Các cuộc tấn công của DDoS là mối quan tâm chính trong bảo mật Internet ngày nay. Hôm nay mình sẽ giới thiệu cho các bạn về DDoS là gì? Cách hoạt động cũng như cách để khắc phục chúng.
DDoS là gì?
Danh mục bài viết
DDoS (A Distributed Denial-Of-Service) là một cuộc tấn công độc hại nhằm phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với lưu lượng truy cập Internet.
Các cuộc tấn công DDoS đạt được hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy được khai thác có thể bao gồm máy tính và các tài nguyên được nối mạng khác như thiết bị IoT.
Từ cấp độ cao, một cuộc tấn công DDoS giống như một vụ tắc đường đang tắc nghẽn đường cao tốc, ngăn chặn lưu lượng truy cập thường xuyên đến đích mong muốn.
Cách hoạt động của DDoS
Một cuộc tấn công DDoS yêu cầu kẻ tấn công giành quyền kiểm soát mạng lưới các máy trực tuyến để thực hiện một cuộc tấn công.
Máy tính và các máy khác (như thiết bị IoT) bị nhiễm malware, biến mỗi người thành bot (hoặc zombie). Kẻ tấn công sau đó có quyền điều khiển từ xa đối với nhóm bot, được gọi là botnet.
Khi botnet đã được thiết lập, kẻ tấn công có thể điều khiển các máy bằng cách gửi các hướng dẫn cập nhật đến từng bot thông qua một phương pháp điều khiển từ xa.
Khi địa chỉ IP của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ phản hồi bằng cách gửi yêu cầu đến mục tiêu, có khả năng khiến máy chủ hoặc mạng được nhắm mục tiêu tràn dung lượng, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập bình thường.
Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng thông thường có thể khó khăn.
Các loại phổ biến của DDoS
Các vectơ tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu cách thức các cuộc tấn công DDoS khác nhau hoạt động, cần phải biết cách kết nối mạng được thực hiện.
Một kết nối mạng trên Internet bao gồm nhiều thành phần khác nhau hoặc các lớp khác nhau. Giống như xây dựng một ngôi nhà từ mặt đất lên, mỗi bước trong mô hình có một mục đích khác nhau.
Mô hình OSI, được hiển thị bên dưới, là một khung khái niệm được sử dụng để mô tả kết nối mạng trong 7 lớp riêng biệt.
Trong khi gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo một thiết bị mục tiêu hoặc mạng có lưu lượng truy cập, các cuộc tấn công có thể được chia thành ba loại. Kẻ tấn công có thể sử dụng một hoặc nhiều vectơ tấn công khác nhau hoặc vectơ tấn công theo chu kỳ có khả năng dựa trên các biện pháp đối phó được thực hiện bởi mục tiêu.
Tấn công lớp ứng dụng
Mục tiêu của cuộc tấn công:
Đôi khi được gọi là một cuộc tấn công DDoS lớp 7 (liên quan đến lớp thứ 7 của mô hình OSI), mục tiêu của các cuộc tấn công này là làm cạn kiệt tài nguyên của mục tiêu.
Các cuộc tấn công nhắm vào lớp nơi các trang web được tạo trên máy chủ và được phân phối theo yêu cầu HTTP. Một yêu cầu HTTP duy nhất rẻ khi thực hiện ở phía máy khách và có thể tốn kém để máy chủ đích phản hồi vì máy chủ thường phải tải nhiều tệp và chạy các truy vấn cơ sở dữ liệu để tạo trang web.
Các cuộc tấn công lớp 7 rất khó để bảo vệ vì lưu lượng có thể khó gắn cờ là độc hại.
HTTP Flood
Cuộc tấn công này tương tự như nhấn làm mới trong trình duyệt web nhiều lần trên nhiều máy tính khác nhau – một số lượng lớn yêu cầu HTTP tràn vào máy chủ, dẫn đến từ chối dịch vụ.
Loại tấn công này từ đơn giản đến phức tạp. Việc triển khai đơn giản hơn có thể truy cập một URL với cùng một phạm vi tấn công địa chỉ IP, người giới thiệu và tác nhân người dùng. Các phiên bản phức tạp có thể sử dụng một số lượng lớn địa chỉ IP tấn công và nhắm mục tiêu các url ngẫu nhiên bằng cách sử dụng các tham chiếu ngẫu nhiên và tác nhân người dùng.
