Hỏi Đáp

Tấn công từ chối dịch vụ (DDoS) là gì? Giải pháp giảm thiểu DDoS Attack

Các cuộc tấn công ddos ​​là một vấn đề lớn đối với bảo mật Internet ngày nay. Tìm hiểu thêm về cách thức hoạt động của các cuộc tấn công ddos ​​và cách ngăn chặn chúng.

Tấn công ddos ​​là gì?

Tấn công từ chối dịch vụ (ddos) phân tán là một nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập bình thường đến máy chủ, dịch vụ hoặc mạng mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh bằng lưu lượng truy cập Internet. Các cuộc tấn công DDOS được thực hiện một cách hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị nhiễm làm nguồn gốc của lưu lượng tấn công. Máy khai thác có thể bao gồm máy tính và các tài nguyên mạng khác, chẳng hạn như thiết bị IoT. Như một ví dụ trực quan, một cuộc tấn công ddos ​​giống như cố gắng chặn một đường cao tốc, ngăn không cho lưu lượng truy cập thông thường đến điểm đến dự định của nó.

Bạn đang xem: Tấn công từ chối dịch vụ là gì

ví dụ về tấn công ddos

Một cuộc tấn công DDoS hoạt động như thế nào?

Các cuộc tấn công ddos ​​yêu cầu kẻ tấn công giành quyền kiểm soát mạng lưới các máy trực tuyến để thực hiện cuộc tấn công. Máy tính và các máy khác, chẳng hạn như thiết bị IoT, bị nhiễm phần mềm độc hại có thể biến chúng thành bot (hoặc thây ma). Kẻ tấn công sau đó có thể điều khiển từ xa nhóm bot này, một mạng botnet.

Sau khi botnet được thiết lập, những kẻ tấn công có thể kiểm soát các máy bằng cách gửi các hướng dẫn mới nhất đến từng bot thông qua các phương pháp từ xa. Khi địa chỉ IP của nạn nhân trở thành mục tiêu của botnet, mỗi bot sẽ phản hồi bằng cách gửi yêu cầu đến mục tiêu, điều này có thể làm tràn máy chủ hoặc mạng của mục tiêu, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập bình thường. Bởi vì mỗi bot là một thiết bị internet hợp pháp, rất khó để tách lưu lượng tấn công khỏi lưu lượng truy cập thông thường.

Các cuộc tấn công ddos ​​phổ biến là gì?

Các vectơ tấn công ddos ​​khác nhau nhắm mục tiêu các thành phần khác nhau của kết nối mạng. Để hiểu cách thức hoạt động của các cuộc tấn công ddos ​​khác nhau, cần phải hiểu cách mạng được thực hiện. Một kết nối mạng trên Internet bao gồm nhiều thành phần hoặc nhiều lớp khác nhau. Giống như xây một ngôi nhà từ đầu, mỗi bước trong mô hình phục vụ một mục đích khác nhau. Mô hình osi (phí bên dưới), là một khung khái niệm để mô tả kết nối mạng ở 7 lớp khác nhau.

mô hình 7 lớp mạng OSI

Trong khi gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo một thiết bị hoặc mạng mục tiêu có lưu lượng truy cập, các cuộc tấn công có thể được chia thành ba loại. Kẻ tấn công có thể sử dụng một hoặc nhiều vectơ tấn công khác nhau hoặc vectơ tấn công theo chu kỳ có khả năng dựa trên các biện pháp đối phó được thực hiện bởi mục tiêu.

1. Tấn công lớp ứng dụng

Mục tiêu tấn công:

Đôi khi được gọi là các cuộc tấn công ddos ​​lớp 7 (đề cập đến lớp 7 của mô hình osi), các cuộc tấn công này nhằm mục đích làm cạn kiệt tài nguyên của mục tiêu. Tấn công vào các lớp tạo trang web trên máy chủ và chuyển chúng qua các yêu cầu http. Một yêu cầu http duy nhất, đơn giản để thực hiện ở phía máy khách, có thể tốn kém cho máy chủ đích để phản hồi vì máy chủ thường phải tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu để tạo trang web. Các cuộc tấn công lớp 7 rất khó để chống lại vì lưu lượng truy cập khó bị đánh dấu là độc hại.

