Tấn công từ chối dịch vụ - DOS và DDOS cách phòng chống

Tấn công từ chối dịch vụ DOS và DDOS là gì?

Tấn công bằng từ chối dịch vụ DoS - viết tắt của Denial of Service: Một cuộc tấn công từ chối dịch vụ hay tấn công DDoS - viết tắt của Distributed Denial of Service tấn công từ chối dịch vụ phân tán đều là một kiểu tấn công nhằm làm cho những người dùng không thể sử dụng tài nguyên của một máy tính.

Có thể động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.

Điểm khác biệt lớn nhất giữa Dos và DDos là thay vì gửi request trực tiếp từ máy mình, hacker sẽ sử dụng các máy đã bị hack từ trước để đồng loạt gửi lượng lớn request và yêu cầu truy cập tới máy chủ.

Cuộc tấn công DDos gây hậu quả lớn hơn và cũng khó tìm ra thủ phạm hơn rất nhiều. Rất khó có thể tìm ra máy tính của hacker từ những request gửi tới máy chủ dịch vụ. Khó phân biệt và loại bỏ được các truy cập gây tổn hại tới hoạt động của máy chủ dịch vụ.

Các phương thức tấn công

Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm.

Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.

Có rất nhiều phương thức để thực hiện cuộc tấn công. Ví dụ một cuộc tấn công Dos tới một trang web trên mạng, mục tiêu của nó là làm cho trang Web đang vận hành bị quá tải, tiêu tốn hết tài nguyên dẫn tới việc không thể phản hồi, cung cấp dịch vụ cho user hay có phản hồi cũng vô cùng chậm.

Thủ đoạn phổ biến nhất là từ máy của hacker gửi đồng loạt một lượng lớn request hay yêu cầu truy cập tới máy chủ; làm cho máy chủ của Website bị quá tải, không thể hiển thị kết quả hoặc tốn rất nhiều thời gian để gửi lại phản hồi.

Hành động phổ biến nhất của cuộc tấn công chính kẻ tấn công cố gắng làm ngập lụt mạng của bạn bằng cách gởi những dòng dữ liệu lớn tới mạng hay máy chủ website của bạn. Khi bạn gõ một URL của một website cụ thể vào trình duyệt, bạn sẽ gởi một yêu cầu tới máy chủ của website đó để xem nội dung trang web.

Máy chủ web chỉ có thể xử lý một số yêu cầu cùng một lúc, như vậy nếu như một kẻ tấn công gởi quá nhiều các yêu cầu để làm cho máy chủ đó bị quá tải và nó sẽ không thể xử lý các yêu cầu khác của bạn. Đây chính là một cuốc tấn công "từ chối dịch vụ" vì bạn không thể truy cập vào trang web hay dịch vụ đó nữa.

Tấn công vào băng thông mạng

Tin tặc sử dụng chiến thuật cơ bản, ai là người nhiều tài nguyên hơn sẽ thắng. Không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận.

Tấn công vào giao thức

Internet hoạt động nhờ vào các giao thức, đơn giản là cách thức chuyển một đối tượng từ điểm A đến điểm B trên mạng. Kiểm tấn công này bao gồm Ping of Death, SYN Flood, sửa đổi gói tinvà các dạng khác.

Tấn công vào lớp ứng dụng

Các ứng dụng máy chủ web (Windows IIS, Apache, …) là đối tượng thường xuyên bị tấn công. Xu hướng mới của tin tặc hướng tới là các nền tảng ứng dụng WordPress, Joomla…

Tấn công HTTP Flood Tin tặc sử dụng request GET/POST làm quá tải khả năng phản hồi của máy chủ web. Đây là dạng tấn công vào băng thông, không cần có những gói tin xấu, kĩ thuật giả mạo hoặc các kỹ thuật phản xạ để khuếch tán và tăng dung lượng của cuộc tấn công. Cách tấn công này thông qua HTTP và HTTPS rất dễ dàng thực hiện, giá thành rẻ với hàng nghìn request tạo ra trong một giây.

Tấn công từ chối dịch vụ lợi dung giao thức SSDP (Simple Service Discovery Protocol) Simple Service Discovery Protocol (SSDP) thường được sử dụng cho các thiết bị Plug & Play (UPnP).

Bắt đầu từ năm 2014, tin tặc đã lợi dụng giao thức thức này tấn công từ chối dịch vụ. Đây là mũi tấn công khá mới nhằm vào các cổng SSDP (1900) và cổng đích 7 (echo). Báo cáo mới nhất cho thấy tấn công SSDP có khả năng khuếch đại tấn công lên tới 30 lần.

Tấn công vào giao thức UDP (Datagram Protocol ) Tấn công từ chối dịch vụ vào giao thức UDP sẽ khiến tắc nghẽn nhiều cổng trên máy chủ web của bạn bằng các gói tin. Nó buộc máy chủ phản hồi liên tục dẫn đến cạn kiệt tài nguyên. UDP là một giao thức vô hướng, có nghĩa là nó không thẩm định địa chỉ IP nguồn. Tấn công UDP thường đi liền với tấn công từ chối dịch vụ phản xạ phân tán.

