Bị DDoS là gì? Ý nghĩa, các loại DDoS và cách bảo vệ khi bị tấn công

Các cuộc tấn công từ chối dịch vụ DDoS (Distributed denial-of-service) phân tán làm cho máy chủ, dịch vụ hoặc mạng mục tiêu từ chối quyền truy cập của bất kỳ ai đang cố gắng sử dụng chúng. Nó giống như một vụ tắc đường, nơi con đường chính bị tắc nghẽn với những chiếc xe do hacker gửi đến, trong khi phương tiện giao thông hợp pháp đến từ đường bên không còn có thể vào được.

Tấn công DDoS hoạt động như thế nào?

Các cuộc tấn công DDoS khá mạnh mẽ, vì chúng sử dụng nhiều máy tính hoặc thiết bị khác. Một tin tặc tạo ra một mạng bằng cách lây nhiễm các thiết bị, biến chúng thành bot và hướng chúng từ xa đến một địa chỉ IP cụ thể cùng một lúc. Điều này có thể gây ra sự cố dịch vụ.

Các cuộc tấn công DDoS có thể kéo dài hơn 24 giờ và rất khó theo dõi. Máy tính của bạn có thể là một phần của binh đoàn botnet, bí mật phản hồi các lệnh độc hại và bạn thậm chí sẽ không biết – thật khó để nhận thấy, vì các dấu hiệu duy nhất có thể là hiệu suất giảm nhẹ hoặc thiết bị quá nóng. Lưu lượng truy cập bắn phá mục tiêu đến từ các thiết bị hợp pháp (mặc dù bị nhiễm). Điều này làm cho việc phân biệt giữa lưu lượng truy cập chính hãng và độc hại thậm chí còn khó hơn.

Các cuộc tấn công DDoS có thể nhắm mục tiêu vào một thành phần cụ thể của kết nối mạng hoặc hỗn hợp của chúng. Mọi kết nối được thực hiện qua internet đều đi qua các lớp mô hình OSI. Hầu hết các cuộc tấn công DDoS xảy ra trong ba lớp sau:

• Lớp mạng (Lớp 3). Các cuộc tấn công ở lớp này bao gồm Tấn công Xì Trum, Lũ lụt ICMP và Phân mảnh IP / ICMP.
• Lớp vận chuyển (Lớp 4). Các cuộc tấn công này bao gồm SYN Floods, UDP Floods và TCP Connection Exhaffs.
• Lớp ứng dụng (Lớp 7). Chủ yếu là các cuộc tấn công được mã hóa HTTP.

DoS so với DDoS. Sự khác biệt là gì?

Tấn công từ chối dịch vụ (DoS) làm ngập một máy chủ với lưu lượng truy cập và làm cho một dịch vụ hoặc trang web không khả dụng. DoS là một cuộc tấn công trên hệ thống sử dụng một hệ thống duy nhất để tấn công một dịch vụ cụ thể. Ngược lại, DDoS sử dụng nhiều máy tính và hệ thống để xâm phạm mục tiêu của nó.

Trong khi cả hai cuộc tấn công đều phục vụ cùng một mục đích, DDoS mạnh hơn và nguy hiểm hơn.

Cách xác định một cuộc tấn công DDoS

Bạn xác định được một cuộc tấn công DDoS càng sớm thì cơ hội ngăn chặn nó càng cao. Dưới đây là những manh mối chính mà một cuộc tấn công DDoS đang xảy ra:

• Dịch vụ chậm hoặc không khả dụng. Đây thường là dấu hiệu đầu tiên của một cuộc tấn công DDoS. Tuy nhiên, nhiều vấn đề khác cũng có thể gây ra hiệu suất chậm, vì vậy chúng tôi không thể chỉ dựa vào yếu tố này khi xác định một cuộc tấn công DDoS.
• Một lượng lớn lưu lượng truy cập đến từ một địa chỉ IP. Bạn có thể kiểm tra lưu lượng bằng cách sử dụng các công cụ phân tích lưu lượng.
• Lưu lượng truy cập tăng đột biến bất thường vào các giờ ngẫu nhiên trong ngày.
• Yêu cầu tăng đột ngột và không giải thích được tại một trang hoặc điểm cuối nhất định.

Các loại tấn công DDoS

Các cuộc tấn công kết nối TCP

Các cuộc tấn công kết nối TCP, còn được gọi là cuộc tấn công tràn ngập SYN, xảy ra khi quá trình bắt tay TCP ba chiều giữa máy chủ và máy chủ không bao giờ được hoàn thành. Trong cuộc tấn công này, bắt tay được bắt đầu, nhưng tin tặc để máy chủ treo và các cổng mở. Điều này có nghĩa là máy chủ không thể nhận bất kỳ yêu cầu nào khác. Tin tặc tiếp tục làm ngập nó với nhiều cái bắt tay hơn, cuối cùng khiến nó bị sập.

