Tấn công từ chối dịch vụ ngày càng trở nên phổ biến và là cơn ác mộng của các tổ chức, doanh nghiệp. Các cuộc tấn công DDoS thường được thực hiện bởi các tin tặc có tổ chức nhằm khủng bố không gian mạng, nhằm mục đích kiếm tiền hoặc đơn giản là để giải trí. Trên thế giới có rất nhiều loại tấn công, hãy cùng recruit.framgia.vn tìm hiểu các loại tấn công nào sử dụng số lượng lớn máy tính để tấn công nạn nhân nhé!
Tìm hiểu về các cuộc tấn công từ chối dịch vụ (DoS)
Từ chối dịch vụ xảy ra khi số lượng yêu cầu truy cập quá lớn, máy chủ quá tải và không thể xử lý. Các cuộc tấn công thường được thực hiện theo cùng một con đường trừ những trường hợp đặc biệt. Các cuộc tấn công thường khuếch đại các kết nối từ máy tính khác đến máy của nạn nhân. Hầu hết các cuộc tấn công DDoS quy mô lớn đều dựa vào mạng botnet.
Các cuộc tấn công DDos ngày càng mạnh mẽ hơn, tinh vi hơn và khó ngăn chặn hơn
Tính đến thời điểm hiện tại, hầu hết các trang web lớn đều là nạn nhân của kiểu tấn công DDoS này. Năm 2012, các ngân hàng và tổ chức tài chính phải đối mặt với vô số cuộc tấn công, và các cuộc tấn công ngày càng trở nên tinh vi hơn. Hay cuộc tấn công gần đây nhất vào trang web của BBC với lượng truy cập cực lớn – 602Gbps (xấp xỉ 75,25GB mỗi giây). Tin tặc tự xưng là New World Hacking tuyên bố chịu trách nhiệm cho hai cuộc tấn công DDoS vào trang web của BBC và trang web tranh cử của Donald Trump vào tuần trước với mục đích “muốn kiểm tra khả năng của các trang web”.
Các chuyên gia bảo mật cho biết đang xuất hiện các cuộc tấn công từ chối dịch vụ (DDoS) mới, chiếm băng thông lên tới 400 Gb ở Việt Nam và 1.000 Gb ở Mỹ, các chuyên gia bảo mật cho biết. Dự báo, tình hình ANTT năm 2017 còn nhiều diễn biến khó lường.
Theo ghi nhận trong năm 2016, Trung Quốc, Mỹ và Anh là những quốc gia hàng đầu bị ảnh hưởng bởi các cuộc tấn công DDos, trong đó Trung Quốc chiếm 30%, Mỹ 22% và Anh 16%. Việt Nam cũng nằm trong danh sách các quốc gia hứng chịu nhiều cuộc tấn công DDos với tỷ lệ 4%.
Các cuộc tấn công DDoS thường được sử dụng để ẩn các cuộc tấn công mạng trong nền. Trong khi trang web đang bị tấn công, các nhóm an ninh mạng bên trong và bên ngoài thường tập trung vào việc đóng các trang web này, dọn dẹp lưu lượng truy cập và đưa nó trở lại trực tuyến. Những nỗ lực to lớn này tạo ra cơ hội lớn cho một chuỗi các cuộc tấn công ẩn trong cửa sau và chèn các công cụ SQL. Vì vậy, cuộc tấn công DDoS chỉ là một rào cản cho những hoạt động bất thường này mà thôi.
Loại tấn công nào sử dụng số lượng lớn máy tính để tấn công nạn nhân phổ biến hiện nay
UDP Flood
UDP (User Datagram Protocol) là một giao thức kết nối không đáng tin cậy. Một cuộc tấn công tràn ngập UDP có thể được bắt đầu bằng cách gửi một số lượng lớn các gói UDP đến một cổng ngẫu nhiên trên một máy chủ từ xa và kết quả là các máy chủ từ xa sẽ:
- Kiểm tra ứng dụng với cổng
- Thấy rằng không có ứng dụng nghe nào ở cổng
- Trả lời bằng gói Không thể truy cập Đích ICMP.
Như vậy, hệ thống nạn nhân sẽ buộc phải nhận nhiều gói ICMP, dẫn đến mất khả năng xử lý các yêu cầu từ khách hàng thông thường. Những kẻ tấn công cũng có thể giả mạo địa chỉ IP của các gói UDP, đảm bảo rằng ICMP trả về quá mức sẽ không đến được chúng và ẩn danh vị trí mạng của chúng. Hầu hết các hệ điều hành sẽ giảm thiểu một phần của cuộc tấn công bằng cách giới hạn tốc độ gửi phản hồi ICMP.
