Tấn công từ chối dịch vụ phân tán (DDoS) là hành động mà tội phạm mạng thực hiện việc gửi một lưu lượng lớn truy cập không hợp lệ làm cho website của bạn cạn kiệt tài nguyên và mất khả năng truy cập. Điều này gây ra ảnh hưởng nghiêm trọng cho doanh nghiệp khi khách hàng không thể sử dụng website cho mục đích liên lạc hoặc giao dịch. Bài viết sau sẽ giúp bạn hiểu DDoS là gì và cách bảo vệ an toàn cho doanh nghiệp trước các cuộc tấn công mạng.
1. DoS là gì?
DoS (Denial of Service) là viết tắt của tấn công từ chối dịch vụ. Đây là một sự cố bảo mật xảy ra khi kẻ tấn công tìm cách ngăn cản người dùng máy tính sử dụng mạng truy cập đến máy chủ. Hình thức tấn công DoS phổ biến chính là tin tặc sẽ gửi một lưu lượng lớn truy cập vào hệ thống máy chủ làm cạn kiệt tài nguyên của nạn nhân. Hậu quả gây ra là việc website của bạn sẽ không thể truy cập trong một thời gian, gây tổn hại cho doanh nghiệp.
2. Tìm hiểu về phương pháp tấn công từ chối dịch vụ DoS
Mục tiêu của các cuộc tấn công DoS phổ biến hiện nay thường là máy chủ ảo (VPS) hoặc máy chủ web của ngân hàng, các trang thương mại điện tử,… Tấn công từ chối dịch vụ chỉ nhắm đến một mục tiêu của hệ thống nạn nhân với tốc độ tấn công chậm và có thể dễ dàng ngăn chặn vì tin tặc chỉ sử dụng một hệ thống từ một vị trí. Bên cạnh đó, trong suốt cuộc tấn công DoS thì tin tặc chỉ có thể sử dụng một thiết bị duy nhất chung dãy IP để tấn công. Vì thế, việc theo dõi các cuộc tấn công DoS khá dễ dàng và có thể khắc phục trong thời gian ngắn.
3. DDoS là gì và cách để ngăn chặn?
3.1. DDoS là gì?
Một biến thể nâng cấp khác của DoS là DDoS (Distributed Denial of Service) được viết tắt của tấn công từ chối dịch vụ phân tán. Trong DDoS. tin tặc sẽ lợi dụng tấn công vào tầng Layer 7 (tầng mạng) nơi mà các nhà cung cấp ISP (Internet Service Provider) bỏ qua bảo mật, kẻ tấn công sẽ gửi một lưu lượng lớn các truy cập không hợp lệ với tốc độ tấn công nhanh hơn cả DoS khiến cho website doanh nghiệp gặp phải tình trạng lỗi không thể truy cập. DDoS còn nguy hiểm hơn cho Server của doanh nghiệp khi mà các cuộc tấn công này được gửi từ nhiều thiết bị khác nhau khiến ta không thể theo dõi và ngăn chặn kịp thời.
Một Server chỉ có thể xử lý một số yêu cầu nhất định tại một thời điểm, do đó khi tin tặc gửi quá nhiều các yêu cầu cùng lúc sẽ làm cạn kiệt nguồn tài nguyên cho máy chủ, gây quá tải và dẫn đến tình trạng mất khả năng xử lý các yêu cầu khác. Hậu quả là người dùng không thể truy cập vào Server của bạn khi đang bị tấn công.
3.2. Các loại tấn công DDoS bằng giao thức
Những loại tấn công DDoS dựa trên giao thức phổ biến nhất là:
- Volumetric Attacks: đây là cuộc tấn công DDoS dựa trên khả năng tiêu thụ băng thông có sẵn của máy chủ mục tiêu. Đây là một loại tấn công nguy hiểm cho Server của bạn nếu băng thông của Server không lớn hơn băng thông cuộc tấn công sẽ dẫn đến việc Server không khả dụng truy cập.
Ví dụ: nếu Server bạn có cổng mạng 15Gbps, tin tặc sẽ gửi các yêu cầu vượt quá 15Gps khiến cho các yêu cầu từ người dùng thật sẽ không đến được máy chủ và ngược lại. Nếu cuộc tấn công quy mô lớn khiến cho máy chủ full port thì dịch vụ có thể chậm và chập chờn.
- SYN floods: Cuộc tấn công này khai thác quy trình của TCP. Kẻ tấn công sẽ gửi các yêu cầu TCP có địa chỉ IP giả đến mục tiêu. Hệ thống đích phản hồi và chờ người gửi xác nhận bắt tay. Vì kẻ tấn công không bao giờ gửi phản hồi để hoàn thành quá trình này, các quy trình không hoàn chỉnh chồng chất và cuối cùng làm hỏng máy chủ.
- Smurf DDoS: Tin tặc sử dụng phần mềm độc hại để tạo ra một gói gắn với một địa chỉ IP giả mạo. Gói này chứa đựng thông báo ping ICMP yêu cầu gửi lại phản hồi liên tục và từ đó tạo ra một vòng lặp phản hồi vô hạn khiến cho hệ thống bị treo tạm thời.
