DDoS: Vũ Khí Uy Lực Của Tội Phạm Mạng

DDoS: Vũ Khí Uy Lực Của Tội Phạm Mạng

Ngày nay sự mở rộng của mạng lưới máy tính ngày càng nhanh chóng đồng nghĩa với việc chúng ta phải đảm bảo mọi hệ thống phải được an toàn cũng như hoạt động trơn tru trước các cuộc tấn công mạng và trong đó DDoS chính là mối bận tâm hàng đầu. Tấn công DDoS hay Distribted Denial of Service được xem như là một trong những vũ khí tấn công mạnh mẽ nhất trên Internet.

Khi bạn thấy một website bị đánh sập thì website đó rất có thể là nạn nhân của một cuộc tấn công DDoS. Nhìn chung nó có nghĩa rằng hackers hay một tổ chức ẩn danh nào đó đang cố gắng làm cho website mất khả năng cung cấp dịch vụ cho người dùng bằng cách gửi một lượng lớn dữ liệu từ đó làm quá tải hay thậm chí đánh sập server.

1. Distributed Denial of Service là gì?

Trước hết ta cần tìm hiểu về Denial of Service attack(tấn công từ chối dịch vụ). Denial of Service hay DoS là một cuộc tấn công mạng trong đó thủ phạm tìm cách làm hạn chế hoặc ngăn chặn người dùng sử dụng dich vụ cũng như tài nguyên của máy chủ bằng cách làm gián đoạn tạm thời hoặc vô thời hạn các dịch vụ của máy chủ.

Với kiểu tấn công này hackers(những người có chủ đích tấn công) sẽ sử dụng thiết bị của mình để gửi rất nhiều requests hay một lượng dữ liệu đến máy chủ đến mức máy chủ không đủ khả năng kiểm soát hết và trở nên quá tải, từ đó làm hệ thống máy chủ chậm lại và ảnh hưởng đến việc truy cập của người dùng khác.

 

Với DoS thì hệ thống có thể dễ dàng phát hiện kẻ tấn công và xử lý quá tải bằng cách chặn kết nối tới thiết bị tấn công của hacker. Để khắc phục nhược điểm này của DoS kẻ tấn công sẽ dùng tới DDoS hay còn gọi là tấn công từ chối dịch vụ phân tán. Khác với DoS thì DDoS dùng nhiều nguồn thiết bị để gửi những luồng dữ liệu lớn cùng một lúc đến máy chủ.

 

Mục đích chính của DDoS vẫn là cố gắng làm quá tải hệ thống của nạn nhân bằng cách gửi những luồng dữ liệu lớn như tin nhắn, yêu cầu kết nối, gói tập tin giả,… cùng một thời điểm.

Vào năm 2000, một cậu bé 15 tuổi Michael Calce với nickname online là Mafiaboy đã thực hiện một trong những cuộc tấn công DDoS đầu tiên. Calce đã tấn công và kiểm soát hệ thống máy tính của một vài trường đại học, cậu sử dụng chính server của các trường này để làm sập hệ thống website của CNN, E-Trade, eBay và Yahoo.

Chúng ta có thể thấy rằng nạn nhân của DDoS rất đa dạng và có thể là bất cứ tổ chức nào như công ty truyền thông, ngân hàng, thậm trí cả game trực tuyến. DDoS thường được sử dụng đi kèm với các cuộc tấn công đánh cắp tài nguyên khác để đánh lạc hướng hệ thống, trong khi hệ thống đang phải khắc phục quá tải thì hacker có thể thực hiện động cơ chính là cài đặt phần mềm độc hại hay đánh cắp dữ liệu.

2. Tấn công DDoS bằng những cách nào?

Mục đích chung của các loại tấn công sau đây đều là cố gắng làm quá tải hay đánh sập hệ thống, từ đó các người dùng khác gặp khó khăn trong việc sử dụng dịch vụ của hệ thống.

TCP Connection Attacks

Theo chúng ta biết thì giao thức TCP sử dụng phương thức bắt tay 3 bước(three-way handsake) để thiết lập kết nối giữa client và server. Hacker sẽ sử dung chính phương thức này để tấn công hệ thống(Server).

Để thực hiện hacker gửi lặp đi lặp lại các gói SYN đến mọi cổng của hệ thống để yêu cầu kết nối và thường sử dụng địa chỉ IP giả mạo. Khi nhận được những yêu cầu kết nối đó, hệ thống gửi lại gói SYN-ACK để xác nhận kết nối. Nhưng vì sử dụng IP giả mạo hoặc hacker cố ý không gửi lại gói ACK để trả lời lại gói SYN-ACK nên hệ thống không nhận được gói ACK và ở trong trạng thái chờ. Trong khoảng thời gian chờ hệ thống vẫn tiếp tục nhận gói SYN yêu cầu kết nối từ các máy khác và khi không còn đủ khả năng xử lý thì hệ thống sẽ quá tải, thậm chí là crash.

