15 Loại tấn công từ chối dịch vụ DDoS thường gặp

2485
18-04-2022
15 Loại tấn công từ chối dịch vụ DDoS thường gặp

DDoS là một trong những cuộc tấn công từ chối dịch vụ được tin tặc sử dụng nhiều nhất. Việc dễ dàng triển khai một cuộc tấn công DDoS và tính hiệu quả cao khiến chúng trở thành một lựa chọn phổ biến. Một số tổ chức tội phạm mạng thậm chí còn cung cấp DDoS như một dịch vụ để bán. Theo Cisco, các cuộc tấn công DDoS dự kiến sẽ tăng từ 7,9 triệu vào năm 2018 lên hơn 15 triệu mỗi năm vào năm 2023.

Thế nào là tấn công từ chối dịch vụ (DoS và DDoS)?

1. Tấn công từ chối dịch vụ DoS là gì?

2. Tấn công từ chối dịch vụ DDoS là gì?

3. Có thể phòng tránh bị tấn công từ chối dịch vụ DoS hay DDoS không?

1. Tấn công từ chối dịch vụ DoS là gì?

DoS là viết tắt của cụm từ "Denial of Service". Đây là một hình thức tấn công từ chối dịch vụ phổ biến nhất hiện nay, khiến cho máy tính của bạn sẽ bị tấn công bởi lưu lượng truy cập tăng cao bất thường từ hệ thống của hacker. DoS có thể coi như là một cuộc tấn công trực tuyến nhắm vào một trang web hoặc một cụm máy chủ điển hình.

Cuộc tấn công DoS khiến làm quá tải tài nguyên hệ thống, từ đó khiến cho tốc độ hệ thống của máy tính sẽ bị chậm lại đáng kể, làm hệ thống bị ngưng trệ hoặc tắt đột ngột. Nếu như hệ thống máy tính của bạn bị ngưng trệ sẽ ảnh hưởng rất lớn tới công việc, điều hành hoặc quản lý hạ tầng dịch vụ website,...

2. Tấn công từ chối dịch vụ DDoS là gì?

DDoS là hình thức tấn công từ chối dịch vụ cao cấp hơn so với DoS, viết tắt bởi cụm từ: "Distributed Denial of Service", mang ý nghĩa là từ chối dịch vụ phân tán. Trong đó, hệ thống máy tính của bạn sẽ bị tấn công bởi lưu lượng truy cập đến từ rất nhiều hệ thống khác nhau thông qua nhiều địa chỉ IP khác nhau.

Điều này khiến cho toàn bộ hệ thống máy tính hoặc server của bạn chắc chắn sẽ bị đánh sập hoặc bị gián đoạn dịch vụ hoàn toàn, mất rất nhiều thời gian để khôi phục. Những kẻ hacker sau khi tấn công sẽ có thể nắm được quyền kiểm soát hệ thống máy tính của bạn, từ đó chúng sẽ trục lợi bất hợp pháp, xâm phạm dữ liệu của bạn hoặc làm nhiều điều xấu xa khác,...

3. Có thể phòng tránh bị tấn công từ chối dịch vụ DoS hay DDoS không?

Rất tiếc, hiện nay chúng ta không thể nào ngăn chặn được một cuộc tấn công từ chối dịch vụ quy mô lớn nhắm vào hệ thống máy tính và hạ tầng cơ sở dữ liệu của chúng ta. Tuy nhiên chúng ta vẫn có thể nhận biết và lên phương án phòng ngừa để giúp giảm thiểu khả năng trở thành nạn nhân trong tương lai.

Nếu thấy hệ thống máy tính làm việc chậm chạp bất thường, hoặc trang web của bạn không thể truy cập được, một số lượng lớn thông báo được tạo ra,... thì bạn nên đề phòng đang bị tấn công và có những biện pháp ngăn ngừa như sau:

  • Cài đặt hệ thống tường lửa hoặc phần mềm diệt virus cao cấp để ngăn ngừa lượng truy cập bất thường tới từ bên ngoài, hoặc ngăn chặn các loại mã độc, virus xâm nhập vào hệ thống máy tính của bạn. 
  •  Thực hiện các biện pháp bảo mật cho email, website của bạn để ngăn chặn các lưu lượng truy cập, thông báo dịch vụ không mong muốn. 
  •  Liên hệ với các nhà cung cập dịch vụ internet để có thể phối hợp nhằm xử lý kịp thời nếu như hệ thống của bạn đang bị tấn công.  

