TẤN CÔNG DDOS LÀ GÌ & BẠN CÓ THỂ BẢO VỆ TRANG WEB CỦA MÌNH NHƯ THẾ NÀO?

Bạn đã bao giờ lo lắng về việc trang web của mình bị sập chưa? Cho dù bạn điều hành một cửa hàng trực tuyến hay quản lý một blog, một trang web bị sập có thể đồng nghĩa với việc mất lưu lượng truy cập và hoạt động kinh doanh. Mặc dù việc trang web ngừng hoạt động trong thời gian ngắn và không thường xuyên là điều bình thường. Tuy nhiên, một số trang web có thể ngừng hoạt động vì lý do độc hại hơn nhiều – một cuộc tấn công DDoS.

Nếu bạn đã từng là mục tiêu của một cuộc tấn công DDoS hoặc tự mình chứng kiến ​​một cuộc tấn công bạn sẽ biết chính xác nó có thể gây suy nhược như thế nào. Tuy nhiên, chính xác thì cuộc tấn công DDoS là gì và làm thế nào bạn có thể bảo vệ trang web của mình khỏi nó?

Hãy cùng tìm hiểu cách thức hoạt động của các cuộc tấn công DDoS nhằm đánh sập các trang web và các bước bạn có thể thực hiện để giảm thiểu thiệt hại.

1. Tấn công DDoS là gì?

Một cuộc tấn công DDoS, viết tắt của Distributed Denial of Service. Đây là một cuộc tấn công áp đảo máy chủ, mạng hoặc dịch vụ bằng cách áp đảo nó bằng lưu lượng truy cập độc hại. Một kiểu tấn công DoS (từ chối dịch vụ), nó làm ngập dịch vụ khiến dịch vụ không khả dụng với lưu lượng người dùng hợp pháp. Nhiều cuộc tấn công DDoS sử dụng nhiều thiết bị, bao gồm cả máy tính và thiết bị IoT (Internet of Things), làm nguồn lưu lượng tấn công.

Làm cách nào để kẻ tấn công có được quyền truy cập vào nhiều thiết bị đó?. Thông thường, các máy tính và thiết bị được sử dụng trong các cuộc tấn công DDoS bị nhiễm phần mềm độc hại và bị khai thác. Điều này có thể diễn ra âm thầm trong nền của thiết bị hoặc phần mềm độc hại có thể chiếm toàn quyền kiểm soát. Nhóm thiết bị này được gọi là botnet. Mạng này cũng chịu trách nhiệm về phần mềm tống tiền, thư rác và gian lận nhấp chuột.

Một cuộc tấn công DDoS tương tự như việc đường cao tốc bị kẹt xe, cản trở bạn hoặc bất kỳ ai khác đi vào đường cao tốc và đến nơi bạn đang cố gắng đến. Trong trường hợp này, đích đến là trang web của bạn và lưu lượng truy cập chặn mọi người di chuyển là cuộc tấn công DDoS.

Vì vậy, rõ ràng một cuộc tấn công DDoS có thể làm suy yếu doanh nghiệp. Việc ngăn chặn khách hàng hợp pháp truy cập trang web có thể gây ra tổn thất lớn. Hãy tìm hiểu sâu hơn về cách hoạt động của các cuộc tấn công DDoS và các loại khác nhau mà bạn nên biết.

>>> Xem thêm: Chống ddos vps, hướng dẫn cách chống ddos cho vps

2. Các loại tấn công DDoS phổ biến

Trước khi tìm hiểu về các kiểu tấn công DDoS phổ biến nhất, trước tiên chúng ta cần hiểu cơ bản về những gì chúng đang tấn công – mạng. Do kết nối mạng là một khái niệm không hữu hình nên nó thường được mô tả bằng mô hình Kết nối hệ thống mở (OSI). Mô hình này khái niệm hóa kết nối mạng bằng cách chia nó thành 7 lớp.

