Denial-of-Service (DoS) Attack

Mạng của bạn đôi khi chậm bất thường hoặc đột ngột mất kết nối, có thể do bị tấn công từ chối dịch vụ, hãy cùng tìm hiểu xem đó là gì? Giải quyết thế nào?

1. Tấn công từ chối dịch vụ (dos) là gì?

Bạn đang xem: Denial of service (dos) là gì

Từ chối dịch vụ (dos) là một cuộc tấn công tắt hoặc ngắt kết nối khiến người dùng ngừng truy cập. Các cuộc tấn công Dos thường dẫn đến từ chối dịch vụ cho người dùng bằng cách áp đảo mục tiêu với các yêu cầu hoặc quá tải mục tiêu cho đến khi nó không thể xử lý được. Trong cả hai trường hợp, DOS tước quyền sử dụng hợp pháp dịch vụ hoặc tài nguyên của người dùng. Các cuộc tấn công Dos được đặc trưng bởi việc sử dụng một máy tính duy nhất để khởi động cuộc tấn công.

Nạn nhân của các cuộc tấn công dos thường là email, trang web, tài khoản trực tuyến … không phải là mạng, máy tính hoặc chương trình. Trong khi hệ điều hành DOS rất khó để đánh cắp thông tin quan trọng, chúng có thể khiến nạn nhân tốn rất nhiều thời gian và tiền bạc để giải quyết hậu quả. Vì bất cứ đối tượng nào cũng có thể dễ dàng phân liều, khó tìm ra người chịu trách nhiệm.

Các cuộc tấn công Dos có hai cách: tấn công lũ lụt hoặc tấn công sự cố.

Một cuộc tấn công lũ lụt xảy ra khi một hệ thống nhận được nhiều lưu lượng truy cập hơn lưu lượng tối đa, khiến hệ thống chậm lại và cuối cùng dừng lại. Các kiểu tấn công lũ lụt phổ biến bao gồm:

• Tấn công tràn bộ đệm – cuộc tấn công dos phổ biến nhất. Tràn bộ đệm khiến máy sử dụng tất cả dung lượng ổ cứng, bộ nhớ hoặc thời gian cpu có sẵn. Kiểu này thường dẫn đến hành vi chậm, hệ thống bị treo … gây từ chối dịch vụ.
• icmp lũ – khai thác thiết bị mạng được định cấu hình sai. Đầu tiên, các gói tin giả mạo được gửi đến ping mọi máy tính đang truy cập vào mạng mục tiêu, và sau đó lưu lượng mạng được khuếch đại. Cuộc tấn công này còn được gọi là cuộc tấn công smurf hoặc ping of death .
• syn lụt – thường được gọi là bắt tay tấn công ba chiều, nhưng chỉ kết nối máy chủ và máy chủ. Máy chủ nhận được yêu cầu bắt tay, nhưng quá trình bắt tay không bao giờ hoàn thành. Tiếp tục cho đến khi tất cả các cổng đang mở đã bão hòa với các yêu cầu và không còn chỗ cho người dùng hợp pháp.

Crash khai thác lỗ hổng hệ thống hoặc dịch vụ khai thác. Trong các cuộc tấn công này, một lỗi trong mục tiêu khai thác có thể làm hỏng hoặc làm hỏng hệ thống nghiêm trọng, khiến nó không thể truy cập được hoặc không hoạt động.

2. Cách thức hoạt động của một cuộc tấn công dos

Trọng tâm chính của cuộc tấn công dos là làm quá tải dung lượng của máy mục tiêu, dẫn đến việc từ chối dịch vụ đối với các yêu cầu bổ sung.

Có nhiều điểm tương đồng giữa các cuộc tấn công dos và sự cố kết nối mạng không độc hại, ví dụ: sự cố kỹ thuật mạng, bảo trì hệ thống. Tuy nhiên, các triệu chứng sau có thể cho thấy một cuộc tấn công dos:

• Hiệu suất mạng chậm bất thường, chẳng hạn như tải tệp hoặc trang web chậm
• Không thể tải bất kỳ trang web nào
• Ngắt kết nối đột ngột giữa các thiết bị trên cùng một mạng

Cách tốt nhất để phát hiện và xác định các cuộc tấn công DOS là theo dõi và phân tích lưu lượng mạng. Lưu lượng mạng có thể được giám sát thông qua tường lửa hoặc hệ thống phát hiện xâm nhập.

Một kiểu tấn công dos ngăn người dùng truy cập vào dịch vụ bằng cách làm quá tải tài nguyên vật lý hoặc kết nối mạng của người dùng. Một cuộc tấn công về cơ bản làm ngập một dịch vụ với một lượng lớn lưu lượng truy cập hoặc dữ liệu mà những người khác không thể sử dụng cho đến khi luồng độc hại được xử lý.

Một cách để làm quá tải tài nguyên vật lý của dịch vụ là gửi cho nó quá nhiều yêu cầu trong một khoảng thời gian ngắn đến mức tiêu tốn tất cả dung lượng ổ cứng, bộ nhớ hoặc thời gian cpu có sẵn. Trong những trường hợp cực đoan, điều này thậm chí có thể dẫn đến các thành phần vật lý làm hỏng các tài nguyên này.

