Tấn công DDoS là gì và làm thế nào để bảo vệ trước DDoS trong năm 2019?

Tấn công DDoS là gì và làm thế nào để bảo vệ trước DDoS trong năm 2019?
Evan Porter
BỞI: Evan Porter
Đã đăng: Ngày 12 tháng 4 năm 2019

Nếu trang web hoặc ứng dụng công ty của bạn đột ngột bị tắt do lượng traffic đáng ngờ tăng đột biến, có lẽ bạn là đối tượng của một vụ tấn công DDoS – Distributed Denial-of-Service (từ chối dịch vụ phân tán).

Kiểu tấn công mạn này đang gia tăng, hủy hoại việc kinh doanh và tiếng tăm của nạn nhân bởi chúng khiến trang web gặp downtime đáng kể.

Trong hướng dẫn này, chúng tôi sẽ phân tích chi tiết một vụ tấn công DDoS, làm sao để ngăn chặn, và làm gì nếu bạn đã là nạn nhân.

Link tắt: Hỏi đáp DDoS

Tấn công DDoS là gì?

Tấn công DDoS là gì?

DDoS viết tắt của ‘Distributed Denial-of-Service’.

Một vụ tấn công DDoS xảy ra khi hacker gởi một luồng traffic khủng vào mạng hoặc máy chủ để làm hệ thống quá tải và chặn khả năng vận hành. Tấn công kiểu này thường tạm thời đóng sập một trang web hoặc ứng dụng trong vài ngày, hoặc thậm chí lâu hơn.

Phương diện kỹ thuật

Chúng tôi sử dụng thuật ngữ Denial-of-Service/ Từ chối dịch vụ vì trang web hoặc server sẽ không thể tải traffic chính thống khi bị tấn công.

Và họ gọi đó Distributed Denial-of-Service vì traffic chính thống đến từ hàng trăm, hàng nghìn, thậm chí hàng triệu máy tính khác. Khi traffic chỉ tới từ một nguồn, đó được gọi là tấn công DoS.

Sử dụng Botnet

Tấn công DDoS dùng botnet một bộ “sưu tập” nhiều máy tính hoặc thiết bị chạy với Internet có thể chiếm lấy quyền từ xa khi sử dụng phần mềm độc hại để khởi chạy vụ tấn công. Đây được gọi là “zombies/thây ma”

Những Kiểu Tấn Công Khác Nhau

Những Kiểu Tấn Công Khác Nhau

Thây ma nhắm đến các lỗ hổng ở các lớp khác nhau trong Mô hình tham chiếu kết nối các hệ thống mở (OSI) -, và thường chia theo ba hạng mục, theo như Cloudflare:

1. Tấn công Lớp ứng dụng

Tấn công Lớp ứng dụng là hình thức đơn giản nhất của DDoS; chúng bắt chước yêu cầu của máy chủ. Nói cách khác, máy tính hoặc thiết bị của botnet cùng truy cập vào máy chủ hoặc vào trong web, một điều như một người dùng bình thường sẽ thực hiện.

Như do Tấn công DDoS cao cấp hơn, số lượng yêu cầu tưởng-như-chính-thống trở nên quá nhiều trong khả năng xử lý của server và hệ thống bị sập.

2. Tấn công giao thức

Tấn công giao thức (protocol) lợi dụng các các máy chủ xử lý dữ liệu để khiến chúng bị quá tải và che khuất mục tiêu dự định.

Trong một vài biến thể của tấn công giao thức, botnet sẽ gởi các gói dữ liệu để máy chủ sắp xếp. Sau đó máy chủ đợi nhận xác nhận của địa chỉ IP nguồn, vốn là điều không bao giờ xảy ra. Và máy chủ cứ tiếp tục “ngốn” thêm hằng hà vô số các gói dữ liệu và phải bung ra (mà không có chiều xử lý).

Với một số biến thể khác, chúng gởi các gói dữ liệu đơn giản chỉ là không thể đóng gói lại nên nguồn tài nguyên của máy chủ bị quá tải khi cố xử lý các gói đó.

3. Tấn công Khối lượng

Tấn công Khối lượng (Volumetric) giống với tấn công ứng dụng, nhưng có một chút bất ngờ vào phút chót. Với hình thức này, toàn bộ băng thông của máy chủ hiện có sẽ bị ngập trong yêu cầu của botnet vốn đã bị thổi phồng lên bằng cách nào đó.

Ví dụ, thỉnh thoảng botnet có thể lừa máy chủ gửi đi khối lượng dữ liệu khủng. Điều đó nghĩa là máy chủ phải xử lý việc tiếp nhận, sắp xếp, gửi và nhận dữ liệu đó một lần nữa.

Ví dụ một vụ tấn công DDoS đầu tiên

Theo Norton, vụ tấn công DDoS đầu tiên được biết đến xảy ra trong năm 2000 do cậu bé Michael Calce 15 tuổi thực hiện. Khi đó đã tạm thời đánh sập những trang web khổng lồ như Yahoo, CNN, và eBay, gây ra tin nhắn lỗi như hình ảnh bên trên.