Các lớp được nhắm mục tiêu phổ biến nhất bởi các cuộc tấn công DDoS là các lớp Mạng, Vận chuyển, Trình bày và Ứng dụng. Một cuộc tấn công DDoS nhắm vào các lớp cụ thể để làm tê liệt kết nối tại các điểm khác nhau. Ngăn người dùng hợp pháp truy cập trang web của bạn.

2.1. Tấn công lớp ứng dụng

Khi tấn công DDoS lớp 7, các cuộc tấn công lớp ứng dụng nhắm vào giao tiếp giữa người dùng và chương trình hoặc dịch vụ. Một cuộc tấn công DDoS lớp ứng dụng sẽ tập trung vào phần kết nối mạng nơi máy chủ tạo các trang web và phân phối chúng theo yêu cầu HTTP. Các cuộc tấn công lớp ứng dụng áp đảo máy chủ bằng cách gửi một lượng lớn yêu cầu HTTP độc hại, trông có vẻ hợp pháp và khó phân biệt với lưu lượng người dùng thực.

Hai loại chính của các cuộc tấn công DDoS lớp ứng dụng là các cuộc tấn công tràn ngập HTTP. Cả hai cuộc tấn công đều áp đảo mục tiêu bằng các yêu cầu HTTP, nhưng chúng thực hiện điều đó theo những cách khác nhau.

Flood HTTP liên quan đến việc nhiều thiết bị gửi yêu cầu đến một máy chủ để lấy tệp, hình ảnh, v.v., làm quá tải máy chủ đích và dẫn đến từ chối dịch vụ.

Flood HTTP POST thay vì gửi yêu cầu cho nội dung tĩnh, hãy gửi yêu cầu cho các tài nguyên được tạo động như gửi biểu mẫu.

Mặc dù các cuộc tấn công có thể được coi là các cuộc tấn công dựa trên khối lượng mà chúng ta sẽ đề cập sau, nhưng các cuộc tấn công lớp ứng dụng thường tuân theo phương pháp “thấp và chậm”. Điều này có nghĩa là chúng nhỏ hơn, dễ dàng lọt vào tầm ngắm cho đến khi chúng khuếch đại và gây gián đoạn dịch vụ.

2.2. Tấn công giao thức

Một cuộc tấn công giao thức lợi dụng các điểm yếu trên lớp 3 và 4 của mô hình OSI. Kiểu tấn công DDoS này sẽ gửi nhiều “gói” hoặc mẩu dữ liệu hơn mức máy chủ của bạn có thể xử lý. Ngoài ra, một cuộc tấn công giao thức có thể gửi một lượng băng thông quá lớn đến mạng của bạn. Dù bằng cách nào, cuộc tấn công này sẽ tiêu tốn tài nguyên máy chủ của bạn và dẫn đến từ chối dịch vụ.

Có hai loại tấn công giao thức chính: Tấn công SYN lũ lụt và tấn công Ping of Death (POD).

Flood SYN tận dụng lợi thế của TCP, cho phép các chương trình và thiết bị gửi tin nhắn cho nhau. SYN là một loại gói TCP, được gửi đến thiết bị để yêu cầu kết nối. Thiết bị nhận được yêu cầu đó sẽ cố gắng gửi lại phản hồi SYN-ACK. Cuộc tấn công này khai thác một điểm yếu trong quá trình này, gửi nhiều yêu cầu SYN mà không phản hồi lại phản hồi SYN-ACK. Khi thiết bị được nhắm mục tiêu chờ xác nhận phản hồi đó, các kết nối mới không thể được thực hiện và các yêu cầu gửi đến sẽ bị từ chối dịch vụ.

Ping of Death, hoặc POD, các cuộc tấn công có một cách tiếp cận khác. Sử dụng lệnh ping, cuộc tấn công DDoS này sẽ gửi nhiều gói quá khổ đến mục tiêu. Một cuộc tấn công Ping of Death có thể gửi các gói lớn hơn kích thước gói tối đa vì nó gửi chúng dưới dạng các đoạn. Khi máy chủ nhận tập hợp tất cả các mảnh, dữ liệu sẽ tràn và gây ra sự từ chối dịch vụ.