Dưới đây Bizfly Cloud sẽ đưa ra 15 loại tấn công từ chối dịch vụ DDoS thường gặp:

15 loại tấn công từ chối dịch vụ DDoS thường gặp

1. SYN Flood

2. ACK & PUSH ACK Flood

3. Spoofed Session Flood (Fake Session Attack)

4. UDP Flood

5. DNS Flood

6. VoIP Flood

7. NTP Flood (NTP Amplification)

8. CHARGEN Flood

9. SSDP Flood

10. HTTP Flood

11. ICMP Flood

12. Misused Application Attack

13. IP Null Attack

14. Ping of Death Attack

15. Slowloris

1. SYN Flood

Cuộc tấn công từ chối dịch vụ DDoS này khai thác thiết kế của quá trình giao tiếp TCP ba chiều giữa client, host, và server. Trong quá trình này, một máy khách (client) bắt đầu một phiên mới bằng cách gửi một thông báo SYN đến máy chủ để yêu cầu kết nối. Khi một cuộc tấn công SYN Flood đang diễn ra, tội phạm mạng sẽ gửi rất nhiều thông báo SYN từ một địa chỉ IP giả mạo. Do đó, máy chủ nhận không thể xử lý và lưu trữ quá nhiều gói SYN và từ chối dịch vụ cho các máy khách thực.

2. ACK & PUSH ACK Flood

Trong một phiên TCP-SYN đang hoạt động, các gói ACK hoặc PUSH ACK mang thông tin đến và đi từ máy chủ và máy khách cho đến khi phiên kéo dài. Trong một cuộc tấn công ACK & PUSH ACK Flood, một lượng lớn các gói ACK giả mạo được gửi đến máy chủ mục tiêu để làm giảm nó.

Vì các gói này không được liên kết với bất kỳ phiên nào trong danh sách kết nối của máy chủ, máy chủ dành nhiều tài nguyên hơn để xử lý các yêu cầu này. Kết quả là một máy chủ không khả dụng để xử lý các yêu cầu hợp pháp do tài nguyên cạn kiệt cho đến khi cuộc tấn công từ chối dịch vụ DDoS kéo dài.

15 loại tấn công từ chối dịch vụ DDoS thường gặp - Ảnh 1.

3. Spoofed Session Flood (Fake Session Attack)

Để phá vỡ các công cụ bảo vệ mạng, tội phạm mạng có thể giả mạo phiên TCP hiệu quả hơn bằng cách gửi gói SYN không có thật, một loạt gói ACK và ít nhất một gói RST (reset) hoặc FIN (connection termination). Chiến thuật tấn công từ chối dịch vụ DDoS này cho phép kẻ gian lẩn tránh các tuyến phòng thủ chỉ theo dõi lưu lượng truy cập đến thay vì phân tích lưu lượng truy cập trở lại.

4. UDP Flood

Cuộc tấn công từ chối dịch vụ DDoS này sử dụng nhiều gói Giao thức dữ liệu người dùng (UDP). Đối với bản ghi, các kết nối UDP thiếu cơ chế bắt tay (không giống như TCP), và do đó các tùy chọn xác minh địa chỉ IP rất hạn chế. Khi hoạt động khai thác này diễn ra đầy đủ, khối lượng gói tin giả vượt quá khả năng xử lý và phản hồi yêu cầu tối đa của máy chủ mục tiêu.

5. DNS Flood

Đây là một biến thể của UDP Flood đặc biệt lưu trữ trên các máy chủ DNS. Đây cũng là một trong những cuộc tấn công từ chối dịch vụ DDoS khó phát hiện và ngăn chặn nhất. Để thực thi, kẻ tấn công sẽ gửi một lượng lớn các gói yêu cầu DNS giả mạo trông không khác gì các yêu cầu thực từ một tập hợp IP nguồn rất lớn. Điều này khiến máy chủ mục tiêu không thể phân biệt giữa các yêu cầu DNS hợp pháp và các yêu cầu DNS “có vẻ hợp pháp”. Khi cố gắng phục vụ tất cả các yêu cầu, máy chủ sẽ cạn kiệt tài nguyên của nó. Cuộc tấn công tiêu thụ tất cả băng thông có sẵn trong mạng cho đến khi nó bị rút hết hoàn toàn.

