Tấn công DoS và DDoS là gì và cách phòng chống
Hacking Kiến thức

Tấn công DoS và DDoS là gì và cách phòng chống

Mình có đọc một bài viết rất CHẤT NHƯ NƯỚC CẤT về chủ đề Dos/DDOS trên diễn đàn WhiteHat.vn của anh thành viên lão luyện tên DiepNV88 nên liền chép lại ngay tắp lự lên Linux Team Viet Nam.

Tấn công DoS và DDoS là chủ đề khá cũ và rất quen thuộc với các bạn Script Kiddies dùng để đánh sập web trường nhưng vẫn là phương thức tấn công dễ thực hiện nhất và gây ra nhiều thiệt hại cho các cá nhân, doanh nghiệp có cơ sở hạ tầng không may bị cho “ăn hành”.

Để phòng chống được các cuộc tấn công DoS và DDoS chúng ta cần hiểu cách thức hoạt động của nó như thế nào từ đó lựa chọn giải pháp tốt nhất cho hệ thống thông tin của mình.

Vậy tấn công DoS và DDoS là gì?

DoS là chữ viết tắt của Denial of Service (Tấn công từ chối dịch vụ). Tấn công DoS ra đời sớm và dễ thực hiện nhất, phương thức tấn công chủ yếu là thực hiện những yêu cầu độc hại tới nạn nhân (máy chủ website, máy chủ game, máy chủ cơ sở dữ liệu, file server…) làm cạn kiệt tài nguyên về băng thông mạng và phần cứng như RAM, CPU, ổ cứng của nạn nhân. Việc tấn công DoS trên đôi khi dựa trên lỗ hổng bảo mật tồn tại trên máy chủ như dòng Windows thời đồ đá, Windows XP, nhân Linux và Unix-like cũ.
Việc tấn công DoS dựa được thực hiện tại lớp 3 hoặc lớp 7 mô hình mạng OSI (Open Systems Interconnection Reference Model – Mô hình tham chiếu kết nối các hệ thống mở) trong đó tấn công lớp 3 chủ yếu làm cạn kiệt băng thông của victim việc tấn công này cũng dựa trên khai thác các lỗ hổng bảo mật để tạo ra lượng yêu cầu khổng lồ tới nạn nhân trong thời gian dài khiến dịch vụ mạng của nạn nhân bị đình trệ, đấm cho không trượt dịch vụ nào.

Tấn công DoS và DDoS là gì và cách phòng chống

Các lớp mạng

Trong các lỗ hổng bị lợi dụng nhiều nhất là các máy dịch vụ NTP (Network Time Protocol – Giao thức đồng bộ thời gian mạng), đây là dịch vụ phổ biến dùng đồng bộ thời gian trên các máy chủ Linux, Unix-like.

Tấn công DoS và DDoS là gì và cách phòng chống

Hing3 – Một công cụ tấn công mạng trên Kali Linux và Parrot Security OS

Đầu tiên các anh tin tặc gửi những gói tin nho nhỏ gửi tới máy NTP và rồi các yêu cầu độc hại đó sẽ sinh ra một danh sách gói tin với kích thước lớn hơn rất nhiều so với gói tin ban đầu. Các gói tin được gửi đi từ máy của tin tặc nhưng nguồn địa chỉ IP sẽ bị sửa để chỉ đến địa chỉ IP của nạn nhân. Cứ như vậy máy NTP sẽ phản hồi với những gói tin lớn hơn đó tới nạn nhân, trong khi máy này không hề gửi đi bất kỳ gói tin nào khiến nạn nhân ngập băng thông mạng gây gây ra tắc nghẽn với những goi tin hợp lệ.

Tấn công DoS và DDoS là gì và cách phòng chống

How does DoS attack work? – Một cuộc tấn công DoS

Với cuộc tấn công DoS lớp 7 thì tin tặc sẽ gửi những gói tin độc hại liên tục đến cổng dịch vụ (Web, DNS..) của nạn nhân khiến tài nguyên máy tính của nạn nhân bị cạn kiệt như CPU, RAM, ổ cứng hoặc máy chủ bị treo dẫn đến đình trệ không xử lý được những gói tin khác.Tấn công DoS và DDoS là gì và cách phòng chống

Phương thức tấn công lớp 7 bao gồm POST (Slowloris) hoặc GET (HTTP GET) và mục tiêu sẽ liên tục nhận được những gói tin với số lượng lớn khiến các máy chủ như máy chủ web sẽ bị quá tải gây gián đoạn dịch vụ. Phương thức tấn công này thực hiện khá đơn giản và hiệu quả hơn so với tấn công lớp 3 do khi tấn công sử dụng ít tài nguyên và số lượng công cụ có sẵn khá nhiều, chỉ cần hỏi Google.

