Professional Documents
Culture Documents
Nhóm 10 - Tấn công mạng DDoS
Nhóm 10 - Tấn công mạng DDoS
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 16: Công cụ kiểm tra lỗ hổng bảo mật: Nessus, OpenVAS ................................ 28
Hình 17: Công cụ kiểm tra mức độ chịu tải của websit: Apache Jmeter, LoadRunner 29
Hình 18: Tường lửa chống DDoS toàn diện của Vietnix ............................................ 29
Hình 19: Tấn công DDoS SYN ................................................................................... 31
Hình 20: Các bước hoạt động của Ping of Death gây nên sự quá tải máy................... 31
Hình 21: Lượng kết nối request tăng vô lý 70 triệu request trong 1s........................... 32
Hình 22: Phần cứng tường lửa .................................................................................... 35
Hình 23: Cách hoạt động IPS ...................................................................................... 35
Hình 24: Lợi ích của IPS.............................................................................................. 36
Hình 25: Cách hoạt động CDN.................................................................................... 37
Hình 26: StopIt là một bộ lọc dựa trên cơ chế bảo vệ lai DDoS.................................. 38
Hình 27: Cách thức hoạt động DDoS Mitigation......................................................... 38
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 28: Đây là cách DNS phân giải một tên miền đủ điều kiện (FQDN) theo các nhãn
và hậu tố ...................................................................................................................... 39
Hình 29: Chiến lược phòng thủ DNS .......................................................................... 40
Hình 30: Mô hình hoạt động của Arbor Networks ...................................................... 41
Hình 31: Dịch vụ bảo mật của FPT ............................................................................. 42
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Trong thời đại phát triển mạnh mẽ của công nghệ cùng với sự kết nối toàn cầu
của Internet đã đem tới vô số lợi ích cho chúng ta như các website, ứng dụng, các thiết
bị IoT, … Nó đã trở thành một phần không thể thiếu trong đời sống thường ngày.
Và vấn đề an toàn và bảo mật thông tin lại càng trở nên quan trọng bởi luôn có
người muốn lợi dụng để khai thác thông tin của cá nhân, của tổ chức để trục lợi hay để
gây cản trở, gây rối cho hệ thống, cho thiết bị. Và một trong số đó là tấn công từ chối
dịch vụ phân tán DDoS, mục đích chính của DDoS là làm cho một dịch vụ trực tuyến
hoặc mạng máy tính trở nên không khả dụng với người dùng bằng cách làm quá tải hệ
thống.
Đây là một kiểu tấn công mạng rất phổ biến và đề lại nhiều hậu quả nghiêm
trọng do đó nhóm em quyết chọn đề tài “Tấn công mạng DDoS” để làm tiểu luận
nhằm tìm hiểu và bổ sung kiến thức về tấn công mạng DDoS, cách thức hoạt động của
chúng cùng với các giải pháp ngăn chặn tấn công.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
DDoS là một loại tấn công mạng mà mục tiêu của nó là làm cho dịch vụ mạng hoặc
trang web trở nên không khả dụng cho người dùng bằng cách làm quá tải hệ thống
hoặc máy chủ bằng lượng truy cập mạng không đáng kể. Điều đặc biệt về tấn công
DDoS là những kẻ tấn công thực hiện các cuộc tấn công DDoS bằng cách sử dụng một
số máy bị xâm nhập, chẳng hạn như máy tính cá nhân, máy chủ, thiết bị di động, thiết
bị IoT và thiết bị mạng để tạo ra một lưu lượng truy cập cực lớn đồng thời đối với một
mục tiêu duy nhất, gây ra sự quá tải và làm gián đoạn dịch vụ.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
- Làm quá tải hệ thống (System Overload): Tấn công DDoS có thể được sử dụng để
tạo ra một lượng lớn các yêu cầu đến máy chủ mục tiêu, làm quá tải hệ thống và làm
cho nó trở nên không thể hoạt động. Mục đích ở đây không phải là làm cho dịch vụ
hoặc trang web trở nên không khả dụng hoàn toàn, mà là làm cho nó hoạt động rất
chậm và không thể sử dụng.
- Lợi ích tài chính(Ransom DDoS): Một số kẻ tấn công có thể thực hiện tấn công
DDoS với mục đích tạo ra lợi nhuận tài chính. Họ có thể yêu cầu tiền chuộc để ngừng
tấn công hoặc tấn công một tổ chức cụ thể để gây thiệt hại kinh tế và ép buộc họ trả
tiền để bảo vệ hệ thống của mình.
- Cạnh tranh không công bằng(Unfair Competition): Trong một số trường hợp, tấn
công DDoS có thể được sử dụng như một công cụ để loại bỏ đối thủ cạnh tranh hoặc
làm giảm khả năng cạnh tranh của họ trên thị trường. Bằng cách làm cho hệ thống của
đối thủ không thể hoạt động, kẻ tấn công hy vọng sẽ có lợi thế cạnh tranh.