Kiểu tấn công này đang tăng nhanh, nhiều chưa từng thấy.

Ai thực hiện Tấn công DDoS và tại sao?

Mặc dù Tấn công DDoS phát triển về mức độ lẫn độ tinh vi, bất kỳ ai cũng có thể thực hiện một vụ tấn công DDoS cơ bản. Người bình thường có thể trả tiền để thực hiện một vụ Tấn công DDoS cho một mục tiêu online hoặc tại chợ đen. Thậm chí họ có thể thuê một botnet có sẵn để thực hiện kế hoạch đen tối của mình.

Những vụ Tấn công DDoS sớm, như vụ đầu tiên Michael Calce (aka “Mafiaboy”) thực hiện đơn giản chỉ để hacker vỗ ngực xưng danh. Chỉ vì cậu nhóc có thể (làm được).

Mặc dù vậy, đây là những người dùng đến tấn công DDoS, và nguyên nhân họ làm vậy

  • Chủ doanh nghiệp muốn vượt mặt đối thủ
  • Game thủ cạnh tranh muốn hạ gục đối phương
  • Các nhà hoạt động xã hội muốn ăn mọi người tiếp cận với nội dung nhất định
  • Trolls để gây hấn với mục tiêu

Ai có rủi ro bị Tấn công DDoS nhất?

Ai có rủi ro bị Tấn công DDoS nhất?

Những doanh nghiệp nhỏ không nên lo sợ quá, nhưng những tập đoàn khổng lồ là những mục tiêu chính. Họ có khả năng mắt hàng triệu hoặc hàng tỷ đô-la là hệ quả của việc hệ thống bị downtime do Tấn công DDoS gây ra. Các công ty nhỏ cũng có thể mất mát đáng kể.

Điều quan trọng là bất kỳ tổ chức nào hiện diện trực tuyến cũng phải được chuẩn bị đầu đủ trước cuộc Tấn công DDoS tiềm tàng bất kỳ lúc nào.

Làm sao để ngăn chặn Tấn công DDoS

Bạn không thể năng tin tặc độc hại gởi những cơn “lũ” traffic không đúng vào máy chủ, nhưng bạn có thể chuẩn bị trước để xử lý tình hình.

1. Theo Dõi Traffic Để Tóm Sớm

Theo như Amazon Web Services, điều quan trọng là phải hiểu thế nào là traffic bình thường, thấp và cao đối với tổ chức của bạn,

Nếu bạn biết traffic khi nào sẽ chạm đỉnh, bạn có thể đặt tỷ lệ định mức. Điều đó nghĩa là máy chủ chỉ chấp nhận xử lý chừng đó yêu cầu.

Cập nhật kiến thức về xu hướng traffic cũng giúp bạn xác định vấn đề nhanh chóng.

Bạn nên chuẩn bị cả trường hợp traffic sẽ tăng đột biến theo mùa, theo chiến dịch marketing và v.v… Hều hết traffic thực (từ các link mạng xã hội) thỉnh thoảng cũng bị sập máy chủ với hiệu ứng tương tự. Và mặc dù traffic đến từ một nguồn chính thống, sập máy chủ cũng sẽ làm doanh nghiệp của bạn tốn kém.

2. Mở thêm băng thông

Một khi bạn biết dung lượng máy chủ cần, dựa trên mức độ traffic cao và trung bình, bạn nên mở và mở thêm. Đặt thêm băng thông máy chủ nhiều hơn mức bạn thực sự cần được gọi là “overprovisioning” / “dư còn hơn thiếu”

Thêm băng thông cho phép bạn có thêm thời gian trong trường hợp bị tấn công trước khi trang web, máy chủ, hoặc ứng dụng hoàn toàn quá tải.

3. Dùng Mạng Phân Tán Nội Dung CDN

Mục tiêu của tấn công DDoS là làm quá tải máy chủ. Do đó, một giải pháp là lưu dữ liệu của bạn trên nhiều máy chủ rải toàn thế giới.

Đây chính xác là điều mà một CDN – Mạng phân tán nội dung thực hiện.

CDN cho trang web hoặc dữ liệu người dùng từ một máy chủ ở gần với mỗi người dùng để hiệu suất nhanh hơn. Điều đó cũng đồng nghĩa bạn không dễ bị tấn công vì nếu một máy chủ quá tải, bạn vẫn còn nhiều máy khác đang hoạt động.

Làm Gì Nếu Tấn Công DDoS Nhắm Vào Bạn

Làm Gì Nếu Tấn Công DDoS Nhắm Vào Bạn

Tấn công DDoS ngày nay tinh vi hơn và cứng đầu hơn đến mức tự bạn sẽ rất khó có thể xử lý được. Đó là lí do tại sao những lớp bảo vệ ngay từ đầu sẽ là biện pháp bảo vệ tốt.

Nhưng nếu bạn bị tấn công và máy chủ hiện đã tắt, đây là một số điều bạn có thể làm:

1. Dùng Các Biện Pháp Phòng Thủ Ngay Lập Tức

Nếu bạn đã rõ traffic bình thường thế nào, bạn sẽ có thể xác nhận rất nhanh khi nào bạn đang bị tấn công DDoS.

