HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG 1

TIỂU LUẬN MÔN AN TOÀN MẠNG THÔNG TIN

CHỦ ĐỀ: TẤN CÔNG MẠNG DDOS

Giảng viên phụ trách: Nguyễn Thanh Trà

Nhóm tiểu luận: 10
Thành viên nhóm: Phạm Hồng Lâm – B20DCVT226
Nguyễn Mạnh Lâm – B20DCVT225
Nguyễn Đức Lân – B20DCVT227
Nguyễn Hải Long – B20DCVT234

Hà Nội, 26 tháng 10 năm 2023

Bảng phân công công việc

Họ tên Mã sinh viên Công việc

Phạm Hồng Lâm B20DCVT226 Phần 1: Tổng quan về
DDoS

Nguyễn Đức Lân B20DCVT227 Phần 2: Cách thực hiện

tấn công DDoS

Nguyễn Hải Long B20DCVT234 Phần 3: Các giải pháp

phòng chống DDoS

Nguyễn Mạnh Lâm B20DCVT225 Tổng hợp nội dung và

hình thức

Kết quả check Doit

Mục lục

Thuật ngữ viết tắt ...........................................................................................................5

Danh mục hình vẽ ..........................................................................................................6
Lời nói đầu .....................................................................................................................8
1. Tổng quan về tấn công từ chối dịch vụ phân tán DDoS..............................................9
1.1. Giới thiệu về DDos...............................................................................................9
1.2. Khái niệm và mục đích.........................................................................................9
1.2.1. Khái niệm:......................................................................................................9
1.2.2. Mục đích của tấn công DDoS:......................................................................11
1.3. Đặc tính và dấu hiệu nhận biết............................................................................12
1.3.1. Đặc tính:.......................................................................................................12
1.3.2. Dấu hiệu nhận biết :......................................................................................13
1.4. Mô hình kiến trúc:...............................................................................................13
1.4.1. Kiến trúc trực tiếp.........................................................................................13
1.4.2. Kiến trúc gián tiếp:.......................................................................................15
2. Cách thực hiện tấn công DDoS.................................................................................17
2.1. Cơ chế hoạt động của tấn công DDOS...............................................................17
2.2. Phân loại DDoS..................................................................................................18
2.2.1. Tấn công băng thông....................................................................................18
2.2.2. Tấn công giao thức.......................................................................................19
2.2.3. Tấn công lớp ứng dụng.................................................................................20
2.3. Một số loại tấn công DDoS.................................................................................20
2.3.1. ICMP flood...................................................................................................20
2.3.2. SYN flood.....................................................................................................21
2.3.3. HTTP flood...................................................................................................22
2.3.4. UDP flood.....................................................................................................22
3. Các giải pháp phòng chống tấn công DDoS.............................................................22
3.1. Tối ưu hóa số lượng agent..................................................................................22
3.2. Tìm và vô hiệu hóa các handler..........................................................................27
3.3. Phát hiện dấu hiệu của một cuộc tấn công..........................................................30
3.4. Làm suy giảm hay dừng cuộc tấn công..............................................................34
3.5 Chuyển hướng cuộc tấn công...............................................................................40
3.6 Giai đoạn sau tấn công.........................................................................................43
Kết luận ....................................................................................................................... 45
Tài liệu tham khảo ....................................................................................................... 46
 Tiểu luận môn An toàn mạng thông tin

Thuật ngữ viết tắt

Từ viết tắt Tên Tiếng Anh Tên Tiếng Việt
DDoS Distributed Denial of Tấn công từ chối dịch vụ
Service phân tán
DoS Denial of Service Tấn công từ chối dịch vụ
HTTP Hypertext Transfer Giao truyền tải siêu văn
Protocol bản
DNS Domain Name System Hệ thống tên miền
ICMP Internet Control Message Giao thức thông báo kiểm
Protocol soát Internet
TCP Transmission Control Giao thức điều khiển
Protocol truyền vận
UDP User Datagram Protocol Giao thức dữ liệu người
dùng
API Application programming Giao diện lập trình ứng
Interface dụng
IDS Instrusion Detection Hệ thống phát hiện xâm
System nhập
IPS Intrusion Prevention Hệ thống ngăn chặn xâm
System nhập
CDN Content Delivery Network Mạng phân phối nội dung

