Tấn công DDoS là gì?

Tấn công DDoS là gì?

Tấn công DDoS là một trong những thứ khủng khiếp nhất trong thế giới CNTT. Distributed Denial of Service – DDoS, hay dịch ra tiếng Việt là tấn công từ chối dịch vụ phân tán, là một hình thức tấn công mạng thuộc hàng nguy hiểm nhất
Mục Lục
Mục Lục

Tấn công DDoS là một trong những thứ khủng khiếp nhất trong thế giới CNTT. Khi bạn nghe về việc một trang web bị “tin tặc đánh sập”, điều đó thường có nghĩa là nó đã trở thành nạn nhân của một cuộc tấn công DDoS. Nói nôm na là tin tặc đã cố gắng làm cho một trang web hoặc máy tính không khả dụng bằng cách làm tràn ngập hoặc đánh sập trang web vì có quá nhiều lưu lượng truy cập. Trong bài viết sau NSV sẽ làm rõ vấn đề này hơn.

Tấn công từ chối dịch vụ phân tán (DDoS) là gì?

Distributed Denial of Service – DDoS, hay dịch ra tiếng Việt là tấn công từ chối dịch vụ phân tán, là một hình thức tấn công mạng thuộc hàng nguy hiểm nhất và cũng phổ biến nhất nhắm vào các trang web và dịch vụ trực tuyến. Mục đích của cuộc tấn công này là để áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh chúng bằng cách tạo ra nhiều lưu lượng truy cập hơn mức mà máy chủ hoặc mạng có thể đáp ứng để cho trang web hoặc dịch vụ không hoạt động được.

Lưu lượng có thể bao gồm các tin nhắn đến, yêu cầu kết nối hoặc các gói tin giả. Trong một số trường hợp, các nạn nhân được nhắm mục tiêu bị đe dọa tấn công DDoS hoặc bị tấn công ở mức độ thấp. Điều này có thể kết hợp với một mối đe dọa tống tiền về một cuộc tấn công tàn khốc hơn trừ khi công ty trả tiền chuộc bằng tiền điện tử.

Các cuộc tấn công DDoS đạt được hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Máy được khai thác có thể bao gồm máy tính và các tài nguyên nối mạng khác như thiết bị IoT. Nói theo cách đơn giản, bạn hãy xem một cuộc tấn công DDoS giống như một vụ tắc đường bất ngờ làm tắc nghẽn giao thông trong một khoảng thời gian dài.

tan-cong-ddos-la-gi
Tấn công DDoS - một hình thức tấn công mạng phổ biến hiện nay

Tấn công DDoS hoạt động như thế nào?

Các cuộc tấn công DDoS được thực hiện với mạng của các máy kết nối Internet. Các mạng này bao gồm máy tính và các thiết bị khác (chẳng hạn như thiết bị IoT) đã bị nhiễm phần mềm độc hại, cho phép kẻ tấn công điều khiển chúng từ xa. Các thiết bị riêng lẻ này được gọi là bot và một nhóm bot được gọi là botnet. Khi mạng botnet đã được thiết lập, kẻ tấn công có thể chỉ đạo một cuộc tấn công bằng cách gửi các hướng dẫn từ xa đến từng bot.

Khi máy chủ hoặc mạng của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ gửi yêu cầu đến địa chỉ IP của mục tiêu, có khả năng khiến máy chủ hoặc mạng bị quá tải, dẫn đến từ chối dịch vụ đối với lưu lượng truy cập bình thường. Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng truy cập thông thường là điều khó khăn.

Sự khác biệt giữa tấn công DDoS và DoS

Không nên nhầm lẫn giữa một cuộc tấn công DDoS (từ chối dịch vụ phân tán) với một cuộc tấn công DoS (từ chối dịch vụ). Mặc dù hơn kém nhau chỉ có chữ D, nhưng về bản chất các cuộc tấn công này khác nhau đáng kể. Sự khác biệt giữa tấn công DDoS và DoS như sau :

- Một cuộc tấn công DDoS điển hình thao túng nhiều thiết bị mạng phân tán giữa kẻ tấn công và nạn nhân để thực hiện một cuộc tấn công không chủ ý, khai thác hành vi hợp pháp.

