DDoS là gì? và cách nó hoạt động
DDoS là viết tắt của (Distributed Denial of Service) tạm dịch là từ chối dịch vụ phân tán, một trong những kiểu tấn công mạng lâu đời nhất cho đến nay. Một cuộc tấn công DDoS được thiết kế để làm gián đoạn một trang web hoặc mạng bằng cách bắn phá nó bằng lưu lượng truy cập khổng lồ. Những cuộc tấn công độc hại này đã là một mối đe dọa an ninh mạng kể từ những năm 1980. Tin tặc và những người khác sử dụng các cuộc tấn công này vì nhiều lý do bao gồm trả thù, tống tiền, động cơ tài chính và chính trị.
 |
| Ảnh : DUSANPETKOVIC |
Những điều này không chỉ gây thiệt hại cho các nhà khai thác riêng lẻ mà đôi khi chúng có thể khiến một phần lớn mạng internet không thể sử dụng được trong một khoảng thời gian. Một cuộc tấn công DDoS thường được kết hợp với các hoạt động nguy hại khác bao gồm ransomware để tống tiền hoặc đánh cắp dữ liệu nhạy cảm để thực hiện hành vi đánh cắp ID. Những kẻ tấn công thực hiện điều này bằng cách lây nhiễm cho hàng trăm hoặc hàng nghìn PC, tạo ra "thây ma" hoặc mạng botnet có thể tạo ra sự gián đoạn hoặc tạo ra phần mềm độc hại.
Tấn công DDoS hoạt động như thế nào?
Các cuộc tấn công DDoS đã phát triển đáng kể kể từ lần đầu tiên vào năm 1988. Vào năm đó, một sinh viên vừa tốt nghiệp, Robert Tappan Morris, đã viết một chương trình thử nghiệm để gửi một lượng lớn dữ liệu để giúp hiểu có bao nhiêu thiết bị được kết nối với internet.
Bước đầu tiên trong hầu hết các cuộc tấn công DDoS ngày nay là sử dụng phần mềm độc hại để tạo ra một mạng botnet, là một đội quân máy tính "thây ma" có thể được sử dụng trong mạng để tấn công một trang web hoặc dịch vụ trực tuyến. (Điều này tương đối dễ dàng, vì nhiều người thậm chí không thực hiện các biện pháp phòng ngừa an ninh mạng cơ bản như cài đặt phần mềm chống vi-rút và đặt mật khẩu mạnh.) mà vẫn nằm im cho đến khi tin tặc kích hoạt nó.
“Tin tặc có thể chiếm dụng máy bằng email lừa đảo có vẻ hợp pháp. Khi bạn nhấp vào nó, nó sẽ đưa bạn đến một trang web khác và bạn sẽ tải thứ gì đó xuống máy của mình và bạn vô tình trở thành một phần của mạng botnet, ”Rick Holland, một chuyên gia tình báo về mối đe dọa mạng tại Digital Shadows cho biết.
Các cuộc tấn công từ chối dịch vụ có thể làm sập các trang web và dịch vụ trực tuyến bằng cách làm chúng tràn ngập các yêu cầu truy cập. Mặc dù mục tiêu có thể là đưa một trang web hoặc dịch vụ ngoại tuyến, nhưng trong nhiều trường hợp “các cuộc tấn công DDoS trên mạng botnet chỉ là màn mở đầu cho các cuộc tấn công khác, gây tổn hại hơn”, chẳng hạn như spam, khai thác tiền điện tử, gian lận phần mềm quảng cáo hoặc hoạt động độc hại khác, theo Công ty bảo mật Cynet có trụ sở tại Israel.
Holland nói rằng tội phạm mạng thường kết hợp một cuộc tấn công DDoS với ransomware và đánh cắp dữ liệu để nhân lên các con đường tống tiền của chúng.
Các cuộc tấn công từ chối dịch vụ, giống như các loại phần mềm độc hại khác, có thể được mua và bán trên dark web, khiến các tác nhân đe dọa dễ dàng xâm nhập vào trò chơi bằng cách sử dụng DDoS-as-a-service.
