15 loại tấn công từ chối dịch vụ DDoS thường gặp

1809
18-04-2022
15 loại tấn công từ chối dịch vụ DDoS thường gặp

DDoS là một trong những cuộc tấn công mạng được tin tặc sử dụng nhiều nhất. Việc dễ dàng triển khai một cuộc tấn công DDoS và tính hiệu quả cao khiến chúng trở thành một lựa chọn phổ biến. Một số tổ chức tội phạm mạng thậm chí còn cung cấp DDoS như một dịch vụ để bán. Theo Cisco, các cuộc tấn công DDoS dự kiến sẽ tăng từ 7,9 triệu vào năm 2018 lên hơn 15 triệu mỗi năm vào năm 2023.

Dưới đây là 15 loại tấn công từ chối dịch vụ DDoS thường gặp:

15 loại tấn công từ chối dịch vụ DDoS thường gặp

1. SYN Flood

Cuộc tấn công này khai thác thiết kế của quá trình giao tiếp TCP ba chiều giữa client, host, và server. Trong quá trình này, một máy khách (client) bắt đầu một phiên mới bằng cách gửi một thông báo SYN đến máy chủ để yêu cầu kết nối. Khi một cuộc tấn công SYN Flood đang diễn ra, tội phạm mạng sẽ gửi rất nhiều thông báo SYN từ một địa chỉ IP giả mạo. Do đó, máy chủ nhận không thể xử lý và lưu trữ quá nhiều gói SYN và từ chối dịch vụ cho các máy khách thực.

2. ACK & PUSH ACK Flood

Trong một phiên TCP-SYN đang hoạt động, các gói ACK hoặc PUSH ACK mang thông tin đến và đi từ máy chủ và máy khách cho đến khi phiên kéo dài. Trong một cuộc tấn công ACK & PUSH ACK Flood, một lượng lớn các gói ACK giả mạo được gửi đến máy chủ mục tiêu để làm giảm nó.

Vì các gói này không được liên kết với bất kỳ phiên nào trong danh sách kết nối của máy chủ, máy chủ dành nhiều tài nguyên hơn để xử lý các yêu cầu này. Kết quả là một máy chủ không khả dụng để xử lý các yêu cầu hợp pháp do tài nguyên cạn kiệt cho đến khi cuộc tấn công kéo dài.

15 loại tấn công từ chối dịch vụ DDoS thường gặp - Ảnh 1.

3. Spoofed Session Flood (Fake Session Attack)

Để phá vỡ các công cụ bảo vệ mạng, tội phạm mạng có thể giả mạo phiên TCP hiệu quả hơn bằng cách gửi gói SYN không có thật, một loạt gói ACK và ít nhất một gói RST (reset) hoặc FIN (connection termination). Chiến thuật này cho phép kẻ gian lẩn tránh các tuyến phòng thủ chỉ theo dõi lưu lượng truy cập đến thay vì phân tích lưu lượng truy cập trở lại.

4. UDP Flood

Cuộc tấn công DDoS này sử dụng nhiều gói Giao thức dữ liệu người dùng (UDP). Đối với bản ghi, các kết nối UDP thiếu cơ chế bắt tay (không giống như TCP), và do đó các tùy chọn xác minh địa chỉ IP rất hạn chế. Khi hoạt động khai thác này diễn ra đầy đủ, khối lượng gói tin giả vượt quá khả năng xử lý và phản hồi yêu cầu tối đa của máy chủ mục tiêu.

5. DNS Flood

Đây là một biến thể của UDP Flood đặc biệt lưu trữ trên các máy chủ DNS. Đây cũng là một trong những cuộc tấn công DDoS khó phát hiện và ngăn chặn nhất. Để thực thi, kẻ tấn công sẽ gửi một lượng lớn các gói yêu cầu DNS giả mạo trông không khác gì các yêu cầu thực từ một tập hợp IP nguồn rất lớn. Điều này khiến máy chủ mục tiêu không thể phân biệt giữa các yêu cầu DNS hợp pháp và các yêu cầu DNS “có vẻ hợp pháp”. Khi cố gắng phục vụ tất cả các yêu cầu, máy chủ sẽ cạn kiệt tài nguyên của nó. Cuộc tấn công tiêu thụ tất cả băng thông có sẵn trong mạng cho đến khi nó bị rút hết hoàn toàn.

