Tấn công DDOS là gì? Tấn công DDoS hoạt động như thế nào?

Tấn công DDoS là gì?

Viết tắt của Distributed Denial of Service (tạm dịch là từ chối dịch vụ phân tán), DDoS cuộc tấn công áp đảo một dịch vụ bằng các yêu cầu, buộc dịch vụ đó phải ngoại tuyến.

Khi bạn nghe nói về một trang web hoặc game bị tin tặc đánh sập, điều đó có nghĩa là chúng đang bị tấn công DDoS. Những kẻ tấn công nhắm mục tiêu vào một trang web, dịch vụ hoặc game nào đó và làm tràn ngập các máy chủ đang chạy với các yêu cầu dữ liệu. Số lượng yêu cầu có thể nhanh chóng “làm ngợp” cơ sở hạ tầng máy chủ lưu trữ dịch vụ, buộc dịch vụ phải ngoại tuyến.

Tấn công DDoS hoạt động như thế nào?

Trong một cuộc tấn công DDoS, dữ liệu (data) không nhất thiết phải là nhiều tệp lớn được yêu cầu tải xuống. Thường là ngược lại, khi hàng nghìn máy đồng thời thực hiện yêu cầu dữ liệu nhỏ. Mặc dù mỗi yêu cầu đều nhỏ nhưng số lượng yêu cầu sẽ khuếch đại hiệu ứng trên hàng nghìn thiết bị.

Vậy ai kiểm soát hàng ngàn máy tính mà tin tặc có thể sử dụng để gửi yêu cầu đến một máy chủ?

Phần lớn, các cuộc tấn công DDoS đến từ các mạng botnet lớn, các nhóm máy tính bị xâm nhập nằm dưới sự kiểm soát của kẻ tấn công. Kẻ tấn công có thể hướng sức mạnh botnet của chúng vào một mục tiêu, làm tràn ngập trang web hoặc máy chủ game với các yêu cầu, khiến chúng không thể hoạt động.

Hướng một lượng lớn lưu lượng truy cập vào nạn nhân sẽ chặn mọi lưu lượng truy cập thông thường vào trang web hoặc dịch vụ, gây ra sự từ chối dịch vụ. Lưu lượng truy cập đến từ nhiều nguồn có nghĩa là cuộc tấn công được phân tán, do đó loại hình tấn công này có tên là từ chối dịch vụ phân tán.

Tấn công lớp ứng dụng

Một cuộc tấn công DDoS lớp ứng dụng (Application Layer Attack) nhắm vào các yêu cầu đến trang web, thực hiện đồng thời một số lượng lớn các yêu cầu dữ liệu. Ví dụ: kẻ tấn công có thể thực hiện hàng nghìn yêu cầu tải xuống một tệp nào đó, khiến máy chủ chậm đến gần như ngừng hẳn. 

Hầu như không thể phân biệt được các yêu cầu này với các yêu cầu của người dùng thông thường, điều này làm cho việc đối phó với một cuộc tấn công DDoS lớp ứng dụng trở nên khó khăn.

Các cuộc tấn công DDoS lớp ứng dụng tập trung chủ yếu vào làm rối loạn lưu lượng HTTP. Một kiểu tấn công DDoS lớp ứng dụng phổ biến là HTTP Flood, trong đó tin tặc tạo càng nhiều yêu cầu HTTP càng nhanh càng tốt. Hãy nghĩ về nó giống như nhấn nút load lại trình duyệt của bạn hàng nghìn lần, nhưng hàng nghìn trình duyệt khác cũng đang lđồng thời làm như vậy.

Tấn công giao thức

Một cuộc tấn công giao thức (Protocol Attack) nhắm vào mạng của nạn nhân, nhắm vào các tài nguyên máy chủ khác. Ví dụ: một cuộc tấn công giao thức có thể làm quá tải tường lửa, khiến chúng ngừng hoạt động.