SYN Flood
Cuộc tấn công TCP SYN Flood là kiểu tấn công tấn công trực tiếp vào máy chủ bằng cách tạo ra một số lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối này.
Người dùng bình thường kết nối với máy chủ ban đầu thực hiện Yêu cầu TCP SYN và máy chủ không còn có thể phản hồi – kết nối không được thực hiện.
- Đầu tiên máy khách gửi gói yêu cầu SYN với số thứ tự x đến máy chủ.
- Máy chủ phản hồi bằng cách gửi một xác nhận (ACK – SYN). Với cờ SYN = y và cờ ACK = x + 1.
- Khi được khách hàng nhận, khách hàng sẽ gửi xác nhận (ACK) với cờ y + 1.
SYN Flood là một kiểu tấn công trang web bằng DDOS. Tại đây, kẻ tấn công sẽ gửi các yêu cầu SYN vĩnh viễn để ăn càng nhiều tài nguyên máy chủ càng tốt. Tin tặc không bao giờ trả lời SYN-ACK hoặc ngay cả khi trả lời nó sử dụng địa chỉ IP giả. Do đó, máy chủ không bao giờ nhận được các gói phản hồi ngay cả khi đợi cho đến khi hết thời gian chờ.
Ping of Death
Đây cũng là một cuộc tấn công khá đơn giản. Khi một máy tính nhận được gói ICMP có kích thước dữ liệu quá lớn, nó có thể bị lỗi. Kiểu tấn công này rất phổ biến trong Windows NT hoặc các hệ điều hành cũ hơn. Đối với các hệ điều hành mới hơn, cuộc tấn công này trở nên khó khăn hơn. Tuy nhiên, đôi khi những lỗi này vẫn xuất hiện trong các gói phần mềm. Điển hình là Windows IIS Web Server – khai thác ‘Ping of Death’ (CVE-2015-1635) trên các máy chủ Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 và Windows Server 2012 R2 sử dụng IIS Web Server.
Đây là một cuộc tấn công khá nguy hiểm vào năm 1996, nhưng ngày nay nó không hiệu quả lắm. Hầu hết các ISP đều chặn gói ICMP hoặc gói ping ngay tại tường lửa. Tuy nhiên, có nhiều hình thức tấn công khác nhắm vào phần cứng hoặc ứng dụng đơn lẻ. Đôi khi nó được gọi với các tên khác như “Teardrop”, “Bonk”, và “Boink”.
Reflected Attack
Reflected Attack, còn được gọi là tấn công ánh xạ, được thực hiện bằng cách gửi càng nhiều gói tin có địa chỉ giả mạo đến càng nhiều máy tính càng tốt. Các máy tính nhận được gói tin sẽ phản hồi, nhưng phản hồi đến địa chỉ của nạn nhân giả mạo. Tất nhiên các máy tính này sẽ cố gắng phản hồi ngay lập tức và làm ngập trang web cho đến khi tài nguyên máy chủ cạn kiệt.
Peer-to-Peer Attacks
Peer-to-Peer là mạng ngang hàng, nó tạo cơ hội cho những kẻ tấn công. Lý do là thay vì dựa vào máy chủ trung tâm, một máy ngang hàng sẽ truyền một truy vấn đến mạng và bất kỳ ai có tài nguyên mong muốn sẽ trả lời. Thay vì sử dụng máy chủ để đẩy lưu lượng đến đích, các máy ngang hàng được khai thác để định tuyến lưu lượng đến đích. Khi thực hiện thành công, hacker sử dụng tính năng chia sẻ tập tin sẽ được gửi đến mục tiêu (Target) cho đến khi mục tiêu bị quá tải, bị ngập lụt và bị ngắt kết nối.
Nuke
Các gói ICMP bị phân mảnh và độc hại được gửi qua Ping. Nó đã được sửa đổi để các gói này đến được đích. Cuối cùng máy tính của nạn nhân sẽ bị gián đoạn. Cuộc tấn công này tập trung chủ yếu vào mạng máy tính và thuộc kiểu tấn công từ chối dịch vụ cũ.