6. VoIP Flood

Đây là một dạng UDP Flood phổ biến nhắm mục tiêu đến máy chủ VoIP. Kẻ tấn công sẽ gửi một số lượng lớn các gói yêu cầu VoIP giả mạo từ một tập hợp IP nguồn rất lớn. Khi một máy chủ VoIP tràn ngập các yêu cầu giả mạo, nó sẽ cạn kiệt tất cả các tài nguyên có sẵn trong khi cố gắng phục vụ các yêu cầu hợp lệ và không hợp lệ. Điều này sẽ khởi động lại máy chủ hoặc gây ảnh hưởng đến hiệu suất của máy chủ và làm cạn kiệt băng thông có sẵn.

15 loại tấn công từ chối dịch vụ DDoS thường gặp - Ảnh 2.

7. NTP Flood (NTP Amplification)

Giao thức NTP là một giao thức mạng có thể truy cập công khai khác. Cuộc tấn công NTP Amplification cũng được thực hiện bằng cách gửi các gói nhỏ mang IP giả mạo của mục tiêu đến các thiết bị hỗ trợ internet chạy NTP. Sau đó, các yêu cầu giả mạo này tới các thiết bị như vậy sẽ được sử dụng để gửi UDP Flood dưới dạng phản hồi từ các thiết bị này tới mục tiêu. Khi mục tiêu cố gắng hiểu được lượng yêu cầu này, nó sẽ cạn kiệt tài nguyên và chuyển sang chế độ ngoại tuyến hoặc khởi động lại.

8. CHARGEN Flood

Tương tự như NTP, Giao thức CHARGEN là một giao thức cũ có từ những năm 1980. Mặc dù vậy, nó vẫn đang được sử dụng trên một số thiết bị được kết nối như máy in và máy photocopy. Cuộc tấn công nhắm vào việc gửi các gói nhỏ chứa IP giả tạo của máy chủ nạn nhân đến các thiết bị có bật giao thức CHARGEN. Đáp lại, các thiết bị kết nối Internet gửi các gói UDP đến máy chủ, do đó làm ngập nó với dữ liệu dư thừa.

9. SSDP Flood

Các thiết bị mạng hỗ trợ SSDP cũng có thể truy cập UPnP từ internet là một nguồn dễ dàng để tạo ra SSDP Flood khuếch đại. Cuộc tấn công khuếch đại SSDP cũng được thực hiện bằng cách gửi các gói nhỏ mang IP giả mạo của mục tiêu đến các thiết bị. Các yêu cầu giả mạo này tới các thiết bị như vậy được sử dụng để gửi các luồng UDP dưới dạng phản hồi từ các thiết bị này tới mục tiêu. Khi mục tiêu cố gắng hiểu được lượng yêu cầu này, nó sẽ cạn kiệt tài nguyên và chuyển sang chế độ ngoại tuyến hoặc khởi động lại.

10. HTTP Flood

Khi thực hiện một cuộc tấn công HTTP Flood DDoS, kẻ thù sẽ gửi các yêu cầu GET hoặc POST có vẻ hợp pháp đến máy chủ hoặc ứng dụng web, loại bỏ hầu hết hoặc tất cả các tài nguyên của nó. Kỹ thuật này thường liên quan đến mạng botnet bao gồm các máy tính “thây ma” trước đây đã bị nhiễm phần mềm độc hại.

15 loại tấn công từ chối dịch vụ DDoS thường gặp - Ảnh 3.

