Tìm hiểu hệ thống DDOS (Anti DDOS), DoS và cách phòng tránh

Có thể bạn đã từng nghe nhiều về DoS, DDoS hay tấn công từ chối dịch vụ và cũng có thể đã từng là nạn nhân của kiểu tấn công này. Vậy DoS, DDoS là gì, dấu hiệu nào để nhận biết DoS, DDoS và tác hại của chúng ra sao?

Hãy cùng Muakey tìm hiểu bài viết này bạn nhé!

DoS là gì?

DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch vụ DoS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ/mạng đó.

Kẻ tấn công thực hiện điều này bằng cách nào?

Kẻ tấn công “tuồn” ồ ạt traffic hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi.

Nạn nhân của tấn công DoS thường là máy chủ web của các tổ chức cao cấp như ngân hàng, doanh nghiệp thương mại, công ty truyền thông, các trang báo, mạng xã hội…

Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem.

Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.

Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email của công ty hay dùng dịch vụ miễn phí như Gmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản.

Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể làm đầy hòm thư đến và ngăn chặn bạn nhận được các mail khác.

DDoS là gì?

DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.

Khi DDoS, kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn.

Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máy tính của bạn để thực hiện tấn công Dos.

Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn.

Có ba loại tấn công cơ bản:

– Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng

– Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ

– Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất

So sánh DoS và DDoS

Để biết được sự khác biệt giữa DoS và DDoS là gì, bạn cần nắm được khái niệm của DoS. DoS là cụm từ viết tắt của Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch vụ DoS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ/mạng đó.

Nạn nhân của tấn công DoS thường là máy chủ web của các tổ chức cao cấp như ngân hàng, doanh nghiệp thương mại, công ty truyền thông, các trang báo, mạng xã hội…

Tóm lại, tấn công DoS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy tính của nạn nhân và đánh “sập” nó. Tấn công DoS là một cuộc tấn công trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên một trang web.

Còn trong cuộc tấn công DDoS, các cuộc tấn công được thực hiện từ nhiều địa điểm khác nhau bằng cách sử dụng nhiều hệ thống.

Lý do của cuộc tấn công DDoS là gì?

Có thể bạn sẽ nghĩ rằng việc tấn công DDoS không đem lại lợi ích gì cho hacker, nhưng bạn đã nhầm! Việc tấn công DDoS đem lại nhiều hơn những gì bạn nghĩ cho chính những kẻ tấn công. Vậy những “lợi ích” từ cuộc tấn công DDoS là gì?

  – Về tài chính

Tấn công DDoS thường được kết hợp với tấn công Ransomware. Những kẻ tấn công thường là một phần của một nhóm tội phạm có tổ chức. Thậm chí, các doanh nghiệp đối thủ cũng có thể thực hiện tấn công DDoS để có được lợi thế cạnh tranh.

– Về bất đồng về ý thức hệ

Các cuộc tấn công thường nhắm vào các cơ quan quản lý hay các nhóm biểu tình áp bực trong chính trị. Những cuộc tấn công này thường được tiến hành để hỗ trợ một hệ thống chính trị hay tôn giáo cụ thể.

  – Về chiến thuật:

Trong trường hợp này, tấn công DDoS thường chỉ là một phần trong các chiến dịch lớn. Đôi khi, các chiến dịch còn kết hợp với tấn công vật lý hay tấn công phần mềm.

– Về thương mại:

Tấn công DDoS có thể thu thập được những thông tin hoặc gây thiệt hại cho các ngành công nghiệp cụ thể. Lấy ví dụ, các cuộc tấn công vào Sony, British Airways…khiến người tiêu dùng mất niềm tin vào cả ngành công nghiệp ấy.

  – Về mục đích tống tiền:

Các cuộc tấn công có thể được sử dụng cho các lợi ích cá nhân, hoặc thậm chí tống tiền.

  – Về việc tấn công do nhà nước:

Một số cuộc tấn công DDoS được tiến hành nhằm gây rối loạn trong quân sự cũng như người dân.

Làm thế nào để tránh bị tấn công từ chối dịch vụ?

Thực sự không có một biện pháp cụ thể nào để tránh trở thành nạn nhân của DoS hay DDoS. Tuy nhiên chúng tôi sẽ giới thiệu cho các bạn vài bước với mục đích giảm bớt phần nào kiểu tấn công mà sẽ sử dụng máy tính của bạn đế đi tấn công máy tính khác.

Cụ thể, ví dụ như đối với 1 data center, nên triển khai các biện pháp phòng tránh sau:

Các ISP thường có bảo vệ DDoS ở lớp 3 và Lớp 4 (lưu lượng mạng), nhưng lại bỏ qua Lớp 7, nơi bị nhắm làm mục tiêu nhiều hơn, và nhìn chung thì sự đồng đều ở các lớp bảo vệ cũng không được đảm bảo.

Các công ty xử lý DDoS:

họ sử dụng cơ sở hạ tầng hiện có của mình để chống lại bất kỳ mối đe dọa nào đến với họ. Thông thường, điều này được thực hiện thông qua cân bằng tải (load balancer), mạng phân phối nội dung (CDN) hoặc kết hợp cả hai.

Các trang web nhỏ hơn và các dịch vụ có thể thuê bên ngoài của các bên thứ ba nếu họ không có vốn để duy trì một loạt các máy chủ.

Các nhà cung cấp dịch vụ chống DDoS luôn sẵn sàng. Thông thường, họ sẽ định tuyến lại lưu lượng truy cập đến của bạn thông qua hệ thống của riêng họ và “fresh” nó để chống lại các phương thức tấn công đã biết.

Họ có thể quét các lưu lượng truy cập đáng ngờ từ các nguồn hoặc từ các geolocation không phổ biến. Hoặc họ cũng có thể định tuyến lại lưu lượng truy cập hợp pháp của bạn khỏi các nguồn botnet.

Hầu hết các tường lửa hiện đại và Hệ thống bảo vệ xâm nhập (Intrusion Protection Systems – IPS) đều cung cấp khả năng phòng thủ trước các cuộc tấn công DDoS.

Các thiết bị này có thể ở dưới dạng một thiết bị duy nhất quét tất cả lưu lượng truy cập đến hệ thống hoặc phần mềm được phân phối ở cấp máy chủ. Các ứng dụng chống DDoS chuyên dụng cũng có sẵn trên thị trường và có thể bảo vệ tốt hơn trước các cuộc tấn công nhắm vào Lớp 7.

Quét mạng thường xuyên và theo dõi lưu lượng với các cảnh báo cũng có thể giúp bạn nắm bắt được những nguy cơ của một cuộc tấn công DDoS sớm, cũng như đưa ra những hành động để giảm thiểu thiệt hại.

Nhận biết các cuộc tấn công Dos và DDos

Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một tấn công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các quản trị viên đang thực hiện việc bảo trì và quản lý.

Mặc dù thế nhưng với các triệu chứng dưới đây bạn có thể nhận ra tấn công DoS hoặc DdoS:

Nên làm gì nếu bạn nghĩ mình đang bị tấn công từ chối dịch vụ?

Cho dù bạn có xác định đúng tấn công DoS hoặc DdoS đi chăng nữa thì bạn cũng không thể xác định được nguồn hoặc đích của tấn công. Chính vì vậy bạn nên liên hệ đến các chuyên gia kỹ thuật để được hỗ trợ.