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Danh mục hình vẽ

Hình 1: Mô phỏng tấn công DDoS..................................................................................9
Hình 2: Quy trình thực hiện tấn công DDoS.................................................................10
Hình 3: Ẩn dụ về lưu lượng truy cập tấn công DDoS...................................................10
Hình 4: Kiến trúc tấn công DDoS trực tiếp...................................................................13
Hình 5: Quá trình tấn công trực tiếp..............................................................................14
Hình 6: Kiến trúc tấn công DDoS gián tiếp..................................................................15
Hình 7: Quá trình tấn công gián tiếp.............................................................................16
Hình 8: Mô hình cuộc tấn công khuếch đại DNS.........................................................18
Hình 9: Mô hình OSI ................................................................................................... 19

Hình 10: Hệ thống phát hiện xâm nhập – IDS ............................................................ 23

Hình 11: Cách hoạt động IDS ..................................................................................... 23

Hình 12: Cách thức tấn công DDoS Botnet ................................................................ 25

Hình 13: Quy trình chống Botnet ................................................................................ 25

Hình 14: DDoS Scrubbing .......................................................................................... 26

Hình 15: Quy trình quản lý thiết bị IOT từ xa ............................................................. 27

Hình 16: Công cụ kiểm tra lỗ hổng bảo mật: Nessus, OpenVAS ................................ 28

Hình 17: Công cụ kiểm tra mức độ chịu tải của websit: Apache Jmeter, LoadRunner 29
Hình 18: Tường lửa chống DDoS toàn diện của Vietnix ............................................ 29
Hình 19: Tấn công DDoS SYN ................................................................................... 31
Hình 20: Các bước hoạt động của Ping of Death gây nên sự quá tải máy................... 31
Hình 21: Lượng kết nối request tăng vô lý 70 triệu request trong 1s........................... 32
Hình 22: Phần cứng tường lửa .................................................................................... 35
Hình 23: Cách hoạt động IPS ...................................................................................... 35
Hình 24: Lợi ích của IPS.............................................................................................. 36
Hình 25: Cách hoạt động CDN.................................................................................... 37
Hình 26: StopIt là một bộ lọc dựa trên cơ chế bảo vệ lai DDoS.................................. 38
Hình 27: Cách thức hoạt động DDoS Mitigation......................................................... 38

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 28: Đây là cách DNS phân giải một tên miền đủ điều kiện (FQDN) theo các nhãn
và hậu tố ...................................................................................................................... 39
Hình 29: Chiến lược phòng thủ DNS .......................................................................... 40
Hình 30: Mô hình hoạt động của Arbor Networks ...................................................... 41
Hình 31: Dịch vụ bảo mật của FPT ............................................................................. 42

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Lời nói đầu

Trong thời đại phát triển mạnh mẽ của công nghệ cùng với sự kết nối toàn cầu
của Internet đã đem tới vô số lợi ích cho chúng ta như các website, ứng dụng, các thiết
bị IoT, … Nó đã trở thành một phần không thể thiếu trong đời sống thường ngày.
Và vấn đề an toàn và bảo mật thông tin lại càng trở nên quan trọng bởi luôn có
người muốn lợi dụng để khai thác thông tin của cá nhân, của tổ chức để trục lợi hay để
gây cản trở, gây rối cho hệ thống, cho thiết bị. Và một trong số đó là tấn công từ chối
dịch vụ phân tán DDoS, mục đích chính của DDoS là làm cho một dịch vụ trực tuyến
hoặc mạng máy tính trở nên không khả dụng với người dùng bằng cách làm quá tải hệ
thống.
Đây là một kiểu tấn công mạng rất phổ biến và đề lại nhiều hậu quả nghiêm
trọng do đó nhóm em quyết chọn đề tài “Tấn công mạng DDoS” để làm tiểu luận
nhằm tìm hiểu và bổ sung kiến thức về tấn công mạng DDoS, cách thức hoạt động của
chúng cùng với các giải pháp ngăn chặn tấn công.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

