Các hình thức tấn công DDoS L3, L4, L7 và cách khắc phục

"Tấn công" máy chủ là 1 thuật ngữ nói chung. Tấn công DDoS (từ chối dịch vụ) cũng có nhiều loại khác nhau. Để đơn giản, chúng ta chia làm 2 loại L3, L4 - ngập băng thông và L7 quá tải máy chủ. ở bài viết này, HostingViet tập trung vào khái quát các hình thức tấn công vào Layer 7, mục tiêu là làm quá tải Service của máy chủ. Đặc điểm là băng thông nhỏ (vài trăm kbps hoặc vài Mbps) nhưng lại làm máy chủ load cao.

Một cuộc tấn công DDoS cho phép tin tặc làm tràn ngập mạng hoặc làm máy chủ load cao với lưu lượng truy cập không có thật. Quá nhiều lưu lượng làm quá tải tài nguyên và làm gián đoạn kết nối, ngăn hệ thống xử lý các yêu cầu thật của người dùng. Dịch vụ trở nên không khả dụng và Doanh nghiệp có server bị tấn công phải chịu thời gian ngừng hoạt động kéo dài, mất doanh thu và khách hàng không hài lòng. Việc tấn công DDoS không làm lộ dữ liệu, hiếm có trường hợp tấn công máy chủ trong thời gian dài, máy chủ không chạy trong điều kiện tiêu chuẩn gây cháy nổ.

Bài viết này giải thích cách một doanh nghiệp có thể ngăn chặn các cuộc tấn công DDoS một cách chủ động. Các phương pháp mà chúng tôi trình bày dưới đây giúp giảm thiểu tác động của DDoS và đảm bảo khôi phục nhanh chóng khi bị tin tặc tấn công DDoS.

Tấn công DDoS là gì?

DDoS (Từ chối dịch vụ phân tán) là một cuộc tấn công mạng nhằm mục đích làm sập mạng (Máy chủ sẽ không giao tiếp được ra bên ngoài), dịch vụ hoặc máy chủ bằng cách làm ngập hệ thống với lưu lượng giả mạo. Sự gia tăng đột ngột về tin nhắn, yêu cầu kết nối hoặc gói tin lấn át cơ sở hạ tầng của mục tiêu và khiến hệ thống giảm tốc độ hoặc sự cố. Tấn công ở tầng 7 (Layer 7) là tấn công giả mạo giống như người dùng, làm máy chủ quá tải dẫn đến không xử lý được các yêu cầu của người dùng thật.

Trong khi một số tin tặc sử dụng các cuộc tấn công DDoS để tống tiền một doanh nghiệp trả tiền chuộc (tương tự như ransomware ), các động cơ phổ biến hơn đằng sau DDoS là:

  1. Làm gián đoạn các dịch vụ hoặc thông tin liên lạc.
  2. Gây thiệt hại cho thương hiệu.
  3. Giành được lợi thế kinh doanh trong khi trang web của đối thủ cạnh tranh không hoạt động.
  4. Đánh lạc hướng đội ứng phó sự cố.
  5. Các cuộc tấn công DDoS là mối nguy hiểm đối với các doanh nghiệp thuộc mọi quy mô. Theo thống kê, tin tặc DDoS thường nhắm mục tiêu nhất:
  • - Các nhà bán lẻ trực tuyến.
    - Các nhà cung cấp dịch vụ CNTT.
    - Các công ty tài chính và fintech.
    - Các cơ quan chính phủ.
    - Các công ty đánh bạc và trò chơi trực tuyến, các website "đen" cũng hay bị nhòm ngó.
  • Những kẻ tấn công thường sử dụng mạng Botnet để gây DDoS. Mạng botnet là một mạng liên kết gồm các máy tính, thiết bị di động và tiện ích IoT bị nhiễm phần mềm độc hại dưới sự kiểm soát của kẻ tấn công. Tin tặc sử dụng các thiết bị "thây ma" này để gửi quá nhiều yêu cầu đến một trang web mục tiêu hoặc địa chỉ IP của máy chủ.

