Tấn công DDoS là gì? Các biện pháp phòng tránh

DOS và DDOS là gì?

Dos là gì? “Dos” là viết tắt của cụm từ “Denial Of Service”, là một hình thức tấn công từ chối dịch vụ.

Đây là hình thức tấn công khá phổ biến hiện nay, việc bị tấn công DOS khiến cho máy của bạn mất khả năng xử lý kịp các thông tin như bình thường dẫn tới việc bị quá tải (hậu quả sẽ dẫn đến die máy).

Thông thường các cuộc tấn công DOS xảy ra nhằm mục đích nhắm vào hệ thống các máy chủ ảo VPS hoặc vào hệ thống Web Server lớn của các doanh nghiệp như ngân hàng, trang thương mại điện tử hay đến cả các trang website của Chính phủ…

Khi bị tấn công DOS thì cũng khá dễ để bạn có thể ngăn chặn được, bởi DOS thường chỉ diễn ra cuộc tấn công từ một địa điểm duy nhất, và có nghĩa là chỉ có một dải IP bị thôi.

DOSS hay Tấn công DDOS là gì? Là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ sẽ gây ra rất nhiều các hậu quả gồm có:

• Gây ngập lưu lượng băng thông Internet
• Khiến truy cập từ người dùng tới máy chủ bị ngắt quãng
• Truy cập chập chờn, thậm chí không thể truy cập được internet
• Gây tê liệt hệ thống hoặc nặng hơn thì thậm chí là cả một hệ thống mạng nội bộ.

Là một biến thể cấp cao hơn của loại tấn công DOS (hình thức tấn công từ chối dịch vụ phân tán).

Những đối tượng xấu, hacker không chỉ sử dụng máy tính riêng mà họ còn có thể thao túng hàng triệu các máy khác trên toàn thế giới, tấn công vào các hệ thống website nhằm chuộc lợi, hoặc để phá hỏng hệ thống của máy bạn.

Nguyên nhân lớn gây ra tình trạng bị tấn công này là do người dùng sử dụng các ứng dụng, phần mềm crack, dùng lậu bởi không muốn bỏ tiền ra để mua bản của nhà sản xuất. Khi sử dụng rồi thì bạn phải chấp nhận rằng chúng sẽ có nhiều mã độc, virus,… các mối đe dọa khác.

Bị tấn công DDOS chắc chắn sẽ khó khắc phục, đồng thời có thể hậu quả sau khi bị tấn công sẽ nặng hơn nhiều. Trái ngược với chỉ tấn công 1 dải IP của DOS, thì khi bị tấn công DDOS nó phân tán từ nhiều dải IP, bạn rất khó để phát hiện ra để ngăn chặn.

