Monday, November 4, 2024

DDOS – Tấn Công Từ Chối Dịch Vụ ( phần 1)

DDOS – Tấn Công Từ Chối Dịch Vụ

Nếu như vào một ngày đẹp trời website của bạn bỗng nhiên không thể truy cập được. Hoặc nhận ra có một lượng traffic cực khủng đang xảy ra trên chính website của bạn. Thì đó chính là dấu hiệu bạn đang trở thành đối tượng đang bị tấn công DDOS – Tấn Công Từ Chối Dịch Vụ. 

Vậy Tấn Công Từ Chối Dịch Vụ – Tấn Công DDOS là gì? Các biện pháp phòng thủ như thế nào? Và cách khắc phục khi gặp phải tấn công đó ra sao? Hãy cùng GGADS.PRO tim hiểu qua bài viết dưới đây nhé: 

Tấn Công DDOS
                                        Tấn Công DDOS

I. Tấn Công DDOS là gì? Cách nhận diện và các phương thức tân công? 

1.Tấn công DDOS: 

  • Tấn công DoS – Tấn Công từ chối dịch vụ (Denial of Service)). 
  • Tấn công DDOS – Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service)
  • Là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau. Nó gồm:
    • Sự phối hợp.
    • Sự cố gắng ác ý của một người hay nhiều người để một trang, hệ thống mạng không thể sử dụng.
    • Làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường.
  • Bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như: 
    • Ngân hàng.
    • Cổng thanh toán thẻ tín dụng.
    • Thậm chí DNS root servers.
  • Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài. Đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm.
  • Trong điều kiện chung. Các cuộc tấn công DDoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ. Làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
  • Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng internet của IAB (Internet Architecture Board). Những người tấn công vi phạm luật dân sự.

2. Nhận diện cuộc tấn công DDOS:

  •  Dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm:
    • Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website.
    • Không thể dùng một website cụ thể.
    • Không thể truy cập bất kỳ website nào.
    • Tăng lượng thư rác nhận được.
  • Không phải tất các dịch vụ đều ngừng chạy. Thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS.
  • Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công. VD: Băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công. Làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng.

3. Tấn công DDOS trên những phương thức nào?

https://ggads.pro

Có 3 loại tấn công DDOS cơ bản

  • Măc dù DDOS có những chế độ tấn công ít phức tạp hơn những hình thức tấn công mạng khác. Nhưng chúng ta phải cẩn thận vì chúng càng ngày càng trở nên tinh vi và mạnh hơn. Có 3 loại tấn công DDOS cơ bản như sau:
    • Volume-based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập băng thông mạng.
    • Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy chủ.
    • Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại tấn công tinh vi và nghiêm trọng nhất.

Những hình thức tấn công từ chối dịch vụ thường gặp phải:

1. SYN Flood: 
  • SYN Flood:  Hình thức tấn công lợi dụng những điểm yếu trên chuỗi kết nối TCP.
    • Dựa vào những kết nối không được hoàn thành hoàn chỉnh.
    • Khi một người dùng nào đó thực hiện request TCP Syn thì sẽ không nhận được phản hồi từ máy chủ.
    • Đồng nghĩa với việc kết nối không hoạt động.
  • Kẻ tấn công tiêu thụ tất cả tài nguyên có sẵn của server. Khiến cho các server không có đủ lưu lượng để truy cập hợp pháp.
    • Kẻ tấn công có thể áp đảo các server mục tiêu bằng cách liên tục gửi nhiều tin yêu cầu kết nối SYN.
    • Khiến các máy của Client không thể đáp ứng lưu lượng hoặc đáp ứng rất chậm chạp.
2. UDP Flood:
  • UDP – User Datagram Protocol: Một giao thức kết nối mạng không tin cậy.
    • Cuộc tấn công UDP nhắm vào các cổng trên máy chủ từ xa bằng những gói tin UDP số lượng lớn. Khiến các máy chủ này sẽ kiểm tra những ứng dụng nghe trên các cổng này nhưng không tìm thấy ứng dụng nào.
3. HTTP Flood:
  • Là hình thức mà các yêu cầu HTTP GET hoặc POST gần như hợp pháp bị khai thác bởi hackers.
    • Tấn công kiểu HTTP Flood sử dụng hàng loạt botnet và hàng ngàn máy tính. Những máy tính này đã bị kiểm soát do sử dụng các phần mềm độc hại.
    • Hình thức này sẽ sử dụng ít băng thông hơn các loại tấn công khác. Nhưng các máy chủ buộc phải sử dụng tối đa nguồn tài nguyên.
4. Ping of Death:
  • Ping of Death: Làm thao túng các giao thức IP bằng cách gửi rất nhiều ping độc hại đến một hệ thống.
    • Kiểu tấn công này sẽ thường bắt gặp trên các hệ điều hành Windows NT trở xuống.
    • Tấn công DDOS kiểu Ping of Death này phổ biến ở 2 thập kỷ trước hơn là hiện tại. Nên thường không mang lại hiệu quả cao ở thời điểm này.
5. Smurf Attack: 
  • Smurf: Kiểu tấn công bằng cách lợi dụng địa chỉ IP và các giao thức ICMP nhờ các chương trình độc hại có tên là Smurf.
    • Kẻ tấn công giả vờ lấy địa chỉ IP nguồn là mục tiêu tấn công để ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều mạng.
    • Khiến địa chỉ IP này sẽ nhận một loạt phản hồi gói ICMP cực kỳ lớn.
    • khiến cho mạng bị chậm lại hoặc không thể đáp ứng các dịch vụ khác.
6. Fraggle Attack: 
  • Fraggle Attack: Một cuộc tấn công sử dụng nhiều lưu lượng UDP vào mạng phát sóng của Router.
    • Cũng tương tự như cách tấn công Smurf nhưng nó không sử dụng nhiều ICMP.
7. Slowloris:
  • Slowloris là hình thức tấn công sử dụng ít nguồn tài nguyên để tấn công những website đích.
    • Vì Slowloris là một công cụ cụ thể cho phép kẻ tấn công có thể đánh bại được một máy chủ khác mà không tốn nhiều băng thông.
    • Slowloris giúp thực hiện cuộc tấn công đến phần lớn là các ứng dụng thông qua nhiều yêu cầu HTTP một phần.
    • Chức năng tấn công chính là luôn duy trì mở các kết nối đến máy chủ mục tiêu và luôn giữ cho kết nối đó mở.
8. NTP Amplification:
  • NTP Amplification: Một kiểu tấn công bằng các gói tin mà kẻ tấn công khai thác máy chủ NTP (Network Time Protocol) đang hoạt động.
    • Khiến cho hệ thống mạng hoặc máy chủ mục tiêu bị quá tải do một lượng lớn các gói UDP đang được khuếch đại.
9. HTTP GET: 
  • HTTP GET: Hình thức tấn công vào những lớp ứng dụng với quy mô nhỏ nhưng nhắm đến nhiều mục tiêu.
    • Mục tiêu của hình thức tấn công HTTP GET chính là nhắm vào những ứng dụng xảy ra nhiều điểm yếu.
    • Đặc biệt là nhắm vào lớp thứ 7 trong mô hình OSI thay vì lớp thứ 3. Vì đây là lớp có lưu lượng mạng cao nhất.
    • Kiểu tấn công này hay sử dụng các URL tiêu chuẩn thay vì các tệp hỏng hoặc tệp có khối lượng lớn. Vậy nên việc chống lại là điều tương đối khó.
10. Advanced persistent Dos (APDos):  
  • Advanced Persistent Dos (ApDos): Hình thức tấn công vô cùng phức tạp và nghiêm trọng. Vì nó sử dụng kết hợp tất cả những hình thức tấn công khác như HTTP Flood hay SYN Flood,…
    • Kẻ tấn công sử dụng hình thức này luôn mong muốn gây ra những thiệt hại nghiêm trọng.
    • Cuộc tấn công này cực kỳ lớn và nguy hiểm. Có thể sẽ kéo dài hàng tuần hoặc hằng tháng. Điều kiện hacker phải có khả năng thay đổi chiến thuật liên tục tránh các bảo vệ an ninh.

II. Cách phòng chống những tấn công DDOS:

https://ggads.pro

  • Tấn công DDoS có thể nói là cơn ác mộng tồi tệ nhất của mỗi doanh nghiệp.
  • Một phút trước tất cả mọi thứ đều hoạt động bình thường. Tiếp đó cơ sở hạ tầng của bạn bị ảnh hưởng bởi bão traffic giả mạo từ Internet.
  • Tất cả hoạt động trực tuyến của bạn bị dừng lại và bạn không thể làm gì nếu không được chuẩn bị từ trước.
  • Thời buổi hiện nay. Các cuộc tấn công DDoS rất dễ được thực hiện. Botnets bao gồm hàng ngàn máy tính bị xâm nhập có thể được thuê một cách rẻ tiền. Phần mềm có khả năng tự động tấn công có thể được mua lại ở chợ đen. Các cuộc tấn công đạt tốc độ hàng chục gigabite mỗi giây được ghi lại và kích cỡ tăng lên mỗi năm. Một cuộc tấn công quy mô nhỏ có thể mua với giá dưới một nghìn đô la.
  •  Giúp giảm thiểu rủi ro cho doanh nghiệp và người dùng với 4 biện pháp sau:

1. Phần cứng và băng thông đủ lớn:

  • Nhiều cuộc tấn công DDoS là sự kết hợp của tự nhiên và đối thủ của bạn. Họ chỉ cần đơn giản là ném đủ lưu lượng truy cập để áp đảo công suất của bạn.
  • Bạn có thể giảm thiểu cơ hội thành công của đối thủ và giới hạn tác động lên người dùng bằng cách:
    • Cung cấp lưu lượng truy cập nhiều hơn mức bạn mong đợi nhận được trong quá trình hoạt động bình thường.
  • Một số người khi thiết kế mạng của họ thường có khuynh hướng cung cấp mức độ lưu lượng truy cập cao nhất họ có. Một nguyên tắc nhỏ khi xây dựng cơ sở hạ tầng phần cứng của bạn là cung cấp cho lưu lượng truy cập cao gấp 10 lần bình thường.
  • Làm việc với số lưu lượng truy cập nhiều nhất mà bạn đã có. Nhân nó lên mười và triển khai đủ phần cứng để đối phó với ít nhất mức hoạt động đó. Quy tắc tương tự cũng được áp dụng cho băng thông.

2. Dự phòng và giám sát từ xa:

  • Bạn có thể chuẩn bị sẵn hệ thống để theo dõi hiệu suất và tính khả dụng của trang web. Nhưng hệ thống này có thể bị hạn chế nếu chúng cũng bị tấn công DDoS.
  • Vậy nên nếu hệ thống được thiết kế để cảnh báo cho bạn nằm phía sau bottleneck giống như trang web mà nó đang giám sát. Thì sẽ không có tác dụng khi bị tấn công DDoS.
  • Nó sẽ giúp bạn biết điều đó một cách nhanh chóng khi bạn bị tấn công. Một thay thế đáng tin cậy khác là thuê dịch vụ của bên thứ ba giám sát trang web của bạn từ các vị trí khác nhau trên internet. Đánh giá phản hồi từ góc độ của người dùng và cung cấp cảnh báo cho bạn khi có vấn đề.

3. Bỏ các bản ghi:

  • Nhật ký máy chủ web của bạn không thể nhận ra sự khác biệt giữa khách truy cập và botnet.
  • Giá trị của nó tương đối hạn chế. Dù dữ liệu nhật ký có thể được sử dụng cho các mục đích điều tra sau khi cuộc tấn công kết thúc. 
  • Điều quan trọng hơn nhiều là máy chủ có thể đáp ứng với người dùng thực tế trong cuộc tấn công.
  • Bạn phải đối mặt với sự lựa chọn giữa việc giữ dữ liệu và mất máy chủ hoặc mất dữ liệu và giữ máy chủ. Nếu như bạn thấy tệp nhật ký đang phát triển khá lớn. 
  • Nếu máy chủ web của bạn là các tệp tin quan trọng sự lựa chọn của bạn chắc chắn là “Bỏ các bản ghi”.

4. Liên kết chặt chẽ với nhà cung cấp dịch vụ:

  • Vể mặt kỹ thuật. Có thể thiết lập cục bộ cấu hình phần cứng mạng để bỏ một số gói dữ liệu độc hại. Lý tưởng nhất bạn sẽ muốn lưu lượng truy cập không mong muốn ở càng gần nguồn càng tốt. Điều này có nghĩa sự phối hợp với các nhà cung cấp dịch vụ (ISP) là điều bắt buộc.
  • Nhưng nếu đối thủ của bạn thực hiện các vụ tấn công DDos vào những thời gian bất tiện. Hãy tưởng tượng bạn nhận được cảnh báo rằng có một cuộc tấn công DDoS vào website của bạn lúc 1h sáng ngày thứ bảy. Các đầu mối liên lạc với ISP của bạn đều ngừng hoạt động vào cuối tuần. Hệ thống của bạn sẽ phải đối mặt với việc ngừng hoạt động vài ngày.
  • Trong trường hợp này. Bạn cần phải có số điện thoại trực tiếp của những người trong mạng lưới của ISP. Nếu có sự liên lạc đúng người, bạn có thể ngăn chặn cuộc tấn công bất cứ thời gian nào. Điều này giúp bạn đỡ đau đầu hơn khi bị tấn công DDoS.
  • Nếu bạn có nguồn lực tài chính. Muốn ngăn chặn triệt để các cuộc tấn công DDoS thì việc sử dụng các giải pháp phòng vệ và bảo mật của các thương hiệu hàng đầu là cách đơn giản nhất.

                         Cách phòng ngừa tấn công DDOS

Rate this post
46,788FansLike

Bài Viết Mới