Các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm mục đích làm quá tải và vô hiệu hóa các máy chủ. Những người thành công có thể bị tổn thất tài chính lớn đối với mục tiêu của họ, cho dù đó là các tập đoàn, doanh nghiệp nhỏ, chính phủ, trường học, bệnh viện, tổ chức tài chính hoặc cá nhân.
Vào năm 2022, các cuộc tấn công DDoS đã tấn công các trò chơi điện tử trực tuyến và các trang web của chính phủ nước ngoài. Google tuyên bố đã đẩy lùi một cuộc tấn công phá kỷ lục vào ngày 1 tháng 6, với đỉnh điểm là 46 triệu yêu cầu mỗi giây. Cloudflare và Microsoft cũng đã chống lại các cuộc tấn công DDoS trong năm nay.
Các cuộc tấn công DDoS hoạt động như thế nào? Đây là những gì bạn cần biết.
Tấn công DDoS là gì?
(Nguồn: sinh sản / Wiki Commons)
Khi bạn tải một trang web, bạn sẽ gửi một yêu cầu dữ liệu trên trang đó đến địa chỉ IP của máy chủ lưu trữ thông tin. Tùy thuộc vào kích thước của máy chủ, quá nhiều yêu cầu đến cùng một địa chỉ IP cùng một lúc có thể làm tăng thông lượng của nó và khiến nó không thể chấp nhận bất kỳ yêu cầu mới nào.
Mục tiêu của một cuộc tấn công DDoS là mô phỏng giả tạo kịch bản này bằng cách làm quá tải lưu lượng truy cập của máy chủ mục tiêu, từ chối quyền truy cập, làm gián đoạn hoạt động và cuối cùng là đưa nó xuống. Một cuộc tấn công thành công sẽ ngăn người dùng tải trang hoặc sử dụng các dịch vụ được liên kết với máy chủ bị ảnh hưởng. Thay vì kết quả mong đợi, mọi người nhận được một thông báo lỗi.
Hiệp hội Công nghiệp Máy tính tuyên bố rằng các cuộc tấn công DDoS hiện là một trong bốn mối đe dọa an ninh mạng hàng đầu (Mở trong một cửa sổ mới), cùng với ransomware, các cuộc tấn công chuỗi cung ứng và kỹ thuật xã hội. Và chúng đang trở nên phổ biến hơn, dẫn đến sự gia tăng của DDoS như một chương trình dịch vụ.
Để thực hiện điều này, kẻ tấn công mạng cần quyền truy cập vào nhiều máy tính hoặc thiết bị có thể được sử dụng để gửi yêu cầu đến máy chủ mục tiêu. Điều này thường đạt được bằng cách lây nhiễm phần mềm độc hại cho các thiết bị và sau đó điều khiển từ xa các máy đó. Nhóm thiết bị bị nhiễm này, được gọi là botnet, sau đó được sử dụng để làm tràn ngập máy chủ mục tiêu với lưu lượng truy cập xấu và từ chối dịch vụ cho người dùng thực.
Vì các máy dưới sự kiểm soát của kẻ tấn công thường là các thiết bị như máy tính để bàn, máy tính xách tay hoặc điện thoại di động, các yêu cầu được coi là hợp pháp và có thể khó bảo vệ. Tuy nhiên, có nhiều cách để giảm bớt mối đe dọa từ một cuộc tấn công DDoS.
Các loại tấn công DDoS khác nhau
(Ảnh: ComputerLanguage.com)
Các cuộc tấn công DDoS có thể nhắm mục tiêu vào các phần cụ thể của mạng, cho dù đó là nơi mọi người tương tác với thiết bị của họ, nơi dữ liệu truyền qua mạng hoặc các biện pháp bảo vệ mạng như tường lửa. Dù là phương pháp nào thì mục tiêu đều giống nhau: làm quá tải tài nguyên của mục tiêu và khiến nó không thể hoạt động được.
Để hiểu các kiểu tấn công DDoS khác nhau, sẽ rất hữu ích nếu bạn làm quen với mô hình Kết nối Hệ thống Mở (OSI), mô hình này đại diện cho bảy cấp độ kết nối mạng. Nó cho thấy rõ ràng cách chúng ta kết nối với Internet và cách các thiết bị khác nhau tạo nên Internet truyền tải thông tin.
Mô hình OSI được sử dụng làm tham chiếu cho nhiều loại tấn công mạng, không chỉ DDoS. Nhưng các cuộc tấn công DDoS thường tập trung vào lớp OSI thứ bảy, lớp ứng dụng, nơi người dùng yêu cầu thông tin thông qua thiết bị của họ. Các cuộc tấn công số lượng lớn, trong đó một máy chủ tràn ngập lưu lượng truy cập giả mạo từ các địa chỉ IP có vẻ hợp pháp, là một ví dụ về cuộc tấn công Cấp 7. Nó sử dụng các máy bị nhiễm để bắt chước các tương tác của người dùng với Internet ở cấp ứng dụng.