Application Layer Attack

Tấn công tầng ứng dụng là một phương thức tấn công DDoS nhắm vào tầng ứng dụng của mô hình OSI và TCP/IP, nơi mà các máy chủ tạo ra các trang web cũng như phản hồi và nhận yêu cầu HTTP.  Tấn công ứng dụng thường đi kèm với các loại hình tấn công DDoS khác để cùng lúc đe dọa vào ứng dụng, mạng lưới cũng như băng thông của hệ thống. Kiểu tấn công này thật sự đe dọa đến hệ thống bởi vì chi phí thực thi thấp nhưng lại gây khó khăn cho hệ thống trong việc phát hiện.

Fragmentation Attack

Tấn công phân mảnh là một dạng phổ biến khác của DDoS. Với kiểu tấn công này hackers khai thác các lỗ hổng trong quá trình phân mảnh gói dữ liệu, ở đó các gói dữ liệu IP được chia thành những gói nhỏ hơn để vận chuyển qua mạng lưới Internet và cuối cùng được ráp lại. Trong tấn công phân mảnh, các gói dữ liệu giả không được ráp lại và làm quá tải hệ thống.

Volumetric Attacks

Một dạng tấn công phổ biến nhất của DDoS, sử dụng một mạng lưới các máy tính(botnet) gửi lượng lớn dữ liệu nhằm tiêu thụ băng thông của mạng lưới trong hệ thống cũng như mạng lưới giữa hệ thống với phần còn lại của mạng Internet.

3. DDoS hoạt động ra sao?

Mô hình mạng hiện nay được chia thành các tầng phiên khác nhau, mỗi loại DDoS sẽ tấn công các tầng khác nhau như tầng liên kết mạng(Network Layer), tầng giao vận(Transport Layer), tầng ứng dụng(Application Layer). Nhìn chung thì để khởi động cho một cuộc tấn công hacker sẽ cần thiết lập một hệ thống gồm nhiều máy tính từ xa được gọi là “Botnet”, mỗi máy tính trong đó còn được gọi là một “zombie computer”.

Để xây dựng mạng lưới botnet hacker sẽ âm thầm gửi các phần mềm độc hại đến các máy tính và cho chúng lan truyền trong mạng máy tính. Một botnet có thể gồm hàng nghìn đến hàng triệu máy tính được kiểm soát bởi hacker mà thậm chí chủ nhân của các zombie cũng không phát hiện ra. Hackers có thể dùng botnet với nhiều mục đích khác nhau như gửi yêu cầu kết nối, spam, virus, malware, hay tạo ra một luồng yêu cầu HTTP/HTTPS đến web server. Một khi đã thiết lập được mạng lưới botnet, hackers có thể tấn công mục tiêu bất cứ lúc nào bằng cách kiểm soát mạng botnet từ xa và mục tiêu ở đây có thể là website thương mai, ngân hàng và cả website của công ty đối thủ.

Một khi hệ thống trở nên quá tải mọi người dùng khác sẽ gặp khó khăn khi cố gắng truy cập vào hệ thống và sử dụng dịch vụ. Vậy làm sao để xác định một hệ thống đang bị tấn công bởi DDoS?

4. Dấu hiệu của một cuộc tấn công DDoS?

Một cuộc tấn công DDoS có những dấu hiệu rõ ràng nhưng vấn đề là các dấu hiệu này khá tương đồng với các vấn đề mà bạn gặp phải với hệ thống của mình như nhiễm virus hay kết nối Internet chậm…, vậy nên sẽ khá khó khăn trong việc chuẩn đoán chính xác DDoS. Các dấu hiệu đặc trưng khi một mạng bị tấn công DDoS bao gồm:

  • Truy cập các tệp cục bộ hay từ xa đều trở nên chậm
  • Không thể truy cập một trang web cụ thể trong một thời gian dài
  • Quá nhiều email spam
  • Gặp sự cố khi truy cập tất cả các trang web
  • Lượng requests từ users tăng lên đột biến

Ngày nay, với hàng triệu thiết bị được kết nối với nhau tạo tên hệ thống Internet vạn vật(IoT) và khi những thiết bị đó không có được hệ thống bảo mật tốt thì sẽ rất dễ trở thành một phần của mạng botnet. Khi đó thì việc phát hiện và ngăn chặn tấn công DDoS ngày càng trở nên khó khăn hơn.

Lời Kết

Qua bài viết này mình và các bạn đã cùng nhau tìm hiểu về tấn công DDoS(đi-đós) hay tấn công từ chối dịch vụ phân tán cũng như cách thức hoạt động của một cuộc tấn công DDoS. Nếu bài viết có ý nghĩa hãy để lại đánh giá và comment để giúp phát triển bài viết tốt hơn. Cảm ơn bạn đọc, chúc bạn đọc thành công trên con đường học tập!