Tấn công Protocol
Mục tiêu của cuộc tấn công:
Các cuộc tấn công giao thức, còn được gọi là các cuộc tấn công cạn kiệt trạng thái, gây ra sự gián đoạn dịch vụ bằng cách tiêu thụ tất cả dung lượng bảng trạng thái có sẵn của các máy chủ ứng dụng web hoặc tài nguyên trung gian như tường lửa và cân bằng tải. Các cuộc tấn công giao thức sử dụng các điểm yếu trong lớp 3 và lớp 4 của ngăn xếp giao thức để khiến mục tiêu không thể truy cập được.
SYN Flood
A SYN Flood tương tự như một công nhân trong phòng cung cấp nhận được yêu cầu từ phía trước cửa hàng.
Công nhân nhận được yêu cầu, đi và nhận gói hàng, và chờ xác nhận trước khi đưa gói hàng ra phía trước. Công nhân sau đó nhận được nhiều yêu cầu gói hơn mà không cần xác nhận cho đến khi họ có thể thực hiện thêm bất kỳ gói nào, trở nên quá tải và các yêu cầu bắt đầu không được trả lời.
Cuộc tấn công này khai thác bắt tay TCP bằng cách gửi cho mục tiêu một số lượng lớn các gói TCP Yêu cầu kết nối ban đầu TCP SYN với các địa chỉ IP nguồn giả mạo.
Máy đích đáp ứng với từng yêu cầu kết nối và sau đó chờ bước cuối cùng trong quá trình bắt tay, điều này không bao giờ xảy ra, làm cạn kiệt tài nguyên của mục tiêu trong quy trình.
Tấn công Volumetric
Mục tiêu của cuộc tấn công:
Thể loại tấn công này cố gắng tạo ra tắc nghẽn bằng cách tiêu thụ tất cả băng thông có sẵn giữa mục tiêu và Internet lớn hơn. Một lượng lớn dữ liệu được gửi đến mục tiêu bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện khác để tạo lưu lượng lớn, chẳng hạn như các yêu cầu từ botnet.
Khuếch đại DNS
Sự khuếch đại DNS giống như nếu ai đó gọi cho một nhà hàng và nói rằng “tôi có một trong tất cả mọi thứ, vui lòng gọi lại cho tôi và cho tôi biết toàn bộ đơn hàng của tôi,” trong đó số điện thoại gọi lại mà họ đưa ra là số mục tiêu. Với rất ít nỗ lực, một phản ứng dài được tạo ra.
Bằng cách gửi yêu cầu đến máy chủ DNS mở có địa chỉ IP giả mạo (địa chỉ IP thực của mục tiêu), địa chỉ IP đích sau đó sẽ nhận được phản hồi từ máy chủ.
Kẻ tấn công cấu trúc yêu cầu sao cho máy chủ DNS phản hồi mục tiêu với một lượng lớn dữ liệu. Kết quả là, mục tiêu nhận được sự khuếch đại của truy vấn ban đầu Kẻ tấn công.
Quá trình giảm thiểu một cuộc tấn công DDoS là gì?
Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là phân biệt giữa tấn công và lưu lượng truy cập bình thường.
Ví dụ: nếu bản phát hành sản phẩm có trang web của công ty, tràn ngập những khách hàng háo hức, việc cắt đứt tất cả lưu lượng truy cập là một sai lầm. Nếu công ty đó đột nhiên có sự gia tăng lưu lượng truy cập từ các nhân vật xấu được biết đến, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết.
Khó khăn nằm ở việc phân biệt khách hàng thực sự và lưu lượng tấn công.
Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng có thể thay đổi trong thiết kế từ các cuộc tấn công nguồn đơn không giả mạo đến các cuộc tấn công đa vector phức tạp và thích ứng.
Một cuộc tấn công DDoS đa vector sử dụng nhiều con đường tấn công để áp đảo mục tiêu theo nhiều cách khác nhau, có khả năng làm mất tập trung các nỗ lực giảm thiểu trên bất kỳ một quỹ đạo nào.