Tuy nhiên, lớp thứ ba và thứ tư cũng có thể được nhắm mục tiêu. Ở các cấp độ này – tương ứng với mạng và các lớp truyền tải – hệ thống quyết định đường dẫn vật lý nào được sử dụng để truyền dữ liệu và giao thức dữ liệu nào được sử dụng để gửi nó.
Nhiều tin tặc cũng có thể tập trung vào nhiều cấp độ cùng một lúc, tùy thuộc vào mức độ phức tạp của cuộc tấn công của họ. Mặt khác, một cuộc tấn công cạn kiệt trạng thái làm suy yếu toàn bộ hệ thống bằng cách rút cạn các tài nguyên bảo vệ như tường lửa và bộ cân bằng tải.
Khi tấn công một giao thức, hacker sẽ gửi các gói dữ liệu có địa chỉ IP giả. Khi máy chủ nhận được yêu cầu từ các địa chỉ IP giả này, nó sẽ gửi yêu cầu xác nhận trước khi gửi bất kỳ dữ liệu nào. Nếu địa chỉ IP không dẫn đến thiết bị thực, máy chủ không thể nhận được xác nhận, do đó, nó bị mắc kẹt trong một vòng lặp vô tận của các yêu cầu mà không bao giờ nhận được phản hồi. Càng có nhiều yêu cầu giả mạo, vấn đề càng trở nên tồi tệ hơn.
Cách ngăn chặn một cuộc tấn công DDoS
(Tín dụng: Cloudflare)
Các cuộc tấn công DDoS ngày càng lan rộng và phổ biến hơn, vì vậy bạn nên đầu tư thời gian và nguồn lực để thực hiện các biện pháp bảo vệ thích hợp, đặc biệt nếu bạn đang sử dụng một mạng chuyên nghiệp. Ngoài các phương pháp hay nhất về an ninh mạng cơ bản, hãy cân nhắc sử dụng các máy chủ bổ sung, triển khai tường lửa và phát triển kế hoạch dự phòng để đẩy lùi cuộc tấn công.
Được giới thiệu bởi các biên tập viên của chúng tôi
Khi một cuộc tấn công DDoS xảy ra, bước đầu tiên của bạn nên xác định lưu lượng truy cập nào là thực và lưu lượng truy cập nào đến từ kẻ tấn công, điều này có thể khá phức tạp. Thiết lập đường cơ sở về lưu lượng truy cập mạng của bạn sẽ giúp bạn biết mức độ hoạt động bình thường được coi là gì để bạn có thể xác định các loạt lưu lượng truy cập từ các nguồn không xác định.
Nó cũng sẽ giúp thiết lập khoảng thời gian nhất định khi một loạt hoạt động diễn ra bình thường. Ví dụ: một nhà bán lẻ trực tuyến đang mong đợi một lượng truy cập tăng đột biến khá lớn do Thứ Sáu Đen, vì vậy họ sẽ biết cách không hoảng sợ và đóng tất cả lưu lượng truy cập trang web khi điều đó xảy ra.
Điều quan trọng là phải tìm ra những lớp nào trong mạng của bạn đang được nhắm mục tiêu. Các cuộc tấn công DDoS có thể có nhiều hình thức, từ tấn công lớp đơn đến các mối đe dọa đa vector phức tạp tấn công đồng thời nhiều lớp của mạng. Sau khi bạn đã xác định được lưu lượng truy cập xấu và phát hiện ra kẻ tấn công đang cố gắng tấn công bạn ở đâu, bạn có thể chuyển sang các phương pháp bảo vệ.
Một cách để bảo vệ chống lại kiểu tấn công mạng này là định tuyến lỗ đen, trong đó lưu lượng truy cập bị giảm xuống đích và bị xóa hoàn toàn khỏi mạng. Tùy chọn này có sẵn cho tất cả các quản trị viên mạng và ISP của bạn, nhưng có thể không lý tưởng vì nó sẽ làm giảm lưu lượng truy cập trang web thường xuyên cùng với lưu lượng truy cập của kẻ tấn công. Theo Cloudflare (Mở trong cửa sổ mới), điều này về cơ bản mang lại cho kẻ tấn công những gì họ muốn.
Việc giới hạn số lượng yêu cầu mà máy chủ có thể chấp nhận trong một khoảng thời gian nhất định cũng có thể giúp chống lại một số loại tấn công nhất định. Ví dụ: một cuộc tấn công bạo lực hàng loạt được thiết kế để áp đảo máy chủ với nhiều yêu cầu nhất có thể có thể được giảm thiểu bằng cách giới hạn tốc độ. Tuy nhiên, điều này sẽ không giúp chống lại các cuộc tấn công nhắm vào các lớp giao thức.
Các phương pháp khác như Tường lửa Ứng dụng Web (mở trong cửa sổ mới) cũng có thể sử dụng lan truyền mạng, phân phối lưu lượng truy cập qua một nhóm các máy chủ phân tán.