6. VoIP Flood

Đây là một dạng UDP Flood phổ biến nhắm mục tiêu đến máy chủ VoIP. Kẻ tấn công từ chối dịch vụ DDoS sẽ gửi một số lượng lớn các gói yêu cầu VoIP giả mạo từ một tập hợp IP nguồn rất lớn. Khi một máy chủ VoIP tràn ngập các yêu cầu giả mạo, nó sẽ cạn kiệt tất cả các tài nguyên có sẵn trong khi cố gắng phục vụ các yêu cầu hợp lệ và không hợp lệ. Điều này sẽ khởi động lại máy chủ hoặc gây ảnh hưởng đến hiệu suất của máy chủ và làm cạn kiệt băng thông có sẵn.

15 loại tấn công từ chối dịch vụ DDoS thường gặp - Ảnh 2.

7. NTP Flood (NTP Amplification)

Giao thức NTP là một giao thức mạng có thể truy cập công khai khác. Cuộc tấn công NTP Amplification cũng được thực hiện bằng cách gửi các gói nhỏ mang IP giả mạo của mục tiêu đến các thiết bị hỗ trợ internet chạy NTP. Sau đó, các yêu cầu giả mạo này tới các thiết bị như vậy sẽ được sử dụng để gửi UDP Flood dưới dạng phản hồi từ các thiết bị này tới mục tiêu. Khi mục tiêu cố gắng hiểu được lượng yêu cầu này, nó sẽ cạn kiệt tài nguyên và chuyển sang chế độ ngoại tuyến hoặc khởi động lại.

8. CHARGEN Flood

Tương tự như NTP, Giao thức CHARGEN là một giao thức cũ có từ những năm 1980. Mặc dù vậy, nó vẫn đang được sử dụng trên một số thiết bị được kết nối như máy in và máy photocopy. Cuộc tấn công từ chối dịch vụ DDoS nhắm vào việc gửi các gói nhỏ chứa IP giả tạo của máy chủ nạn nhân đến các thiết bị có bật giao thức CHARGEN. Đáp lại, các thiết bị kết nối Internet gửi các gói UDP đến máy chủ, do đó làm ngập nó với dữ liệu dư thừa.

9. SSDP Flood

Các thiết bị mạng hỗ trợ SSDP cũng có thể truy cập UPnP từ internet là một nguồn dễ dàng để tạo ra SSDP Flood khuếch đại. Cuộc tấn công khuếch đại SSDP cũng được thực hiện bằng cách gửi các gói nhỏ mang IP giả mạo của mục tiêu đến các thiết bị. Các yêu cầu giả mạo này tới các thiết bị như vậy được sử dụng để gửi các luồng UDP dưới dạng phản hồi từ các thiết bị này tới mục tiêu. Khi mục tiêu cố gắng hiểu được lượng yêu cầu này, nó sẽ cạn kiệt tài nguyên và chuyển sang chế độ ngoại tuyến hoặc khởi động lại.

10. HTTP Flood

Khi thực hiện một cuộc tấn công HTTP Flood DDoS, kẻ thù sẽ gửi các yêu cầu GET hoặc POST có vẻ hợp pháp đến máy chủ hoặc ứng dụng web, loại bỏ hầu hết hoặc tất cả các tài nguyên của nó. Kỹ thuật này thường liên quan đến mạng botnet bao gồm các máy tính “thây ma” trước đây đã bị nhiễm phần mềm độc hại.

15 loại tấn công từ chối dịch vụ DDoS thường gặp - Ảnh 3.