1. Tổng quan về tấn công từ chối dịch vụ phân tán DDoS

1.1. Giới thiệu về DDos
Hãy tưởng tượng điều này: Một đám đông đột nhiên, không báo trước, bước vào
một cửa hàng nhỏ, chỉ có chỗ cho một số ít khách hàng. Tất cả những người bổ sung
này khiến khách hàng không thể ra vào được. Những người bổ sung đó không có ý
định mua sắm - thay vào đó họ muốn làm gián đoạn hoạt động kinh doanh thông
thường. Tất cả tình trạng tắc nghẽn giao thông này làm tắc nghẽn cửa hàng, khiến cửa
hàng không thể thực hiện các hoạt động kinh doanh bình thường.
 Đó là một ví dụ dễ hiểu về tấn công DDoS - Distributed Denial of Service (từ
chối dịch vụ phân tán)
Nguồn gốc: cuối thế kỷ 19 cũng như đầu thiên kỷ mới đánh dấu bước phát triển
nhanh , mạnh của một số chiến lược tấn công khác biệt nhắm vào hệ thống mạng-
DDoS, hình thức tấn công từ chối dịch vụ phân tán đã ra đời. Là biến thể của Dos thì
DDoS cũng được phát tán rất rộng, chủ yếu nhờ tính đơn giản nhưng rất khó bị dò tìm
của chúng.
Ngày nay, các cuộc tấn công từ chối dịch vụ là một trong những cuộc tấn công
mạng tinh vi và mối đe doạ nghiêm trọng, một công cụ nguy hiểm của hacker. Nó gây
ra nhũng thiệt hại nghiêm trọng cho các doanh nghiệp.
Một số cuộc tấn công DDos :
 Vụ tấn công khách hàng của Microsoft cuối năm 2021:
Microsoft biết rằng họ đã bảo vệ thành công khách hàng sử dụng dịch vụ Azure tại
châu Á trước cuộc tấn công DDoS có thông lượng lên tới 3,47 terabit mỗi giây (Tbps).
Trước đó, nền tảng Microsoft Azure DDoS cũng đã chặn hai cuộc tấn công DDoS khác
nhắm vào các khách hàng châu Á với thông lượng lần lượt là 3,25 Tbps và 2,55 Tbps.
Với mức 3,47 Tbps, cuộc tấn công DDoS nhắm vào khách hàng của Microsoft
được ghi nhận là "Cuộc tấn công lớn nhất trong lịch sử từng được báo cáo".
Theo Microsoft,"đây là cuộc tấn công phân tán bắt nguồn từ khoảng 10.000 nguồn
và từ nhiều quốc gia trên toàn cầu, bao gồm Mỹ, Trung Quốc, Hàn Quốc, Nga, Thái
Lan, Ấn Độ, Việt Nam, Iran, Indonesia và Đài Bắc Trung Hoa".
 Vụ tấn công vào google năm 2017:
Đội ngũ Google Cloud team đã tiết lộ những thông tin về một cuộc tấn công DDoS
lớn chưa từng có, nhắm mục tiêu trực tiếp đến các dịch vụ của Google và diễn ra trong
khoảng thời gian tháng 9 năm 2017. Cuộc tấn công DDoS này có độ lớn ước tính lên
tới 2,54Tbps, khiến nó trở thành cuộc tấn công DDoS đáng sợ nhất từng được ghi nhận
trong lịch sử phát triển internet cho đến thời điểm hiện tại.
1.2. Khái niệm và mục đích
1.2.1. Khái niệm:
Điều đầu tiên trước tiên: tấn công DoS. Cuộc tấn công từ chối dịch vụ DoS là một
cuộc tấn công mạng làm tràn ngập máy chủ, mạng hoặc dịch vụ với khối lượng yêu
cầu lớn hơn hoặc các gói lưu lượng truy cập mạng độc hại mà nó không thể xử lý. Một
hệ thống bị tấn công DoS như vậy có thể trở nên hoàn toàn không phản hồi hoặc phản
hồi chậm, làm gián đoạn các dịch vụ của nó đối với người dùng hợp pháp.
 DDoS - tấn công từ chối dịch vụ phân tán là một biến thể của DoS.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

