TẤN CÔNG DDOS LÀ GÌ, BẠN CÓ THỂ BẢO VỆ TRANG WEB CỦA MÌNH NHƯ THẾ NÀO?

Bạn đã bao giờ lo lắng về việc trang web của mình bị sập chưa? Cho dù bạn điều hành một cửa hàng trực tuyến hay quản lý một blog, một trang web bị sập có thể đồng nghĩa với việc mất lưu lượng truy cập và hoạt động kinh doanh. Mặc dù việc trang web ngừng hoạt động trong thời gian ngắn và không thường xuyên là điều bình thường. Tuy nhiên, một số trang web có thể ngừng hoạt động vì lý do độc hại hơn nhiều – một cuộc tấn công DDoS.

Nếu bạn đã từng là mục tiêu của một cuộc tấn công DDoS hoặc tự mình chứng kiến ​​một cuộc tấn công bạn sẽ biết chính xác nó có thể gây suy nhược như thế nào. Tuy nhiên, chính xác thì cuộc tấn công DDoS là gì và làm thế nào bạn có thể bảo vệ trang web của mình khỏi nó?

Hãy cùng tìm hiểu cách thức hoạt động của các cuộc tấn công DDoS nhằm đánh sập các trang web và các bước bạn có thể thực hiện để giảm thiểu thiệt hại.

1. Tấn công DDoS là gì?

Một cuộc tấn công DDoS, viết tắt của Distributed Denial of Service. Đây là một cuộc tấn công áp đảo máy chủ, mạng hoặc dịch vụ bằng cách áp đảo nó bằng lưu lượng truy cập độc hại. Một kiểu tấn công DoS (từ chối dịch vụ), nó làm ngập dịch vụ khiến dịch vụ không khả dụng với lưu lượng người dùng hợp pháp. Nhiều cuộc tấn công DDoS sử dụng nhiều thiết bị, bao gồm cả máy tính và thiết bị IoT (Internet of Things), làm nguồn lưu lượng tấn công.

Làm cách nào để kẻ tấn công có được quyền truy cập vào nhiều thiết bị đó?. Thông thường, các máy tính và thiết bị được sử dụng trong các cuộc tấn công DDoS bị nhiễm phần mềm độc hại và bị khai thác. Điều này có thể diễn ra âm thầm trong nền của thiết bị hoặc phần mềm độc hại có thể chiếm toàn quyền kiểm soát. Nhóm thiết bị này được gọi là botnet. Mạng này cũng chịu trách nhiệm về phần mềm tống tiền, thư rác và gian lận nhấp chuột.

Một cuộc tấn công DDoS tương tự như việc đường cao tốc bị kẹt xe, cản trở bạn hoặc bất kỳ ai khác đi vào đường cao tốc và đến nơi bạn đang cố gắng đến. Trong trường hợp này, đích đến là trang web của bạn và lưu lượng truy cập chặn mọi người di chuyển là cuộc tấn công DDoS.

Vì vậy, rõ ràng một cuộc tấn công DDoS có thể làm suy yếu doanh nghiệp. Việc ngăn chặn khách hàng hợp pháp truy cập trang web có thể gây ra tổn thất lớn. Hãy tìm hiểu sâu hơn về cách hoạt động của các cuộc tấn công DDoS và các loại khác nhau mà bạn nên biết.

>>> Xem thêm: Chống ddos vps, hướng dẫn cách chống ddos cho vps

2. Các loại tấn công DDoS phổ biến

Trước khi tìm hiểu về các kiểu tấn công DDoS phổ biến nhất, trước tiên chúng ta cần hiểu cơ bản về những gì chúng đang tấn công – mạng. Do kết nối mạng là một khái niệm không hữu hình nên nó thường được mô tả bằng mô hình Kết nối hệ thống mở (OSI). Mô hình này khái niệm hóa kết nối mạng bằng cách chia nó thành 7 lớp.

