1. Khái niệm tấn công DDos
Tấn công từ chối dịch vụ phân tán – DDoS (Distributed Denial of Service) là một hình thức tấn công mạng nhằm làm gián đoạn hoạt động của hệ thống, dịch vụ hoặc tài nguyên trực tuyến. Kẻ tấn công sử dụng lượng lớn yêu cầu không hợp lệ từ nhiều nguồn khác nhau để gây quá tải hệ thống, khiến chúng không thể đáp ứng nhu cầu từ người dùng hợp pháp.
Mục tiêu chính:
- Vô hiệu hóa truy cập của người dùng vào trang web, ứng dụng hoặc hệ thống.
- Gây thiệt hại kinh tế và ảnh hưởng danh tiếng của tổ chức, doanh nghiệp hoặc cá nhân.
Phương pháp thực hiện:
- Sử dụng botnet – mạng lưới các thiết bị đã bị nhiễm phần mềm độc hại, để gửi các yêu cầu không hợp lệ.
- Khi hệ thống không xử lý kịp lượng truy cập lớn, hiệu suất sẽ giảm hoặc ngừng hoạt động.
2. Các giai đoạn tấn công DDoS
Giai đoạn 1: Tạo Botnet
Botnet là một nhóm thiết bị đã bị phần mềm độc hại xâm nhập và hiện đang bị kẻ tấn công kiểm soát, được gọi là bot herder hoặc bot master. Botnet này sẽ được triển khai để khởi động các cuộc tấn công DDoS và các hành vi độc hại khác, bao gồm cả lừa đảo, gửi thư rác và đánh cắp dữ liệu quan trọng. Giai đoạn này diễn ra theo ba bước:
- Các thiết bị dễ bị tổn thương có thể bị xâm phạm và thêm vào mạng botnet sẽ được xác định.
- Sau đó, các thiết bị này bị nhiễm phần mềm độc hại thông qua email lừa đảo hoặc thông tin đăng nhập bị đánh cắp. Chúng có thể được sử dụng để trực tiếp thực hiện một cuộc tấn công DDoS hoặc lây nhiễm vào nhiều thiết bị hơn có thể được thêm vào mạng botnet.
- Các thiết bị bị nhiễm được tổ chức và đặt dưới sự kiểm soát của một bot herder. Các botnet trước đó được điều khiển bởi một máy server duy nhất. Điều này khiến máy server dễ bị theo dõi nên phương pháp này đã trở nên lỗi thời. Mô hình máy client – server này hiện đã được thay thế bằng mô hình peer – to – peer, nơi tất cả các thiết bị trong mạng botnet có thể giao tiếp và chuyển hướng thông tin với nhau.
Giai đoạn 2: Khởi động cuộc tấn công DDoS
Trong giai đoạn thứ hai của cuộc tấn công, các thiết bị thuộc mạng botnet được hướng dẫn đồng loạt gửi yêu cầu đến máy server mục tiêu. Điều này làm máy server của mục tiêu sẽ nhanh chóng bị chiếm toàn bộ băng thông và khiến máy server không thể tiếp tục hoạt động đáp ứng các yêu cầu kinh doanh từ khách hàng.
Sau khi cuộc tấn công hoàn tất, kẻ tấn công có thể cố gắng che giấu bằng cách xoá dấu vết và tránh bị phát hiện.
3. Các mô hình tấn công DDoS
Hai mô hình chính của tấn công DDoS là mô hình Agent – Handler và mô hình IRC – Based.
3.1 Mô hình Agent – Handler
Trong mô hình này, kẻ tấn công sử dụng một loạt các máy tính đã bị nhiễm malware hoặc trojan, được gọi là “agent,” để thực hiện cuộc tấn công. Những máy tính này thường được điều khiển từ xa thông qua một máy server trung gian, được gọi là “handler.” Handler gửi lệnh đến các agent để tấn công mục tiêu.
Mô hình Agent-Handler (Agent-Based DDoS Attack) bao gồm các thành phần sau:
- Agent:
+ Chức năng: Agent là một phần mềm độc hại (malware) đã bị triển khai trên các máy tính mục tiêu. Nhiệm vụ của agent là thực hiện cuộc tấn công DDoS bằng cách gửi lượng lớn các yêu cầu không hợp lệ đến mục tiêu.
