DDos viết tắt của Distributed Denial of Service là tấn công từ chối dịch vụ phân tán và là phiên bản nâng cấp của Dos vì rất khó bị ngăn chặn.
1. DDoS là gì?
DDoS là gì?
1.1 DoS là gì?
DoS là tên viết tắt của Denial of Service, dịch ra là tấn công DoS, tấn công từ chối dịch vụ. Khi những kẻ tấn công không cho người dùng hợp pháp truy cập các tài nguyên mạng, thiết bị hoặc máy tính thì tấn công từ chối dịch vụ DoS xảy ra. Làm cho máy tính bị hại không thể nào ứng phó kịp thời các tác vụ và dẫn đến quá tải. Web Server của các doanh nghiệp Máy chủ ảo chính là mục tiêu tấn công DOS
Trong tấn công DoS, những kẻ tấn công hướng đến mục tiêu là máy tính và sử dụng mạng máy tính người dùng đang sử dụng để ngăn cản quyền truy cập tài khoản, website, email và còn những dịch vụ khác.
Hành động tấn công từ chối dịch vụ phổ biến rõ ràng nhất là những kẻ tấn công ồ ạt vào traffic máy chủ, mạng hoặc hệ thống làm mất hết nguồn tài nguyên của nạn nhân, làm cho người dùng không thể dùng được. Cụ thể là khi người dùng vào trình duyệt gõ URL của website, lúc đó người dùng cũng đang gửi 1 yêu cầu đến máy chủ của website này.
Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng internet của IAB (Internet Architecture Board) và những người tấn công hiển nhiên vi phạm luật dân sự.
1.2 DDos là gì?
Ddos là viết tắt của cụm từ Distributed Denial of Service, có nghĩa là từ chối dịch vụ phân tán.
Có thể hiểu đơn giản đây là các cuộc tấn công với mục đích làm ngưng trệ các hoạt động của một website nhất định, làm người dùng ko thể truy cập vào các website bị tấn công.
Cuộc tấn công ddos web không những gây ra các ảnh hưởng thiệt hại cho website bị tấn công mà còn gây cản trở cho người dùng khi truy cập. Tình trạng xấu hơn còn khiến máy của người dùng web bị nhiễm mã độc, bị điều khiển từ xa bởi các hacker thực hiện cuộc tấn công ddos.
Có 3 loại tấn công cơ bản là:
- Application: đây là loại tấn công nghiêm trọng và tinh vi nhất, nhắm chủ yếu vào những ứng dụng web.
- Protocol: loại tấn công này có mục đích chủ yếu là khai thác tài nguyên máy chủ
- Volume-based: làm tràn ngập băng thông mạng bằng cách dùng lưu lượng truy cập cao.
Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
2. Mục đích của các tấn công từ chối dịch vụ (dos/ddos)
- Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì một công việc nào khác.
- Những lỗi gọi tức thì trong microcode của máy tính.
- Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạt động không ổn định hoặc bị đơ.
- Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên hoặc bị thrashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn đến không một công việc thực tế nào có thể hoàn thành được.
- Gây crash hệ thống.
- Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của trang web đó bị quá hạn.
2. Các kiểu tấn công từ chối dịch vụ Dos/DDoS hiện nay
Các kiểu tấn công từ chối dịch vụ Dos và DDos hiện nay
Sau đây là những kiểu tấn công từ chối dịch vụ Do/DDoS hiện nay:
- Zero-day DDoS Attacks: là những phương pháp tấn công DDoS mới, khai thác những lỗ hổng chưa được vá
- Advanced Persistent DoS (APDoS): với hy vọng gây ra những thiệt hại lớn, hacker đã sử dụng loại tấn công này. Những cuộc tấn công này có thể diễn ra trong một khoảng thời gian dài như hàng tuần, thời gian kéo dài này phụ thuộc hacker có khả năng biến đổi các chiến thuật bất cứ khi nào và để tránh các bảo vệ an ninh bằng cách tạo ra sự đa dạng phong phú trong các biến đổi.
- NTP Amplification: ở đây các máy chủ NTP (Network Time Protocol) được khai thác, đồng thời được đồng bộ thời gian mạng trên mỗi giao thức, làm tràn ngập lưu lượng UDP. Đó chính là khuếch đại reflection attack. Ở bất kỳ reflection attack cũng có phản hồi từ máy chủ đến IP mạo danh, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ không còn tương xứng với yêu cầu lúc đầu. Ngoài ra, loại tấn công này có tính phá hoại và volume cao bởi lý do dùng băng thông lớn khi bị DDoS.
- Application Level Attacks: đây là phương pháp khai thác điểm yếu bên trong các ứng dụng. Tất cả máy chủ không phải là mục đích chính của loại tấn công này, mà là các ứng dụng với những lỗ hổng được biết đến.