DDoS là một loại tấn công mạng mà mục tiêu của nó là làm cho dịch vụ mạng hoặc
trang web trở nên không khả dụng cho người dùng bằng cách làm quá tải hệ thống
hoặc máy chủ bằng lượng truy cập mạng không đáng kể. Điều đặc biệt về tấn công
DDoS là những kẻ tấn công thực hiện các cuộc tấn công DDoS bằng cách sử dụng một
số máy bị xâm nhập, chẳng hạn như máy tính cá nhân, máy chủ, thiết bị di động, thiết
bị IoT và thiết bị mạng để tạo ra một lưu lượng truy cập cực lớn đồng thời đối với một
mục tiêu duy nhất, gây ra sự quá tải và làm gián đoạn dịch vụ.

Hình 1: Mô phỏng tấn công DDoS

Các cuộc tấn công DDoS được thực hiện với mạng lưới các máy có kết nối
Internet. Các mạng này bao gồm máy tính và các thiết bị khác (chẳng hạn như thiết bị
IoT) đã bị nhiễm phần mềm độc hại , cho phép kẻ tấn công điều khiển chúng từ xa.
Các thiết bị riêng lẻ này được gọi là bot (hoặc zombie) và một nhóm bot được gọi là
botnet.
Khi mạng botnet đã được thiết lập, kẻ tấn công có thể chỉ đạo một cuộc tấn
công bằng cách gửi hướng dẫn từ xa đến từng bot.
Khi máy chủ hoặc mạng của nạn nhân bị botnet nhắm tới, mỗi bot sẽ gửi yêu
cầu đến địa chỉ IP của mục tiêu , có khả năng khiến máy chủ hoặc mạng bị quá tải, dẫn
đến việc từ chối dịch vụ đối với lưu lượng truy cập bình thường.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 2: Quy trình thực hiện tấn công DDoS

Ở mức độ cao, ta có thể ví tấn công DDoS giống như một vụ tắc nghẽn giao
thông bất ngỡ làm ùn tắc đường cao tốc làm ngăn cản các phương tiện giao thông đến
điểm đích.

Hình 3: Ẩn dụ về lưu lượng truy cập tấn công DDoS

1.2.2. Mục đích của tấn công DDoS:
Tấn công DDoS xảy ra có thể do nhiều mục đích khác nhau, nó có thể được phát
động bởi cá nhân, doanh nghiệp thậm trí là đến từ các nước trên thế giới:
- Gây gián đoạn dịch vụ(Service Disruption): Một trong những mục đích chính của tấn
công DDoS là làm cho hệ thống mục tiêu không thể phục vụ yêu cầu từ người dùng
hợp lệ. Điều này có thể gây ra sự chậm trễ hoặc ngừng hoạt động hoàn toàn của dịch
vụ, ảnh hưởng đến trải nghiệm người dùng và gây thiệt hại cho danh tiếng và hoạt
động kinh doanh của tổ chức hoặc cá nhân đang vận hành hệ thống.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