+ Đặc điểm:
Autonomous (Tự động): Agent hoạt động độc lập và tự động sau khi đã được triển khai. Khi bị kích hoạt, nó thực hiện nhiệm vụ mà nó được thiết kế cho mà không cần sự can thiệp từ kẻ tấn công.
Kỹ thuật tấn công: Agent gửi các yêu cầu không hợp lệ hoặc tạo ra áp lực lớn lên mục tiêu bằng cách sử dụng các phương thức tấn công như UDP Flood, ICMP Flood, SYN/ACK Flood, v.v.
- Handler:
+ Chức năng: Handler là một máy server trung gian được kẻ tấn công sử dụng để điều khiển các agent. Nó hoạt động như cầu nối giữa kẻ tấn công và các agent đã bị nhiễm.
+ Đặc điểm:
Communication with Agent (Liên lạc với Agent): Handler thiết lập kết nối với các agent thông qua mạng. Điều này cho phép handler gửi lệnh và hướng dẫn cho các agent.
Command and Control (Điều khiển và Kiểm soát): Handler giữ vai trò quan trọng trong việc điều hướng các cuộc tấn công DDoS bằng cách gửi lệnh tới các agent. Khi nhận lệnh từ kẻ tấn công, handler gửi các hướng dẫn cụ thể tới các agent.
- Máy tính mục tiêu (Target Computers):
Chức năng: Đây là các máy tính, máy server hoặc dịch vụ mạng mà kẻ tấn công muốn tấn công. Agent sẽ gửi các yêu cầu không hợp lệ đến các máy tính mục tiêu, cố gắng làm cho chúng trở nên không khả dụng hoặc giảm hiệu suất.
- Kết nối mạng (Network Connection):
Chức năng: Kết nối mạng cung cấp kênh truyền thông cho các agent và handler để gửi và nhận dữ liệu. Kết nối này có thể là một mạng LAN hoặc mạng Internet, tùy thuộc vào cách triển khai của cuộc tấn công.
- Giao thức liên lạc (Communication Protocol):
Chức năng: Đây là các quy tắc và quy định được sử dụng để kết nối và giao tiếp giữa agent và handler. Các giao thức mạng như TCP/IP và UDP/IP thường được sử dụng.
- Quá trình tấn công (Attack Process):
Chức năng: Agent tham gia vào quá trình tấn công bằng cách gửi các yêu cầu không hợp lệ hoặc tạo ra áp lực lớn lên các máy tính mục tiêu, nhằm làm giảm hiệu suất hoặc đưa họ vào trạng thái không khả dụng.
3.2 Mô hình IRC-Based
Mô hình IRC-Based DDoS Attack là một kiểu tấn công DDoS mà kẻ tấn công sử dụng hệ thống mạng Internet Relay Chat (IRC) để điều khiển và hướng dẫn botnet (một mạng các máy tính đã bị nhiễm malware) thực hiện cuộc tấn công. Các thành phần của mô hình IRC-Based DDoS Attack bao gồm:
- Botmaster (Bot Herder):
+ Chức năng: Botmaster là người điều khiển toàn bộ cuộc tấn công. Ông ta quyết định mục tiêu và cung cấp hướng dẫn cho botnet thông qua IRC Server.
+ Đặc điểm:
Quyền kiểm soát tối cao: Botmaster kiểm soát IRC Server và các bot trong botnet.
Truy cập từ xa: Botmaster có khả năng điều khiển botnet từ bất kỳ đâu, miễn là có kết nối Internet đến IRC Server.
- IRC Server:
+ Chức năng: IRC Server là nơi các bot kết nối và giao tiếp với botmaster. Đây là nơi trung gian cho quá trình điều khiển botnet.
+ Đặc điểm:
Máy server giao tiếp: IRC Server cung cấp kênh giao tiếp giữa botmaster và các bot trong botnet.
Kiểm soát kết nối: IRC Server quản lý kết nối và đảm bảo các bot có thể kết nối và truyền thông với botmaster.
- Botnet (Bot Network):
+ Chức năng: Botnet là một mạng các máy tính đã bị nhiễm malware (bot) và được điều khiển từ xa thông qua IRC Server. Botnet thực hiện cuộc tấn công DDoS theo hướng dẫn của botmaster.
+ Đặc điểm:
Bot: Mỗi máy tính trong botnet được gọi là một “bot”. Các bot nhận lệnh từ botmaster và tham gia vào cuộc tấn công.