Khi mạng botnet gửi đủ yêu cầu, các dịch vụ trực tuyến (email, trang web, ứng dụng web, v.v.) sẽ chậm lại hoặc quá tải. Theo báo cáo của Radware, đây là độ dài trung bình của một cuộc tấn công DDoS:

33% giữ cho các dịch vụ không hoạt động trong một giờ.
60% kéo dài dưới một ngày.
15% kéo dài trong một tháng.
Mặc dù DDoS thường không trực tiếp dẫn đến vi phạm hoặc rò rỉ dữ liệu, nhưng nạn nhân dành thời gian và tiền bạc để đưa dịch vụ trở lại trực tuyến. Mất công việc kinh doanh, giỏ hàng bị bỏ rơi, người dùng thất vọng và tổn hại danh tiếng là những hậu quả thường thấy khi không ngăn chặn được các cuộc tấn công DDoS

Sơ đồ tấn công DDoS

Tham khảo: Phòng chống DDOS cho trang web (6+ cách)

Tại sao Máy chủ của Bạn bị tấn công DDoS?

Có 3 nguyên nhân chính dẫn đến việc máy chủ của Bạn bị tấn công DDoS.

Thứ nhất: Do đối thủ của Bạn tấn công / thuê người tấn công DDoS từ chối dịch vụ.

Thứ 2: Vô tình Bạn trở thành "Người đồng hành bị DDoS" trong trường hợp Bạn sử dụng chung máy chủ bị tấn công hoặc mạng bị tấn công. Trường hợp này do bạn bị "vạ lây" chứ không phải máy chủ của Bạn là mục tiêu bị tấn công. Hãy hỏi nhà cung cấp dịch vụ VPS / Server / Hosting của Bạn để biết trường hợp này. Bạn có thể chuyển dịch vụ về HostingViet để không gặp phiền toái này nữa (Chat nhanh qua Zalo 0356.95.86.88

Các loại tấn công DDoS

Trong khi tất cả các cuộc tấn công DDoS đều nhằm mục đích áp đảo một hệ thống có quá nhiều hoạt động, tin tặc có các chiến lược khác nhau mà chúng dựa vào để gây ra tình trạng từ chối dịch vụ phân tán.

Các ba loại chính của cuộc tấn công là:

Các cuộc tấn công ở lớp ứng dụng (Application-layer attacks)
Các cuộc tấn công giao thức. (Protocol attacks.)
Các cuộc tấn công theo thể tích. (Volumetric attacks)

Ba cách tiếp cận dựa trên các kỹ thuật khác nhau, nhưng một tin tặc lành nghề có thể sử dụng cả ba chiến lược để áp đảo một mục tiêu duy nhất.

Các cuộc tấn công ở lớp ứng dụng Application-layer attacks (L7)

Một cuộc tấn công ở lớp ứng dụng nhắm mục tiêu và làm gián đoạn một ứng dụng cụ thể, không phải toàn bộ mạng. Một tin tặc tạo ra một số lượng lớn các yêu cầu HTTP / SSL làm cạn kiệt khả năng phản hồi của máy chủ mục tiêu. Đặc điểm là lưu lượng băng thông rất nhỏ (vài trăm Kbps hoặc vài Mbps)

Các chuyên gia an ninh mạng đo lường các cuộc tấn công lớp ứng dụng theo yêu cầu mỗi giây (Requests Per Second - RPS ). Các mục tiêu phổ biến của các cuộc tấn công này bao gồm:

  1. Ứng dụng web.
  2. Ứng dụng có kết nối Internet.
  3. Dịch vụ điện toán đám mây.

Việc cố gắng ngăn chặn các cuộc tấn công DDoS kiểu này là một thách thức vì các nhóm bảo mật thường phải vật lộn để phân biệt giữa các yêu cầu HTTP của người dùng và request độc hại. Các cuộc tấn công này sử dụng ít tài nguyên hơn các chiến lược DDoS khác và một số tin tặc thậm chí có thể chỉ sử dụng một thiết bị duy nhất để điều phối một lớp ứng dụng tấn công. 

Các cuộc tấn công giao thức Protocol Attacks Protocol attacks

Các cuộc tấn công DDoS theo giao thức (hoặc các cuộc tấn công lớp mạng) khai thác các điểm yếu trong các giao thức hoặc quy trình chi phối truyền thông internet. Mặc dù DDoS cấp ứng dụng nhắm mục tiêu vào một ứng dụng cụ thể, mục tiêu của cuộc tấn công giao thức là làm chậm hoặc KHÔNG THỂ truy cập toàn bộ mạng. 

Hai loại tấn công DDoS dựa trên giao thức phổ biến nhất là:

SYN floods: Cuộc tấn công này khai thác quy trình bắt tay (handshake) TCP. Kẻ tấn công sẽ gửi các yêu cầu TCP có địa chỉ IP giả đến mục tiêu. Hệ thống đích phản hồi và chờ người gửi xác nhận bắt tay. Vì kẻ tấn công không bao giờ gửi phản hồi để hoàn thành quá trình bắt tay, các quy trình không hoàn chỉnh chồng chất và cuối cùng làm hỏng máy chủ.

