DDoS là gì? 12 hình thức tấn công từ chối dịch vụ DDoS

Tấn công khước từ dịch vụ DDoS đang trở thành nỗi ác mộng so với những tổ chức triển khai, doanh nghiệp. Các cuộc tấn công DDoS thường được thực thi bởi tin tặc có tổ chức triển khai nhằm mục đích khủng bố khoảng trống mạng, kiếm tiền hay đơn thuần chỉ để cho vui .

1. Tấn công từ chối dịch vụ DDoS là gì?

DDoS là viết tắt của cụm từ Distributed Denial of Service, có nghĩa là phủ nhận dịch vụ phân tán. Tấn công DDoS xảy ra khi số lượng nhu yếu truy vấn vào website quá lớn, dẫn đến việc sever quá tải và không còn năng lực giải quyết và xử lý .
Khi tấn công DDOS, tin tặc hoàn toàn có thể tận dụng máy tính của bạn để tấn công vào những máy tính khác. Bằng cách khai thác những lỗ hổng bảo mật thông tin, tin tặc hoàn toàn có thể chiếm quyền điều khiển và tinh chỉnh máy tính của bạn. Sau đó, chúng sử dụng máy tính của bạn để gửi một số lượng lớn tài liệu và nhu yếu đến một website hoặc một địa chỉ email nào đó .

Đôi khi, tấn công DDoS được tin tặc sử dụng làm “màn chắn” cho một cuộc tấn công mạng phía sau. Khi nhân sự an ninh mạng đang tập trung xử lý sự cố cho trang web bị tấn công DDoS, chúng sẽ lợi dụng thời cơ để tấn công backdoor và chèn vào các công cụ SQL. Đến khi doanh nghiệp nhận ra âm mưu này thì đã quá muộn.

Xem nhiều nhất: 11 bước bảo mật website toàn diện cho doanh nghiệp

2. Ba loại tấn công DDoS cơ bản

Có ba loại tấn công DDOS cơ bản dưới đây :

• Volume-based attack. Loại tấn công DDoS sử dụng lưu lượng truy cập cao để làm tràn băng thông mạng.
• Protocol attack. Loại tấn công DDoS tập trung vào việc khai thác nguồn tài nguyên của máy chủ.
• Application attack. Loại tấn công nhắm vào các ứng dụng web. Đây được coi là loại tấn công tinh vi và nguy hiểm nhất.

3. Một số hình thức tấn công DDoS phổ biến

3.1. UDP Flood

UDP ( User Datagram Protocol ) là một giao thức liên kết không đáng tin cậy. Một cuộc tấn công gây ngập lụt UDP hoàn toàn có thể được khởi đầu bằng cách gửi một số lượng lớn những gói tin UDP tới cổng ngẫu nhiên trên một máy chủ từ xa và tác dụng là những sever ở xa sẽ :

• Kiểm tra những ứng dụng với cổng.
• Thấy rằng không có ứng dụng nghe ở cổng.
• Trả lời với một ICMP Destination Unreachable gói .

Như vậy, mạng lưới hệ thống nạn nhân sẽ bị buộc nhận nhiều gói tin ICMP, dẫn đến mất năng lực giải quyết và xử lý những nhu yếu của những người mua thường thì. Những kẻ tấn công cũng hoàn toàn có thể trá hình địa chỉ IP của gói tin UDP, bảo vệ rằng ICMP gói trở lại quá mức không tiếp cận họ, và nặc danh hóa vị trí mạng của họ. Hầu hết những hệ quản lý sẽ giảm nhẹ một phần của cuộc tấn công bằng cách hạn chế vận tốc phản ứng ICMP được gửi đi .

Xem thêm: Giải pháp chống DDoS hiệu quả

3.2. SYN Flood

Kiểu tấn công TCP SYN flood là một kiểu tấn công trực tiếp vào sever bằng cách tạo ra một số lượng lớn những liên kết TCP nhưng không hoàn thành xong những liên kết này .
Một người dùng thông thường liên kết tới sever khởi đầu thực thi Request TCP SYN và lúc này sever không còn năng lực đáp lại – liên kết không được thực thi .