- Chính trị và tôn giáo (Political and Religious): Một số tấn công DDoS có mục đích
chính trị hoặc tôn giáo. Người tấn công có thể tấn công các trang web hoặc tổ chức có
liên quan đến các vấn đề chính trị hoặc tôn giáo để thể hiện quan điểm của họ hoặc
gây rối trong hoạt động của các tổ chức này.
1.3. Đặc tính và dấu hiệu nhận biết
1.3.1. Đặc tính:
- Tính phân tán: Tấn công DDoS được thực hiện từ nhiều nguồn khác nhau. Kẻ tấn
công sử dụng một mạng lưới các thiết bị hoặc máy tính đã bị chiếm đoạt hoặc lây
nhiễm để tạo ra lưu lượng truy cập lớn đồng thời. Sự phân tán giúp làm cho tấn công
khó nhận biết và chống lại, vì dữ liệu tấn công đến từ nhiều nguồn khác nhau.
- Tính khủng bố (Denial of Service): Mục tiêu của tấn công DDoS là làm cho hệ thống
mục tiêu không thể phục vụ yêu cầu từ người dùng hợp lệ. Tấn công này gây ra sự
chậm trễ hoặc ngừng hoạt động của dịch vụ, hệ thống hoặc trang web, từ đó gây khó
khăn và phiền hà cho người dùng cuối và gây thiệt hại cho tổ chức hoặc cá nhân mà hệ
thống thuộc về.
- Quá tải hệ thống (System Overload): Tấn công DDoS tạo ra một lượng lớn yêu cầu
truy cập đồng thời đến hệ thống mục tiêu, gây ra quá tải và làm cho hệ thống không đủ
khả năng xử lý mọi yêu cầu. Điều này dẫn đến sự chậm trễ hoặc ngừng hoạt động của
hệ thống, ảnh hưởng đến khả năng cung cấp dịch vụ cho người dùng hợp lệ.
- Sử dụng botnet hoặc zombie army: Kẻ tấn công sử dụng một mạng lưới các máy tính
hoặc thiết bị đã bị chiếm đoạt hoặc lây nhiễm để thực hiện tấn công DDoS. Các máy
tính này thường được kiểm soát từ xa bởi kẻ tấn công thông qua phần mềm độc hại. Sự
sử dụng botnet hoặc zombie army giúp tăng cường sức mạnh tấn công và làm cho nó
khó phát hiện và chặn.
- Sử dụng phương thức tấn công đa dạng: Kẻ tấn công có thể sử dụng nhiều phương
thức tấn công khác nhau để tấn công hệ thống mục tiêu. Các phương thức tấn công phổ
biến bao gồm SYN flood, UDP flood, ICMP flood, HTTP flood và DNS amplification.
Việc sử dụng các phương thức tấn công đa dạng giúp kẻ tấn công tăng khả năng thành
công và khó chống lại.
- Khả năng thay đổi và điều chỉnh: Kẻ tấn công có thể thay đổi và điều chỉnh tấn công
DDoS của mình để tránh các biện pháp phòng ngừa và chống lại. Họ có thể thay đổi
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
địa chỉ IP nguồn, sử dụng các kỹ thuật che giấu, thay đổi mục tiêu tấn công và thay đổi
cấu trúc lưu lượng tấn công.
1.3.2. Dấu hiệu nhận biết :
Chúng ta có thể bắt gặp một số dấu hiệu sau:
- Dấu hiệu rõ ràng nhất của cuộc tấn công DDoS là một trang web hoặc dịch vụ đột
nhiên trở nên chậm chạp hoặc không khả dụng(Tuy nhiên một số các trang web có thể
tải chậm hoặc hoàn toàn không tải vì nhiều lý do không phải mọi lý do đều có nghĩa
đó là một cuộc tấn công DDoS.).
- Lưu lượng truy cập tăng đột ngột và/hoặc bất ngờ: Nếu bạn thấy một tăng đột ngột và
không thường xuyên trong lưu lượng truy cập, đặc biệt là từ một số địa chỉ IP, có thể
đó là một dấu hiệu của tấn công DDoS. Kẻ tấn công cố gắng tạo ra một số lượng lớn
yêu cầu truy cập cùng một lúc để làm quá tải hệ thống.
- Mô hình truy cập bất thường và không thường xuyên: Nếu bạn nhận thấy một lượng
lớn các gói tin mạng đến hệ thống của bạn, đặc biệt là với kích thước không thường
xuyên hoặc không đồng đều, có thể đó là một tấn công DDoS. Kẻ tấn công thường sử
dụng các kỹ thuật như SYN flood hoặc UDP flood để tạo ra lưu lượng dữ liệu lớn và
không đều. Ví dụ: lưu lượng truy cập hiện tại khác với mô hình lưu lượng truy cập
thông thường, chẳng hạn như lưu lượng truy cập không nhất quán với cơ sở người
dùng thông thường của bạn và nhận lưu lượng truy cập vào những giờ bất thường.
- Tăng lưu lượng truy cập đến một điểm cuối duy nhất: Ví dụ: một phần hệ thống của
bạn, chẳng hạn như một URL cụ thể, đột nhiên nhận được lượng lưu lượng truy cập
cao so với các phần khác.
