Khám phá chi tiết về DDoS là gì? Cách thức hoạt động của các cuộc tấn công DDoS và cách chúng ta có thể làm để ngăn chặn tác động của chúng.
Một cuộc tấn công từ chối dịch vụ phân tán – Distributed Denial of Service (DDoS) là gì? Nó là một nỗ lực nhằm phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng. Bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với lưu lượng truy cập Internet.
Các cuộc tấn công DDoS đạt được hiệu quả thế nào? Bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy được khai thác có thể bao gồm máy tính. Tương tự, các tài nguyên được nối mạng khác như thiết bị IoT .
Từ cấp độ cao, một cuộc tấn công DDoS giống như một vụ tắc đường gây tắc nghẽn đường cao tốc. Từ đó, ngăn chặn lưu lượng truy cập thường xuyên đến đích mong muốn.
Nội dung
Cách một cuộc tấn công DDoS hoạt động là gì?
Một cuộc tấn công DDoS yêu cầu kẻ tấn công giành quyền kiểm soát mạng lưới các máy trực tuyến để thực hiện một cuộc tấn công.
Máy tính và các máy khác (như thiết bị IoT) bị nhiễm phần mềm độc hại. Cụ thể là biến mỗi người thành bot (hoặc zombie). Kẻ tấn công sau đó có quyền điều khiển từ xa đối với nhóm bot, được gọi là botnet .
Khi botnet đã được thiết lập, kẻ tấn công có thể điều khiển các máy bằng cách gửi các hướng dẫn cập nhật đến từng bot. Điều này dễ dàng thực hiện thông qua một phương pháp điều khiển từ xa.
Điều gì sẽ xảy ra khi địa chỉ IP của nạn nhân bị botnet nhắm mục tiêu?
Mỗi bot sẽ phản hồi bằng cách gửi yêu cầu đến mục tiêu. Nó có khả năng khiến máy chủ hoặc mạng được nhắm mục tiêu tràn ngập lưu lượng. Từ đó, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập bình thường.
Bởi vì mỗi bot là một thiết bị Internet hợp pháp. Vì vậy, việc tách lưu lượng tấn công khỏi lưu lượng thông thường gặp rất nhiều khó khăn.
Các loại tấn công DDoS phổ biến ?
Các loại tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu cách thức các cuộc tấn công DDoS khác nhau hoạt động, cần phải biết cách kết nối mạng được thực hiện.
Một kết nối mạng trên Internet bao gồm nhiều thành phần khác nhau hoặc các lớp khác nhau. Chẳng hạn, xây dựng một ngôi nhà từ mặt đất lên, mỗi bước trong mô hình có một mục đích khác nhau.
Mô hình OSI dưới đây là một khuôn khổ khái niệm. Nó dùng để mô tả khả năng kết nối mạng trong 7 lớp riêng biệt.
Gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo một thiết bị mục tiêu hoặc mạng có lưu lượng truy cập. Hầu hết, các cuộc tấn công có thể được chia thành ba loại. Kẻ tấn công có thể sử dụng một hoặc nhiều loại tấn công khác nhau hoặc vectơ tấn công theo chu kỳ. Nó có khả năng dựa trên các biện pháp đối phó được thực hiện bởi mục tiêu.
Tấn công lớp ứng dụng trong DDoS là gì?
Mục tiêu của cuộc tấn công:
Đôi khi được gọi là một cuộc tấn công DDoS layer 7 (liên quan đến layer 7 của mô hình OSI). Mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên của mục tiêu.
Các cuộc tấn công nhắm vào lớp nơi các trang web được tạo trên máy chủ. Được phân phối theo yêu cầu HTTP . Một yêu cầu HTTP khi thực hiện ở phía máy khách và có thể tốn kém để máy chủ đích đáp ứng. Vì máy chủ thường phải tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu để tạo trang web.
Các cuộc tấn công layer 7 rất khó để bảo vệ vì lưu lượng có thể khó gắn cờ là độc hại.
HTTP Flood
Cuộc tấn công này tương tự như nhấn làm mới trình duyệt web nhiều lần trên nhiều máy tính khác nhau. Một số lượng lớn yêu cầu HTTP tràn vào máy chủ, dẫn đến từ chối dịch vụ.