Một cuộc tấn công nhắm vào nhiều lớp của ngăn xếp giao thức cùng một lúc, chẳng hạn như khuếch đại DNS (lớp nhắm mục tiêu 3/4) kết hợp với lũ HTTP (lớp nhắm mục tiêu 7) là một ví dụ về DDoS đa vector.
Giảm thiểu một cuộc tấn công DDoS đa vector đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau.
Nói chung, cuộc tấn công càng phức tạp, càng có nhiều khả năng giao thông sẽ khó tách khỏi lưu lượng thông thường – mục tiêu của kẻ tấn công là hòa trộn càng nhiều càng tốt, làm giảm thiểu hiệu quả nhất có thể.
Các nỗ lực giảm thiểu liên quan đến việc giảm hoặc hạn chế giao thông một cách bừa bãi có thể khiến giao thông tốt với người xấu và cuộc tấn công cũng có thể sửa đổi và thích ứng với các biện pháp đối phó. Để vượt qua một nỗ lực phức tạp về sự gián đoạn, một giải pháp lớp sẽ mang lại lợi ích lớn nhất.
Định tuyến lỗ đen
Một giải pháp khả dụng cho hầu hết tất cả các quản trị viên mạng là tạo tuyến đường lỗ đen và lưu lượng kênh vào tuyến đường đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được triển khai mà không có tiêu chí hạn chế cụ thể, cả lưu lượng truy cập mạng hợp pháp và độc hại được chuyển đến tuyến đường rỗng hoặc lỗ đen và bị loại khỏi mạng.
Nếu một tài sản Internet đang gặp phải một cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) thuộc tính có thể gửi tất cả lưu lượng truy cập của trang web vào một lỗ đen như một sự bảo vệ.
Giới hạn tỷ lệ
Giới hạn số lượng yêu cầu mà máy chủ sẽ chấp nhận trong một cửa sổ thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ.
Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm các kẻ phá hoại web khỏi việc đánh cắp nội dung và để giảm thiểu các nỗ lực đăng nhập vũ lực, nhưng một mình nó sẽ không đủ khả năng để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả.
Tuy nhiên, giới hạn tỷ lệ là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả. Tìm hiểu về giới hạn tỷ lệ của Cloudflare
Tường lửa ứng dụng web
Tường lửa ứng dụng web (WAF) là một công cụ có thể hỗ trợ giảm thiểu tấn công DDoS lớp 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc, WAF có thể hoạt động như một proxy ngược, bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại.
Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng để xác định các công cụ DDoS, các cuộc tấn công lớp 7 có thể bị cản trở. Một giá trị quan trọng của WAF hiệu quả là khả năng thực hiện nhanh chóng các quy tắc tùy chỉnh để đáp ứng với một cuộc tấn công. Tìm hiểu về WAF của Cloudflare
Khuếch tán mạng Anycast
Cách tiếp cận giảm thiểu này sử dụng mạng Anycast để phân tán lưu lượng tấn công trên một mạng các máy chủ phân tán đến điểm lưu lượng được mạng hấp thụ.
Giống như chuyển một dòng sông ào ạt xuống các kênh nhỏ hơn riêng biệt, cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến điểm có thể quản lý được, khuếch tán bất kỳ khả năng gây rối nào.
Độ tin cậy của mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công và quy mô và hiệu quả của mạng. Một phần quan trọng của giảm thiểu DDoS do Cloudflare triển khai là việc sử dụng mạng phân tán Anycast.
Cloudflare có mạng 30 Tbps, là một trật tự có cường độ lớn hơn so với cuộc tấn công DDoS lớn nhất được ghi nhận.
Nếu bạn hiện đang bị tấn công, có những bước bạn có thể thực hiện để thoát khỏi áp lực. Nếu bạn đã sử dụng Cloudflare, bạn có thể làm theo các bước sau để giảm thiểu cuộc tấn công của mình.
Bảo vệ DDoS mà chúng tôi triển khai tại Cloudflare là nhiều mặt để giảm thiểu nhiều vectơ tấn công có thể. Tìm hiểu thêm về bảo vệ DDoS của Cloudflare và cách thức hoạt động của nó.