Từ chối dịch vụ và tấn công DDoS là gì?

Các cuộc tấn công DoS (Từ chối dịch vụ) và DDoS (Từ chối dịch vụ phân tán) đang ngày càng trở nên phổ biến và mạnh mẽ. Các cuộc tấn công từ chối dịch vụ có nhiều hình thức, nhưng có chung một mục đích: ngăn người dùng truy cập tài nguyên, cho dù đó là trang web, email, mạng điện thoại hay một thứ gì khác hoàn toàn. Hãy xem xét các loại tấn công phổ biến nhất chống lại các mục tiêu web và cách DoS có thể trở thành DDoS.

Các loại tấn công từ chối dịch vụ (DoS) phổ biến nhất

Về cốt lõi, một cuộc tấn công từ chối dịch vụ thường được thực hiện bằng cách làm ngập máy chủ - giả sử, máy chủ của một trang web - đến mức không thể cung cấp dịch vụ của mình cho người dùng hợp pháp. Có một số cách có thể được thực hiện, phổ biến nhất là tấn công tràn ngập TCP và tấn công khuếch đại DNS.

Tấn công lũ lụt TCP

Hầu như tất cả lưu lượng truy cập web (HTTP / HTTPS) được thực hiện bằng Giao thức điều khiển truyền (TCP). TCP có nhiều chi phí hơn giao thức thay thế, Giao thức gói dữ liệu người dùng (UDP), nhưng được thiết kế để đáng tin cậy. Hai máy tính được kết nối với nhau thông qua TCP sẽ xác nhận việc nhận từng gói. Nếu không có xác nhận nào được cung cấp, gói phải được gửi lại.

Điều gì xảy ra nếu một máy tính bị ngắt kết nối? Có thể người dùng bị mất điện, ISP của họ bị lỗi hoặc bất kỳ ứng dụng nào họ đang sử dụng thoát mà không thông báo cho máy tính khác. Máy khách khác cần dừng gửi lại cùng một gói, nếu không sẽ lãng phí tài nguyên. Để ngăn việc truyền không bao giờ kết thúc, thời gian chờ được chỉ định và / hoặc giới hạn được đặt vào số lần gói có thể được gửi lại trước khi hủy hoàn toàn kết nối.

TCP được thiết kế để tạo điều kiện liên lạc đáng tin cậy giữa các căn cứ quân sự trong trường hợp xảy ra thảm họa, nhưng chính thiết kế này khiến nó dễ bị từ chối tấn công dịch vụ. Khi TCP được tạo, không ai bắt chước rằng nó sẽ được sử dụng bởi hơn một tỷ thiết bị khách. Bảo vệ chống lại các cuộc tấn công từ chối dịch vụ hiện đại không chỉ là một phần của quy trình thiết kế.

Cuộc tấn công từ chối dịch vụ phổ biến nhất đối với các máy chủ web được thực hiện bằng cách spam các gói tin (đồng bộ hóa). Gửi một gói SYN là bước đầu tiên để bắt đầu kết nối TCP. Sau khi nhận được gói SYN, máy chủ sẽ phản hồi với gói SYN-ACK (đồng bộ hóa xác nhận). Cuối cùng, khách hàng gửi gói ACK (xác nhận), hoàn tất kết nối.

Tuy nhiên, nếu máy khách không phản hồi gói SYN-ACK trong một khoảng thời gian đã đặt, máy chủ sẽ gửi lại gói đó và chờ phản hồi. Nó sẽ lặp lại quy trình này nhiều lần, có thể lãng phí thời gian bộ nhớ và bộ xử lý trên máy chủ. Trong thực tế, nếu được thực hiện đủ, nó có thể lãng phí rất nhiều thời gian bộ nhớ và bộ xử lý mà người dùng hợp pháp khiến các phiên của họ bị cắt ngắn hoặc các phiên mới không thể bắt đầu. Ngoài ra, việc sử dụng băng thông gia tăng từ tất cả các gói có thể bão hòa mạng, khiến chúng không thể mang lưu lượng truy cập mà chúng thực sự muốn.

Tấn công khuếch đại DNS

Các cuộc tấn công từ chối dịch vụ cũng có thể nhắm vào các máy chủ DNS: các máy chủ dịch tên miền (như howtogeek.com) thành địa chỉ IP (12.345.678.900) mà máy tính sử dụng để liên lạc. Khi bạn nhập howtogeek.com trong trình duyệt của mình, nó sẽ được gửi đến máy chủ DNS. Sau đó, máy chủ DNS sẽ hướng dẫn bạn đến trang web thực tế. Tốc độ và độ trễ thấp là mối quan tâm chính đối với DNS, vì vậy giao thức hoạt động trên UDP thay vì TCP. DNS là một phần quan trọng trong cơ sở hạ tầng của internet và băng thông được sử dụng bởi các yêu cầu DNS thường là tối thiểu.

Tuy nhiên, DNS dần phát triển, với các tính năng mới dần dần được thêm vào theo thời gian. Điều này đã gây ra sự cố: DNS có giới hạn kích thước gói là 512 byte, không đủ cho tất cả các tính năng mới này. Vì vậy, vào năm 1999, IEEE đã xuất bản thông số kỹ thuật cho các cơ chế mở rộng cho DNS (EDNS), tăng giới hạn lên 4096 byte, cho phép đưa thêm thông tin vào mỗi yêu cầu.