- Sự giảm đi của tài nguyên hệ thống: Nếu bạn nhận thấy một sự giảm đi rõ rệt về tài
nguyên hệ thống như băng thông mạng, dung lượng CPU hoặc bộ nhớ, trong khi
không có hoạt động lớn từ người dùng hợp lệ, có thể là một dấu hiệu của tấn công
DDoS. Kẻ tấn công cố gắng tận dụng tài nguyên hệ thống để gây ra quá tải.
1.4. Mô hình kiến trúc:
1.4.1. Kiến trúc trực tiếp
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
- Giai đoạn xác định mục tiêu và thời điểm: Sau khi đã chuẩn bị đầy đủ, kẻ tấn công sẽ
tiến hành xác định mục tiêu và thời điểm tấn công. Mục tiêu thường là các trang web,
dịch vụ trực tuyến hoặc hệ thống quan trọng. Thời điểm tấn công thường là khi mục
tiêu có lưu lượng truy cập cao hoặc khi mục tiêu ít chú ý.
- Giai đoạn phát động tấn công và xóa dấu vết: Trong giai đoạn này, kẻ tấn công sẽ
phát động tấn công vào mục tiêu bằng cách sử dụng mạng botnet. Sau khi tấn công, kẻ
tấn công sẽ xóa mọi dấu vết có thể truy ngược đến mình. Việc này đòi hỏi trình độ cao
hơn và không hoàn toàn bắt buộc.
2.2. Phân loại DDoS
Các cuộc tấn công DDoS được chia làm ba loại chính: tấn công băng thông
(Volumetric Attacks), tấn công giao thức (Protocol Attacks) và tấn công lớp ứng dụng
(Application Layer Attacks).
2.2.1. Tấn công băng thông
Đây là loại kỹ thuật thường gặp nhất và dễ thực hiện nhất. Tấn công băng thông
là một kỹ thuật tấn công từ chối dịch vụ phổ biến, nhằm làm bão hòa băng thông của
hệ thống mục tiêu. Kỹ thuật này thường được thực hiện bằng cách gửi một lượng lớn
các yêu cầu không hợp lệ đến hệ thống mục tiêu, khiến hệ thống không thể đáp ứng
các yêu cầu hợp lệ từ người dùng.
Tấn công băng thông có thể được phân thành hai loại chính: tấn công gây ngập
lụt và tấn công khuếch đại.
- Tấn công gây ngập lụt (Flood Attack) là loại tấn công phổ biến nhất, trong đó kẻ tấn
công gửi một lượng lớn các yêu cầu không hợp lệ đến hệ thống mục tiêu. Các yêu cầu
này thường là các gói tin trống hoặc các gói tin có kích thước nhỏ.
- Tấn công khuếch đại (Amplification Attack) là loại tấn công tinh vi hơn, trong đó kẻ
tấn công gửi các yêu cầu không hợp lệ đến một hệ thống trung gian, hệ thống này sẽ
gửi lại các phản hồi lớn đến hệ thống mục tiêu. Các phản hồi này có thể lớn hơn nhiều
so với các yêu cầu ban đầu, do đó có thể làm quá tải hệ thống mục tiêu một cách hiệu
quả.
Các kỹ thuật khuếch đại thường sử dụng các lỗ hổng trong các giao thức mạng để tạo
ra các phản hồi lớn. Quá trình này thường được thực hiện bằng cách giả mạo nguồn
của các gói, hay còn gọi là phản xạ hay tấn công phản xạ. Ví dụ, kẻ tấn công có thể gửi
các yêu cầu DNS giả mạo đến một máy chủ DNS, khiến máy chủ DNS gửi lại các
phản hồi lớn đến hệ thống mục tiêu dù yêu cầu gửi đến máy chủ DNS rất nhỏ.
Các cuộc tấn công DDoS theo băng thông phổ biến nhất là:
- Tấn công UDP flood: Trong loại tấn công này, kẻ tấn công sẽ gửi một lượng lớn các
gói UDP không trạng thái đến máy chủ mục tiêu. Các gói này sẽ chiếm dụng tài
nguyên của máy chủ mục tiêu, khiến máy chủ không thể xử lý các yêu cầu hợp lệ.
- Tấn công khuếch đại DNS (hoặc phản chiếu DNS): Trong loại tấn công này, kẻ tấn
công sẽ gửi các yêu cầu DNS đến máy chủ DNS. Máy chủ DNS sẽ phản hồi bằng các
gói UDP lớn đến máy chủ mục tiêu. Kích thước của các gói UDP này thường lớn hơn
nhiều so với các yêu cầu DNS ban đầu. Điều này có thể khiến máy chủ mục tiêu bị quá
tải và không thể xử lý các yêu cầu hợp lệ.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
tại, các lỗ hổng mới thường được tạo ra, tạo điều kiện cho các loại tấn công giao thức
mới xuất hiện.