- Một cuộc tấn công DoS truyền thống không sử dụng nhiều thiết bị phân tán, cũng như không tập trung vào các thiết bị giữa kẻ tấn công và tổ chức. Các cuộc tấn công này cũng có xu hướng không sử dụng nhiều thiết bị internet.

- Mỗi cuộc tấn công DoS ở trên đều tận dụng điểm yếu của phần mềm hoặc phần lõi trong một máy chủ cụ thể. Để giải quyết vấn đề, bạn nên sửa máy chủ lưu trữ hoặc lọc ra lưu lượng truy cập. Nếu bạn có thể nâng cấp một máy chủ để giảm thiểu một cuộc tấn công, thì nó không đủ điều kiện là một cuộc tấn công DDoS truyền thống.

Làm thế nào để biết đang bị tấn công DDoS

Các biểu hiện của một cuộc tấn công DDoS đôi khi giống với các vấn đề thông thường chẳng hạn như sự cố kỹ thuật với một mạng cụ thể hoặc quản trị viên hệ thống thực hiện bảo trì. Tuy nhiên, các triệu chứng sau có thể cho thấy một cuộc tấn công DoS hoặc DDoS:

  • Hiệu suất mạng chậm bất thường (mở tệp hoặc truy cập trang web),
  • Không có sẵn một trang web cụ thể
  • Không thể truy cập bất kỳ trang web nào.

Cách tốt nhất để phát hiện và xác định một cuộc tấn công DDoS là thông qua giám sát và phân tích lưu lượng mạng. Lưu lượng mạng có thể được giám sát thông qua tường lửa hoặc hệ thống phát hiện xâm nhập. Quản trị viên thậm chí có thể thiết lập các quy tắc tạo cảnh báo khi phát hiện tải lưu lượng bất thường và xác định nguồn của lưu lượng hoặc loại bỏ các gói mạng đáp ứng một tiêu chí nhất định.

Phải làm gì khi bị tấn công DDoS

Khi thấy hệ thống có vẻ đang bị DdoS, cần làm các việc như sau:

- Liên hệ với quản trị viên mạng để xác nhận xem dịch vụ ngừng hoạt động là do bảo trì hay do sự cố mạng nội bộ. Quản trị viên mạng cũng có thể giám sát lưu lượng mạng để xác nhận sự hiện diện của một cuộc tấn công, xác định nguồn gốc và giảm thiểu tình huống bằng cách áp dụng các quy tắc tường lửa và có thể định tuyến lại lưu lượng thông qua giải pháp an ninh mạng là dịch vụ bảo vệ DoS.

lam-gi-khi-bi-tan-cong-ddos
Làm gì khi bị tấn công DDoS

- Hãy liên hệ với ISP của bạn để hỏi xem liệu mạng của họ có bị ngừng hoạt động hay không hoặc thậm chí nếu mạng của họ là mục tiêu của cuộc tấn công và bạn là nạn nhân gián tiếp. Họ có thể tư vấn cho bạn về một hướng hành động thích hợp.

- Trong trường hợp bị tấn công, đừng để mất dấu các máy chủ, tài sản hoặc dịch vụ khác đang có trên mạng của bạn. Nhiều kẻ tấn công tiến hành các cuộc tấn công DoS hoặc DDoS để làm chệch hướng sự chú ý khỏi mục tiêu dự kiến ​​của chúng và sử dụng cơ hội để tiến hành các cuộc tấn công thứ cấp vào các dịch vụ khác trong mạng của bạn.

Mong rằng qua bài viết này của NSV bạn sẽ có được một cái nhìn tổng quan hơn, biết được tấn công DDoS là gì và biết mình phải làm gì để hạn chế được mối nguy hại thường trực này.