Việc triển khai đơn giản là truy cập một URL với cùng một phạm vi tấn công của địa chỉ IP. Các phiên bản phức tạp có thể sử dụng một số lượng lớn địa chỉ IP tấn công và nhắm mục tiêu các URL ngẫu nhiên. Việc này diễn ra bằng cách sử dụng các tham chiếu ngẫu nhiên và tác nhân người dùng.
Tấn công giao thức (protocol)
Mục tiêu của cuộc tấn công:
Các cuộc tấn công giao thức, còn được gọi là các cuộc tấn công cạn kiệt tài nguyên. Từ đó, gây ra sự gián đoạn dịch vụ bằng cách tiêu thụ tất cả dung lượng tài nguyên có sẵn của các máy chủ ứng dụng web. Tương tự, nó cũng tác động đến tài nguyên trung gian như tường lửa (firewall) và cân bằng tải (load balancer).
Ngoài ra, các cuộc tấn công giao thức sử dụng các điểm yếu trong layer 3 và layer 4 của protocol stack. Mục đích là để khiến mục tiêu không thể truy cập được.
SYN Flood
SYN Flood tương tự như một công nhân trong phòng cung cấp. Họ nhận được yêu cầu từ phía trước cửa hàng.
Công nhân nhận được yêu cầu, đi và nhận gói hàng, và chờ xác nhận. Điều này được thực hiện trước khi đưa gói hàng ra phía trước. Công nhân sau đó nhận được nhiều yêu cầu gói hơn mà không cần xác nhận. Họ làm việc đó cho đến khi họ không thể mang thêm gói nào nữa. Tuy nhiên, điều đó sẽ khiến họ trở nên quá tải và yêu cầu bắt đầu không được trả lời.
Cuộc tấn công này khai thác việc bắt tay TCP. Thực hiện bằng cách gửi cho mục tiêu một số lượng lớn các gói SYN TCP (gói yêu cầu khởi tạo kết nối mới). Thực hiện với các địa chỉ IP giả mạo .
Kết luận, máy đích đáp ứng với từng yêu cầu kết nối và sau đó chờ bước cuối cùng trong quá trình. Tuy nhiên, điều này không bao giờ xảy ra, làm cạn kiệt tài nguyên của mục tiêu.
Tấn công thể tích trong DDoS là gì?
Mục tiêu của cuộc tấn công:
Kiểu tấn công này tạo ra tắc nghẽn bằng cách tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và Internet. Một lượng lớn dữ liệu được gửi đến mục tiêu. Thực hiện bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện khác. Mục tiêu để tạo lưu lượng lớn, chẳng hạn như các yêu cầu từ botnet.
Khuếch đại DNS
Sự khuếch đại DNS giống như nếu ai đó gọi cho một nhà hàng. Sau đó, nói rằng tôi sẽ có một trong tất cả mọi thứ. Tiếp tục, yêu cầu vui lòng gọi lại cho tôi. Cuối cùng là cho tôi biết toàn bộ đơn hàng của tôi, trong đó số điện thoại gọi lại họ cung cấp số của mục tiêu. Với rất ít nỗ lực, một phản ứng dài được tạo ra.
Bằng cách gửi yêu cầu đến máy chủ DNS mở có địa chỉ IP giả mạo (địa chỉ IP thực của mục tiêu). Địa chỉ IP đích sau đó sẽ nhận được phản hồi từ máy chủ.
Kẻ tấn công cấu trúc yêu cầu sao cho máy chủ DNS phản hồi mục tiêu với một lượng lớn dữ liệu. Kết quả là, mục tiêu nhận được sự khuếch đại truy vấn ban đầu của kẻ tấn công.
Quá trình để giảm thiểu một cuộc tấn công DDoS là gì?
Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là gì? Chính là phân biệt giữa tấn công và lưu lượng truy cập bình thường.
Ví dụ:
Nếu trang web của công ty nhận được nhiều sự quan tâm của mọi người. Tuy nhiên, không nên cắt đứt tất cả lưu lượng truy cập. Trừ khi công ty đó đột nhiên có sự gia tăng lưu lượng truy cập từ kẻ xấu được biết trước. Lúc này, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết.
Khó khăn nằm ở việc phân biệt khách hàng thực sự và lưu lượng tấn công.
Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng có thể thay đổi trong thiết kế từ các cuộc tấn công nguồn đơn không giả mạo. Tương tự đến các cuộc tấn công đa vector phức tạp và thích ứng.
Một cuộc tấn công DDoS đa phương thức sử dụng nhiều con đường tấn công. Mục đích là để áp đảo mục tiêu theo nhiều cách khác nhau. Vì vậy, nó có khả năng làm mất tập trung các nỗ lực giảm thiểu trên bất kỳ một quỹ đạo nào.
Một cuộc tấn công nhắm vào nhiều lớp của giao thức cùng một lúc. Chẳng hạn như khuếch đại DNS (nhắm vào layer 3/4) kết hợp với lũ HTTP (nhắm vào layer 7). Đây là một ví dụ về DDoS đa phương thức.
Vậy làm thế nào để giảm thiểu một cuộc tấn công DDoS đa phương thức? Điều này đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau.
Tóm lại:
Nói chung, cuộc tấn công càng phức tạp, lưu lượng truy cập càng khó tách khỏi lưu lượng thông thường. Mục tiêu của kẻ tấn công là phối hợp càng nhiều càng tốt. Từ đó, làm giảm thiểu hiệu quả của việc ngăn chặn nhất có thể.
Thông thường, một số cá nhân áp dụng cách giảm hoặc hạn chế traffic một cách bừa bãi. Điều này có thể tác động đến cả traffic tốt và xấu. Để vượt qua một nỗ lực phức tạp về sự gián đoạn, một giải pháp lớp sẽ mang lại lợi ích lớn nhất.
Blackhole
Một giải pháp khả dụng cho hầu hết tất cả các quản trị viên mạng. Đó là tạo blackhole. Nói cách khác, ở dạng đơn giản nhất, khi blackhole filter được triển khai mà không có tiêu chí hạn chế cụ thể. Điều này khiến cả lưu lượng truy cập mạng không hợp pháp và độc hại được chuyển đến null route hoặc blackhole. Cuối cùng bị loại khỏi mạng.
Nếu một dịch vụ Internet đang gặp phải một cuộc tấn công DDoS thì phải làm thế nào? Nhà cung cấp dịch vụ Internet (ISP) của dịch vụ đó có thể gửi tất cả lưu lượng truy cập của trang web vào một blackhole như một sự bảo vệ.
Giới hạn tần số
Có một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ. Chính là, giới hạn số lượng yêu cầu máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định.
Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm các kẻ phá hoại web khỏi việc đánh cắp nội dung. Tương tự, giảm thiểu các nỗ lực đăng nhập xấu. Tuy nhiên, một mình nó sẽ không đủ khả năng để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả.
Tóm lại, giới hạn tần số là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả.
Web Application Firewall
Web Application Firewall (WAF) là một công cụ có thể hỗ trợ trong việc giảm thiểu tấn công DDos ở layer 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc. WAF có thể hoạt động như một reverse proxy. Nó bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại.
Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng. Nhờ đó, xác định các công cụ DDoS. Các cuộc tấn công layer 7 có thể bị ngăn chặn. Một giá trị quan trọng của WAF hiệu quả là khả năng thực hiện nhanh chóng các rule tùy chỉnh. Điều này giúp đáp ứng với một cuộc tấn công. Một phần quan trọng của giảm thiểu DDoS do Vietnix triển khai là việc sử dụng WAF. Với bộ lọc được nâng cấp sau nhiều năm kinh nghiệm thực chiến.
Xem thêm:
Anycast
Cách tiếp cận giảm thiểu này sử dụng mạng Anycast. Mục đích để phân tán lưu lượng tấn công qua mạng của các máy chủ phân tán đến điểm lưu lượng được mạng hấp thụ.
Giống như chuyển một dòng sông ào ạt xuống các kênh nhỏ hơn riêng biệt. Cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến điểm có thể quản lý được. Đồng thời, khuếch tán bất kỳ khả năng gây rối nào.
Độ tin cậy của mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công. Tương tự, cũng như quy mô và hiệu quả của mạng.
Hy vọng bài viết này giúp bạn hiểu thêm về DDoS là gì. Hãy tham khảo Firewall chống DDoS mà chúng tôi triển khai tại VIETNIX để giảm thiểu nhiều nguy cơ tấn công nhất có thể.