11. ICMP Flood

Còn được gọi là Ping Flood, sự xâm nhập này nhằm mục đích làm ngập máy chủ hoặc thiết bị mạng khác với nhiều yêu cầu hoặc ping giả mạo Giao thức ICMP. Sau khi nhận được một số ping ICMP nhất định, mạng sẽ phản hồi với cùng một số gói trả lời. Vì khả năng đáp ứng này là hữu hạn, mạng đạt đến ngưỡng hiệu suất và trở nên không phản hồi.

12. Misused Application Attack

Thay vì sử dụng các địa chỉ IP giả mạo, cuộc tấn công này ký sinh các máy khách hợp pháp chạy các ứng dụng sử dụng nhiều tài nguyên như công cụ P2P. Kẻ gian định tuyến lại lưu lượng truy cập từ các máy khách này đến máy chủ nạn nhân để đưa nó xuống do tải xử lý quá mức. Kỹ thuật DDoS này khó bị ngăn chặn vì lưu lượng truy cập bắt nguồn từ các máy thực đã bị kẻ tấn công xâm phạm trước đó.

13. IP Null Attack

Cuộc tấn công này được thực hiện bằng cách gửi một loạt các gói chứa các tiêu đề IPv4 không hợp lệ được cho là mang các chi tiết giao thức lớp truyền tải. Bí quyết là các tác nhân đe dọa đặt giá trị tiêu đề này thành null. Một số máy chủ không thể xử lý các gói có vẻ ngoài bị “hỏng” này một cách chính xác và lãng phí tài nguyên khi cố gắng tìm ra cách xử lý chúng..

14. Ping of Death Attack

Để bắt đầu cuộc đột kích này, các cybercrook đầu độc mạng nạn nhân bằng các gói ping có kích thước vượt quá giá trị tối đa cho phép một cách đáng kể (64 byte). Sự không nhất quán này khiến hệ thống máy tính phân bổ quá nhiều tài nguyên để tập hợp lại các gói tin giả mạo. Hậu quả của việc này, hệ thống có thể gặp phải tình trạng tràn bộ đệm hoặc thậm chí là sập.

15. Slowloris

Cuộc tấn công này nổi bật so với đám đông vì nó yêu cầu băng thông rất thấp và có thể được thực hiện chỉ bằng một máy tính. Nó hoạt động bằng cách khởi tạo nhiều kết nối đồng thời đến một máy chủ web và giữ chúng mở trong một khoảng thời gian dài. Kẻ tấn công gửi các yêu cầu từng phần và bổ sung chúng bằng HTTP header một lần để đảm bảo rằng chúng không đạt đến giai đoạn hoàn thành. Do đó, khả năng duy trì các kết nối đồng thời của máy chủ bị cạn kiệt và nó không thể xử lý các kết nối từ các máy khách hợp pháp nữa.


Mặc dù DDoS là một phương tiện tấn công kiểu cũ, nhưng nó vẫn tiếp tục là một mối đe dọa nghiêm trọng đối với các tổ chức, có thể vượt khỏi tầm kiểm soát và vượt quá mức thiệt hại dự kiến.. Số lượng hàng tháng của các cuộc tấn công DDoS vượt quá 400.000. Để ngăn chặn các cuộc tấn công DDoS và giảm thiểu hậu quả, các doanh nghiệp nên học cách chủ động xác định các dấu hiệu nguy hiểm; có một kế hoạch ứng phó thích hợp tại chỗ; đảm bảo rằng thế trận an ninh của họ không có điểm nào bị lỗi và liên tục làm việc để củng cố kiến trúc mạng. Tham khảo ngay BizFly AntiDDOS - giải pháp chống tấn công từ chối dịch vụ vượt trội cho ứng dụng và website thuộc hệ sinh thái điện toán đám mây Bizfly Cloud. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm lâu năm làm việc trong các công nghệ khác nhau như cloud, mobile, web…  Bizfly Cloud có đủ khả năng để hỗ trợ đưa ra những giải pháp và công nghệ toàn diện giúp doanh nghiệp bảo mật và an toàn. Để được tư vấn vui lòng liên hệ: https://bizflycloud.vn/anti-ddos hoặc gọi hotline: (024) 7302 8888-(028) 7302 8888

SHARE