Bạn có từng trải nghiệm khi cố gắng truy cập một trang web yêu thích nhưng lại nhận được thông báo "Website này hiện không khả dụng"? Hay khi chơi game online, đột nhiên bị "kick" ra khỏi phòng và không thể kết nối lại? Đó có thể là hậu quả của một cuộc tấn công mạng vô cùng nguy hiểm, được gọi là tấn công DDoS.
Tấn công từ chối dịch vụ phân tán (DDoS attack) là một cuộc tấn công ác ý nhằm làm gián đoạn lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách làm quá tải mục tiêu hoặc cơ sở hạ tầng xung quanh với một lượng lớn lưu lượng Internet.
Các cuộc tấn công DDoS đạt được hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn phát tán lưu lượng tấn công. Các thiết bị bị khai thác có thể bao gồm máy tính và các tài nguyên mạng khác như các thiết bị IoT.
Từ góc độ tổng quan, một cuộc tấn công DDoS giống như một vụ tắc đường bất ngờ, làm kẹt các làn xe, ngăn cản giao thông bình thường đến đích.
Các cuộc tấn công DDoS được thực hiện qua các mạng lưới thiết bị kết nối Internet. Các mạng này bao gồm các máy tính và các thiết bị khác (như thiết bị IoT) bị nhiễm phần mềm độc hại, cho phép chúng bị điều khiển từ xa bởi kẻ tấn công. Những thiết bị này được gọi là bot (hoặc zombie), và tập hợp của chúng gọi là botnet.
Sau khi một botnet được thiết lập, kẻ tấn công có thể điều khiển cuộc tấn công bằng cách gửi lệnh từ xa đến từng bot. Khi máy chủ hoặc mạng của nạn nhân bị tấn công, mỗi bot sẽ gửi các yêu cầu đến địa chỉ IP của mục tiêu, có thể gây quá tải máy chủ hoặc mạng, dẫn đến việc từ chối dịch vụ cho lưu lượng truy cập bình thường.
Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc phân biệt giữa lưu lượng tấn công và lưu lượng bình thường có thể rất khó khăn.
Dấu hiệu rõ ràng nhất của một cuộc tấn công DDoS là trang web hoặc dịch vụ đột ngột trở nên chậm hoặc không khả dụng. Tuy nhiên, vì nhiều nguyên nhân khác cũng có thể gây ra các vấn đề hiệu suất tương tự, cần phải điều tra sâu hơn. Các công cụ phân tích lưu lượng có thể giúp bạn phát hiện một số dấu hiệu đặc trưng của cuộc tấn công DDoS như:
Các cuộc tấn công DDoS nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu cách các cuộc tấn công DDoS khác nhau hoạt động, bạn cần biết cách một kết nối mạng được thiết lập.
Kết nối mạng trên Internet bao gồm nhiều lớp khác nhau, mỗi lớp có một mục đích khác nhau. Mô hình OSI là một khung khái niệm được sử dụng để mô tả kết nối mạng qua 7 lớp khác biệt.
Hầu hết các cuộc tấn công DDoS đều liên quan đến việc làm quá tải thiết bị hoặc mạng của mục tiêu bằng lưu lượng, nhưng các cuộc tấn công có thể được chia thành ba loại chính:
Ví dụ: HTTP flood – Các bot gửi nhiều yêu cầu HTTP GET đến máy chủ, khiến máy chủ không thể xử lý hết các yêu cầu.
Ví dụ: SYN Flood – Kẻ tấn công gửi một lượng lớn các gói SYN, làm cạn kiệt tài nguyên của máy chủ mục tiêu mà không hoàn thành chuỗi bắt tay TCP.
Ví dụ: DNS Amplification – Tấn công khuếch đại lưu lượng DNS, kẻ tấn công gửi các yêu cầu DNS giả mạo với địa chỉ IP của nạn nhân.
Việc phân biệt giữa lưu lượng tấn công và lưu lượng hợp pháp là mấu chốt trong việc giảm thiểu cuộc tấn công DDoS. Các biện pháp phổ biến bao gồm:
Tips: Tham gia Channel Telegram KDATA để không bỏ sót khuyến mãi hot nào