2.3. Tấn công dựa trên khối lượng

Một cuộc tấn công DDoS dựa trên khối lượng hoạt động bằng cách chiếm tất cả băng thông có sẵn giữa mục tiêu và tất cả lưu lượng truy cập Internet. Nó có thể thực hiện điều này bằng cách gửi một lượng lớn dữ liệu đến thiết bị mục tiêu thông qua khuếch đại. Các cuộc tấn công dựa trên số lượng lớn cũng thường sử dụng botnet để chiếm băng thông và từ chối dịch vụ tới mục tiêu.

Ngoài lũ lụt HTTP, còn có một số cuộc tấn công lũ lụt dựa trên khối lượng khác mà các trang web có thể trở thành nạn nhân.

Flood UDP gửi một lượng lớn gói dữ liệu Giao thức gói dữ liệu người dùng (UDP). Lợi dụng điểm yếu cố hữu của UDP – nó yêu cầu kiểm tra ít hơn TCP, cho phép lưu lượng truy cập dễ dàng hơn. Flood UDP chiếm tài nguyên của máy chủ bằng cách gửi các gói này đến các cổng ngẫu nhiên. Điều này khiến máy chủ phải liên tục kiểm tra và trả lời bằng gói ICMP “Không thể truy cập đích”. Do số lượng tài nguyên bị giữ làm con tin bởi cuộc tấn công này, dịch vụ có thể bị từ chối đối với lưu lượng truy cập hợp pháp.

Flood ICMP hoạt động tương tự, gửi các gói yêu cầu Giao thức thông báo kiểm soát nội bộ (ICMP) càng nhanh càng tốt tới mục tiêu mà không cho mục tiêu cơ hội gửi trả lời lại. Bởi vì máy chủ cố gắng đáp ứng tất cả các gói đến, cả băng thông đi và đến đều được sử dụng. Điều này có thể dẫn đến từ chối dịch vụ đối với lưu lượng người dùng.

3. Tại sao các trang web bị tấn công DDoS?

Mục tiêu chính của một cuộc tấn công DDoS là ngăn chặn lưu lượng người dùng hợp pháp truy cập trang web của bạn, cho dù đó là làm cho trang web chậm hoặc hoàn toàn không thể truy cập được. Tuy nhiên, lý do để ai đó muốn từ chối truy cập vào trang web của bạn có thể khác nhau. Đây chỉ là một vài lý do tại sao một trang web có thể bị tấn công DDoS:

3.1. Cạnh tranh

Một doanh nghiệp cạnh tranh có thể sử dụng một cuộc tấn công DDoS để thử hạ gục doanh nghiệp mà họ đang cạnh tranh. Điều này có thể trùng hợp một cách chiến lược với các sự kiện lớn, chẳng hạn như ra mắt sản phẩm mới hoặc kỳ nghỉ giảm giá như Thứ Hai Điện Tử.

3.2. Hacktivism

Các nhóm “hacktivists”, là những nhà hoạt động chính trị sử dụng hack như một công cụ, có thể sử dụng các cuộc tấn công DDoS để nhắm mục tiêu vào các trang web mà họ phản đối về mặt tư tưởng.

3.3. Tống tiền

Tội phạm trực tuyến có thể sử dụng các cuộc tấn công DDoS (hoặc thậm chí chỉ đơn giản là đe dọa tấn công) để tống tiền từ trang web mục tiêu thông qua tiền chuộc hoặc tống tiền.

3.4. Phá hoại

Một cuộc tấn công DDoS đôi khi có thể xảy ra mà không có lý do thực sự. Nó có thể đơn giản là do một kẻ phá hoại mạng quyết định tấn công một trang web cho vui.

Dù lý do tấn công là gì thì có một điều chắc chắn rằng một cuộc tấn công DDoS không thể đánh cắp thông tin nhạy cảm từ trang web của bạn. Thậm chí, việc trở thành nạn nhân của một cuộc tấn công DDoS có thể tàn phá doanh nghiệp của bạn.