Một số loại tấn công DDoS thường gặp

• Tấn công vào băng thông (Bandwidth).
• Tấn công vào các giao thức.
• Tấn công bằng các gói tin bất thường.
• Tấn công qua phần mềm trung gian.
• Công cụ tấn công dùng Proxy: SYN-Flood-DOS, Trinoo, Flood Network (TFN), DDOS UDP, Knight, Kaiten, MASTER HTTP, Trinity, LOIC , DOS ProC5,…
• SYN Flood: SYN Flood Attack là hình thức tấn công, khai thác điểm yếu của chuỗi kết nối TCP – bắt tay ba chiều. Bình thường, máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu “bắt tay” (nhận bằng cách gửi cờ báo nhận ACK tới máy lưu trữ rồi đóng kết nối). Nhưng khi hacker tấn công, họ sẽ gửi tin nhắn giả mạo đi và sau đó không đóng kết nối, kết quả là dịch vụ sẽ sập.
• HTTP Flood: HTTP Flood Attack gần tương tự với các yêu cầu GET/POST hợp pháp được khai thác bởi hacker. Tuy chỉ sử dụng ít lượng băng thông hơn các cách tấn công DDOS khác nhưng nó có thể bắt máy chủ phải sử dụng đến tối đa nguồn lực.
• Ping of Death: Hình thức tấn công Ping of Death điều khiển các giao thức IP bằng việc gửi những đoạn mã đọc tới hệ thống. Vào thời điểm hiện tại thì loại tấn công này không còn đáng quan ngại nữa nhưng nếu là 2 thập kỷ trước thì đây là cách tấn công DDOS phổ biến nhất.
• UDP Flood – User Datagram Protocol attack là một giao thức mạng không session. Tấn công UDP Flood nhắm vào các cổng ngẫu nhiên trên máy tính hoặc cổng mạng bằng các gói tin UDP. Khi bị tấn công, hệ thống máy chủ check tại các cổng nhưng không tìm ra được bất kì ứng dụng nào.
• Smurf Attack: Smurf Attack là hình thức tấn công khai thác lỗ hổng của giao thức Internet (IP) và ICMP (Internet Control Message Protocol) thông qua sử dụng phần mềm độc hại Smurf. Bằng cách giả mạo địa chỉ IP, ICMP sau đó ping các địa chỉ IP trên một mạng nhất định.
• Fraggle Attack: Tấn công Fraggle là dùng lượng lớn lưu lượng UDP vào mạng phát sóng của router, loại tấn công này tương tự như Smurf, sử dụng UDP nhiều hơn là ICMP.

Dấu hiệu nhận biết khi bị tấn công DDOS

Sau đây sẽ là những dấu hiệu cơ bản, dễ nhận biết nhất để giúp bản kiểm tra xem máy tính có đang bị tấn công DDOS không:

• Đột nhiện thấy hệ thống mạng chậm đi bất thường khi bạn truy cập vào website, mở file,…
• Tệ hơn là không thể truy cập Internet.
• Thấy lượng thư rác tăng bất thường.

Cần làm gì khi bị đánh sập web bằng DDOS?

Các cách hiệu quả nhất để khắc phục tình trạng khi bạn phát hiện ra máy tính đang bị tấn công từ chối dịch vụ.

Xác định tấn công DDOS

Bạn cần trước tiên xác định thời điểm mà hệ thống máy tính của bạn bị tấn công DDOS (nếu bạn đang chạy máy chủ) càng sớm càng tốt.

Tìm hiểu về hồ sơ traffic thông thường của máy bạn. Khi mà đã biết và quen với các thông tin, số lượng traffic thì bạn sẽ rất dễ phát hiện ra nếu có điều gì bất thường xảy ra. Đa số các cuộc tấn công DDOS đều có lượng traffic tự nhiên tăng mạnh, từ đó dễ phân ra được đâu là lượng traffic hợp pháp và đâu là lượng traffic tấn công.

Thu thập, tổng hợp thông tin cuộc tấn công

Khi biết bị tấn công và thời điểm bị tấn công thì bước tiếp theo là xác định xem bạn đang bị tấn công DDOS theo cách nào, loại hình nào, hệ thống đang bị nhắm vào đâu.

Thiết lập tăng cường bảo vệ Network Perimeter

Việc tăng cường này chỉ áp dụng được khi mà bạn có thể tự vận hành được hệ thống máy chủ website của mình. Khi đó bạn thực hiện những biện pháp khắc phục kĩ thuật, nhất là trong giai đoạn đầu của cuộc tấn công thì càng hiệu quả hơn nhằm giảm nhẹ sức ảnh hưởng của cuộc tấn công. Cụ thể thì đó là:

• Chặn các IP nguồn, trước khi chặn bạn lưu lại thông tin các IP này vì có thể đó là IP hợp pháp, IP ma hoặc IP giả mạo.
• Cài đặt giá trị rate limit trên router để tránh tình trạng tràn máy chủ.
• Bổ sung thêm bộ lọc cho router, điều này sẽ giúp ngăn chặn các gói tin từ các nguồn tấn công đã xác định được.
• Timeout các kết nối half-open mạnh mẽ hơn
• Loại bỏ các gói tin bị biến dạng, giả mạo
• Thiết lập ngưỡng flood cho SYN, ICMP, UDP thấp hơn

Đây chỉ là những bước ngăn chặn cơ bản, chúng có hiệu quả nhưng mức độ hiệu quả có xu hướng đang giảm dần trước những phương thức tấn công DDOS/DOS ngày càng tinh vi hiện nay. Dù sao những hành động trên sẽ giúp bạn có thêm thời gian để tìm ra cách ngăn chặn tối ưu nhất dưới đây.