- Làm quá tải hệ thống (System Overload): Tấn công DDoS có thể được sử dụng để
tạo ra một lượng lớn các yêu cầu đến máy chủ mục tiêu, làm quá tải hệ thống và làm
cho nó trở nên không thể hoạt động. Mục đích ở đây không phải là làm cho dịch vụ
hoặc trang web trở nên không khả dụng hoàn toàn, mà là làm cho nó hoạt động rất
chậm và không thể sử dụng.
- Lợi ích tài chính(Ransom DDoS): Một số kẻ tấn công có thể thực hiện tấn công
DDoS với mục đích tạo ra lợi nhuận tài chính. Họ có thể yêu cầu tiền chuộc để ngừng
tấn công hoặc tấn công một tổ chức cụ thể để gây thiệt hại kinh tế và ép buộc họ trả
tiền để bảo vệ hệ thống của mình.
- Cạnh tranh không công bằng(Unfair Competition): Trong một số trường hợp, tấn
công DDoS có thể được sử dụng như một công cụ để loại bỏ đối thủ cạnh tranh hoặc
làm giảm khả năng cạnh tranh của họ trên thị trường. Bằng cách làm cho hệ thống của
đối thủ không thể hoạt động, kẻ tấn công hy vọng sẽ có lợi thế cạnh tranh.
- Chính trị và tôn giáo (Political and Religious): Một số tấn công DDoS có mục đích
chính trị hoặc tôn giáo. Người tấn công có thể tấn công các trang web hoặc tổ chức có
liên quan đến các vấn đề chính trị hoặc tôn giáo để thể hiện quan điểm của họ hoặc
gây rối trong hoạt động của các tổ chức này.
1.3. Đặc tính và dấu hiệu nhận biết
1.3.1. Đặc tính:
- Tính phân tán: Tấn công DDoS được thực hiện từ nhiều nguồn khác nhau. Kẻ tấn
công sử dụng một mạng lưới các thiết bị hoặc máy tính đã bị chiếm đoạt hoặc lây
nhiễm để tạo ra lưu lượng truy cập lớn đồng thời. Sự phân tán giúp làm cho tấn công
khó nhận biết và chống lại, vì dữ liệu tấn công đến từ nhiều nguồn khác nhau.
- Tính khủng bố (Denial of Service): Mục tiêu của tấn công DDoS là làm cho hệ thống
mục tiêu không thể phục vụ yêu cầu từ người dùng hợp lệ. Tấn công này gây ra sự
chậm trễ hoặc ngừng hoạt động của dịch vụ, hệ thống hoặc trang web, từ đó gây khó
khăn và phiền hà cho người dùng cuối và gây thiệt hại cho tổ chức hoặc cá nhân mà hệ
thống thuộc về.
- Quá tải hệ thống (System Overload): Tấn công DDoS tạo ra một lượng lớn yêu cầu
truy cập đồng thời đến hệ thống mục tiêu, gây ra quá tải và làm cho hệ thống không đủ
khả năng xử lý mọi yêu cầu. Điều này dẫn đến sự chậm trễ hoặc ngừng hoạt động của
hệ thống, ảnh hưởng đến khả năng cung cấp dịch vụ cho người dùng hợp lệ.
- Sử dụng botnet hoặc zombie army: Kẻ tấn công sử dụng một mạng lưới các máy tính
hoặc thiết bị đã bị chiếm đoạt hoặc lây nhiễm để thực hiện tấn công DDoS. Các máy
tính này thường được kiểm soát từ xa bởi kẻ tấn công thông qua phần mềm độc hại. Sự
sử dụng botnet hoặc zombie army giúp tăng cường sức mạnh tấn công và làm cho nó
khó phát hiện và chặn.
- Sử dụng phương thức tấn công đa dạng: Kẻ tấn công có thể sử dụng nhiều phương
thức tấn công khác nhau để tấn công hệ thống mục tiêu. Các phương thức tấn công phổ
biến bao gồm SYN flood, UDP flood, ICMP flood, HTTP flood và DNS amplification.
Việc sử dụng các phương thức tấn công đa dạng giúp kẻ tấn công tăng khả năng thành
công và khó chống lại.
- Khả năng thay đổi và điều chỉnh: Kẻ tấn công có thể thay đổi và điều chỉnh tấn công
DDoS của mình để tránh các biện pháp phòng ngừa và chống lại. Họ có thể thay đổi