Có thể sống lâu dài: Botnet có thể tồn tại trong hệ thống mục tiêu trong thời gian dài mà không bị phát hiện.
- Kênh IRC (IRC Channel):
+ Chức năng: Kênh IRC là nơi mà botmaster và các bot gặp gỡ và giao tiếp. Botmaster gửi lệnh và hướng dẫn từ kênh IRC này.
+ Đặc điểm: Mục tiêu chung của Botmaster sử dụng kênh này để điều khiển nhiều bot cùng một lúc, từ đó tiến hành cuộc tấn công DDoS.
- Quá trình tấn công (Attack Process):
+ Chức năng: Các bot nhận lệnh từ botmaster qua kênh IRC và tham gia vào quá trình tấn công DDoS theo hướng dẫn của botmaster.
+ Đặc điểm:
Hiệu quả và linh hoạt: Botmaster có khả năng điều hướng các bot để tấn công các mục tiêu khác nhau hoặc thay đổi chiến lược tùy theo tình hình.
- Máy tính mục tiêu (Target Computers):
Chức năng: Đây là các máy tính, máy server hoặc dịch vụ mạng mà kẻ tấn công muốn tấn công. Botnet gửi các yêu cầu không hợp lệ đến các máy tính mục tiêu, gây ra sự ngừng hoạt động hoặc giảm hiệu suất của hệ thống.
- Giao thức liên lạc (Communication Protocol):
Chức năng: Đây là các quy tắc và quy định được sử dụng để kết nối và giao tiếp giữa botmaster, IRC Server và các bot.
4. Hậu quả
Tấn công DDoS (Distributed Denial of Service) có thể gây ra nhiều hậu quả nghiêm trọng đối với các tổ chức và cá nhân bị tấn công. Dưới đây là một số hậu quả phổ biến của tấn công DDoS:
- Downtime và sự ngừng hoạt động: Tấn công DDoS nhằm vào các hệ thống hoặc dịch vụ mạng, gây ra sự ngừng hoạt động tạm thời hoặc lâu dài. Điều này dẫn đến mất mát doanh thu và tiếng tăm cho các tổ chức.
- Mất mát tài chính: Sự gián đoạn trong hoạt động kinh doanh có thể gây mất mát lớn đối với doanh nghiệp. Các công ty có thể phải trả tiền cho dịch vụ chống DDoS hoặc cho các biện pháp phục hồi hệ thống.
- Thất thoát khách hàng: Người dùng cuối, đặc biệt đối với các trang web và dịch vụ trực tuyến, có thể trải qua sự không hài lòng lớn nếu họ không thể truy cập vào tài nguyên mà họ cần.
- Thiệt hại Rufname: Các tổ chức có thể mất đi lòng tin của khách hàng và đối tác kinh doanh do sự ngừng hoạt động không mong muốn.
- Tổn thất về dữ liệu: Một số tấn công DDoS có thể đi kèm với các kỹ thuật khác nhau để làm suy yếu hoặc truy cập vào dữ liệu nhạy cảm trong quá trình tấn công.
- Tiếng tăm xấu: Tấn công DDoS có thể gây tổn hại đến tiếng tăm của tổ chức. Công chúng có thể nhìn nhận tiêu cực đối với các tổ chức không thể giữ hệ thống của mình ổn định.
- Chi phí bảo mật bổ sung: Sau tấn công, tổ chức có thể phải đầu tư nhiều hơn vào biện pháp bảo mật và hệ thống chống DDoS để đảm bảo rằng họ có thể chống lại các cuộc tấn công tương tự trong tương lai.
- Sự cạnh tranh gắt gao: Một số tấn công DDoS có thể có mục tiêu là làm suy yếu các đối thủ cạnh tranh, tạo ra một lợi thế không công bằng trong thị trường.
- Vấn đề pháp lý: Có thể có hậu quả pháp lý đối với các kẻ tấn công nếu họ bị bắt và kết án vì vi phạm các quy định bảo mật và quy định hợp pháp khác.
- Sự tác động tâm lý: Tấn công DDoS cũng có thể gây ra căng thẳng và căng thẳng tinh thần đối với nhóm kỹ thuật và nhóm quản lý hệ thống khi họ phải đối mặt với cuộc tấn công và phục hồi sau đó.