- Slowloris: những kẻ tấn công được phép dùng nguồn lực ít nhất trong một cuộc tấn công và những mục tiêu trên máy chủ web. Slowloris giữ liên kết mở càng lâu thì càng có lợi với tràn ngập HTTP khi đã kết nối với mục tiêu mong muốn. Kiểu tấn công này cũng được dùng kiểu hacktivist (tấn công vì mục đích chính trị) cao cấp trong một số DdoSing, ví dụ cuộc bầu cử quốc hội. Rất khó khăn để giảm thiểu với loại tấn công bị ảnh hưởng.
- Fraggle Attack: dùng một lượng lưu lượng UDP vào mạng phát sóng của router. Giống như một cuộc tấn công Smurf, sử dụng UDP nhiều hơn là ICMP.
- Smurf Attack: khai thác giao thức IP và ICMP dùng một chương trình phần mềm độc hại gọi là smurf. Nó sử dụng ICMP và giả mạo địa chỉ IP sau đó dùng lệnh ping các địa chỉ IP trên một mạng nhất định.
- Ping of Death: bằng phương pháp gửi những đoạn mã độc đến một hệ thống để điều khiển các giao thức IP. Đây là loại DDoS phổ biến từ xưa.
- HTTP Flood: giống như các yêu cầu POST hoặc GET hợp pháp được khai thác bởi hacker. Nó có dùng ít băng thông hơn những hình thức tấn công khác nhưng nó có thể bắt máy chủ dùng các nguồn lực tối đa.
- UDP Flood: UDP là User Datagram Protocol là một giao thức mạng không session. Một UDP nhắm đến các cổng ngẫu nhiên trên máy tính hoặc các mạng với các gói tin UDP. Không thấy xuất hiện ứng dụng nào khi máy chủ kiểm tra ứng dụng tại các cổng đố.
- SYN Flood: khai thác ra các điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba chiều. Để bắt đầu “bắt tay” một thông điệp đồng bộ sẽ được gửi đến máy chủ. Máy chủ sẽ nhận được tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau đấy đóng kết nối. Ngược lại, trong mỗi SYN Flood, tin nhắn giả mạo sẽ được gửi đi kết hợp kết nối không đóng như vậy dẫn đến kết quả dịch vụ sẽ bị sập.
3. Cách nhận biết các cuộc tấn công Dos/DDos
Cách nhận biết các cuộc tấn công Dos và DDos
Các dấu hiệu sau đây sẽ giúp bạn nhận ra tấn công DoS hoặc DDoS:
- Thư rác bỗng nhiên tăng nhanh trong tài khoản bạn.
- Website nào cũng không thể truy cập được
- Website bạn không vào được
- Mạng chậm hơn so với bình thường
4. Cách phòng tránh các dịch vụ tấn công Dos và DDoS?
Làm sao để tránh bị tấn công DoS và DDoS?
Không có cách nào để tránh hoàn toàn được các tấn công DoS và DDoS. Nhưng vẫn còn vài biện pháp để giảm bớt sự tấn công này:
- Quản lý lưu lượng không kỳ vọng bằng cách sử dụng các bộ lọc email.
- Phân phối địa chỉ email bằng cách làm theo hướng dẫn thực hành an toàn
- Giới hạn lưu lượng không cần thiết đến và đi từ máy tính người dùng bằng cách cài đặt cấu hình và tường lửa.
- Sử dụng bằng các phần mềm chống virus và duy trì chúng.
5. Nên làm gì khi bị tấn công từ chối dịch vụ DoS/DDoS?
Nên làm gì khi bị tấn công DDoS?
Người dùng không thể nào xác định được mục đích hoặc nguồn của việc tấn công cho dù xác định đúng tấn công đó là DoS hoặc DDoS. Cách tốt nhất là bạn nên tìm các chuyên gia kỹ thuật hỗ trợ.
- Nếu máy tính xuất hiện các vấn đề bất thường, thì bạn nên tìm đến các nhà cung cấp dịch vụ (ISP). Từ đó, ISP sẽ khuyên bạn những hành động thích hợp để xử lý các vấn đề xảy ra.
- Nếu bất cứ website nào hoặc các file bạn không thể truy cập vào thì bạn hãy liên hệ với các nhà quản trị mạng của mạng đó. Đây có thể là mạng hoặc máy tính của bạn đang bị tấn công bởi một tổ chức.
Bài viết trên là những thông tin đầy đủ về DDoS bao gồm: khái niệm về ddos, các kiểu tấn công DDoS, cách nhận biết, giải pháp khi bị tấn công từ chối dịch vụ. Hy vọng qua bài viết bạn có thể hiểu rõ hơn về DDoS và tránh chúng.