Gọi cho nhà cung cấp Internet hoặc cung cấp host

• Hãy liên lạc ngay với các nhà cung cấp dịch vụ host bạn đang dùng, hoặc gọi cho ISP nếu bạn chưa biết cách tự vận hành máy chủ website.
• Cung cập tất cả thông tin mà bạn nhận thấy, thu thập được. Yêu cầu họ xem có thể đổi địa chỉ IP được hay không.
• Dựa vào mức độ của cuộc tấn công từ chối dịch vụ, nhà cung cấp hoặc ISP có thể phát hiện ra loại tấn công, đồng thời họ cũng sẽ có bị chịu ảnh hưởng từ cuộc tấn công này.
• Nếu như máy chủ website của bạn được đặt trong các trung tâm lưu trữ thì khả năng chống chịu tấn công DDOS/DOS sẽ tốt hơn nhiều so với máy chủ tự vận hành. Lý do bởi trong trung tâm lưu trữ có liên kết băng thông cao hơn, router công suất tốt hơn, đội ngũ nhân viên xử lý vấn đề cũng có nhiều kinh nghiệm hơn để khắc phục sớm nhất, hạn chế thấp nhất rủi ro.
• Quy trình khắc phục khi phát hiện ra thì họ sẽ lập tức sẽ tắt website đó, chuyển hướng traffic đến “hố đen”, chặn traffic đến, việc này giúp họ bảo vệ được cả khách hạng không bị tấn công khác. Sau đó, mở web hoạt động trở lại, chuyển hướng traffic đến máy lọc có chức năng loại bỏ tất cả các gói tin độc hại.

Kiểm tra toàn bộ hệ thống

Việc kiểm tra tất cả hệ thống là điều phải làm sau đó, bạn sẽ không muốn nghĩ rằng cuộc tấn công vừa rồi chỉ là để đánh lạc hướng, cuộc tấn công lớn khác đang chờ bạn tiếp sau đó phải không? Hãy kiểm tra để chắc chắn không còn bất kì một mối đe dọa nào sắp diễn ra được nữa.

Thu thập thông tin sau cuộc tấn công

• Thu thập, thống kê lại tất cả các record từ lúc xảy ra đến khi kết thúc cuộc tấn công, đánh giá các traffic tấn công đến từ đâu, loại nào. Kết quả là cần xác định vị trí của các địa chỉ IP và liên hệ với các ISP của IP này để họ biết chúng đã bị dùng cho mục đích xấu.
• Cuối cùng là đổi tất cả mật khẩu

Biện pháp hạn chế khả năng bị tấn công DDOS

Phòng chống trước bao giờ cũng không là thừa. Để giảm thấp nhất khả năng có thể bị tấn công thì bạn có thể thực hiện theo hướng dẫn dưới đây:

• Sử dụng phần mềm chống Virus chất lượng (nên mua bản quyền để được sử dụng dịch vụ tốt)
• Thiết lập hệ thống “tường lửa” để giới hạn lưu lượng đến và đi từ máy tính của bạn.
• Thực hiện hướng dẫn thực hành an toàn về phân phối địa chỉ email của bạn.
• Sử dụng bộ lọc mail để quản lý lưu lượng.

Thông qua bài viết, BKHOST mong rằng đã có thể cung cấp cho các bạn thông tin hữu ích về tấn công DOS và DDOS là gì, làm thế nào để ngăn chặn các cách tấn công DDOS, đảm bảo quá trình hoạt động ổn định cho website của bạn. Hãy nhớ đón đọc thêm các bài viết khác trên blog của BKHOST nhé!