Việc phát hiện các cuộc tấn công giao thức DDoS đòi hỏi phải theo dõi chặt chẽ
các luồng thông tin và phân tích sự khác thường so với các tiêu chuẩn dự kiến. Không
giống như một số loại tấn công DDoS khác, thành công của các cuộc tấn công giao
thức được đo lường không phải bởi quy mô mà bởi tần suất và tính dai dẳng của
chúng.
Loại tấn công DDoS dựa trên giao thức phổ biến nhất là: tấn công SYN flood là
một loại tấn công từ chối dịch vụ (DDoS) nhắm mục tiêu vào quy trình bắt tay TCP.
Trong tấn công này, kẻ tấn công sẽ gửi một loạt các gói SYN đến máy chủ mục tiêu,
trong đó địa chỉ IP nguồn được giả mạo. Máy chủ mục tiêu sẽ phản hồi bằng gói SYN-
ACK, nhưng kẻ tấn công sẽ không gửi gói ACK để hoàn thành quá trình bắt tay. Điều
này làm cho máy chủ mục tiêu giữ lại các kết nối không hợp lệ, cuối cùng làm hỏng
máy chủ.
2.2.3. Tấn công lớp ứng dụng
Tấn công DDoS lớp 7, còn được gọi là tấn công DDoS ứng dụng, là một loại tấn
công từ chối dịch vụ (DDoS) nhắm mục tiêu vào lớp ứng dụng của mô hình OSI. Lớp
ứng dụng là lớp cao nhất trong mô hình OSI, nơi xảy ra các yêu cầu internet phổ biến
như HTTP GET và HTTP POST.
Các cuộc tấn công DDoS lớp 7 đặc biệt hiệu quả vì chúng tiêu thụ tài nguyên máy
chủ, ngoài tài nguyên mạng. Điều này là do sự khác biệt về mức tiêu thụ tài nguyên
tương đối giữa một client đưa ra yêu cầu và server phản hồi yêu cầu.
Khi người dùng gửi yêu cầu đăng nhập vào tài khoản trực tuyến, lượng dữ liệu và
tài nguyên mà máy tính của người dùng phải sử dụng là tối thiểu. Tuy nhiên, máy chủ
phải thực hiện nhiều tác vụ để xử lý yêu cầu, chẳng hạn như kiểm tra thông tin đăng
nhập, tải dữ liệu người dùng từ cơ sở dữ liệu và gửi phản hồi.
Tương tự, khi người dùng yêu cầu một trang web, máy chủ phải thực hiện các truy
vấn cơ sở dữ liệu hoặc các lệnh gọi API khác để tạo ra trang web. Khi nhiều thiết bị
cùng nhắm mục tiêu vào một thuộc tính web, như trong một cuộc tấn công mạng
botnet, sự chênh lệch về mức tiêu thụ tài nguyên này có thể dẫn đến hiện tượng từ chối
dịch vụ đối với lưu lượng truy cập hợp pháp.
Trong nhiều trường hợp, chỉ cần nhắm mục tiêu một API với một cuộc tấn công
DDoS lớp 7 là đủ để đưa dịch vụ vào trạng thái ngoại tuyến.
2.3. Một số loại tấn công DDoS
2.3.1. ICMP flood
ICMP - Internet Control Message Protocol là một giao thức internet được sử
dụng bởi các thiết bị mạng liên lạc được áp dụng trong một cuộc tấn công Ping Flood.
Các công cụ để kiểm tra khả năng truy cập và độ trễ mạng traceroute và ping đều sử
dụng bằng ICMP. ICMP thường gửi các tin nhắn (echo-request) và phản hồi đi (echo-
reply-messages). Dùng để Ping các thiết bị trong mạng nhằm chẩn đoán tình trạng, kết
nối của thiết bị, kết nối giữa người gửi và thiết bị.
Cụ thể, kẻ tấn công cố gắng làm quá tải một thiết bị mục tiêu bằng cách gửi một
lượng lớn các gói ICMP đến thiết bị đó. Các gói ICMP là các gói dữ liệu được sử dụng
để kiểm tra tính khả dụng của các thiết bị mạng. Trong một cuộc tấn công ICMP flood,
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
kẻ tấn công sẽ gửi các gói ICMP yêu cầu lỗi đến thiết bị mục tiêu. Thiết bị mục tiêu sẽ
phản hồi các gói lỗi này, chiếm dụng tài nguyên của thiết bị và làm cho thiết bị không
thể xử lý các yêu cầu hợp lệ.
Ping Flood thường được thực hiện bằng cách sử dụng mạng botnet. Trong một
cuộc tấn công Ping Flood, các thiết bị botnet sẽ nhắm tới cùng một cơ sở hạ tầng,
mạng, dịch vụ… Lưu lượng tấn công với số lượng lớn có khả năng gây gián đoạn hoạt
động mạng bình thường, áp đảo khả năng xử lý của mục tiêu. Dấu hiệu dễ thấy là việc
giảm hiệu suất, ngừng hoạt động hoàn toàn hoặc thậm chí làm hỏng thiết bị mục tiêu.