Các cuộc tấn công theo thể tích

Các cuộc tấn công theo khối lượng là loại tấn công DDoS phổ biến nhất. Nó chỉ đơn giản là tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và internet. Điều này chủ yếu được thực hiện bằng cách sử dụng các mạng botnet và hướng chúng đến một mục tiêu cụ thể.

Một ví dụ về cuộc tấn công tích cực có thể là tin tặc giả mạo IP của nạn nhân và thực hiện nhiều yêu cầu đến một máy chủ DNS đang mở. Cuộc tấn công được cấu trúc để khi máy chủ DNS phản hồi, nó sẽ gửi nhiều dữ liệu đến nạn nhân hơn mức chúng có thể xử lý.

Các cuộc tấn công phân mảnh

Lưu lượng gửi qua internet được chia thành các gói dữ liệu. Chúng di chuyển và được tập hợp lại theo nhiều cách khác nhau tùy thuộc vào giao thức truyền tải TCP hay UDP đang được sử dụng. Một cuộc tấn công phân mảnh sẽ gửi các gói dữ liệu giả làm sai lệch luồng dữ liệu và do đó áp đảo máy chủ.

Việc khai thác “quá nhiều gói” là một ví dụ của một cuộc tấn công phân mảnh. Nó làm ngập mạng với một số lượng quá lớn các gói không hoàn chỉnh, bị phân mảnh.

Các cuộc tấn công lớp ứng dụng

Các cuộc tấn công lớp ứng dụng hoặc lớp 7 nhắm mục tiêu, như tên gọi, các ứng dụng – lớp nơi máy chủ tạo các trang web và phản hồi các yêu cầu HTTP. Một cuộc tấn công như vậy đối với máy chủ sẽ giống như ai đó nhấn làm mới trên cùng một trang nhiều lần. Nó sẽ giống như lưu lượng truy cập hợp pháp cho đến khi máy chủ bị quá tải và đã quá muộn. Các cuộc tấn công này cũng ít tốn kém hơn và khó bị phát hiện hơn so với các cuộc tấn công lớp mạng.

Các loại Khuếch đại DDoS

Một cuộc tấn công khuếch đại DDoS là một cuộc tấn công mà tội phạm mạng nhắm mục tiêu cụ thể vào các lỗ hổng bảo mật trong các máy chủ Hệ thống tên miền (DNS). Chúng chuyển đổi các yêu cầu nhỏ thành những yêu cầu lớn (do đó có thuật ngữ “khuếch đại”), làm hạn chế băng thông của nạn nhân và ngăn chặn hiệu quả các quy trình của máy chủ mục tiêu không may. Có hai kiểu tấn công khuếch đại: Phản chiếu DNS và Phản chiếu CharGEN.

Phản ánh DNS

Công việc của máy chủ DNS là tìm kiếm địa chỉ IP của bất kỳ tên miền nào bạn đã nhập vào thanh tìm kiếm của mình. Đó là sổ địa chỉ của Internet. Tấn công phản ánh DNS là khi tin tặc sao chép địa chỉ IP của nạn nhân và gửi yêu cầu đến máy chủ DNS, yêu cầu trả lời lớn. Các câu trả lời đã được biết là được khuếch đại lên tới 70 lần kích thước bình thường của chúng, khiến nạn nhân choáng ngợp ngay lập tức.

Phản xạ CharGEN

CharGEN, theo tiêu chuẩn internet, là một giao thức cổ xưa được tạo ra vào năm 1983 với mục đích gỡ lỗi hoặc thử nghiệm. Thật không may, nhiều máy in hoặc máy sao chép có kết nối internet vẫn tích cực sử dụng giao thức này, cho phép tin tặc khai thác nhiều lỗ hổng do thời đại gây ra của CharGEN. Tin tặc sẽ gửi nhiều gói dữ liệu nhỏ dưới vỏ bọc địa chỉ IP của nạn nhân tới bất cứ thứ gì đang chạy trên CharGEN. Sau đó, thiết bị làm ngập hệ thống của nạn nhân với các phản hồi của UDP (User Datagram Protocol), áp đảo máy chủ mục tiêu và khiến nó khởi động lại hoặc ngắt hoàn toàn.

Số cuộc tấn công DDoS

Khi công nghệ tiến lên và các hệ thống bảo mật ngày càng trở nên tinh vi mỗi năm, thì các công cụ được sử dụng để xâm nhập chúng cũng vậy. Nếu chúng ta so sánh sức mạnh của một cuộc tấn công từ những năm 1990 với tiêu chuẩn hiện đại của DDoS, sự khác biệt là đáng kinh ngạc.

