Tấn công từ chối dịch vụ (DDoS) phân tán là một nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập bình thường của một máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với một lượng lớn lưu lượng truy cập Internet.
Các cuộc tấn công DDoS đạt được hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Máy được khai thác có thể bao gồm máy tính và các tài nguyên nối mạng khác như thiết bị IoT .
Từ cấp độ cao, một cuộc tấn công DDoS giống như một vụ tắc đường bất ngờ làm tắc nghẽn đường cao tốc, ngăn cản giao thông thường xuyên đến đích.
Tấn công DDoS hoạt động như thế nào?
Các cuộc tấn công DDoS được thực hiện với mạng của các máy kết nối Internet.
Các mạng này bao gồm máy tính và các thiết bị khác (chẳng hạn như thiết bị IoT) đã bị nhiễm phần mềm độc hại , cho phép kẻ tấn công điều khiển chúng từ xa. Các thiết bị riêng lẻ này được gọi là bot (hoặc thây ma), và một nhóm bot được gọi là botnet .
Khi mạng botnet đã được thiết lập, kẻ tấn công có thể chỉ đạo một cuộc tấn công bằng cách gửi các hướng dẫn từ xa đến từng bot.
Khi máy chủ hoặc mạng của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ gửi yêu cầu đến địa chỉ IP của mục tiêu , có khả năng khiến máy chủ hoặc mạng bị quá tải, dẫn đến từ chối dịch vụ đối với lưu lượng truy cập bình thường.
Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng truy cập thông thường có thể khó khăn.
>> Xem thêm: Các nguyên nhân dẫn đến wifi chậm
Cách xác định một cuộc tấn công DDoS
Triệu chứng rõ ràng nhất của cuộc tấn công DDoS là một trang web hoặc dịch vụ đột nhiên trở nên chậm chạp hoặc không khả dụng. Nhưng vì một số nguyên nhân – lưu lượng truy cập tăng đột biến như vậy – có thể tạo ra các vấn đề về hiệu suất tương tự, nên thường cần phải điều tra thêm. Các công cụ phân tích lưu lượng có thể giúp bạn phát hiện một số dấu hiệu đáng chú ý sau của cuộc tấn công DDoS:
- Lượng lưu lượng truy cập đáng ngờ bắt nguồn từ một địa chỉ IP hoặc dải IP
- Một lượng lớn lưu lượng truy cập từ những người dùng chia sẻ một hồ sơ hành vi, chẳng hạn như loại thiết bị, vị trí địa lý hoặc phiên bản trình duyệt web
- Sự gia tăng không giải thích được về yêu cầu đối với một trang hoặc điểm cuối
- Các mẫu lưu lượng truy cập kỳ lạ như tăng đột biến vào các giờ lẻ trong ngày hoặc các mẫu có vẻ không tự nhiên (ví dụ: tăng đột biến cứ sau 10 phút)
Có những dấu hiệu khác, cụ thể hơn của cuộc tấn công DDoS có thể khác nhau tùy thuộc vào loại tấn công.
Một số kiểu tấn công DDoS phổ biến là gì?
Các kiểu tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu các cuộc tấn công DDoS khác nhau hoạt động như thế nào, cần phải biết kết nối mạng được thực hiện như thế nào.
Kết nối mạng trên Internet bao gồm nhiều thành phần hoặc “lớp” khác nhau. Giống như xây dựng một ngôi nhà từ mặt đất lên, mỗi lớp trong mô hình có một mục đích khác nhau.
Mô hình OSI , được hiển thị bên dưới, là một khung khái niệm được sử dụng để mô tả kết nối mạng trong 7 lớp riêng biệt.
Mặc dù gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo một thiết bị hoặc mạng mục tiêu với lưu lượng truy cập, các cuộc tấn công có thể được chia thành ba loại. Kẻ tấn công có thể sử dụng một hoặc nhiều vectơ tấn công khác nhau, hoặc vectơ tấn công chu kỳ để đáp lại các biện pháp chống lại mục tiêu.
>> xem thêm: Cách tải video từ youtube về điện thoại nhanh nhất
Các cuộc tấn công lớp ứng dụng
Mục tiêu của cuộc tấn công:
Đôi khi được gọi là tấn công DDoS lớp 7 (liên quan đến lớp thứ 7 của mô hình OSI), mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên của mục tiêu để tạo ra một từ chối dịch vụ.
Các cuộc tấn công nhắm mục tiêu vào lớp nơi các trang web được tạo trên máy chủ và được phân phối theo yêu cầu HTTP . Một yêu cầu HTTP đơn lẻ là rẻ về mặt tính toán để thực thi ở phía máy khách, nhưng nó có thể tốn kém đối với máy chủ mục tiêu để phản hồi, vì máy chủ thường tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu để tạo một trang web.