Trong lịch sử, kẻ tấn công sẽ dùng IP giả để che giấu thiết bị gửi. Với các cuộc tấn
công botnet hiện đại, kẻ xấu không nhất thiết phải che giấu IP của bot. Thay vào đó
dựa vào một mạng lưới lớn các bot không giả mạo để bão hòa công suất của mục tiêu
tấn công.
2.3.2. SYN flood
Mục đích của SYN flood là làm cho Server không có đủ lưu lượng để có thể
truy cập hợp pháp bằng cách tiêu thụ hết tài nguyên có sẵn ở server. Kẻ tấn công có thể
liên tục gửi các gói yêu cầu kết nối tớ server để áp đảo phần lớn các cổng có sẵn trên
server gây phản hồi chậm hoặc ngưng.
Các cuộc tấn công SYN khai thác quá trình bắt tay ba chiều của TCP. Tạo kết nối
trong điều kiện kết nối TCP bình thường là một quá trình gồm ba bước:
- Máy khách gửi gói SYN đến máy chủ để thiết lập kết nối.
- Máy chủ sử dụng gói SYN/ACK để xác nhận giao tiếp với gói SYN.
- Máy khách xác nhận đã nhận gói từ máy chủ bằng cách trả lại gói ACK. Hoàn thành
các thao tác này sẽ mở kết nối TCP để gửi và nhận dữ liệu.
Trên thực tế, khi nhận được gói SYN từ máy khách, kẻ tấn công sẽ ngay lập tức bắt
đầu thực hiện cuộc tấn công DoS. Máy chủ gửi một hoặc nhiều gói SYN/ACK và đợi
bước cuối cùng của quá trình bắt tay. Quy trình cụ thể như sau:
- Kẻ tấn công gửi một số lượng lớn gói SYN đến máy chủ, chủ yếu bằng địa chỉ IP giả.
- Các yêu cầu kết nối lần lượt được máy chủ trả lời, để lại một cổng mở sẵn sàng nhận
phản hồi.
- Máy chủ đợi gói ACK từ máy khách nhưng gói đó không bao giờ đến. Đồng thời, kẻ
tấn công liên tục gửi các gói SYN, khiến máy chủ phải duy trì các kết nối cổng mở
mới trong một khoảng thời gian. Điều tồi tệ xảy ra là khi sử dụng các cổng có sẵn
khiến máy chủ không còn hoạt động như trước nữa.
SYN flood thường được chia làm ba cách dựa theo cách tấn công:
- Tấn công trực tiếp: là cuộc tấn công SYN trong đó kẻ tấn công không giả mạo địa
chỉ IP. Để khởi động cuộc tấn công, chúng sẽ sử dụng một thiết bị nguồn duy nhất có
IP thực, nên dễ dàng phát hiện và giảm thiểu.
- Tấn công giả mạo: Để ngăn chặn các biện pháp giảm thiểu và che giấu danh tính, kẻ
tấn công giả mạo địa chỉ IP trên các gói SYN được gửi đến máy chủ. Có thể theo dõi
một gói tin về nguồn gốc của nó không phải là điều dễ dàng. Tuy nhiên, với sự trợ
giúp của nhà cung cấp dịch vụ internet, điều đó hoàn toàn có thể thực hiện được.
- Tấn công phân tán: Khả năng một cuộc tấn công DDoS thành công là rất cao vì nó
được tạo bằng botnet và việc truy tìm nguồn gốc là rất khó khăn. Bằng cách thêm
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
obfuscation và obfuscation, kẻ tấn công sẽ cho phép các thiết bị phân tán đồng thời giả
mạo địa chỉ IP trên các gói.
2.3.3. HTTP flood
Là kiểu tấn công máy chủ web hoặc ứng dụng bằng cách sử dụng các yêu cầu
HTTP GET hoặc POST
Các cuộc tấn công tràn HTTP thường được thực hiện bằng cách sử dụng botnet,
là một nhóm máy tính được kết nối với Internet vàbị chiếm quyền điều khiển, thường
có sự trợ giúp của phần mềm độc hại như Trojan Horse.
Các cuộc tấn công hiệu quả nhất khi chúng buộc máy chủ hoặc ứng dụng phân
bổ càng nhiều tài nguyên càng tốt để đáp ứng từng yêu cầu. Vì vậy, kẻ tấn công
thường sẽ “làm ngập” một máy chủ hoặc ứng dụng với nhiều yêu cầu, mỗi yêu cầu sử
dụng càng nhiều tài nguyên càng tốt để xử lý.
Do đó, từ góc độ của kẻ tấn công, các cuộc tấn công tràn HTTP sử dụng các yêu cầu
POST thường tiết kiệm tài nguyên nhất; bởi vì các yêu cầu POST có thể chứa các tham
số kích hoạt quá trình xử lý phức tạp phía máy chủ. Mặt khác, các cuộc tấn công dựa
trên HTTP GET có thể được tạo đơn giản và mở rộng quy mô hiệu quả hơn khi sử
dụng botnet.