• Đầu tiên những người mua gửi gói tin nhu yếu SYN với số thứ tự x đến những sever .
• Các sever cung ứng bằng cách gửi một thông tin nhận ( ACK – SYN ). Với cờ SYN = y và cờ ACK = x + 1 .
• Khi người mua nhận được, người mua sẽ gửi một thông tin nhận ( ACK ) với cờ y + 1 .

SYN Flood là một loại tấn công website bằng DDOS. Ở đây, kẻ tấn công gửi những nhu yếu SYN vĩnh viễn để ăn tài nguyên sever nhiều nhất hoàn toàn có thể. Hacker không khi nào vấn đáp SYN-ACK hoặc thậm chí còn nếu nó vấn đáp nó sử dụng một địa chỉ IP giả. Vì vậy, những sever không khi nào nhận được những gói tin vấn đáp thậm chí còn chờ đón cho đến khi hết thời hạn chờ .

3.3. Ping of Death

Đây cũng là một kiểu tấn công khá dễ hiểu. Khi một máy tính nhận một gói ICMP có size tài liệu quá lớn, nó hoàn toàn có thể bị crash. Kiểu tấn công này rất thường gặp trong những hệ quản lý và điều hành Windows NT trở xuống. Đối với những hệ quản lý đời mới thì việc tấn công này trở nên khó khăn vất vả hơn. Tuy nhiên nhiều lúc những lỗi này vẫn Open trong những gói phần mềm. Điển hình như Windows IIS Web Server – ‘ Ping of Death ’ exploit ( CVE-2015-1635 ) trên những sever Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 và Windows Server 2012 R2 sử dụng IIS Web Server .
Đây là 1 kiểu tấn công khá nguy khốn vào những năm 1996 nhưng thời nay thì nó không thực sự hiệu suất cao. Hầu hết những ISP chặn được gói tin ICMP hoặc gói tin ping ngay tại tường lửa. Tuy nhiên, có rất nhiều hình thức khác của cuộc tấn công này nhằm mục đích vào đích là những phần cứng hoặc 1 ứng dụng duy nhất. Đôi lúc nó còn được gọi với những cái tên khác như : ” Teardrop ”, “ Bonk ”, và “ Boink ” .

3.4. Reflected Attack

Reflected Attack hay còn gọi là tấn công ánh xạ được thực hiên bằng cách gửi càng nhiều gói tin với địa chỉ giả mạo đến càng nhiều máy tính càng tốt. Các máy tính nhận được các gói tin sẽ trả lời, nhưng tin trả lời này tới địa chỉ nạn nhân bị giả mạo. Tất nhiên các máy tính này sẽ cố gắng trả lời ngay lập tức làm trang web bị ngập lụt đến khi tài nguyên máy chủ bị cạn kiệt

3.5. Peer-to-Peer Attacks

Peer-to-Peer là liên kết mạng ngang hàng, nó tạo thời cơ cho kẻ tấn công. Lý do là thay vì dựa vào một sever TT, một peer sẽ phát trực tiếp một truy vấn vào mạng, và bất kỳ ai có nguồn lực được mong ước sẽ cung ứng. Thay vì sử dụng một sever để đẩy lưu lượng đến đích, máy peer-to-peer được khai thác để định tuyến lưu lượng đến đích. Khi được thực thi thành công xuất sắc, hacker sử dụng file-sharing sẽ được gửi đến tiềm năng ( Target ) cho đến khi tiềm năng bị quá tải, ngập lụt và ngừng liên kết .

3.6. Nuke

Các gói tin ICMP ô nhiễm và phân mảnh được gửi qua Ping. Nó đã được sửa đổi để những gói tin này đến đích. Cuối cùng máy tính nạn nhân sẽ gián đoạn hoạt động giải trí. Cuộc tấn công này tập trung chuyên sâu hầu hết vào mạng máy tính và thuộc loại cuộc tấn công khước từ dịch vụ kiểu cũ .