Tương tự, để làm gián đoạn kết nối mạng của dịch vụ, một cuộc tấn công DOS có thể gửi đầu vào không hợp lệ, không đúng định dạng hoặc chỉ một loạt các yêu cầu kết nối. Trong khi giải quyết những vấn đề này, không thể đáp ứng các yêu cầu kết nối từ người dùng hợp pháp.

Đôi khi, các cuộc tấn công DOS khai thác lỗ hổng trong các chương trình hoặc trang web để thực thi việc sử dụng tài nguyên hoặc kết nối mạng không phù hợp, điều này cũng có thể dẫn đến việc từ chối dịch vụ.

Một số phần mềm độc hại cũng bao gồm khả năng khởi động các cuộc tấn công dos. Khi chúng lây nhiễm vào máy tính hoặc thiết bị, những mối đe dọa này có thể sử dụng tài nguyên của máy bị nhiễm để thực hiện một cuộc tấn công. Nếu nhiều máy bị nhiễm thực hiện một cuộc tấn công vào cùng một mục tiêu, nó được gọi là cuộc tấn công từ chối dịch vụ phân tán (ddos).

Lượng dữ liệu được sử dụng trong một cuộc tấn công dos hoặc ddos ​​có thể rất lớn, lên đến vài gigabit mỗi giây. Botnet thường được sử dụng để thực hiện các cuộc tấn công ddos ​​vì nhiều dịch vụ không có đủ tài nguyên cần thiết để chống lại các cuộc tấn công từ hàng nghìn hoặc thậm chí hàng trăm nghìn thiết bị bị nhiễm.

Không giống như vi-rút hoặc phần mềm độc hại, các cuộc tấn công DOS không phụ thuộc vào các chương trình đang chạy. Thay vào đó, nó khai thác các lỗ hổng cố hữu trong cách mạng máy tính giao tiếp.

Ví dụ: giả sử bạn muốn truy cập một trang web thương mại điện tử để mua một món quà. Máy tính của bạn sẽ gửi một gói thông tin nhỏ đến trang web. Gói hàng đóng vai trò như một lời chào với thông điệp “Chào bạn, tôi muốn đến thăm bạn, vui lòng cho tôi vào”. Khi máy chủ nhận được thông báo trên máy tính của bạn, nó sẽ gửi lại một thông báo ngắn như “Ok, bạn có thật không?”. Máy tính của bạn phản hồi “Có!” Và kết nối được thiết lập. Máy tính và máy chủ của bạn tiếp tục giao tiếp khi bạn nhấp vào liên kết, đặt hàng và thực hiện các tác vụ khác.

Trong một cuộc tấn công dos, một máy tính không chỉ có thể gửi một giới thiệu mà có thể gửi hàng trăm hoặc hàng nghìn giới thiệu đến máy chủ. Máy chủ không có cách nào để biết rằng đề xuất là giả mạo, gửi lại phản hồi, đợi tối đa một phút trong mỗi trường hợp để lắng nghe phản hồi. Khi không nhận được phản hồi, máy chủ đóng kết nối và máy tính thực hiện một cuộc tấn công lặp lại, gửi một loạt yêu cầu giả mạo mới.

Các cuộc tấn công Dos chủ yếu ảnh hưởng đến các tổ chức và kết nối. Đối với người dùng, cuộc tấn công có thể chặn quyền truy cập vào các dịch vụ và trang web.

Có nhiều lý do dẫn đến các cuộc tấn công dos, nhưng chủ yếu là vì lợi nhuận:

• Nhiều trường hợp tấn công dos được bắt đầu vì lý do cá nhân. Một dịch vụ bị xâm nhập có thể chậm lại hoặc gặp sự cố trong khoảng thời gian từ vài giờ đến vài ngày. Đối với nhiều doanh nghiệp, sự cố mất kết nối và thậm chí là thiệt hại về tài chính.
• Do sự cạnh tranh của công ty hoặc chính trị.

3. Cách ngăn chặn các cuộc tấn công dos

Nguyên tắc chung: Bạn phát hiện ra một cuộc tấn công đang diễn ra càng sớm, bạn có thể ngăn chặn thiệt hại càng nhanh. Đây là một số điều bạn có thể làm.

Phương pháp 1: Sử dụng các công cụ để xác định các cuộc tấn công

Các công ty thường sử dụng các công nghệ hoặc dịch vụ chống ddos ​​để giúp bảo vệ chính họ. Những điều này có thể giúp bạn phân biệt các mức tăng đột biến hợp pháp trong lưu lượng mạng với các cuộc tấn công ddos.

Phương pháp 2: Liên hệ với Nhà cung cấp dịch vụ Internet của bạn

Nếu bạn phát hiện ra rằng doanh nghiệp của mình đã bị tấn công, bạn nên thông báo cho Nhà cung cấp dịch vụ Internet của mình càng sớm càng tốt.