2.3.4. UDP flood
Khi thực hiện loại tấn công này, kẻ tấn công sẽ gửi đến server một lượng rất lớn
các gói UDP (User Datagram Protocol). Với mục tiêu áp đảo khả năng phản hồi và xử
lý của thiết bị. Tường lửa bảo vệ máy chủ mục tiêu có thể bị cạn kiệt do UDP flood
đẫn đến DDoS với lưu lượng hợp pháp
Tấn công UDP được thực hiện bằng cách phân tích các bước máy chủ thực hiện
khi nó phản hồi các gói UDP được gửi đến một trong số các port của máy khách. Bình
thường, máy chủ nhận các gói UDP tại 1 port cụ thể, thực hiện phản hồi qua 2 bước
dưới đây:
- Đầu tiên, máy chủ kiểm tra xem có tiến trình nào không, lắng nghe các port nào đã
được chương trình chiếm dụng.
- Nếu không chương trình nào nhận các gói tại port. Máy chủ sẽ gửi phản hồi kèm với
gói ICMP (Ping) để thông báo cho bên gửi rằng hiện không thể truy cập được.
Khi mỗi gói UDP được gửi đến server, nó sẽ trải qua các bước để xử lý yêu cầu.
Máy chủ sẽ sử dụng tài nguyên của chính nó trong quá trình xử lý. Khi các gói UDP
được gửi đi, IP của thiết bị nguồn sẽ được đính kèm. Kẻ tấn công thường sử dụng địa
chỉ IP giả mạo nguồn của các gói UDP. Tránh vị trí của bản thân bị lộ và có thể hòa lẫn
các gói phản hồi từ máy chủ mục tiêu
Vì server mục tiêu tiêu tốn tài nguyên để phản hồi và kiểm tra các gói UDP đã
nhận. Tài nguyên Server sẽ nhanh chóng cạn kiệt khi nhận một lượng lớn các gói UDP.
Điều này khiến máy chủ hoạt động chậm hoặc dừng hoạt động, từ chối dịch vụ từ
người dùng hợp pháp.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Github API: Cho phép mỗi người dùng gọi 5000 request mỗi giờ. Nếu chưa
đăng nhập thì chỉ được 60 request mỗi giờ. Có thể họ sử dụng Sliding Window
hoặc Fixed Window.
Youtube API: Mỗi application sẽ được cấp 10000 unit 1 ngày. Mỗi lần gọi API
sẽ tốn 1 unit nhất định, API tìm kiếm thì tẩm 50 unit, API upload thì tầm 1000
unit. Cách này chắc là dựa theo thuật toán Token Bucket.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
- Phân tích Tài khoản: Điều này đặc biệt quan trọng khi cuộc tấn công DDoS sử dụng
botnet. Nắm bắt các thông tin tài khoản bị lạm dụng và ngăn chặn các agent sử dụng
tài khoản này.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
- Quản lý thiết bị IoT và Thiết bị Kết nối Mạng Khác: Đảm bảo rằng các thiết bị IoT
và các thiết bị kết nối mạng khác trong hạ tầng mạng của bạn được quản lý một cách
an toàn và không bị lạm dụng để trở thành agent DDoS.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
trong việc đối phó với cuộc tấn công DDoS. Dưới đây là một số cách để tìm ra và vô
hiệu hóa các handler:
- Phân tích lưu lượng mạng: Sử dụng công cụ phân tích lưu lượng mạng để xác định
các mẫu kết nối hoặc lưu lượng không bình thường. Các handler thường sẽ gửi lệnh
đến các agent thông qua các kết nối đặc biệt. Phân tích lưu lượng mạng có thể giúp xác
định các địa chỉ IP hoặc cổng sử dụng bởi các handler.
- Sử dụng phần mềm chống DDoS: Các giải pháp chống DDoS có thể giúp phát hiện
và vô hiệu hóa các handler bằng cách theo dõi và chặn các hoạt động không bình
thường. Các giải pháp này có thể tự động tìm và phản ứng với các handler.
Hình 16: Công cụ kiểm tra lỗ hổng bảo mật: Nessus, OpenVAS
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 17: Công cụ kiểm tra mức độ chịu tải của websit: Apache Jmeter, LoadRunner
Hình 18: Tường lửa chống DDoS toàn diện của Vietnix
- Hợp tác với nhà cung cấp dịch vụ mạng: Thông báo cho nhà cung cấp dịch vụ mạng
của bạn về các handler mà bạn phát hiện. Họ có thể thực hiện các biện pháp để chặn
các handler tại mạng cấp mạng, ngăn chúng tiếp cận tới bạn.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
- Giám sát tài khoản và quyền truy cập: Xác định các tài khoản bị lạm dụng để điều
khiển các handler. Vô hiệu hóa hoặc đặt giới hạn về quyền truy cập của các tài khoản
đó.
- Quy trình phân tích sâu: Phân tích mã độc và phần mềm độc hại mà handler sử dụng
để điều khiển agent. Điều này có thể giúp xác định cách mà handler hoạt động và tìm
cách vô hiệu hóa nó.
việc tìm và vô hiệu hóa các handler có thể khó khăn và đòi hỏi sự chuyên
nghiệp trong an toàn mạng. Việc này thường phải được thực hiện một cách cẩn
thận để đảm bảo rằng không gây ra hậu quả không mong muốn cho hệ thống
mạng của bạn.