Cách xác định một cuộc tấn công DDoS
Lưu lượng DDoS thường đến mà không có cảnh báo trước và có thể khó phát hiện cho đến khi mạng ngập tràn lưu lượng truy cập đến mức nó không thể hoạt động được nữa. Để phát hiện các cuộc tấn công này trước khi chúng leo thang, quản trị viên mạng tìm kiếm lượng lưu lượng đáng ngờ từ một địa chỉ hoặc dải IP duy nhất hoặc các mẫu lưu lượng bất thường khác có thể được chuyển hướng đến một điểm cuối hoặc một trang. Các biện pháp khác như cài đặt tường lửa cũng có thể hữu ích.
Phát hiện nhanh là điều cần thiết để bảo vệ DDoS để tránh việc tắt máy tốn kém. Do đó, điều quan trọng là phải theo dõi và chuẩn bị trước với một chiến lược phòng thủ. Nhiều dịch vụ an ninh, bao gồm cả Sucuri có trụ sở tại California, có thể cung cấp các mẹo về giám sát. Người dùng PC có máy bị tấn công mạng botnet cũng có thể không biết về vai trò của họ trong các cuộc tấn công này, do đó cần phải theo dõi các dấu hiệu lây nhiễm, theo Logix Consulting.
Các loại tấn công DDoS
Các cuộc tấn công từ chối dịch vụ có thể xảy ra do tính chất mở của internet. Những kẻ tấn công “khai thác hành vi bình thường và lợi dụng cách các giao thức được thiết kế để chạy ngay từ đầu,” theo CompTIA, một nhóm ngành công nghệ. “Giống như cách một kỹ sư xã hội thao túng các hoạt động giao tiếp mặc định của con người, kẻ tấn công DDoS thao túng hoạt động bình thường của các dịch vụ mạng mà tất cả chúng ta đều dựa vào và tin tưởng”.
Các cuộc tấn công này có nhiều hình dạng và quy mô khác nhau, sử dụng các công cụ DDoS khác nhau. Theo hãng bảo mật máy tính Cloudflare, một cuộc tấn công DDoS ở lớp ứng dụng, còn được gọi là cuộc tấn công ở lớp 7, sẽ tấn công vào phía người tiêu dùng của mạng, theo hãng bảo mật máy tính Cloudflare. Các cuộc tấn công này nhắm mục tiêu vào một phần của Internet, nơi các trang web được tạo và phân phối theo yêu cầu HTTP.
Trong một số trường hợp, các cuộc tấn công lớp ứng dụng trở thành các cuộc tấn công tràn ngập HTTP. Kẻ tấn công sử dụng những thứ này để làm "tê liệt" một trang web và khiến những người khác không thể kết nối với nó.
Các cuộc tấn công DDoS khác bao gồm các cuộc tấn công giao thức hoặc lũ SYN, liên quan đến việc gửi cái gọi là yêu cầu “bắt tay” là cách hai máy tính và mạng xác minh và kết nối với nhau mà không cần hoàn thành chúng. Điều này có thể áp đảo một mạng mục tiêu.
Một cuộc tấn công theo khối lượng, giống như âm thanh của nó, cung cấp khối lượng lớn các yêu cầu, thường là từ một mạng botnet, có thể là quá nhiều để mục tiêu có thể xử lý.
Theo hãng bảo mật Imperva, các hacker khác có thể sử dụng một cuộc tấn công phân mảnh IP, khai thác nhu cầu dữ liệu được phân mảnh thành các gói nhỏ trong quá trình truyền trước khi được tập hợp lại, theo hãng bảo mật Imperva.
Cách ngăn thiết bị của bạn bị sử dụng trong cuộc tấn công DDoS
Mặc dù các thiết bị cá nhân hiếm khi bị nhắm mục tiêu bởi các cuộc tấn công DDoS, nhưng thiết bị của bất kỳ ai cũng có thể trở thành một phần của botnet zombie được tội phạm mạng sử dụng mà chủ sở hữu của chúng không hề hay biết. Vì thế, có một cách để bạn có thể tự bảo mình như :
Bảo vệ bộ định tuyến của bạn
Sử dụng mật khẩu mạnh trên thiết bị kết nối Internet
Sử dụng phần mềm chống vi-rút
