VNETWORK Internet Security) – nền tảng Cloud WAF thế hệ mới do VNETWORK phát triển, với các đặc điểm nổi bật:

• Bảo vệ 2 lớp:
  • Lớp 1: AI Load Balancer + Multi CDN để phân tán và triệt tiêu tấn công volumetric (Layer 3/4) từ biên mạng.
  • Lớp 2: Cloud WAF để phát hiện và ngăn chặn tấn công DDoS Layer 7, khai thác lỗ hổng OWASP Top 10.
• Hơn 2.400+ rule set bảo mật được cập nhật liên tục mỗi tháng, giúp ngăn chặn các cuộc tấn công mới nhất.
• Phân tích hành vi : tích hợp AI để theo dõi, cân bằng tải, phát hiện các mẫu lưu lượng bất thường.
• Uptime cam kết tới 99.99%, đảm bảo hoạt động ổn định ngay cả trong giờ cao điểm hoặc khi bị tấn công quy mô lớn.
• Báo cáo realtime và dashboard trực quan, giúp doanh nghiệp dễ dàng theo dõi mức độ bảo vệ và truy xuất nguồn gốc tấn công.
  <iframe width="770" height="315" src="https://www.youtube.com/embed/1dNPhoT1dDo" title="VNIS kết hợp sức mạnh chống DDoS từ Multi CDN hàng đầu (băng thông toàn cầu uplink 2.600Tbps)" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>