Ví dụ về tấn công lớp ứng dụng:

ví dụ về tấn công ddos tầng ứng dụng

HTTP Flood

Cuộc tấn công này tương tự như tấn công làm mới trong trình duyệt web nhiều lần trên các máy tính khác nhau – một loạt các yêu cầu http tràn qua máy chủ, gây ra từ chối dịch vụ.

Loại tấn công này có phạm vi từ đơn giản đến phức tạp và các triển khai đơn giản hơn có thể truy cập các url có cùng dải địa chỉ IP tấn công, liên kết giới thiệu và tác nhân người dùng. Các phiên bản tinh vi có thể tấn công và nhắm mục tiêu các URL ngẫu nhiên bằng cách sử dụng một số lượng lớn địa chỉ IP và sử dụng người dùng và tác nhân người dùng ngẫu nhiên.

2. Tấn công giao thức

Mục tiêu tấn công:

Các cuộc tấn công giao thức, còn được gọi là cuộc tấn công cạn kiệt trạng thái, gây ra gián đoạn dịch vụ bằng cách tiêu thụ tất cả các vùng bảng trạng thái có sẵn của máy chủ ứng dụng web hoặc các tài nguyên trung gian như tường lửa và bộ cân bằng tải. Các cuộc tấn công giao thức khai thác các điểm yếu trong lớp 3 và 4 của ngăn xếp giao thức để khiến mục tiêu không thể truy cập được.

Ví dụ về tấn công giao thức

ví dụ về tấn công ddos giao thức

SYN Flood

syn lũ tương tự như một công nhân trong phòng tiếp tế nhận được yêu cầu từ phía trước cửa hàng. Nhân viên tiếp nhận yêu cầu, nhận gói hàng và chờ xác nhận trước khi gửi gói hàng đến quầy lễ tân. Sau đó, các nhân viên nhận được nhiều yêu cầu hơn cho các gói mà không cần báo nhận cho đến khi họ có thể tạo nhiều gói hơn, trở nên quá tải và các yêu cầu bắt đầu không được trả lời.

Cuộc tấn công này khai thác bắt tay tcp bằng cách gửi một số lượng lớn các gói tcp đến mục tiêu, yêu cầu kết nối ban đầu được đồng bộ hóa với địa chỉ ip nguồn giả mạo. Máy mục tiêu phản hồi mỗi yêu cầu kết nối và sau đó đợi bước cuối cùng của quá trình bắt tay, điều này không bao giờ xảy ra, làm cạn kiệt tài nguyên của máy mục tiêu trong quá trình này.

3. Tấn công âm lượng

Mục tiêu tấn công:

Loại tấn công này cố gắng tạo ra tắc nghẽn bằng cách tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và Internet lớn hơn. Gửi một lượng lớn dữ liệu đến mục tiêu bằng cách sử dụng một số hình thức khuếch đại hoặc các phương tiện khác để tạo ra lượng lớn lưu lượng truy cập (chẳng hạn như yêu cầu từ mạng botnet).

Ví dụ phóng to:

Tấn công Volumetric

Khuếch đại DNS

thu phóng dns giống như ai đó gọi điện đến nhà hàng và nói “vui lòng gọi lại cho tôi với toàn bộ đơn đặt hàng của tôi” và số điện thoại họ cung cấp là số của họ. Mục tiêu.

Bằng cách gửi yêu cầu mở máy chủ dns bằng cách sử dụng địa chỉ ip giả mạo (địa chỉ ip thực của mục tiêu), sau đó địa chỉ ip mục tiêu sẽ nhận được phản hồi từ máy chủ. Kẻ tấn công yêu cầu máy chủ DNS phản hồi mục tiêu với một lượng lớn dữ liệu. Kết quả là, mục tiêu nhận được sự khuếch đại của truy vấn ban đầu của kẻ tấn công.

Quy trình giảm thiểu các cuộc tấn công ddos ​​là gì?

Mối quan tâm chính trong việc giảm thiểu các cuộc tấn công ddos ​​là phân biệt giữa các cuộc tấn công và lưu lượng truy cập thông thường. Ví dụ, nếu buổi giới thiệu sản phẩm có một trang web của công ty đầy những khách hàng háo hức, sẽ là sai lầm nếu bạn cắt bỏ tất cả lưu lượng truy cập. Nếu công ty đột ngột tăng lưu lượng truy cập từ các tác nhân xấu đã biết, công ty có thể cần phải làm việc để giảm các cuộc tấn công. Khó khăn nằm ở việc phân biệt khách hàng thực với lưu lượng tấn công.