Smurf DDoS: Một tin tặc sử dụng phần mềm độc hại để tạo một gói mạng gắn với một địa chỉ IP sai (giả mạo). Gói này chứa một thông báo ping ICMP yêu cầu mạng gửi lại phản hồi. Tin tặc sẽ gửi phản hồi (vọng lại) cho địa chỉ IP mạng lại, tạo ra một vòng lặp vô hạn cuối cùng làm hệ thống bị treo.

Các chuyên gia an ninh mạng đo lường các cuộc tấn công giao thức theo gói tin trên giây (packets per second PPS) hoặc bit trên giây (bits per second - BPS).

Các cuộc tấn công theo khối lượng  Volumetric attacks

Một cuộc tấn công DDoS dựa trên khối lượng tiêu thụ băng thông có sẵn của mục tiêu với các yêu cầu dữ liệu sai và tạo ra tắc nghẽn mạng. Đây là loại tấn công "tay to" và tiêu tốn tài nguyên. Nếu độ lớn Băng thông của Bạn không lớn hơn băng thông của cuộc tấn công, dịch vụ sẽ bị down.

Ví dụ dễ hình dung là máy chủ của Bạn có cổng mạng 10Gbps, tin tặc sẽ gửi các yêu cầu vượt quá 10Gbps, khiến cho các yêu cầu của người dùng thật sẽ không đến được máy chủ và ngược lại. Nếu quy mô chưa đủ lớn, thì dịch vụ vẫn hoạt động bình thường, nếu gần Full port, dịch vụ có thể chập chờn.

Các loại tấn công DDoS theo thể tích phổ biến nhất là:

UDP floods: Các cuộc tấn công này cho phép tin tặc áp đảo các cổng trên máy chủ mục tiêu bằng các gói IP chứa giao thức UDP không trạng thái.
Khuếch đại DNS (hoặc phản chiếu DNS): Cuộc tấn công này chuyển hướng số lượng lớn các yêu cầu DNS đến địa chỉ IP của mục tiêu.

ICMP floods: Chiến lược này sử dụng các yêu cầu lỗi ICMP false để làm quá tải băng thông của mạng.
Tất cả các cuộc tấn công theo khối lượng đều dựa vào mạng botnet. Tin tặc sử dụng đội quân thiết bị bị nhiễm phần mềm độc hại để gây tăng đột biến lưu lượng truy cập và sử dụng hết băng thông hiện có. Các cuộc tấn công theo khối lượng là loại DDoS phổ biến nhất và khó ngăn chặn nhất. Nó có thể làm sập mạng của cả Datacenter. 

Các biện pháp Chống tấn công DDoS

Chống tấn công DDoS có nhiều hình thức, phụ thuộc và hạ tầng (Băng thông, cấu hình máy chủ), loại máy chủ (Linux, windows, ứng dụng, webserver, Game, VPN...). Với mỗi loại sẽ có các cách chống tấn công chung & riêng theo từng đặc điểm chung của mỗi loại.

Chống tấn công DDoS từ chối dịch vụ Layer 3, Layer 4

Đây là hình thức tấn công "khó chịu" nhất. Nó đánh vào độ lớn của băng thông, bị nghẽn ngay ở cửa rồi thì không cách gì chống được. Ở hình thức này, "kinh nghiệm" không giúp ích được gì nhiều trong việc chống DDoS.

Biện pháp là Cần phải CHẶN TRƯỚC khi các gói tin của Tin tặc gửi tới Server.

  1. Phát hiện và nhờ nhà cung cấp chặn trước khi vào máy chủ, chặn IP từ quốc gia tấn công. Nếu máy chủ của Bạn ở VN thì khá yên tâm là các IP tấn công không nhiều ở VN. nên việc chặn này khá hiệu quả.
  2. Biện pháp khác là "tăng độ lớn băng thông", nhưng điều này sẽ làm tăng thêm khá nhiều ngân sách của Bạn.
  3. Biện pháp hiệu quả hơn là thuê dịch vụ có sẵn dịch vụ chống DDoS. Tại HostingViet. dịch vụ Hosting, VPS được mặc định chống DDoS tới 20Gbps mỗi dịch vụ và nó miễn phí. Bạn không cần trả thêm "phí chống DDoS"

Xem bảng giá Hosting

Xem bảng giá VPS  

Chống tấn công DDoS ở tầng L7

ở tầng này, việc chống DDoS phụ thuộc vào các rule set. Chủ yếu các phương thức tấn công sẽ là tcp, Packets per Second Threshold, HTTP, HTTP Spam, HTTP Zeus, HTTP Socket, UAM Ghost, Browser HADES, Browser STORM, Browser ATHENA, Browser-ARES... 