4. Phải làm gì nếu trang web của bạn bị tấn công

Nếu không có sự chuẩn bị và bảo vệ trước, có thể khó (và đôi khi không thể) ngăn chặn hoàn toàn một cuộc tấn công DDoS khi nó bắt đầu. Tuy nhiên, nếu trang web của bạn hiện đang bị tấn công có một vài điều bạn có thể làm để thử và giảm thiểu nó.

4.1. Giao tiếp với đúng người trong tổ chức của bạn.

Bước đầu tiên bạn cần thực hiện sau khi một cuộc tấn công DDoS bắt đầu là thông báo cho những người trong tổ chức của bạn, những người có thể hành động. Điều này có thể bao gồm quản trị viên mạng, các bên liên quan. Người quản lý cộng đồng và bất kỳ ai khác cần biết điều gì đang xảy ra trước tiên. Họ nên chuẩn bị sẵn sàng để bắt đầu giảm thiểu những gì họ có thể làm từ phía trang web của bạn.

Bạn cũng có thể muốn giao tiếp với khách hàng để cho họ biết rằng có một tình huống. Cho dù qua email hoặc các kênh truyền thông xã hội.

4.2. Liên hệ với ISP, nhà cung cấp dịch vụ lưu trữ web hoặc dịch vụ bảo mật của bạn.

Bước tiếp theo ngay lập tức của bạn là thông báo cho tất cả các dịch vụ liên quan đến việc định tuyến lưu lượng truy cập đến trang web của bạn rằng bạn đang gặp phải một cuộc tấn công DDoS. Từ đó, mỗi dịch vụ có thể cố gắng giảm thiểu lưu lượng độc hại đến.

ISP của bạn có thể sử dụng định tuyến lỗ đen, giúp hướng lưu lượng truy cập ra khỏi trang web của bạn và vào một “tuyến đường vô giá trị”. Các nhà cung cấp dịch vụ lưu trữ web có thể hỗ trợ giảm thiểu tác động của cuộc tấn công bằng cách mở rộng quy mô dịch vụ của bạn. Bất kỳ dịch vụ bảo mật nào bạn có nên có các công cụ bảo mật dành riêng cho việc ngăn chặn các cuộc tấn công DDoS.

4.3. Bắt đầu chặn lưu lượng truy cập và giới hạn yêu cầu

Tiếp theo, nhóm mạng của bạn hoặc ISP nên triển khai Danh sách kiểm soát truy cập dựa trên IP hoặc ACL để chặn lưu lượng độc hại đến từ nguồn tấn công. Trong trường hợp ứng dụng hoặc dịch vụ dựa trên web của bạn đang bị tấn công, họ cũng có thể triển khai giới hạn tốc độ, áp đặt giới hạn đối với các kết nối ứng dụng đồng thời. Tuy nhiên, vì giới hạn tốc độ không thể phân biệt giữa lưu lượng truy cập hợp pháp và lưu lượng truy cập độc hại, nó có thể từ chối dịch vụ đối với người dùng thực.

4.4. Giám sát cuộc tấn công và phòng thủ của bạn

Trong suốt cuộc tấn công, điều quan trọng là bạn và nhóm của bạn phải theo dõi tiến trình của nó. Bạn sẽ có thể thu thập loại tấn công đó là gì, mức độ lớn như thế nào, nó đến từ một nguồn hay nhiều nguồn, vị trí và danh tính của các nguồn đó cũng như kiểu tấn công được sử dụng.

Tất cả thông tin này có thể được sử dụng sau cuộc tấn công để xác định cách hệ thống phòng thủ của bạn hoạt động để bảo vệ trang web của bạn và bất kỳ rủi ro nào có thể được khắc phục cho các cuộc tấn công trong tương lai. Bạn cũng sẽ muốn lưu ý các chỉ số, chẳng hạn như “thời gian để giảm thiểu” và “tính nhất quán của việc giảm thiểu” để xem ISP của bạn đã ngăn chặn cuộc tấn công nhanh chóng và hiệu quả như thế nào.