Các yêu cầu trung bình trong một cuộc tấn công DDoS từ những năm 90 hầu như không vượt quá 150 mỗi giây. Nếu chúng ta so sánh chúng với cuộc tấn công DDoS thành công được ghi nhận lớn nhất trong thời gian gần đây, cụ thể là cuộc tấn công GitHub năm 2018, chúng ta có thể thấy rằng 1,35 terabits lưu lượng truy cập mỗi giây đã được ném vào trang web. Cuộc tấn công đã làm tê liệt trang web tạm thời và chỉ kéo dài 8 phút.

Chi phí cho một cuộc tấn công DDoS là bao nhiêu?

Thiệt hại về tiền mà một cuộc tấn công DDoS có thể gây ra cho một doanh nghiệp chỉ trong 24 giờ là đủ lý do để thực hiện các biện pháp tích cực để không bao giờ để nó xảy ra nữa. Theo một báo cáo năm 2018 của Corero Network Security, sự gián đoạn gây ra bởi một cuộc tấn công DDoS thông qua doanh thu bị mất, làm gián đoạn năng suất của nhân viên và chi phí bảo mật thực tế để đẩy lùi cuộc tấn công, có thể lên tới 50.000 đô la cho mỗi cuộc tấn công. Nhưng tốn bao nhiêu để sử dụng tội phạm mạng và đội quân bot của chúng?

Như với hầu hết các hoạt động tội phạm trực tuyến, bạn sẽ phải tìm hiểu kỹ về dark web để biết bảng giá dịch vụ của chúng. Chi phí của dịch vụ này thay đổi tùy thuộc vào độ dài mong muốn của cuộc tấn công DDoS, với tốc độ cơ bản bắt đầu từ 300 giây và kéo dài lên đến 10.800 giây (3 giờ). Rõ ràng, cuộc tấn công càng ngắn thì giá càng rẻ.

Thật kỳ lạ, nhiều kẻ tội phạm cung cấp các dịch vụ này cung cấp dịch vụ đăng ký giả. Ví dụ, với chi phí 60 euro mỗi tháng, bạn có quyền truy cập vào 1 cuộc tấn công kéo dài 3 giờ.

Động lực của DDosing

• Chủ nghĩa tin tặc. Tin tặc sử dụng các cuộc tấn công DDoS để đánh sập các trang web và dịch vụ khác nhau mà họ không đồng ý. Ví dụ: chúng có thể nhắm mục tiêu các trang web của các chính phủ, nhân vật của công chúng, các tổ chức tội phạm hoặc khủng bố, các tập đoàn và các tổ chức khác. Thường thì những kẻ hacktivists sử dụng DDoS để lan truyền thông điệp và nâng cao nhận thức.
• Tống tiền. Tội phạm mạng cũng sử dụng các cuộc tấn công DDoS để tống tiền. Họ có thể yêu cầu tiền để dừng hoặc không thực hiện một cuộc tấn công.
• Sự phá hoại. Tin tặc có thể bắt đầu các cuộc tấn công DDoS hoàn toàn để giải trí hoặc để làm phiền và làm phiền người khác. Những đứa trẻ được gọi là tập lệnh có thể dễ dàng kích hoạt các cuộc tấn công như vậy bằng cách sử dụng các công cụ tạo sẵn.
• Đối thủ là một lý do khác cho việc DDosing . Một công ty hoặc cá nhân đối thủ có thể làm tê liệt trang web hoặc dịch vụ của đối thủ cạnh tranh của họ và gây ra mất mát tạm thời về lợi nhuận hoặc tiếp xúc hoặc chỉ đơn giản là khiến khách hàng tức giận.
• Chiến tranh mạng. DDoS là một loại vũ khí được sử dụng trong chiến tranh mạng. Các tổ chức quốc gia-nhà nước sử dụng các cuộc tấn công DDoS quy mô lớn để phá vỡ các cơ sở hạ tầng quan trọng ở các nước đối thủ. Các chính phủ cũng có thể sử dụng các cuộc tấn công như vậy để bịt miệng các lực lượng đối lập. Các cuộc tấn công DDoS do nhà nước hậu thuẫn thường được dàn dựng tốt và khó giảm thiểu hơn.

Các cuộc tấn công DDoS lớn nhất

Cuộc tấn công của Google năm 2017

Cuộc tấn công DDoS lớn nhất diễn ra vào năm 2017 và nhắm mục tiêu vào các dịch vụ của Google. Những kẻ tấn công đã làm ngập 180.000 máy chủ web đã gửi lại phản hồi của chúng cho Google. Cuộc tấn công mạng đạt kích thước 2,54 TBps. Cuộc tấn công được cho là một nỗ lực quốc gia-nhà nước đến từ Trung Quốc.