Các cuộc tấn công lớp 7 rất khó để chống lại, vì khó có thể phân biệt được lưu lượng độc hại với lưu lượng hợp pháp.
Ví dụ về tấn công lớp ứng dụng:
HTTP Flood
Cuộc tấn công này tương tự như việc nhấn làm mới trình duyệt web lặp đi lặp lại trên nhiều máy tính khác nhau cùng một lúc – số lượng lớn các yêu cầu HTTP tràn ngập máy chủ, dẫn đến việc từ chối dịch vụ.
Loại tấn công này từ đơn giản đến phức tạp.
Việc triển khai đơn giản hơn có thể truy cập vào một URL có cùng phạm vi tấn công địa chỉ IP, liên kết giới thiệu và tác nhân người dùng. Các phiên bản phức tạp có thể sử dụng một số lượng lớn các địa chỉ IP tấn công và nhắm mục tiêu các url ngẫu nhiên bằng cách sử dụng các liên kết giới thiệu và tác nhân người dùng ngẫu nhiên.
Các cuộc tấn công giao thức
Mục tiêu của cuộc tấn công:
Các cuộc tấn công giao thức, còn được gọi là cuộc tấn công cạn kiệt trạng thái, gây ra gián đoạn dịch vụ do sử dụng quá nhiều tài nguyên máy chủ và / hoặc tài nguyên của thiết bị mạng như tường lửa và bộ cân bằng tải.
Các cuộc tấn công giao thức sử dụng các điểm yếu trong lớp 3 và lớp 4 của ngăn xếp giao thức để khiến mục tiêu không thể truy cập được.
Ví dụ về cuộc tấn công giao thức:
SYN Flood
SYN Flood tương tự như một công nhân trong phòng tiếp tế nhận yêu cầu từ phía trước cửa hàng.
Nhân viên nhận được yêu cầu, đi và nhận gói hàng, và đợi xác nhận trước khi mang gói hàng ra trước. Sau đó, nhân viên nhận được nhiều yêu cầu gói hàng khác mà không cần xác nhận cho đến khi họ không thể mang thêm gói hàng nào nữa, trở nên quá tải và các yêu cầu bắt đầu không được trả lời.
Cuộc tấn công này khai thác quá trình bắt tay TCP – chuỗi liên lạc mà hai máy tính bắt đầu kết nối mạng – bằng cách gửi đến mục tiêu một số lượng lớn các gói SYN TCP “Yêu cầu kết nối ban đầu” với các địa chỉ IP nguồn giả mạo .
Máy mục tiêu phản hồi từng yêu cầu kết nối và sau đó đợi bước cuối cùng trong quá trình bắt tay, điều này không bao giờ xảy ra, làm cạn kiệt tài nguyên của máy mục tiêu trong quá trình này.
Các cuộc tấn công theo Volume
Mục tiêu của cuộc tấn công:
Loại tấn công này cố gắng tạo ra tắc nghẽn bằng cách tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và Internet lớn hơn. Một lượng lớn dữ liệu được gửi đến mục tiêu bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện khác để tạo ra lưu lượng truy cập lớn, chẳng hạn như các yêu cầu từ một mạng botnet.
Ví dụ về khuếch đại:
Khuếch đại DNS
Việc khuếch đại DNS giống như nếu ai đó gọi đến một nhà hàng và nói “Tôi sẽ có một trong các thứ, vui lòng gọi lại cho tôi và lặp lại toàn bộ đơn đặt hàng của tôi”, trong đó số gọi lại thực sự thuộc về nạn nhân. Với rất ít nỗ lực, một phản hồi dài được tạo ra và gửi đến nạn nhân.
Bằng cách thực hiện một yêu cầu đến một máy chủ DNS mở có địa chỉ IP giả mạo (địa chỉ IP của nạn nhân), địa chỉ IP mục tiêu sau đó sẽ nhận được phản hồi từ máy chủ.
Quy trình giảm thiểu một cuộc tấn công DDoS là gì?
Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là phân biệt giữa lưu lượng tấn công và lưu lượng thông thường.
Ví dụ: nếu một bản phát hành sản phẩm có trang web của công ty tràn ngập những khách hàng háo hức, thì việc cắt đứt tất cả lưu lượng truy cập là một sai lầm. Nếu công ty đó đột nhiên có lưu lượng truy cập tăng vọt từ những kẻ tấn công đã biết, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết.
Khó khăn nằm ở việc phân biệt khách hàng thực với lưu lượng tấn công.
Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng truy cập có thể khác nhau về thiết kế từ các cuộc tấn công nguồn đơn không giả mạo đến các cuộc tấn công đa vectơ phức tạp và thích ứng.