3.3. Phát hiện dấu hiệu của một cuộc tấn công
Phát hiện dấu hiệu của một cuộc tấn công DDoS (Distributed Denial of Service)
là quá trình quan sát và xác định các biểu hiện không bình thường trong hoạt động
mạng. Một số dấu hiệu phổ biến của cuộc tấn công DDoS:
- Tăng tải lưu lượng mạng: Một trong những biểu hiện rõ rệt của cuộc tấn công DDoS
là tăng đột ngột trong lưu lượng mạng đối với máy chủ hoặc dịch vụ cụ thể. Điều này
có thể dẫn đến sự giảm sút đáng kể về hiệu suất và khả năng truy cập.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 20: Các bước hoạt động của Ping of Death gây nên sự quá tải máy
- Tăng đột ngột trong số lượng kết nối: Cuộc tấn công DDoS thường đi kèm với sự
tăng đột ngột trong số lượng kết nối đến máy chủ hoặc dịch vụ. Các bản ghi nhật ký
kết nối mạng có thể cho thấy sự tăng này.
ví dụ cho thấy lượng kết nối request tăng vô lí 70 triệu request trong 1 s
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 21: Lượng kết nối request tăng vô lý 70 triệu request trong 1s
- Sự bất thường về địa chỉ IP nguồn: Cuộc tấn công DDoS thường sử dụng nhiều địa
chỉ IP nguồn khác nhau để tạo sự nhầm lẫn và khó xác định. Sự tăng cường theo dõi
địa chỉ IP nguồn có thể phát hiện các biểu hiện này.
- Khả năng chống cự yếu đi: Các cuộc tấn công DDoS thường không chỉ tập trung vào
một lĩnh vực duy nhất. Điều này có thể dẫn đến một sự phân tán và tác động nhiều
vùng, cố gắng làm cho các biện pháp chống lại cuộc tấn công yếu đi.
- Xác minh danh tính: Có thể có các dấu hiệu về việc xác minh danh tính sai lầm hoặc
các tài khoản được sử dụng sai cách trong quá trình tấn công. Các hoạt động không
được thực hiện bởi người dùng thường xuyên có thể là một dấu hiệu.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Xác nhận danh tính bằng mã được Facebook gửi đến số điện thoại
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Xác nhận danh tính thông qua các thiết bị đã đăng nhập Facebook trước đó
- Báo động hệ thống và quá trình: Các hệ thống và ứng dụng an toàn mạng có thể phát
ra báo động về các sự kiện không bình thường hoặc tấn công DDoS.
- Giám sát lưu lượng mạng: Sử dụng các công cụ giám sát lưu lượng mạng, bạn có thể
theo dõi lưu lượng đến và ra từ mạng và phát hiện các sự cố không bình thường.
- Theo dõi bất thường: Theo dõi các hoạt động và hoạt động không bình thường trong
môi trường mạng. Điều này có thể bao gồm việc theo dõi lưu lượng không thường
xuyên đến cổng hoặc dịch vụ cụ thể.
- Xác minh bằng phân tích gói tin: Phân tích gói tin mạng để xác định các biểu hiện
của cuộc tấn công DDoS, bao gồm cả việc tìm hiểu các mẫu lưu lượng hoặc tấn công.
Khi phát hiện dấu hiệu của cuộc tấn công DDoS, quá trình ứng phó nhanh
chóng và hiệu quả là rất quan trọng. Điều này có thể bao gồm việc chuyển
hướng lưu lượng, kích hoạt các biện pháp chống tấn công và liên hệ với nhà
cung cấp dịch vụ mạng để giúp đối phó với cuộc tấn công.
3.4. Làm suy giảm hay dừng cuộc tấn công
- Sử dụng Firewall và Intrusion Prevention Systems (IPS): Cấu hình và triển
khai các tường lửa (firewalls) và hệ thống ngăn chặn xâm nhập (IPS) để ngăn chặn lưu
lượng đáng ngờ và loại bỏ các gói tin gây hại từ cuộc tấn công.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 26: StopIt là một bộ lọc dựa trên cơ chế bảo vệ lai DDoS
- Sử dụng giải pháp phân giải tên miền (DDoS Mitigation Service): Các dịch vụ giải
quyết cuộc tấn công DDoS chuyên nghiệp có thể giúp lọc và xử lý lưu lượng tấn công
trước khi nó đến máy chủ của bạn.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Hình 28: Đây là cách DNS phân giải một tên miền đủ điều kiện (FQDN) theo các
nhãn và hậu tố
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Việc chuyển hướng cuộc tấn công không phải lúc nào cũng là giải pháp tốt. Nó
cần phải được kết hợp với các biện pháp bảo vệ và kiểm soát khác để đảm bảo
rằng cuộc tấn công không gây hại cho mạng của bạn hoặc khách hàng của bạn.