Cuộc tấn công DDoS AWS năm 2020

Một cuộc tấn công DDoS lớn đã tấn công Amazon Web Services vào năm 2020. Nó nhắm mục tiêu vào một khách hàng không xác định và được coi là một trong những cuộc tấn công DDoS nguy hiểm nhất. Bằng cách sử dụng các máy chủ của bên thứ ba, những kẻ tấn công đã quản lý để khuếch đại lượng dữ liệu được gửi đến một địa chỉ IP lên tới 70 lần. Cuộc tấn công đạt kích thước 2,3 TBps.

Cuộc tấn công Cloudflare năm 2022

Cloudflare đã báo cáo và giảm thiểu một cuộc tấn công DDoS 15,3 triệu yêu cầu mỗi giây nhắm mục tiêu vào một khách hàng đang vận hành bệ phóng tiền điện tử. Cuộc tấn công sử dụng một mạng botnet với ước tính khoảng 6.000 thiết bị duy nhất từ ​​112 quốc gia. Những kẻ tấn công đã sử dụng kết nối HTTPS được mã hóa và an toàn để bắt đầu cuộc tấn công này.

DDoSing có bất hợp pháp không?

DDoSing được coi là bất hợp pháp ở nhiều quốc gia. Ví dụ, ở Mỹ, DDoS có thể được coi là một tội phạm liên bang và có thể dẫn đến hình phạt và bỏ tù. Ở hầu hết các nước châu Âu, DDoSing có thể dẫn đến bị bắt, trong khi ở Anh, bạn có thể bị phạt tù tới 10 năm.

Bạn có thể theo dõi các cuộc tấn công DDoS không?

Các cuộc tấn công DDoS khá khó theo dõi vì hầu hết chúng được phân phối trên hàng trăm và hàng nghìn thiết bị khác. Ngoài ra, những người bắt đầu các cuộc tấn công như vậy thường cố gắng để không bị phát hiện.

Có thể xác định các cuộc tấn công DDoS khi chúng xảy ra bằng cách sử dụng một số công cụ an ninh mạng nhất định để phân tích lưu lượng truy cập. Tuy nhiên, thường là quá muộn để ngăn chặn chúng. Tốt nhất, bạn có thể phân tích dữ liệu và thực hiện các thay đổi an ninh mạng thích hợp cho tương lai.

Phòng chống tấn công DDoS

Dưới đây là một số biện pháp để ngăn chặn các cuộc tấn công DDoS:

• Sử dụng các công cụ ngăn chặn DDoS của bên thứ ba. Các dịch vụ khác nhau của bên thứ ba có thể giúp bạn giảm thiểu rủi ro DDoS. Chỉ cần đảm bảo sử dụng những người an toàn và đáng tin cậy. Tuy nhiên, không ai trong số họ có thể đảm bảo cho bạn sự an toàn toàn diện.
• Hợp tác với ISP của bạn để có băng thông sạch. Các ISP thường có thể phát hiện các gói dữ liệu độc hại trước khi chúng đến được thiết bị của bạn và giảm thiểu rủi ro.
• Theo dõi lưu lượng của bạn bằng các công cụ giám sát lưu lượng và kiểm tra xem bạn có nhận thấy bất kỳ hình thức kỳ lạ nào không.

VPN có giúp ngăn chặn DDoS không?

DDoSing chủ yếu được sử dụng để tống tiền các nhà phát triển và nhà xuất bản hoặc để làm tổn hại đến danh tiếng hoặc doanh số bán hàng của một người hoặc nền tảng nhất định. Tuy nhiên, người dùng cá nhân cũng có thể bị ảnh hưởng. Điều này thường xảy ra với những người chơi game trực tuyến. Đối thủ của bạn có thể cố gắng DDoS bạn để làm gián đoạn lối chơi của bạn, đây không phải là một rủi ro bảo mật, nhưng có thể thực sự gây khó chịu – đặc biệt nếu bạn chơi cạnh tranh.

Không có cách nào để bạn ngăn chặn một cuộc tấn công vào máy chủ trò chơi. Tuy nhiên, trong trò chơi P2P, khi bạn kết nối trực tiếp với những người chơi khác, đối thủ của bạn có thể tra cứu địa chỉ IP của bạn và sử dụng nó để DoS bạn. Bạn có thể ngăn chặn điều này bằng cách sử dụng VPN để chơi game để che giấu IP ban đầu của mình. Nếu những kẻ xấu không biết IP thực của bạn – đơn giản là họ không thể DoS được bạn.

Nguồn: https://nordvpn.com/blog/what-is-a-ddos-attack/