Một cuộc tấn công DDoS đa vectơ sử dụng nhiều con đường tấn công để áp đảo mục tiêu theo những cách khác nhau, có khả năng làm mất tập trung các nỗ lực giảm thiểu trên bất kỳ quỹ đạo nào.
Một cuộc tấn công nhắm mục tiêu nhiều lớp của ngăn xếp giao thức cùng một lúc, chẳng hạn như khuếch đại DNS (nhắm mục tiêu lớp 3/4) kết hợp với một lũ lụt HTTP (nhắm mục tiêu lớp 7) là một ví dụ về DDoS đa vectơ.
Giảm thiểu một cuộc tấn công DDoS đa vectơ đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau.
Nói chung, cuộc tấn công càng phức tạp thì càng có nhiều khả năng là lưu lượng tấn công sẽ khó tách rời khỏi lưu lượng thông thường – mục tiêu của kẻ tấn công là hòa nhập càng nhiều càng tốt, khiến các nỗ lực giảm thiểu càng kém hiệu quả càng tốt.
Các nỗ lực giảm thiểu liên quan đến việc giảm hoặc hạn chế lưu lượng truy cập một cách bừa bãi có thể loại bỏ lưu lượng truy cập tốt với lưu lượng xấu và cuộc tấn công cũng có thể sửa đổi và thích ứng với các biện pháp đối phó. Để vượt qua một nỗ lực phức tạp về sự gián đoạn, một giải pháp phân lớp sẽ mang lại lợi ích lớn nhất.
Định tuyến lỗ đen
Một giải pháp có sẵn cho hầu như tất cả các quản trị viên mạng là tạo một tuyến lỗ hổng và chuyển lưu lượng truy cập vào tuyến đường đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được thực hiện mà không có tiêu chí hạn chế cụ thể, cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến một tuyến rỗng, hoặc lỗ đen và bị loại bỏ khỏi mạng.
Nếu một tài sản Internet đang gặp phải cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) của bất động sản đó có thể đưa tất cả lưu lượng truy cập của trang web vào một lỗ đen như một biện pháp phòng thủ. Đây không phải là một giải pháp lý tưởng, vì nó mang lại hiệu quả cho mục tiêu mong muốn của kẻ tấn công: nó làm cho mạng không thể truy cập được.
Giới hạn tỷ lệ
Giới hạn số lượng yêu cầu mà máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ.
Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm trình duyệt web ăn cắp nội dung và giảm thiểu các nỗ lực đăng nhập thô bạo , nhưng chỉ riêng nó có thể sẽ không đủ để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả.
Tuy nhiên, giới hạn tốc độ là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả. Tìm hiểu về giới hạn tỷ lệ của Cloudflare
Tường lửa ứng dụng web
Tường lửa ứng dụng web (WAF) là một công cụ có thể hỗ trợ giảm thiểu cuộc tấn công DDoS lớp 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc, WAF có thể hoạt động như một proxy ngược , bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại.
Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng để xác định các công cụ DDoS, các cuộc tấn công lớp 7 có thể bị cản trở. Một giá trị quan trọng của WAF hiệu quả là khả năng nhanh chóng triển khai các quy tắc tùy chỉnh để phản ứng với một cuộc tấn công. Tìm hiểu về WAF của Cloudflare .
Khuếch tán mạng Anycast
Phương pháp giảm thiểu này sử dụng mạng Anycast để phân tán lưu lượng tấn công qua mạng các máy chủ phân tán đến điểm mà lưu lượng được mạng hấp thụ.
Giống như chuyển một dòng sông chảy xiết xuống các kênh nhỏ riêng biệt, cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến mức có thể quản lý được, khuếch tán bất kỳ khả năng gây rối nào.
Độ tin cậy của mạng Anycast để giảm thiểu một cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công cũng như quy mô và hiệu quả của mạng. Một phần quan trọng của việc giảm thiểu DDoS do Cloudflare thực hiện là việc sử dụng mạng phân tán Anycast.
Cloudflare có mạng 155 Tbps, đây là mức độ lớn hơn cuộc tấn công DDoS lớn nhất được ghi nhận.
Nếu bạn đang bị tấn công, có những bước bạn có thể thực hiện để thoát khỏi áp lực. Nếu bạn đã sử dụng Cloudflare, bạn có thể làm theo các bước sau để giảm thiểu cuộc tấn công của mình.
Bảo vệ DDoS mà chúng tôi triển khai tại Cloudflare có nhiều mặt nhằm giảm thiểu nhiều vectơ tấn công có thể xảy ra. Tìm hiểu thêm về tính năng bảo vệ DDoS của Cloudflare và cách thức hoạt động của nó.