Hãy luôn làm việc với các chuyên gia an toàn mạng để đảm bảo rằng chiến lược
của bạn là hiệu quả và an toàn.
3.6 Giai đoạn sau tấn công
Giai đoạn sau cuộc tấn công DDoS là thời kỳ sau khi cuộc tấn công đã xảy ra
và bạn cần đối phó với hậu quả. Dưới đây là một số bước và biện pháp có thể bạn cần
thực hiện trong giai đoạn này:
- Phân tích tấn công: Đầu tiên, bạn cần xác định loại tấn công DDoS mà bạn đã trải
qua và nhận biết các đặc điểm cụ thể của cuộc tấn công. Điều này có thể giúp bạn hiểu
rõ cách tấn công đã diễn ra và đối phó tốt hơn trong tương lai.
- Khôi phục dịch vụ: Hãy đảm bảo rằng dịch vụ hoặc trang web của bạn đã được khôi
phục. Kiểm tra lại tài khoản và dịch vụ, đảm bảo rằng họ hoạt động bình thường.
- Cải thiện bảo mật: Sử dụng kinh nghiệm từ cuộc tấn công để cải thiện bảo mật của
bạn. Điều này có thể bao gồm triển khai các giải pháp bảo mật mạng mới, cập nhật hệ
thống hoặc áp dụng các biện pháp đối phó bổ sung.
- Giám sát liên tục: Đảm bảo rằng bạn đang theo dõi mạng của bạn để phát hiện các
tấn công tiềm ẩn và thực hiện biện pháp ngăn chặn trước khi chúng trở thành cuộc tấn
công lớn hơn.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
- Làm việc với cơ quan thích hợp: Nếu bạn tin rằng cuộc tấn công là hợp pháp hoặc có
thể dẫn đến hậu quả nghiêm trọng, bạn nên báo cáo cho cơ quan thích hợp, ví dụ như
cơ quan thực thi pháp luật hoặc tổ chức bảo vệ an toàn mạng.
- Xác định nguồn tấn công: Nếu có khả năng, hãy cố gắng xác định nguồn của cuộc
tấn công để có thể chứng minh và đối phó trong tương lai.
- Học từ kinh nghiệm: Cuộc tấn công có thể là một cơ hội để học hỏi và cải thiện an
toàn mạng của bạn. Đảm bảo rằng bạn thực hiện việc này để ngăn chặn các cuộc tấn
công tương lai.
Giai đoạn sau cuộc tấn công DDoS rất quan trọng để đảm bảo rằng bạn có khả
năng phục hồi nhanh chóng và đối phó với các tình huống tương tự trong tương
lai
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Kết luận
Bài tiểu luận đã trình bày chi tiết các nội dung sau:
1.Tổng quan về tấn công DDoS
- Khái niệm
- Mục đích: Gây gián đoạn dịch vụ, Làm quá tải hệ thống,….
- Đặc tính: Tính phân tán, tính khủng bố, quá tải hệ thống, sử dụng botnet hoặc zombie
army, sử dụng phương thức tấn công đa dạng, khả năng thay đổi và điều chỉnh
- Dấu hiệu nhận biết: Lưu lượng truy cập tăng đột ngột và/hoặc bất ngờ, một trang web
hoặc dịch vụ đột nhiên trở nên chậm chạp hoặc không khả dụng, …
- Mô hình kiến trúc: trực tiếp và gián tiếp
2. Cách thực hiện tấn công
- Cơ chế hoạt động
- 1 số loại tấn công DDoS phổ biến: ICMP flood, SYN flood, HTTP flood, UDP flood
3. Các giải pháp phòng chống
- Tối ưu hóa số lượng agent: Phát hiện và Chặn Agent, sử dụng Whitelisting, sử dụng
Rate Limiting, sử dụng Các Dịch vụ DDoS Scrubbing,…
- Tìm và vô hiệu hóa các Handler: Phân tích lưu lượng mạng, sử dụng phần mềm
chống DDoS, giám sát tài khoản và quyền truy cập, …
- Phát hiện dấu hiệu của một cuộc tấn công: tăng tải lưu lượng mạng, sự giảm hiệu
suất, tăng đột ngột trong số lượng kết nối, …
- Làm suy giảm hay dừng cuộc tấn công: Sử dụng Firewall và Intrusion Prevention
Systems (IPS), tăng băng thông mạng, sử dụng Content Delivery Network (CDN), …
- Chuyển hướng cuộc tấn công: Sử dụng giải pháp bên ngoài, sử dụng giải pháp
chuyển hướng mạng, bảo vệ cơ sở dữ liệu từ xa
- Giai đoạn sau tấn công: Phân tích tấn công, khôi phục dịch vụ, cải thiện bảo mật,
giám sát liên tục, …
DDoS ngày càng trở nên phổ biến và nguy hiểm do đó người dùng cần có và bổ
sung thêm kiến thức để ngăn chặn và đề phòng các cuộc tấn công DDoS.
Nhóm 10 | Trang
Tiểu luận môn An toàn mạng thông tin
Nhóm 10 | Trang