Bạn sẽ thấy “cơn lũ” yêu cầu từ máy chủ hoặc web traffic từ những nguồn trông rất đáng ngờ. Nhưng bạn vẫn còn chút thời gian trước khi máy chủ sập hoàn toàn.

Đặt định định mức càng sớm càng tốt và dọn dẹp log của máy chủ để giải phóng tài nguyên.

2. Gọi nhà cung cấp hosting

Nếu có ai khác làm chủ hoặc vận hành máy chủ dữ liệu, thông báo cho họ về vụ tấn công ngay lập tức.

Họ có thể tạo “lỗ đen” để hút traffic cho đến khi vụ tấn công ngừng lại, nghĩa là bất kỳ yêu cầu nào cũng bị gạt đi cho dù chính thống hay không. Đây là điều cần làm để đảm bảo máy chủ của các khách hàng khác cũng không sập.

Từ đây, họ sẽ reroute lại traffic thông qua “scrubber” để lọc ra những traffic không chính thống và để các yêu cầu vận hành như bình thường trở lại.

3. Gọi chuyên gia

Nếu bạn bị tấn công ở quy mô lớn hoặc không thể kham nổi kinh phí khi trang web hoặc ứng dụng bị sập, có lẽ bạn muốn gọi một chuyên gia chuyên xử lý tấn công DDoS.

Điều họ có thể làm là điều hướng traffic của bạn trang máy chủ khủng của riêng họ vốn có thể xử lý và loại bỏ những yêu cầu không chính thống từ đây.

4. Đợi “trời sáng”

Thuê chuyên gia và tẩy web rất đắt đỏ.

Tấn công DDoS hầu hết chỉ trong vài ngày (mặc dù trong trường hợp nghiêm trọng, có thể lâu hơn) nên bạn luôn có lựa chọn chấp nhận tổn thất và chuẩn bị kỹ hơn cho lần sau.

Làm sao để biết liệu máy tính của bạn có nằm trong danh sách Botnet (Và phải làm gì)

Làm sao để biết liệu máy tính của bạn có nằm trong danh sách Botnet (Và phải làm gì)

Nếu bạn là một người dùng cá nhân, máy tính của bạn có thể nằm trong danh sách của botnet mà bạn không hề biết.

Dấu hiệu

Có thể sẽ không nhận ra ngay, nhưng có một vài dấu hiệu cho thấy một hành động độc hại có thể đang chạy ẩn trên thiết bị của bạn, ví dụ như:

  • Hay bị sập
  • Thời gian tải chậm
  • Tin nhắn lỗi kỳ cục

Phải làm gì

Nếu bạn nghĩ máy tính có gì đó bất thường, tốt nhất bạn nên hành động ngay. Bạn sẽ cần cài đặt và chạy trình quét virus thường xuyên với các phần mềm diệt virus tin tưởng, ví dụ như những lựa chọn đề nghị cho Windows, Mac, Linux.

Quét toàn bộ có thể cho biết nếu có một phần mềm độc hại đang chạy trên thiết bị của bạn. Trong hầu hết các trường hợp, các chương trình diệt virus có thể xóa bỏ virus. Thực hiện quét virus online nhanh chóng cũng chẳng hại gì.

Và hãy nhớ, không bao giờ tải tập tin đính kèm theo mail hoặc các tập tin của trên web trừ khi bạn biết chính xác chúng đến từ đâu và đến từ ai. Những cách lừa đảo này có thể cài chương trình độc hại lên thiết bị mà bạn không hay biết.

Chuẩn bị sẵn sàng

Tổ chức, cơ quan của bạn nên chuẩn bị sẵn sàng và có thể xử lý lượng traffic của web hoặc máy chủ lớn hơn bạn thực sự cần. Cẩn tắc vô áy náy.

Giải pháp khả thi nhất để ngăn rủi ro tấn công DDoS là ngay từ đầu, cài đặt chương trình diệt virus hiệu quả để bảo vệ bạn trước phần mềm độc hại. Dùng CDN và thiết lập hạn mức dựa trên traffic bình thường cũng là một biện pháp phòng ngừa tốt.

Phòng bệnh hơn chữa bệnh, vì một khi Tấn công DDoS xảy ra và máy chủ của bạn bị tắt, khôi phục lại bình thường sẽ rất tốn kém — sập trang web có thể ảnh hưởng đến cả doanh thu lẫn tiếng tăm. Do đó, hãy đảm bảo là công ty của bạn đã chuẩn bị sẵn sàng để đối phó với bất kỳ kiểu tấn công nào vào bất kỳ lúc nào.

Giới Thiệu Tác Giả

Evan Porter
Evan Porter

Evan là tác giả với hơn chục năm kinh nghiệm xuất bản các tài liệu kỹ thuật số. Anh có trang blog của mình, mê đồ công nghệ và xử lý những lỗi kỹ thuật ngay tại nhà.