Tấn công lợi dụng các máy chủ DNS (Domain Name Server) Lợi dụng các máy chủ DNS trên khắp thế giới đánh sập máy chủ web của bạn với lưu lượng DNS phản hồi. Máy chủ sẽ không thể phản hồi lại được với các lưu lượng hợp lệ từ người dùng.

Cách nhận biết một cuộc tấn công đang diễn ra

Không phải tất cả các sự gián đoạn của dịch vụ là kết quả của một cuộc tấn công từ chối dịch vụ. Có thể có các vấn đề kỹ thuật với một mạng luwois cụ thể hoặc người quản trị hệ thống thực hiện bảo trì. Tuy nhiên các triệu chứng sau đây có thể chỉ ra một cuộc tấn công DOS hoặc DDOS từ các hệ thống website hay các website:

Thực trạng cho thấy mạng của bạn hay hệ thống bị chậm một cách bất thường.

Một trang cụ thể nào đó của website không thể truy cập được.

Không thể truy cập vào bất kỳ trang website nào.

Gia tăng đáng kể lượng thư rác mà bạn nhận được trong tài khoản.

DDoS có nhiều dạng, nhiều biến thể tấn công nhưng tựu chung có một mục đích: làm cho người dùng hệ thống không thể sử dụng được dịch vụ của hệ thống. DDoS có hai dạng chính:

Làm ngập băng thông khiến cho người dùng không thể truy cập dịch vụ. Làm cho dịch vụ hoàn toàn tê liệt vì hết tài nguyên khiến cho người dùng không thể truy cập dịch vụ.

Chống đỡ hai dạng trên đều đòi hỏi gia tăng tài nguyên (băng thông, CPU, diskspace, memory). Tài nguyên càng phát tán rộng ra nhiều network càng tốt.

Phương pháp phòng chống

Giới hạn truy cập

Việc giới hạn số lượng yêu cầu trong khả năng máy chủ có thể chấp nhận trong một khoảng thời gian nhất định là cách tốt nhất để giảm thiểu hậu quả Dos/DDos gây ra. Việc giới hạn gửi yêu cầu sẽ làm chậm quá trình tấn công của tin tặc. Tuy nhiên, nếu chỉ sử dụng một phương pháp này thì các hacker vẫn có thể khiến bạn gặp rắc rối với các kiểu DDos phức tạp.

Phòng chống Dos

Vì cuộc tấn công Dos  chỉ bắt nguồn từ một nguồn duy nhất, nên có thể dễ dàng xác định được IP của máy hacker và đưa ra đối sách phù hợp.

Hạn chế truy cập từ IP bất kì nào đó.

Giới hạn số request được chấp nhận từ một IP trong một khoảng thời gian xác định (ví dụ một ngày chỉ được tối đa 300 requests).

Xây dựng và thiết kế máy chủ có khả năng chịu tải lớn.

Phòng chống DDOS

Với phương tức tấn công DDOS, lượng máy tính bị hack từ trước và sử dụng cho cuộc tấn công có thể rất lớn, việc tìm ra IP của máy tấn công sẽ rất khó khăn. Nên việc đưa ra đối sách để chống lại DDos attack cũng vô cùng khó. Để đối phó với phưng thức này chúng ta có thể:

Giới hạn số request được chấp nhận từ một IP nào đó trong khoảng thời gian xác định (lấy mẫu các gói tin và xác định xu hướng lưu lượng mạng).

Hạn chế access từ các địa chỉ IP nước ngoài nếu nội dung chỉ dành cho user trong nước.

Xây dựng và thiết kế máy chủ có khả năng chịu tải lớn.

Sử dụng phương pháp - định tuyến hố đen

Đây là một giải pháp được đa số quản trị viên mạng thực hiện để phòng tránh các cuộc tấn công Dos/DDos. Bạn cần tạo một tuyến đường, lỗ đen để chuyển các traffic vào đó nhằm tránh tình trạng quá tải trên hệ thống. Khi website gặp phải một cuộc tấn công từ chối dịch vụ, nhà cung cấp dịch vụ internet có thể đưa tất cả lưu lượng truy cập quá tải từ website vào lỗ đen để tự bảo vệ mình.

Tường lửa ứng dụng web (Web Application Firewall)

Sử dụng tường lửa ứng dụng web (WAF) là một biện pháp giảm thiểu các cuộc tấn công DDos tầng 7. Theo đó, WAF sẽ lọc các yêu cầu truy cập dựa vào một quy tắc nhất định. Từ đó giúp máy chủ tránh khỏi một số lượng truy cập độc hại.

Anycast Network Diffusion

Phương pháp này giúp máy chủ tránh khỏi tình trạng quá tải. Anycast cũng giống như chuyển nước từ một con sông lớn sang các kênh nhỏ hơn. Cách thức xử lý này cho phép chuyển lượng traffic Dos/DDos đến các điểm có thể quản lý được.

Theo Tạp chí Điện tử