3.7. Slowloris

Loại tấn công phủ nhận dịch vụ phân tán náy rất khó để phát hiện và hạn chế. Sự việc đáng quan tâm nhất là vụ tấn công trong cuộc bầu cử tổng thống Iran năm 2009. Loại tấn công này có kĩ thuật tương tự như như SYN flood ( tạo nửa liên kết để làm hết sạch tài nguyên sever ) nhưng diễn ra ở lớp HTTP ( lớp ứng dụng ). Để tấn công, tin tặc gửi nhu yếu HTTP đến sever, nhưng không gửi hàng loạt nhu yếu, mà chỉ gửi một phần ( và bổ trợ nhỏ giọt, để khỏi bị ngắt liên kết ). Với hàng trăm liên kết như vậy, tin tặc chỉ tốn rất ít tài nguyên, nhưng đủ để làm treo sever, không hề đảm nhiệm những liên kết từ người dùng hợp lệ .

3.8. Degradation of Service Attacks

Degradation of Service Attacks hay còn gọi là tấn công làm suy giảm dịch vụ. Mục đích của cuộc tấn công này là làm chậm thời hạn cung ứng của sever. Thông thường, một cuộc tấn công DDoS nhằm mục đích mục tiêu khiến trang web hoặc sever không hề triển khai tác vụ thường thì. Tuy nhiên, tiềm năng của kiểu tấn công này là để làm chậm thời hạn phản hồi xuống mức hầu hết mọi người không hề sử dụng được website .
Máy tính Zombie được sử dụng để làm tràn máy tính tiềm năng với lưu lượng truy vấn ô nhiễm. Nó sẽ gây ra những yếu tố về hiệu suất và thời hạn tải trang. Những loại tấn công này hoàn toàn có thể khó phát hiện vì tiềm năng của chúng để làm giảm hiệu suất. Chúng thường bị lẫn lộn với sự ngày càng tăng lưu lượng sử dụng website .

3.9. Unintentional DDoS

Unintentional DDoS hay còn gọi là sự ngày càng tăng không chủ ý. Nó xảy ra khi có sự tăng đột biến trong lưu lượng web, khiến sever không hề giải quyết và xử lý toàn bộ những nhu yếu đến. Càng nhiều lưu lượng truy vấn xảy ra, càng nhiều tài nguyên được sử dụng. Điều này khiến thời hạn tải trang hết hạn. Cuối cùng, server sẽ không phản hồi và ngừng liên kết .

Xem thêm: Giải pháp bảo mật thông tin và dữ liệu hiệu quả

3.10. Application Level Attacks

Application level attacks nhắm vào tiềm năng là những ứng dụng có nhiều lỗ hổng. Thay vì cố gắng nỗ lực lụt hàng loạt sever, tin tặc sẽ tập trung chuyên sâu tấn công vào một hoặc một vài ứng dụng. Các ứng dụng email dựa trên web, WordPress, Joomla và phần mềm forum là những ví dụ nổi bật về những tiềm năng đơn cử của ứng dụng .

3.11. Multi-Vector Attacks

Multi-Vector Attacks là hình thức phức tạp nhất trong các cuộc tấn công DDoS. Thay vì sử dụng một phương pháp đơn lẻ, nó là một sự kết hợp của nhiều công cụ và chiến lược khác nhau để lụt mục tiêu và làm ngừng kết nối. Thông thường, các Multi-Vector Attacks tấn công các ứng dụng cụ thể trên server mục tiêu cũng như làm tràn mục tiêu với một lượng lớn lưu lượng độc hại. Những kiểu tấn công DDoS kiểu này rất khó để ngăn chặn và hạn chế. Bởi nó là tổng hợp của các hình thức khác nhau và nhắm mục tiêu với nguồn lực khác nhau cùng một lúc.

3.12. Zero Day DDoS

Cuộc tấn công dựa vào Zero Day chỉ đơn thuần là một chiêu thức tấn công mà chưa có bản vá hoặc chưa được ghi nhận trước đây. Đây là thuật ngữ chung được sử dụng để miêu tả những lỗ hổng mới và cách khai thác mới .