Còn DDoS là chữ viết tắt của Distributed Denial of Service (Tấn công từ chối dịch vụ phân tán). Tấn công DDoS chỉ khác vói tấn công DoS là số lượng máy tấn công  khá nhiều nên việc ngăn chặn sẽ chông gai hơn. Thay vì sử dụng 1 máy chủ NTP để tấn công, ta có thể sử dụng nhiều máy chủ NTP hơn để tấn công không trượt máy chủ nào.

Trên đây là một chút kiến thức về tấn công DoS, DDoS phổ biến hiện nay.

Vậy còn phòng chống tấn công DoS, DDoS thì sao? Thì đọc tiếp bài viết này 🙂

Tấn công DoS và DDoS là gì và cách phòng chống

How to “phản damage” DoS và DDoS?

  1. Phòng chống các cuộc tấn công DoS và DDoS không chỉ là việc của các anh quản trị mạng hay các công ty an ninh mạng mà đó là trách nhiệm của mỗi người dùng Internet. Việc sử dụng phần mềm crack và lậu hiện nay quá phổ biến, hàng ngày luôn có những câu hỏi hay ai đó lên Google tìm và tải về các phần mềm crack để sử dụng. Đây là nguyên nhân chính tiếp tay cho tin tặc xây dựng được những mạng Botnet khổng lồ có thể đánh sập bất cứ hạ tầng công nghệ thông tin của bất cứ tổ chức nào.
  2. Nâng cao ý thức của người dùng Internet cũng là vấn đề cốt lõi. Tin tặc là một danh từ nói về những chuyên gia công nghệ thông tin có kiến thức chuyên sâu về một lĩnh vực nào đó trong ngành (mạng, phần mềm độc hại, lỗ hổng bảo mật, hack facebook…) nhưng cụm từ này đang bị các bạn trẻ trâu lạm dụng để tự xưng cho mình và rồi các bạn lên mạng tìm kiếm như trẩu trẻ và tải về các công cụ về thực hiện những vụ tấn công vô bổ kiểu “tạo nghiệp” dành cho mấy đứa “IQ vô cực”, sau đó khoe mẽ thành tích và dán mác TIn tặc cho mình trên Facebook như một trẩu :). Đây cũng là nguyên nhân xảy ra nhiều vụ DoS nhỏ lẻ khiến các các nhân doanh nghiệp “điên đầu”. Nhưng nếu các bạn đang có nhu cầu tìm công cụ hacking (Quảng cáo 69 chữ) thì hãy ghé thăm GitHackTools, một trang Blogspot chuyên giới thiệu về các công cụ hacking 100% mã nguồn mở và hoàn toàn sạch sẽ đã được vọc vạch mã nguồn hẳn hoi. Ghé thăm GitHackTools.blogspot.com đi nào (Hết quảng cáo).
  3. Nâng cao ý thức cạnh tranh lành mạnh giữa các cá nhân và doanh nghiệp. Việc sử dụng các công cụ tấn công triệt hạ đối thủ không còn hiếm giữ các đơn vị kinh doanh trực tuyến trên môi trường Internet. Mỗi cá nhân khi làm hệ thống nên tuân thủ những nguyên tắc nhất định để tránh tiếp tay cho những đối tượng xấu lợi dụng công nghệ cạnh tranh bẩn gây mất an ninh trên môi trường mạng.
  4. Giáo dục về an ninh mạng trong mỗi ngôi trường để nâng cao ý thức cho học sinh, sinh viên là vô cùng cần thiết vì đây là nguyên nhân của việc thiếu hiểu biết về DoS và có thể bị tin tặc lợi dụng để trục lợi.
  5. Luật an ninh mạng đã được thông qua: Những cá nhân tổ chức có hành vi tấn công gây ảnh hưởng thiệt hại tới hệ thống thông tin của tổ chức cá nhân khác sẽ bị nhận hình phạt thích đáng do thiệt hại mình gậy ra. Đây cũng là một cách để răn đe cũng như ngăn chặn sớm các chủ ý tấn công sắp diễn ra trong tương lai.

Trên đây là một số phương pháp phòng chống các cuộc tấn công DoS và DDos.

Vậy thực tế khi bị tấn công chúng ta cần phòng chống như thế nào?

Với những cá nhân nhỏ lẻ sở hữu website bán hàng việc trang bị một hệ thống riêng để bảo vệ website của mình sẽ khá tốn kém. Vì bản chất tấn công DDoS là đánh vào tài nguyên máy chủ nên những bạn đặt website trên Share hosting sẽ bị thiệt hại nhanh và nhiều nhất. Bản chất của Share hosting là dịch vụ chạy nhiều website trên 1 máy chủ và được quản lý bởi công cụ như Cpanel. Khi dùng dịch vụ này bạn nên chọn gói toàn băng thông để tránh trường hợp website bị tán công DoS hoặc DDoS dai dẳng đến khi hết băng thông thì thôi.