Slowloris
Tấn công từ chối dịch vụ phân tán này rất khó phát hiện và hạn chế. Vụ việc đáng chú ý nhất là cuộc tấn công bầu cử tổng thống Iran năm 2009. Kiểu tấn công này về mặt kỹ thuật tương tự như SYN lụt (tạo kết nối một nửa để tiêu hao tài nguyên máy chủ) nhưng diễn ra ở lớp HTTP (lớp ứng dụng). Để tấn công, hacker sẽ gửi yêu cầu HTTP tới máy chủ, nhưng không gửi toàn bộ yêu cầu mà chỉ gửi một phần (và thêm một đoạn nhỏ để không bị ngắt kết nối). Với hàng trăm kết nối như vậy, tin tặc chỉ tốn rất ít tài nguyên nhưng đủ để làm treo máy chủ, không thể chấp nhận kết nối từ những người dùng hợp pháp.
Degradation of Service Attacks
Degradation of Service Attacks còn được gọi là tấn công làm suy giảm dịch vụ. Mục đích của cuộc tấn công này là làm chậm thời gian phản hồi của máy chủ. Thông thường, một cuộc tấn công DDoS nhằm ngăn chặn một trang web hoặc máy chủ thực hiện các tác vụ bình thường. Nhưng mục tiêu của kiểu tấn công này là làm chậm thời gian phản hồi đến mức hầu hết mọi người không thể sử dụng trang web.
Zombie Computer được sử dụng để làm tràn máy tính mục tiêu với lưu lượng độc hại, nó sẽ gây ra các vấn đề về hiệu suất và thời gian tải trang. Những kiểu tấn công này có thể khó phát hiện vì mục đích không phải là làm trang web bị sập mà là làm giảm hiệu suất. Họ thường bị nhầm lẫn với sự gia tăng lưu lượng truy cập trang web.
Unintentional DDoS
DDoS không chủ ý còn được gọi là sự gia tăng không chủ ý. Điều này xảy ra khi lưu lượng truy cập web tăng đột biến mà máy chủ không thể xử lý tất cả các yêu cầu đến. Càng nhiều lưu lượng truy cập xảy ra, càng nhiều tài nguyên được sử dụng. Điều này làm cho thời gian tải trang hết hạn và cuối cùng máy chủ sẽ không phản hồi và ngắt kết nối.
Application Level Attacks
Các cuộc tấn công ở cấp độ ứng dụng nhằm vào ứng dụng dễ bị tấn công. Thay vì cố gắng làm ngập toàn bộ máy chủ, kẻ tấn công sẽ tập trung vào một hoặc một số ứng dụng. Ứng dụng email khách dựa trên web, WordPress, Joomla và phần mềm diễn đàn là những ví dụ điển hình về các mục tiêu ứng dụng cụ thể.
Multi-Vector Attacks
Các cuộc tấn công Multi-Vector Attacks là hình thức phức tạp nhất của các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Thay vì sử dụng một phương pháp duy nhất, nó là sự kết hợp của nhiều công cụ và chiến lược khác nhau để làm ngập mục tiêu và ngắt kết nối. Thông thường, Multi-Vector Attacks tấn công các ứng dụng cụ thể trên máy chủ mục tiêu cũng như làm tràn mục tiêu với một lượng lớn lưu lượng độc hại. Các kiểu tấn công DDoS này rất khó ngăn chặn và hạn chế vì chúng là sự kết hợp của nhiều kiểu tấn công khác nhau và cùng lúc nhắm vào các nguồn tài nguyên khác nhau.
Zero Day DDoS
Cuộc tấn công dựa trên “Zero Day” chỉ đơn giản là một phương pháp tấn công chưa được vá hoặc lưu ý trước đó. Đây là thuật ngữ chung được sử dụng để mô tả các lỗ hổng mới và cách khai thác mới.
Như bạn có thể thấy, các loại tấn công DDoS sẽ khác nhau, nhưng tất cả chúng đều có thể ảnh hưởng đến hiệu suất trang web của bạn. Vì vậy, các tổ chức, nhà bán lẻ trực tuyến cần hiểu rõ và lường trước những rủi ro có thể xảy ra. Qua đó, bạn có thể giảm thiểu rủi ro và khôi phục hệ thống nhanh chóng. Bên trên là các thông tin về các loại tấn công nào sử dụng số lượng lớn máy tính để tấn công nạn nhân mà recruit.framgia.vn tìm hiểu được, mong sẽ giúp ích cho các bạn hiểu rõ hơn về DDoS.
