18/09/2018, 13:52

Các hiểu biết về một cuộc tấn công từ chối dịch vụ DDOS/DOS

Liệu rằng website của bạn có xử lý được lưu lượng truy cập gia tăng đột ngột lên gấp 10 lần lưu lượng thông thường? 100 lần? hay 100,000 lần? Đây là vấn đề rất thực tế và đó là thực tế mà các cuộc tấn công từ chối dịch vụ phân tán (DDoS) sẽ tác động lên website và tài nguyên máy chủ. ...

Liệu rằng website của bạn có xử lý được lưu lượng truy cập gia tăng đột ngột lên gấp 10 lần lưu lượng thông thường? 100 lần? hay 100,000 lần?

Phát hiện tấn công từ chối dịch vụ

Đây là vấn đề rất thực tế và đó là thực tế mà các cuộc tấn công từ chối dịch vụ phân tán (DDoS) sẽ tác động lên website và tài nguyên máy chủ. DoS/DdoS sẽ làm ngưng trệ khả năng xử lý của website và ảnh hưởng các hoạt động nội bộ, các giao dịch và ảnh hưởng trực tiếp đến khách hàng, uy tín của chính bạn.

Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DdoS) chỉ khác nhau ở phạm vi tấn công. Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều nguồn nằm rải rác trên mạng Internet.

Hiểu về cuộc tấn công từ chối dịch vụ

Tin tặc sử dụng phương thức tấn công DoS với mục đích duy nhất là gây tê liệt hoạt động website. Khiến phản hồi chậm với các yêu cầu từ người dùng hoặc vô hiệu hóa hoàn toàn website. Có ba kiểu tấn công DoS/DDoS chính:

Tấn công vào băng thông mạng

Tin tặc sử dụng chiến thuật cơ bản, ai là người nhiều tài nguyên hơn sẽ thắng. Không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận.

Tấn công vào giao thức

Internet hoạt động nhờ vào các giao thức, đơn giản là cách thức chuyển một đối tượng từ điểm A đến điểm B trên mạng. Kiểm tấn công này bao gồm Ping of Death, SYN Flood, sửa đổi gói tinvà các dạng khác.

Tấn công vào lớp ứng dụng

Các ứng dụng máy chủ web (Windows IIS, Apache, …) là đối tượng thường xuyên bị tấn công. Xu hướng mới của tin tặc hướng tới là các nền tảng ứng dụng WordPress, Joomla…

  1. Tấn công HTTP Flood
    Tin tặc sử dụng request GET/POST làm quá tải khả năng phản hồi của máy chủ web. Đây là dạng tấn công vào băng thông, không cần có những gói tin xấu, kĩ thuật giả mạo hoặc các kỹ thuật phản xạ để khuếch tán và tăng dung lượng của cuộc tấn công. Cách tấn công này thông qua HTTP và HTTPS rất dễ dàng thực hiện, giá thành rẻ với hàng nghìn request tạo ra trong một giây.
  2. Tấn công từ chối dịch vụ lợi dung giao thức SSDP (Simple Service Discovery Protocol)
    Simple Service Discovery Protocol (SSDP) thường được sử dụng cho các thiết bị Plug & Play (UPnP). Bắt đầu từ năm 2014, tin tặc đã lợi dụng giao thức thức này tấn công từ chối dịch vụ. Đây là mũi tấn công khá mới nhằm vào các cổng SSDP (1900) và cổng đích 7 (echo). Báo cáo mới nhất cho thấy tấn công SSDP có khả năng khuếch đại tấn công lên tới 30 lần.
  3. Tấn công vào giao thức UDP (Datagram Protocol )
    Tấn công từ chối dịch vụ vào giao thức UDP sẽ khiến tắc nghẽn nhiều cổng trên máy chủ web của bạn bằng các gói tin. Nó buộc máy chủ phản hồi liên tục dẫn đến cạn kiệt tài nguyên. UDP là một giao thức vô hướng, có nghĩa là nó không thẩm định địa chỉ IP nguồn. Tấn công UDP thường đi liền với tấn công từ chối dịch vụ phản xạ phân tán.
  4. Tấn công lợi dụng các máy chủ DNS  (Domain Name Server)
    Lợi dụng các máy chủ DNS trên khắp thế giới đánh sập máy chủ web của bạn với lưu lượng DNS phản hồi. Máy chủ sẽ không thể phản hồi lại được với các lưu lượng hợp lệ từ người dùng.
Tran Quang Chien
Tran Quang Chien
http://securitydaily.net/author/quangchien
Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuyên sâu về an toàn thông tin - SecurityDaily.NET.
0