Tấn công DoS và DDoS là gì và cách phòng chống

Bảng điều khiển của Cpanel

Nhiều bạn không có kiến thức về công nghệ thông tin cũng không có kinh phí để thuê phòng chống DDoS và DoS cho webiste thì câu trả lời là các bạn nên chọn nhà cung cấp máy chủ VPS nào có dịch vụ hỗ trợ tốt nhất vì nếu không có kiến thức thì có hướng dẫn các bạn cũng không thể thực hiện kỹ thuật được.

Website chạy VPS hay máy chủ riêng cũng không khác nhau nếu VPS của bạn không đủ đáp ứng được lưu lượng truy cập thì bạn nên tăng băng thông và cấu hình VPS lên và việc này cũng có thể áp dụng với máy chủ bằng cách nâng cấp phần cứng.

Vậy tại sao nên chọn VPS để chống tấn công DDos hiệu quả?

Lý do đầu tiên là việc nâng cấp phần cứng cũng như băng thông khá dễ dàng do nhà cung cấp đã hỗ trợ trong giao diện quản lý VPS.
Nếu dùng VPS Linux bạn đã có sẵn tường lửa IPtables là công cụ chặn tấn công khá tốt. Để chặn tấn công chúng ta cần xác định địa chỉ IP tấn công, nếu là vụ tấn công nhỏ lẻ số lượng IP sẽ không quá nhiều và có thể chặn được bằng biện pháp thủ công.
Khi website có dấu hiệu “no hành” thì chúng ta cần xác định kiểu tấn công vào máy chủ là loại gì.
Kiểm tra băng thông cũng rất quan trọng. Bạn có thể sử dụng một số công cụ kiểm tra băng thông cho Linux để xem băng thông có bình thường không. Việc cài các công cụ trên cần làm trước khi cuộc tấn công diễn ra, các bạn có thể lựa chọn một công cụ phù hợp mới mình nhất để cần có thể thao tác nhanh.
Nếu xác định băng thông đã đầy thì có thể xác định đây là kiểu tấn công lớp 3 hoặc 7 và xử lý bằng cách nhờ bên cung cấp dịch vụ hỗ trợ xác đinh và chặn IP tấn công là cách xử lý tạm thời, còn lâu dài nên sử dụng CloudFlare để đảm bảo dịch vụ thông suốt và che IP thật của máy chủ.

Bạn có thể kiểm tra nhật ký HTTP bằng lệnh tail -f http.log, sau đó quan sát nhật ký theo thời gian thực để tách ra những IP đang tấn công và dùng IPtables chặn với lệnh iptables -A INPUT -s IP_ADDRESS -j DROP.

Để nhận biết các ip tấn công trong trường hợp này bạn cần chú ý tới tần số của gói tin và địa chỉ mà IP trỏ tới trong nhật ký. Nhật ký tấn công thường có dạng: "GET /?/1.1"200.

Tấn công DoS và DDoS là gì và cách phòng chống

“GET /?/1.1″200 là đây chứ đâu!

Với các doanh nghiệp lớn có nhiều máy chủ nên sử dụng các giải pháp toàn diện như trang bị tường lửa để bảo vệ theo thời gian thực cho dịch vụ chạy phía sau. Ngoài ra cần hỗ trợ đào tạo nhân lực công nghệ thông tin, nâng cao kiến thức để có thể xử lý kịp thời các tình huống tấn công một cách nhanh nhất để giảm thiểu tổn thất.

Với kinh nghiệp chia sẻ ít ỏi của anh DiepNV88 (anh ấy thật khiêm tốn) và cả những phần đã bị “biến tấu” lại của mình thì hy vọng các bạn có thêm chút kiến thức để phòng chống tấn công DoS và DDoS cho hạ tầng công nghệ thông tin bạn đang quản lý (nếu có).

Bài viết gốc tại WhiteHat

Bài hay nên đọc

Cài đặt SSH trên Ubuntu Server

Bẻ khóa mật khẩu WiFi dễ dàng bằng cách sử dụng phương thức tấn công giao thức WPA/WPA2 mới

NetSpectre – Kiểu tấn công Spectre mới từ xa, đánh cắp dữ liệu qua mạng

Apache tồn tại lỗ hổng đe dọa an ninh các máy chủ web

Trang thương mại điện tử Emart để lộ thông tin hơn 15000 người dùng

Hits: 1047