5. Cách chuẩn bị cho các cuộc tấn công DDoS

Cách tốt nhất để ngăn chặn một cuộc tấn công DDoS là ngăn chặn nó xảy ra ngay từ đầu. Để giữ cho trang web của bạn an toàn và hoạt động, hãy làm theo các bước sau để chuẩn bị cho các cuộc tấn công DDoS.

5.1. Tìm hiểu về các biện pháp bảo vệ của nhà cung cấp và máy chủ của bạn trước các cuộc tấn công DDoS.

ISP (nhà cung cấp dịch vụ mạng) và máy chủ lưu trữ web của bạn có thể đã có sẵn các biện pháp bảo vệ để chống lại các cuộc tấn công DDoS. Ví dụ: Máy chủ tích hợp tính năng DDoS bảo vệ toàn diện. Điều này bao gồm bảo vệ nội dung web, Tường lửa ứng dụng web dựa trên đám mây, dịch vụ proxy ngược, bảo vệ DDoS dựa trên BGP, v.v.

Nếu nhà cung cấp của bạn không đi kèm với các dịch vụ bảo vệ DDoS như thế này, bạn có thể muốn xem xét việc chuyển đổi nhà cung cấp hoặc tự mình sử dụng bảo mật.

5.2. Lập kế hoạch ứng phó với các cuộc tấn công DDoS

Trong trường hợp trang web của bạn từng là mục tiêu của một cuộc tấn công DDoS, bạn cần có sẵn một kế hoạch để giảm thiểu nó tốt nhất có thể. Trước tiên, hãy rà soát hệ thống của bạn để tìm bất kỳ điểm yếu hoặc lỗ hổng nào – vạch ra cách bạn sẽ loại bỏ những vấn đề đó. Sau đó, xác định một phản ứng rõ ràng cho công ty của bạn. Quá trình xác định, giao tiếp và giảm thiểu của bạn là gì?

Cuối cùng, bạn sẽ muốn tập hợp một nhóm phản hồi chuyên dụng có thể hành động. Luôn cập nhật cho quản trị viên mạng, bộ phận CNTT của bạn và bất kỳ bộ phận liên quan nào khác về trách nhiệm của họ trong trường hợp bạn bị tấn công.

5.3. Sử dụng Tường lửa Ứng dụng Trang web (WAF).

Tường lửa ứng dụng trang web, thường được rút ngắn thành WAF. Đây là một loại tường lửa giám sát và lọc lưu lượng truy cập vào trang web của bạn. WAF có thể xác định và chặn các yêu cầu từ những kẻ tấn công trong khi cho phép người dùng có lưu lượng truy cập hợp pháp đi qua và truy cập trang web của bạn. Nó xác định các yêu cầu độc hại bằng cách tập trung vào dữ liệu có trong quá trình chuyển đã cố gắng. Nếu nó phát hiện ra rằng lưu lượng truy cập là độc hại, nó sẽ chuyển hướng nó đến các mạng phân phối nội dung khác để phân phối tải đó ra khỏi máy chủ của trang web của bạn.

Nhiều mạng phân phối nội dung hoặc CDN, đi kèm với WAF được tích hợp sẵn. Hãy nhớ hỏi về điều này khi bạn liên hệ với ISP và máy chủ lưu trữ của mình.

5.4. Luôn cập nhật tất cả các hệ thống và phần mềm

Một hệ thống lỗi thời có thể đặc biệt dễ bị tấn công DDoS. Nếu không có phiên bản mới nhất của bất kỳ phần mềm nào bạn sử dụng, trang web của bạn có thể không được bảo vệ hoàn toàn. Giống như hầu hết các cuộc tấn công mạng, các cuộc tấn công DDoS không ngừng phát triển khi những kẻ xấu học cách vượt qua các hệ thống phòng thủ. Vì vậy, để giữ cho trang web của bạn được bảo vệ tốt, hãy đảm bảo không bỏ lỡ bất kỳ bản cập nhật phần mềm nào.