Chủ yếu sẽ làm quá tải database, webserver.

Keyword để xử lý là: Rate Limit

Chống tấn công DDoS bằng cách chuẩn bị phần cứng mạnh mẽ hơn

Phần cứng ở đây chủ yếu là CPU thật tốt. Vì đa số các cuộc tấn công sẽ làm treo CPU. Nhưng cách này cũng chỉ "đỡ" 1 chút thôi. Vì thực tế, chỉ với 100kbps, có thể bắn sập cả Server vật lý khủng hàng trăm core nếu không được bảo vệ. tất nhiên, phần cứng mạnh mẽ vẫn là ưu thế. 

Ngoài ra để chống lụt băng thông (UDP) thì cần nâng cấp băng thông mạng. thông thường, Bạn sẽ cần từ 10Gbps trở lên nếu không có thiết bị chống DDoS chuyên dụng.

Chống tấn công DDoS bằng cách Caching

Chủ yếu các cuộc tấn công nhằm vào database - việc caching sẽ giải quyết được các request lặp lại. Cũng xử lý được khá nhiều cuộc tấn công DDoS quy mô nhỏ và kém tinh vi. Nhưng với các Attacker chuyên nghiệp, họ luôn biết cách làm cho máy chủ làm việc nhiều nhất, nên cách này cũng ko giải quyết triệt để vấn đề.

Chống tấn công DDoS bằng cách phối hợp với nhà cung cấp dịch vụ 

Thật tuyệt vời, đa số các nhà cung cấp dịch vụ đều có chương trình chống DDoS. Tất nhiên Bạn sẽ cần trả mức phí riêng cho dịch vụ này. 

Nhưng tại HostingViet, việc chống DDoS chủ động hoàn toàn miễn phí. để biết thêm chi tiết, vui lòng chat với tư vấn viên tại góc phải màn hình của Bạn. Hoặc Zalo 0356958688

Chống tấn công DDoS bằng cách phân tích & xử lý từng loại hình tấn công cụ thể

Cách này cần kỹ năng tin học tốt hoặc monitor từ thiết bị chuyên dụng. Tại HostingViet, chúng tôi sử dụng thiết bị chống DDoS chuyên dụng. Vì vậy có thể phân tích đặc điểm chung của các request vào máy chủ của Bạn, và đưa ra cơ chế phòng chống cụ thể. trong trường hợp các rule tự động không chặn hết. 

Tức là các request đó sẽ được chặn trước khi tiếp cận được máy chủ bị tấn công. Điều này tăng công suất làm việc của máy chủ Khách hàng. Tiết kiệm chi phí rất nhiều cho khách hàng.


Cách chống tấn công DDoS cho máy chủ web bằng Cloudflare

Cloudflare là website chống DDoS thông qua DNS lớn nhất trên thế giới. Với bản miễn phí, website của Bạn cũng được bảo vệ ở mức cơ bản. nhưng Cloudflare cũng dễ dàng "bypass" ngay cả với bản trả phí. Và vô tình trở thành zombi tấn công website.

1 điểm yếu nữa là clf không chống được cho các ứng dụng chạy trên máy chủ không phải nền tảng web.

(Tạm thời) Cách chống tấn công DDoS bằng cách "chặn IP Quốc tế"

Có nhiều cách để chặn IP quốc tế truy cập máy chủ, từ switch, trên máy chủ. tuy nhiên sẽ không chặn được hình thức tấn công UDP lụt đường truyền.

Cloudflare cũng có tùy chọn chặn IP theo quốc gia.

Hi vọng bài viết này sẽ giúp được Quý Anh Chị hiểu cơ bản về DDoS. tất công DDoS có nhiều hình thức & tần suất khác nhau nên sẽ có các cách chặn tương ứng.

Đối với HostingViet, nếu máy chủ của Anh Chị bị tấn công, hệ thống sẽ tự nâng mức cánh báo & tự động áp dụng các rule theo hướng thắt chặt dần dần. 

Anh Chị có nhu cầu dùng thử dịch vụ, xin vui lòng liên hệ tư vấn viên tại góc phải màn hình.