5. Dấu hiệu nhận biết
Tăng đột ngột trong lưu lượng truy cập: Một tấn công DDoS thường gây ra một tăng đột ngột trong lưu lượng truy cập đến mục tiêu. Điều này có thể dễ dàng kiểm tra thông qua các công cụ giám sát lưu lượng mạng.
Tăng cao trong tải CPU hoặc băng thông: Máy server hoặc hệ thống mạng có thể trở nên quá tải trong một tấn công DDoS. Các thông số như sử dụng CPU, băng thông mạng, và tài nguyên hệ thống nên được giám sát.
Giảm đáng kể trong hiệu suất hệ thống: Dịch vụ hoặc trang web mục tiêu có thể trở nên chậm hoặc không thể sử dụng được vì quá tải. Người dùng có thể gặp khó khăn khi truy cập trang web hoặc sử dụng dịch vụ.
Thông báo lỗi không rõ nguyên nhân: Có thể xuất hiện các thông báo lỗi không rõ nguyên nhân trên các ứng dụng hoặc trang web, ví dụ: “502 Bad Gateway”, “503 Service Unavailable”,…
Những địa chỉ IP lạ xuất hiện trong lưu lượng truy cập: Nếu bạn quan sát các địa chỉ IP không quen thuộc xuất hiện trong lưu lượng truy cập, có thể đó là dấu hiệu của một tấn công DDoS. Kẻ tấn công thường sử dụng các botnet hoặc máy tính zombie để tham gia tấn công.
Thiếu điều kiện tiên quyết của lưu lượng: Dựa trên mô hình tiêu chuẩn, một số loại lưu lượng có thể trở nên quá phổ biến, nhưng thiếu điều kiện tiên quyết. Chẳng hạn, nếu một trang web nhận được hàng nghìn yêu cầu từ cùng một địa chỉ IP trong vòng vài giây, đó có thể là dấu hiệu của một tấn công DDoS.
Phân tích log: Kiểm tra các file log hệ thống (như log Apache, Nginx, hoặc các công cụ giám sát mạng) để xem xét lưu lượng truy cập và xác định các mẫu không bình thường.
6. Cách phòng chống
Để phòng chống tấn công DDoS, cần thực hiện các biện pháp bảo mật như:
- Sử dụng Firewall và Thiết lập Quy tắc: Cấu hình firewall để chặn lưu lượng không mong muốn hoặc lưu lượng có nguy cơ cao từ các nguồn không rõ.
- Thiết lập giới hạn kết nối: Đặt các giới hạn về số kết nối một IP có thể thiết lập đồng thời. Điều này có thể ngăn chặn các tấn công từ các botnet hoặc máy tính zombie.
- Sử dụng CDN (Content Delivery Network): CDN có thể giúp phân phối tải trọng của một trang web ra khắp các máy server trong mạng của CDN. Điều này giúp giảm bớt áp lực lên máy server chính của bạn trong tình huống tấn công DDoS.
- Thiết lập một Dịch vụ Phân giải DNS bảo mật: Sử dụng một dịch vụ phân giải DNS bảo mật như Cloudflare hoặc Google Public DNS có thể giúp giảm nguy cơ bị tấn công thông qua các cuộc tấn công DNS amplification.
- Sử dụng các giải pháp bảo vệ chuyên dụng: Có thể cần đến các giải pháp bảo vệ chuyên dụng chống tấn công DDoS từ các nhà cung cấp dịch vụ bảo mật và mạng.
- Kiểm tra và nâng cấp hạ tầng mạng: Đảm bảo rằng hệ thống mạng của bạn có đủ băng thông và tài nguyên để chịu đựng được các tác động của tấn công DDoS.
- Cập nhật phần mềm và ứng dụng: Đảm bảo rằng tất cả các phần mềm và ứng dụng trên hệ thống của bạn đều được cập nhật lên phiên bản mới nhất để khắc phục các lỗ hổng bảo mật.
- Kiểm tra log hệ thống: Giám sát các file log hệ thống để xác định các hoạt động không bình thường và phản ứng kịp thời.
- Thiết lập kịch bản phòng ngừa: Phát triển kịch bản và quy trình để phản ứng khi phát hiện các dấu hiệu của tấn công DDoS.
- Tham gia các dịch vụ bảo mật chuyên nghiệp: Xem xét việc sử dụng các dịch vụ bảo mật chuyên nghiệp hoặc các nhà cung cấp dịch vụ bảo mật mạng.