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

địa chỉ IP nguồn, sử dụng các kỹ thuật che giấu, thay đổi mục tiêu tấn công và thay đổi
cấu trúc lưu lượng tấn công.
1.3.2. Dấu hiệu nhận biết :
Chúng ta có thể bắt gặp một số dấu hiệu sau:
- Dấu hiệu rõ ràng nhất của cuộc tấn công DDoS là một trang web hoặc dịch vụ đột
nhiên trở nên chậm chạp hoặc không khả dụng(Tuy nhiên một số các trang web có thể
tải chậm hoặc hoàn toàn không tải vì nhiều lý do không phải mọi lý do đều có nghĩa
đó là một cuộc tấn công DDoS.).
- Lưu lượng truy cập tăng đột ngột và/hoặc bất ngờ: Nếu bạn thấy một tăng đột ngột và
không thường xuyên trong lưu lượng truy cập, đặc biệt là từ một số địa chỉ IP, có thể
đó là một dấu hiệu của tấn công DDoS. Kẻ tấn công cố gắng tạo ra một số lượng lớn
yêu cầu truy cập cùng một lúc để làm quá tải hệ thống.
- Mô hình truy cập bất thường và không thường xuyên: Nếu bạn nhận thấy một lượng
lớn các gói tin mạng đến hệ thống của bạn, đặc biệt là với kích thước không thường
xuyên hoặc không đồng đều, có thể đó là một tấn công DDoS. Kẻ tấn công thường sử
dụng các kỹ thuật như SYN flood hoặc UDP flood để tạo ra lưu lượng dữ liệu lớn và
không đều. Ví dụ: lưu lượng truy cập hiện tại khác với mô hình lưu lượng truy cập
thông thường, chẳng hạn như lưu lượng truy cập không nhất quán với cơ sở người
dùng thông thường của bạn và nhận lưu lượng truy cập vào những giờ bất thường.
- Tăng lưu lượng truy cập đến một điểm cuối duy nhất: Ví dụ: một phần hệ thống của
bạn, chẳng hạn như một URL cụ thể, đột nhiên nhận được lượng lưu lượng truy cập
cao so với các phần khác.
- Sự giảm đi của tài nguyên hệ thống: Nếu bạn nhận thấy một sự giảm đi rõ rệt về tài
nguyên hệ thống như băng thông mạng, dung lượng CPU hoặc bộ nhớ, trong khi
không có hoạt động lớn từ người dùng hợp lệ, có thể là một dấu hiệu của tấn công
DDoS. Kẻ tấn công cố gắng tận dụng tài nguyên hệ thống để gây ra quá tải.
1.4. Mô hình kiến trúc:
1.4.1. Kiến trúc trực tiếp

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 4: Kiến trúc tấn công DDoS trực tiếp

Theo như hình, các hacker trước hết thực hiện chiếm quyền điều khiển hàng
ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những
máy tính bị kiểm soát và điều khiển từ xa bởi hacker.
Hacker thường điều khiển các Zombie thông qua các máy trung gian (Handler).
Hệ thống các Zombie chịu sự điều khiển của chúng còn được gọi là mạng máy tính ma
hay botnet.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 5: Quá trình tấn công trực tiếp

Theo lệnh gửi từ Hacker, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập
giả mạo đến hệ thống nạn nhân (Victim), gây ngập đường truyền mạng hoặc làm cạn
kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho
người dùng.
1.4.2. Kiến trúc gián tiếp:

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 6: Kiến trúc tấn công DDoS gián tiếp

Kiến trúc tấn công DDoS gián tiếp còn được gọi là tấn công DDoS phản chiếu.
Tương tự như kiến trúc tấn công DDoS trực tiếp, Hacker trước hết thực hiện
chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến các máy
tính này thành các Zombie, hay còn gọi la Slave.
Hacker điều khiển các Slave thông qua các máy trung gian (Master). Theo lệnh
gửi từ chúng, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ
nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến một số lớn các máy
khác (Reflectors) trên mạng Internet.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 7: Quá trình tấn công gián tiếp

Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn
nhân được đặt vào yêu cầu giả mạo. Khi các Reflectors có số lượng lớn số phản hồi sẽ
gây ngập đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến
ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng.
Các Reflectors bị lợi dụng để tham gia tấn công thường là các hệ thống máy
chủ có công suất lớn trên mạng Internet và không chịu sự điều khiển của Hacker.