Tuy nhiên, sự thay đổi này đã khiến DNS dễ bị tấn công khuếch đại trên mạng. Kẻ tấn công có thể gửi các yêu cầu được chế tạo đặc biệt đến các máy chủ DNS, yêu cầu một lượng lớn thông tin và yêu cầu chúng được gửi đến địa chỉ IP của mục tiêu của chúng. Một khuếch đại của 3D được tạo ra bởi vì phản hồi của máy chủ lớn hơn nhiều so với yêu cầu tạo ra nó và máy chủ DNS sẽ gửi phản hồi của nó tới IP giả mạo.

Nhiều máy chủ DNS không được định cấu hình để phát hiện hoặc loại bỏ các yêu cầu xấu, vì vậy khi kẻ tấn công liên tục gửi các yêu cầu giả mạo, nạn nhân bị ngập trong các gói EDNS khổng lồ, làm tắc nghẽn mạng. Không thể xử lý quá nhiều dữ liệu, lưu lượng truy cập hợp pháp của họ sẽ bị mất.

Vậy cuộc tấn công từ chối dịch vụ phân tán (DDoS) là gì?

Một cuộc tấn công từ chối dịch vụ phân tán là một cuộc tấn công có nhiều kẻ tấn công (đôi khi không mong muốn). Các trang web và ứng dụng được thiết kế để xử lý nhiều kết nối đồng thời - xét cho cùng, các trang web sẽ không hữu ích nếu mỗi lần chỉ có một người có thể truy cập. Các dịch vụ khổng lồ như Google, Facebook hay Amazon được thiết kế để xử lý hàng triệu hoặc hàng chục triệu người dùng đồng thời. Do đó, việc một kẻ tấn công hạ gục chúng bằng một cuộc tấn công từ chối dịch vụ là không khả thi. Nhưng nhiều kẻ tấn công có thể.

Phương pháp phổ biến nhất để tuyển dụng những kẻ tấn công là thông qua một mạng botnet. Trong một mạng botnet, tin tặc lây nhiễm tất cả các loại thiết bị kết nối internet với phần mềm độc hại. Những thiết bị đó có thể là máy tính, điện thoại hoặc thậm chí các thiết bị khác trong nhà bạn, như DVR và camera an ninh. Sau khi bị nhiễm, họ có thể sử dụng các thiết bị đó (được gọi là zombie) để định kỳ liên lạc với một lệnh và máy chủ điều khiển để yêu cầu hướng dẫn. Các lệnh này có thể bao gồm từ khai thác tiền điện tử, vâng, tham gia vào các cuộc tấn công DDoS. Bằng cách đó, họ không cần rất nhiều tin tặc kết hợp với nhau - họ có thể sử dụng các thiết bị không an toàn của người dùng tại nhà bình thường để thực hiện công việc bẩn thỉu của họ.

Các cuộc tấn công DDoS khác có thể được thực hiện một cách tự nguyện, thường là vì lý do thúc đẩy chính trị. Các khách hàng như Low Orbit Ion Cannon làm cho các cuộc tấn công DoS trở nên đơn giản và dễ phân phối. Hãy nhớ rằng hầu hết các quốc gia (cố ý) tham gia vào một cuộc tấn công DDoS là bất hợp pháp.

Cuối cùng, một số cuộc tấn công DDoS có thể là vô ý. Ban đầu được gọi là hiệu ứng Slashdot và được khái quát hóa như cái ôm của Tử thần, khối lượng lưu lượng truy cập hợp pháp khổng lồ có thể làm tê liệt một trang web. Bạn có thể đã thấy điều này xảy ra trước đây - một trang web phổ biến liên kết đến một blog nhỏ và một lượng lớn người dùng vô tình đưa trang web xuống. Về mặt kỹ thuật, điều này vẫn được phân loại là DDoS, ngay cả khi nó không cố ý hoặc độc hại.

Làm cách nào tôi có thể tự bảo vệ mình trước các cuộc tấn công từ chối dịch vụ?

Người dùng thông thường không phải lo lắng về việc trở thành mục tiêu của các cuộc tấn công từ chối dịch vụ. Ngoại trừ các streamer và game thủ chuyên nghiệp, rất hiếm khi DoS được chỉ vào một cá nhân. Điều đó nói rằng, bạn vẫn nên làm tốt nhất có thể để bảo vệ tất cả các thiết bị của bạn khỏi phần mềm độc hại có thể khiến bạn trở thành một phần của mạng botnet.

Tuy nhiên, nếu bạn là quản trị viên của máy chủ web, có rất nhiều thông tin về cách bảo mật dịch vụ của bạn trước các cuộc tấn công DoS. Cấu hình máy chủ và các thiết bị có thể giảm thiểu một số cuộc tấn công. Những người khác có thể được ngăn chặn bằng cách đảm bảo người dùng không được xác thực không thể thực hiện các hoạt động đòi hỏi tài nguyên máy chủ quan trọng. Thật không may, thành công của một cuộc tấn công DoS thường được xác định bởi người có đường ống lớn hơn. Các dịch vụ như Cloudflare và Incapsula cung cấp sự bảo vệ bằng cách đứng trước các trang web, nhưng có thể tốn kém.