Trong Internet hiện đại, lưu lượng truy cập ddos ​​có nhiều dạng. Thiết kế của lưu lượng truy cập có thể thay đổi từ các cuộc tấn công nguồn đơn không thỏa hiệp đến các cuộc tấn công đa vectơ thích ứng tinh vi. Một cuộc tấn công ddos ​​đa vectơ sử dụng nhiều đường tấn công để áp đảo mục tiêu theo nhiều cách khác nhau, có khả năng làm mất tập trung khỏi các nỗ lực giảm thiểu. Một cuộc tấn công chống lại nhiều lớp của ngăn xếp giao thức, chẳng hạn như khuếch đại dns (cho lớp 3/4) kết hợp với http lũ (cho lớp 7) là một ví dụ về đa vector ddos.

Giảm thiểu các cuộc tấn công ddos ​​đa vectơ đòi hỏi nhiều chiến lược khác nhau cho các quỹ đạo khác nhau. Nói chung, cuộc tấn công càng tinh vi, càng khó tách rời lưu lượng truy cập – mục tiêu của kẻ tấn công là trộn lẫn càng nhiều càng tốt. Nếu bạn giảm thiểu nó bằng cách giảm hoặc điều tiết lưu lượng truy cập một cách bừa bãi, nó có thể khiến lưu lượng truy cập tốt bị chặn mà những kẻ tấn công có thể sửa đổi và thích ứng. Bạn cần một giải pháp có nhiều lớp để có lợi ích tối đa.

1. Định tuyến lỗ đen

Một giải pháp có sẵn cho hầu hết mọi quản trị viên mạng là tạo một tuyến lỗ đen và chuyển hướng lưu lượng truy cập đến tuyến đường đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được thực hiện mà không có tiêu chí hạn chế cụ thể, cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến một tuyến rỗng hoặc lỗ đen và bị loại bỏ khỏi mạng. Nếu một tài sản Internet bị tấn công bởi DDOS, nhà cung cấp dịch vụ Internet (ISP) của tài sản đó có thể đưa tất cả lưu lượng truy cập trang web vào một lỗ đen để bảo vệ.

2. Giới hạn tỷ lệ

Giới hạn số lượng yêu cầu mà máy chủ chấp nhận trong một khoảng thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ. Mặc dù giới hạn tỷ lệ hữu ích trong việc làm chậm những kẻ tấn công web ăn cắp nội dung và giảm thiểu các nỗ lực đăng nhập bạo lực, nhưng chỉ riêng nó là không đủ để chống lại các cuộc tấn công. Thực hiện hiệu quả các tác vụ ddos ​​phức tạp. Tuy nhiên, giới hạn tỷ lệ là một phần hữu ích của một chiến lược giảm thiểu ddos ​​hiệu quả.

3. Tường lửa ứng dụng web

Tường lửa ứng dụng web (waf) là một công cụ có thể hỗ trợ giảm thiểu các cuộc tấn công ddos ​​lớp 7. Bằng cách đặt waf giữa internet và máy chủ gốc, waf có thể hoạt động như một proxy ngược, bảo vệ máy chủ khỏi một số loại lưu lượng độc hại. Các cuộc tấn công lớp 7 có thể bị chặn bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc xác định công cụ ddos. Một giá trị quan trọng của waf hiệu quả là khả năng nhanh chóng thực thi các quy tắc tùy chỉnh để phản ứng lại các cuộc tấn công.

4. Sự khuếch tán mạng Anycast

Phương pháp giảm thiểu này sử dụng mạng anycast để lan truyền lưu lượng tấn công trên một mạng máy chủ phân tán cho đến khi lưu lượng truy cập được mạng hấp thụ. Giống như chuyển hướng một con sông đầy sóng gió thành một kênh nhỏ hơn, cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến một điểm có thể kiểm soát được, làm lan rộng ra bất kỳ thiệt hại tiềm ẩn nào. Độ tin cậy của mạng anycast trong việc giảm thiểu các cuộc tấn công ddos ​​phụ thuộc vào quy mô của cuộc tấn công và hiệu quả của mạng.

Xem thêm:

radware – giải pháp ngăn chặn ddos ​​

4 cách hiệu quả để ngăn chặn các cuộc tấn công ddos ​​

Sử dụng ddos ​​đã ghi nhớ và cách ngăn chặn điều này

Cuộc tấn công ddos ​​cao nhất 1,35 tbps được ghi lại trên github

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button