4. Dấu hiệu nhận biết một cuộc tấn công DDoS

Doanh nghiệp hoàn toàn có thể nhận ra và phát hiện một cuộc tấn công DDoS qua những tín hiệu sau :

• Khi mở file hoặc truy cập trang web, mạng chậm một cách bất thường.
• Không thể truy cập vào một trang bất kỳ của trang web.
• Không thể truy cập vào nhiều website khác.
• Xuất hiện quá nhiều thư rác trong tài khoản.

5. Hậu quả của tấn công DDoS

Tấn công DDoS hoàn toàn có thể gây ra những hậu quả vô cùng khó lường .

• Làm gián đoạn hoạt động của trang web, ảnh hưởng tiêu cực đến trải nghiệm của khách hàng.
• Làm giảm doanh thu đồng thời khiến doanh nghiệp mất thêm chi phí khắc phục.
• Tác động xấu đến hình ảnh và uy tín của doanh nghiệp.

6. Cách xử lý khi bị tấn công DDoS

Nếu doanh nghiệp của bạn không có nhân sự chuyên về bảo mật an ninh mạng, hãy liên hệ với những chuyên viên hoặc nhà sản xuất dịch vụ để được tương hỗ .

6.1. Liên hệ nhà cung cấp Internet (ISP) 

Trong trường hợp website không hề truy vấn được, hãy liên hệ ngay nhà sản xuất dịch vụ Internet ISP. Họ sẽ nghiên cứu và phân tích yếu tố, tìm ra nguyên do và đưa ra cách giải quyết và xử lý tương thích .

6.2. Liên hệ đơn vị cung cấp hosting

Đơn vị phân phối hosting là người quản lý và vận hành sever. Khi biết sever bị tấn công, họ sẽ tạo “ black hole ” để hút những traffic cho đến khi nó tự dừng lại. Sau đó, họ sẽ reroute lại hàng loạt lưu lượng truy vấn và được cho phép những nhu yếu hợp lệ truy vấn thông thường .

6.3. Liên hệ chuyên gia bảo mật 

Nếu nhận thấy cuộc tấn công ở mức độ rất nghiêm trọng, doanh nghiệp nên tìm sự tương hỗ từ những chuyên viên bảo mật thông tin. Thông thường, họ sẽ có những sever hoàn toàn có thể điều hướng lưu lượng truy vấn và vô hiệu những lưu lượng không hợp lệ. Họ cũng có trình độ cao để điều tra và nghiên cứu sâu yếu tố và gợi ý những giải pháp thiết thực nhất .

7. Cách phòng tránh các cuộc tấn công DDoS

Rất khó để ngăn chặn hoàn toàn các cuộc tấn công DDOS. Tuy nhiên, doanh nghiệp vẫn có thể giảm thiểu tối đa rủi ro bị tấn công DDoS bằng cách thực hiện những biện pháp dưới đây.

• Sử dụng phần mềm antivirus.
• Cài đặt tường lửa, trong đó giới hạn lưu lượng đến và đi từ các máy tính đang sử dụng.
• Giới hạn lưu lượng truy cập vào trang web. Việc này sẽ làm chậm quá trình tấn công của tin tặc.
• Thường xuyên theo dõi lưu lượng truy cập của trang web. Nếu thấy lượng truy cập tăng đột biến, cần phải xử lý ngay. Đó chính là dấu hiệu của một cuộc tấn công DDoS.
• Sử dụng các bộ lọc email để quản lý các lưu lượng không mong muốn.

Có thể thấy, tấn công DDoS tác động ảnh hưởng xấu đi đến hoạt động giải trí chung của hàng loạt doanh nghiệp. Chính thế cho nên, doanh nghiệp cần sẵn sàng chuẩn bị sẵn những giải pháp phòng tránh để hạn chế tối đa rủi ro đáng tiếc tấn công DDoS xảy ra .
Nếu doanh nghiệp cần tư vấn về cách phòng chống tấn công DDoS, hãy ĐK tại form bên dưới .

Source: kubet
Category: Tải Phầm Mềm