Các lớp được nhắm mục tiêu phổ biến nhất bởi các cuộc tấn công DDoS là các lớp Mạng, Vận chuyển, Trình bày và Ứng dụng. Một cuộc tấn công DDoS nhắm vào các lớp cụ thể để làm tê liệt kết nối tại các điểm khác nhau. Ngăn người dùng hợp pháp truy cập trang web của bạn.

2.1. Tấn công lớp ứng dụng

Khi tấn công DDoS lớp 7, các cuộc tấn công lớp ứng dụng nhắm vào giao tiếp giữa người dùng và chương trình hoặc dịch vụ. Một cuộc tấn công DDoS lớp ứng dụng sẽ tập trung vào phần kết nối mạng nơi máy chủ tạo các trang web và phân phối chúng theo yêu cầu HTTP. Các cuộc tấn công lớp ứng dụng áp đảo máy chủ bằng cách gửi một lượng lớn yêu cầu HTTP độc hại, trông có vẻ hợp pháp và khó phân biệt với lưu lượng người dùng thực.

Hai loại chính của các cuộc tấn công DDoS lớp ứng dụng là các cuộc tấn công tràn ngập HTTP. Cả hai cuộc tấn công đều áp đảo mục tiêu bằng các yêu cầu HTTP, nhưng chúng thực hiện điều đó theo những cách khác nhau.

Flood HTTP liên quan đến việc nhiều thiết bị gửi yêu cầu đến một máy chủ để lấy tệp, hình ảnh, v.v., làm quá tải máy chủ đích và dẫn đến từ chối dịch vụ.

Flood HTTP POST thay vì gửi yêu cầu cho nội dung tĩnh, hãy gửi yêu cầu cho các tài nguyên được tạo động như gửi biểu mẫu.

Mặc dù các cuộc tấn công có thể được coi là các cuộc tấn công dựa trên khối lượng mà chúng ta sẽ đề cập sau, nhưng các cuộc tấn công lớp ứng dụng thường tuân theo phương pháp “thấp và chậm”. Điều này có nghĩa là chúng nhỏ hơn, dễ dàng lọt vào tầm ngắm cho đến khi chúng khuếch đại và gây gián đoạn dịch vụ.

2.2. Tấn công giao thức

Một cuộc tấn công giao thức lợi dụng các điểm yếu trên lớp 3 và 4 của mô hình OSI. Kiểu tấn công DDoS này sẽ gửi nhiều “gói” hoặc mẩu dữ liệu hơn mức máy chủ của bạn có thể xử lý. Ngoài ra, một cuộc tấn công giao thức có thể gửi một lượng băng thông quá lớn đến mạng của bạn. Dù bằng cách nào, cuộc tấn công này sẽ tiêu tốn tài nguyên máy chủ của bạn và dẫn đến từ chối dịch vụ.

Có hai loại tấn công giao thức chính: Tấn công SYN lũ lụt và tấn công Ping of Death (POD).

Flood SYN tận dụng lợi thế của TCP, cho phép các chương trình và thiết bị gửi tin nhắn cho nhau. SYN là một loại gói TCP, được gửi đến thiết bị để yêu cầu kết nối. Thiết bị nhận được yêu cầu đó sẽ cố gắng gửi lại phản hồi SYN-ACK. Cuộc tấn công này khai thác một điểm yếu trong quá trình này, gửi nhiều yêu cầu SYN mà không phản hồi lại phản hồi SYN-ACK. Khi thiết bị được nhắm mục tiêu chờ xác nhận phản hồi đó, các kết nối mới không thể được thực hiện và các yêu cầu gửi đến sẽ bị từ chối dịch vụ.

Ping of Death, hoặc POD, các cuộc tấn công có một cách tiếp cận khác. Sử dụng lệnh ping, cuộc tấn công DDoS này sẽ gửi nhiều gói quá khổ đến mục tiêu. Một cuộc tấn công Ping of Death có thể gửi các gói lớn hơn kích thước gói tối đa vì nó gửi chúng dưới dạng các đoạn. Khi máy chủ nhận tập hợp tất cả các mảnh, dữ liệu sẽ tràn và gây ra sự từ chối dịch vụ.