Một cuộc tấn công DDoS SYN Flood là một ví dụ. Khi bạn thực hiện một yêu cầu trên internet, ba điều sẽ diễn ra. Đầu tiên, yêu cầu dữ liệu, được gọi là SYN (viết tắt của Synchronization, nghĩa là Đồng bộ hóa). Thứ hai, phản hồi đối với yêu cầu dữ liệu, được gọi là ACK (viết tắt của Acknowledgement, nghĩa là Xác nhận). Cuối cùng là SYN-ACK, cơ bản là người yêu cầu xác nhận dữ liệu đã đến. Cả ba điều này diễn ra trong chớp mắt.

SYN Flood về cơ bản sẽ gửi hàng loạt gói SYN giả mạo từ các địa chỉ IP giả mạo, nghĩa là ACK phản hồi lại một địa chỉ giả mạo, địa chỉ này sẽ không bao giờ phản hồ lại. Yêu cầu vẫn ở đó trong khi nhiều hơn càng lúc càng có nhiều yêu cầu mới đến chồng chất, gây ra sự từ chối dịch vụ.

Tấn công số lượng lớn

Một cuộc tấn công DDoS số lượng lớn (Volumetric Attack) hoạt động tương tự như một cuộc tấn công lớp ứng dụng, làm tràn ngập máy chủ mục tiêu với các yêu cầu, nhưng với một công cụ sửa đổi (modifier) có thể khuếch đại số lượng yêu cầu đồng thời.

Khuếch đại DNS (DNS Amplification) là một ví dụ điển hình của một loại hình tấn công này. Khi tin tặc đưa ra yêu cầu tới máy chủ, nó sẽ bao gồm một địa chỉ giả mạo, thường là địa chỉ IP của chính mục tiêu. Mỗi yêu cầu quay lại địa chỉ IP mục tiêu, khuếch đại số lượng yêu cầu.

Tại sao sử dụng một cuộc tấn công DDoS?

Có nhiều lý do tại sao kẻ tấn công sẽ chọn DDoS một mục tiêu, ví dụ như che đậy cho một hướng tấn công khác hoặc gây thiệt hại về tài chính cho nạn nhân.

• Gián đoạn dịch vụ: Cốt lõi của DDoS là sự gián đoạn dịch vụ. Nếu bạn làm ngập máy chủ dịch vụ với các yêu cầu, người dùng thông thường không thể truy cập dịch vụ. Trong một số trường hợp, các cuộc tấn công DDoS đã được dùng để hạ gục đối thủ cạnh tranh, buộc người dùng dịch vụ phải chuyển sang dùng dịch vụ của một nhà cung cấp khác. 
• Chính trị: Một số nhóm hacker vì mục tiêu chính trị, chẳng hạn như Anonymous, nổi tiếng với việc sử dụng các cuộc tấn công DDoS để hạ gục mục tiêu ngoại tuyến trong thời gian dài. Một cuộc tấn công DDoS có thể khiến doanh nghiệp hoặc tổ chức phải trả giá đáng kể về thời gian ngừng hoạt động, chi phí máy chủ, phí dữ liệu, v.v. TĐánh sập các trang web của chính phủ bằng cách sử dụng DDoS có thể buộc chính phủ phải hành động hoặc là một cách thể hiện sự phản đối.
• Vỏ bọc cho cuộc tấn công lớn hơn: DDoS cũng có thể là vỏ bọc cho một vectơ tấn công khác, với mục đích là để giữ cho nhóm phản ứng mạng hoặc CNTT không được rảnh tay. Cùng lúc đó, cuộc tấn công thực sự diễn ra ở nơi khác. Đã có nhiều ví dụ về các doanh nghiệp tội phạm sử dụng kỹ thuật đánh lạc hướng DDoS này để thực hiện các hành vi tội phạm khác.

Các cuộc tấn công DDoS sẽ không dừng lại

Do các cuộc tấn công DDoS tiếp tục đánh sập thành công nhiều máy chủ, trang web và dịch vụ trò chơi điện tử, những kẻ tấn công sẽ tiếp tục coi đó là một lựa chọn khả thi trong tương lai.

Vân Nguyễn

Dịch từ: https://www.makeuseof.com/what-is-ddos-attack/