Phương pháp 3: Định tuyến lỗ đen

Các nhà cung cấp dịch vụ Internet có thể sử dụng định tuyến lỗ đen. Nó hướng lượng truy cập dư thừa đến một tuyến đường trống, còn được gọi là lỗ đen. Điều này giúp ngăn trang web hoặc mạng mục tiêu bị hỏng. Cả lưu lượng truy cập hợp pháp và bất hợp pháp đều được định tuyến.

Phương pháp Bốn: Định cấu hình Tường lửa và Bộ định tuyến

Tường lửa và bộ định tuyến phải được định cấu hình để từ chối lưu lượng truy cập không có thật. Vui lòng cập nhật tường lửa và bộ định tuyến của bạn với các bản vá bảo mật mới nhất.

Phương pháp 5: Phần cứng giao diện người dùng

Phần cứng front-end được tích hợp vào mạng trước khi lưu lượng truy cập đến máy chủ có thể giúp phân tích và lọc các gói. Nó cũng có thể giúp chặn dữ liệu về mối đe dọa.

Nếu không có biện pháp phòng thủ nào, chỉ cần khởi động lại dịch vụ có thể không hoạt động nếu cuộc tấn công không dừng lại.

4. Phân biệt giữa tấn công ddos ​​và tấn công dos

từ chối dịch vụ phân tán (ddos) là một loại tấn công dos xuất phát từ nhiều nguồn phân tán, chẳng hạn như các cuộc tấn công botnet ddos.

Các cuộc tấn công Dos thường khai thác các lỗ hổng bảo mật trong thiết kế mạng, phần mềm và phần cứng. Các cuộc tấn công này đã trở nên ít phổ biến hơn vì các cuộc tấn công ddos ​​có khả năng gây thiệt hại lớn hơn và tương đối dễ dàng với các công cụ có sẵn. Trên thực tế, hầu hết các cuộc tấn công dos cũng có thể được chuyển đổi thành các cuộc tấn công ddos.

dos sử dụng một kết nối duy nhất, trong khi các cuộc tấn công ddos ​​sử dụng nhiều nguồn lưu lượng tấn công, thường ở dạng botnet.

Cuộc tấn công ddos ​​được coi là bước tiếp theo trong quá trình phát triển của cuộc tấn công dos. Tội phạm mạng bắt đầu sử dụng ddos ​​vào khoảng năm 2000. Đây là lý do tại sao các cuộc tấn công ddos ​​đã trở thành vũ khí được lựa chọn để phá hoại các kết nối, máy chủ và trang web.

Các lỗ hổng trong thiết bị IoT có thể dễ dàng khởi chạy các cuộc tấn công ddos.

Một cuộc tấn công ddos ​​xảy ra khi nhiều máy làm việc cùng nhau để tấn công một mục tiêu. Những kẻ tấn công DDOS thường lợi dụng mạng botnet. Một nhóm thiết bị kết nối internet đã bị tấn công để thực hiện một cuộc tấn công lớn. Những kẻ tấn công khai thác các lỗ hổng bảo mật hoặc điểm yếu của thiết bị để chiếm quyền kiểm soát nhiều thiết bị sử dụng phần mềm. Khi đã kiểm soát được, những kẻ tấn công có thể ra lệnh cho mạng botnet của họ thực thi ddos ​​trên mục tiêu. Trong trường hợp này, thiết bị bị nhiễm virus cũng là nạn nhân của cuộc tấn công.

ddos ​​cho phép gửi yêu cầu theo cấp số nhân tới mục tiêu, tăng sức mạnh tấn công. Nó cũng làm tăng độ khó của việc ghi nhận tác giả, vì khó xác định nguồn gốc của cuộc tấn công hơn. Ngược lại, các cuộc tấn công DOS thường sử dụng một máy tính và địa chỉ IP để tấn công mục tiêu của chúng, khiến việc phản công trở nên dễ dàng hơn.

ddos ​​cung cấp cho những kẻ tấn công nhiều lợi thế:

• Sử dụng khối lượng máy lớn hơn để thực hiện các cuộc tấn công phá hoại nghiêm trọng
• Do sự phân bố ngẫu nhiên của các hệ thống tấn công hệ thống (thường là toàn cầu), vị trí của cuộc tấn công rất khó phát hiện

li >

• li>
• tắt nhiều máy khó hơn tắt một máy
• khó xác định các nhóm tấn công thực sự vì chúng ẩn sau nhiều hệ thống

Các công nghệ bảo mật hiện đại đã phát triển các cơ chế để chống lại hầu hết các hình thức tấn công DOS, nhưng DDOS vẫn được coi là mối đe dọa và mối đe dọa cao do các đặc điểm riêng biệt của nó. Mối quan tâm của tổ chức là cao.

Tham khảo:

• Tấn công từ chối dịch vụ (dos) là gì?
• Tấn công từ chối dịch vụ (DOS) là gì?
• Tấn công từ chối dịch vụ (dos) là gì? cuộc tấn công dos đã giải thích
• từ chối dịch vụ (dos)