11. ICMP Flood

Còn được gọi là Ping Flood, sự tấn công từ chối dịch vụ DDoS này nhằm mục đích làm ngập máy chủ hoặc thiết bị mạng khác với nhiều yêu cầu hoặc ping giả mạo Giao thức ICMP. Sau khi nhận được một số ping ICMP nhất định, mạng sẽ phản hồi với cùng một số gói trả lời. Vì khả năng đáp ứng này là hữu hạn, mạng đạt đến ngưỡng hiệu suất và trở nên không phản hồi.

12. Misused Application Attack

Thay vì sử dụng các địa chỉ IP giả mạo, cuộc tấn công từ chối dịch vụ DDoS này ký sinh các máy khách hợp pháp chạy các ứng dụng sử dụng nhiều tài nguyên như công cụ P2P. Kẻ gian định tuyến lại lưu lượng truy cập từ các máy khách này đến máy chủ nạn nhân để đưa nó xuống do tải xử lý quá mức. Kỹ thuật DDoS này khó bị ngăn chặn vì lưu lượng truy cập bắt nguồn từ các máy thực đã bị kẻ tấn công xâm phạm trước đó.

13. IP Null Attack

Cuộc tấn công từ chối dịch vụ DDoS này được thực hiện bằng cách gửi một loạt các gói chứa các tiêu đề IPv4 không hợp lệ được cho là mang các chi tiết giao thức lớp truyền tải. Bí quyết là các tác nhân đe dọa đặt giá trị tiêu đề này thành null. Một số máy chủ không thể xử lý các gói có vẻ ngoài bị “hỏng” này một cách chính xác và lãng phí tài nguyên khi cố gắng tìm ra cách xử lý chúng..

14. Ping of Death Attack

Để bắt đầu cuộc đột kích này, các cybercrook đầu độc mạng nạn nhân bằng các gói ping có kích thước vượt quá giá trị tối đa cho phép một cách đáng kể (64 byte). Sự không nhất quán này khiến hệ thống máy tính phân bổ quá nhiều tài nguyên để tập hợp lại các gói tin giả mạo. Hậu quả của việc này, hệ thống có thể gặp phải tình trạng tràn bộ đệm hoặc thậm chí là sập.

15. Slowloris

Cuộc tấn công từ chối dịch vụ DDoS này nổi bật so với đám đông vì nó yêu cầu băng thông rất thấp và có thể được thực hiện chỉ bằng một máy tính. Nó hoạt động bằng cách khởi tạo nhiều kết nối đồng thời đến một máy chủ web và giữ chúng mở trong một khoảng thời gian dài. Kẻ tấn công gửi các yêu cầu từng phần và bổ sung chúng bằng HTTP header một lần để đảm bảo rằng chúng không đạt đến giai đoạn hoàn thành. Do đó, khả năng duy trì các kết nối đồng thời của máy chủ bị cạn kiệt và nó không thể xử lý các kết nối từ các máy khách hợp pháp nữa.

Mặc dù tấn công từ chối dịch vụ DDoS là một phương tiện tấn công kiểu cũ, nhưng nó vẫn tiếp tục là một mối đe dọa nghiêm trọng đối với các tổ chức, có thể vượt khỏi tầm kiểm soát và vượt quá mức thiệt hại dự kiến.. Số lượng hàng tháng của các cuộc tấn công DDoS vượt quá 400.000. Để ngăn chặn các cuộc tấn công DDoS và giảm thiểu hậu quả, các doanh nghiệp nên học cách chủ động xác định các dấu hiệu nguy hiểm; có một kế hoạch ứng phó thích hợp tại chỗ; đảm bảo rằng thế trận an ninh của họ không có điểm nào bị lỗi và liên tục làm việc để củng cố kiến trúc mạng. 

Bizfly Anti DDOS - Giải pháp chống tấn công từ chối dịch vụ vượt trội cho ứng dụng và website thuộc hệ sinh thái điện toán đám mây Bizfly Cloud. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm lâu năm làm việc trong các công nghệ khác nhau như cloud, mobile, web… Bizfly Cloud có đủ khả năng để hỗ trợ đưa ra những giải pháp và công nghệ toàn diện giúp doanh nghiệp bảo mật và an toàn.

Để được tư vấn vui lòng liên hệ: (024) 7302 8888-(028) 7302 8888

TAGS: DDoS
SHARE