- Zero Day DDoS: Cuộc tấn công dựa vào “Zero Day” chỉ đơn giản là một phương pháp tấn công vào lỗ hổng web khi chúng chưa có bản vá.
- Application Level Attacks: Nhằm vào mục tiêu là các ứng dụng có nhiều lỗ hổng. Thay vì cố gắng làm ngập lụt toàn bộ máy chủ, một kẻ tấn công sẽ tập trung tấn công vào một hoặc một vài ứng dụng. Các ứng dụng email dựa trên web, WordPress, Joomla và phần mềm diễn đàn là những ví dụ điển hình về các mục tiêu cụ thể.
3.3. Hướng dẫn tấn công DDoS thử nghiệm
Việc tin tặc tấn công DDoS website/ ứng dụng không chỉ gây thiệt hại đến doanh nghiệp mà còn làm ảnh hưởng đến trải nghiệm của khách hàng. Trong thời gian website bị DDoS, khách hàng sẽ không thể truy cập cũng như thực hiện các thao tác, giao dịch mong muốn. Hiện nay, có rất nhiều công cụ có sẵn miễn phí mà bạn có thể sử dụng để thử nghiệm tấn công DDoS giúp bạn hiểu rõ hơn về mức độ nguy hiểm từ việc tấn công từ chối dịch vụ phân tán.
Để tấn công DDoS thử nghiệm ta sẽ sử dụng LOIC (Low Orbit Ion Cannon) được phát triển bởi Praetox Technology và được nhóm hacker Anonymous khét tiếng nhất thế giới sử dụng để tấn công DDoS trong khoảng thời gian qua.
Các bước để thực hiện một cuộc tấn công DDoS với LOIC:
Bước 1: Tải xuống LOIC
Bạn có thể tải xuống LOIC từ sourcreforge. Việc cần làm tiếp theo là tắt đi cảnh báo phần mềm phát hiện virus và giải nén tập tin zip sau khi tải về thành công.
Bước 2: Khởi động LOIC và bắt đầu tấn công DDoS
Sau khi chạy LOIC, một menu sẽ hiện ra cho bạn có thể cấu hình với LOIC. Có nhiều tùy chọn mà bạn có thể cấu hình như việc chọn IP hoặc URL, cấu hình cổng cũng như số luồng, tốc độ tấn công DDoS,…
Bước 3: Xác nhận
Sau khi cấu hình thành công, bạn chỉ cầm bấm vào “IMMA CHARGIN MAH LAZER” để kích hoạt và xem trạng thái tấn công xảy ra như thế nào.
Sau khi thử nghiệm mô phỏng tấn công, website bị tấn công sẽ tiêu tốn một lượng lớn tài nguyên do phải xử lý hết các yêu cầu từ các lưu lượng lớn truy cập không hợp lệ mà DDoS tạo nên.
Để khắc phục tình trạng bị tấn công làm gián đoạn khả năng truy cập cũng như giảm thiểu thiệt hại tội phạm mạng gây ra cho doanh nghiệp, chúng ta hãy cùng VNETWORK tìm hiểu cũng như lựa chọn công cụ chống DDoS hiệu quả.
3.4. Cách ngăn chặn DDoS
Hiện tại, có ba kiểu WAF (Web Application Firewall) được xây dựng khác nhau, chúng có thể ngăn chặn các hình thức tấn công DDoS bằng giao thức, DDoS bằng lưu lượng hoặc DDoS bằng băng thông như sau:
-
Network-Based (Nền tảng mạng lưới)
-
Cloud-Based (Nền tảng đám mây)
-
Host-Based (Nền tảng máy chủ)
Loại WAF thứ 3 có khả năng cung cấp mức độ tùy chỉnh cao hơn (nhiều rules tùy chỉnh). Nó giúp xử lý các dạng tấn công DDoS như UDP cực mạnh. Loại WAF này đặc biệt phù hợp cho các hệ thống local (chẳng hạn mạng nội bộ của ngân hàng). Tuy nhiên, phương pháp này cần chạy trên các máy chủ cục bộ, yêu cầu bảo trì tại chỗ. Đây là một WAF tốn kém về hạ tầng và chi phí về license. Điểm hạn chế tiếp theo của nó là khả năng scale up/ scale down, và khó có khả năng xử lý các tấn công DDoS dạng traffic.
Do đó, Cloud-Based đang là giải pháp được nhiều doanh nghiệp chú ý hơn vì tính đơn giản, tiện lợi của đám mây đem lại, khả năng scale up/down không giới hạn. Ngoài ra, nó còn giúp tối ưu hơn về chi phí lưu trữ và bảo trì.
Bạn có thể đăng ký trải nghiệm thử dịch vụ Cloud WAF của VNETWORK, nó cũng kết hợp với Multi CDN (Content Delivery Network) để tạo nên 2 lớp bảo mật website mạnh mẽ có khả năng ngăn chặn mọi hình thức tấn công DDoS (cả UDP và TCP). Hotline: (028) 7306 8789 hoặc email về: contact@vnetwork.vn - sales@vnetwork.vn.