2. Cách thực hiện tấn công DDoS

2.1. Cơ chế hoạt động của tấn công DDOS
Khi thực hiện DDoS, kẻ tấn công sẽ sử dụng phần mềm độc hại để xâm nhập và
kiểm soát các hệ thống máy tính của người dùng. Các hệ thống này sau đó được gọi là
zombie hoặc bot. Kẻ tấn công sẽ tạo ra một mạng lưới các zombie hoặc bot này, được
gọi là botnet. Trên thực tế, thuật ngữ botnet được hình thành từ “robot” và “network”.
Trong một cuộc tấn công DDoS, botnet sẽ đồng loạt gửi các yêu cầu đến một
mục tiêu, chẳng hạn như một website hoặc dịch vụ. Các yêu cầu này có thể là yêu cầu
HTTP, yêu cầu DNS, hoặc các yêu cầu khác.
Kết quả của một cuộc tấn công DDoS là mục tiêu sẽ bị quá tải và không thể
phục vụ người dùng hợp pháp. Người dùng sẽ không thể truy cập vào website hoặc
dịch vụ, hoặc sẽ phải trải qua thời gian chờ đợi lâu.
Cuộc tấn công DDoS thường được chia làm 3 giai đoạn chính:
- Giai đoạn chuẩn bị: Trước khi thực hiện tấn công, kẻ tấn công cần chuẩn bị các công
cụ và tài nguyên cần thiết. Công cụ tấn công thường hoạt động theo mô hình Client-
Server. Kẻ tấn công cũng cần chiếm quyền kiểm soát một số host trên mạng để tạo
thành mạng botnet. Sau đó, kẻ tấn công sẽ cài đặt các phần mềm cần thiết trên các host
này và cấu hình toàn bộ mạng botnet.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

- Giai đoạn xác định mục tiêu và thời điểm: Sau khi đã chuẩn bị đầy đủ, kẻ tấn công sẽ
tiến hành xác định mục tiêu và thời điểm tấn công. Mục tiêu thường là các trang web,
dịch vụ trực tuyến hoặc hệ thống quan trọng. Thời điểm tấn công thường là khi mục
tiêu có lưu lượng truy cập cao hoặc khi mục tiêu ít chú ý.
- Giai đoạn phát động tấn công và xóa dấu vết: Trong giai đoạn này, kẻ tấn công sẽ
phát động tấn công vào mục tiêu bằng cách sử dụng mạng botnet. Sau khi tấn công, kẻ
tấn công sẽ xóa mọi dấu vết có thể truy ngược đến mình. Việc này đòi hỏi trình độ cao
hơn và không hoàn toàn bắt buộc.
2.2. Phân loại DDoS
Các cuộc tấn công DDoS được chia làm ba loại chính: tấn công băng thông
(Volumetric Attacks), tấn công giao thức (Protocol Attacks) và tấn công lớp ứng dụng
(Application Layer Attacks).
2.2.1. Tấn công băng thông
Đây là loại kỹ thuật thường gặp nhất và dễ thực hiện nhất. Tấn công băng thông
là một kỹ thuật tấn công từ chối dịch vụ phổ biến, nhằm làm bão hòa băng thông của
hệ thống mục tiêu. Kỹ thuật này thường được thực hiện bằng cách gửi một lượng lớn
các yêu cầu không hợp lệ đến hệ thống mục tiêu, khiến hệ thống không thể đáp ứng
các yêu cầu hợp lệ từ người dùng.
Tấn công băng thông có thể được phân thành hai loại chính: tấn công gây ngập
lụt và tấn công khuếch đại.
- Tấn công gây ngập lụt (Flood Attack) là loại tấn công phổ biến nhất, trong đó kẻ tấn
công gửi một lượng lớn các yêu cầu không hợp lệ đến hệ thống mục tiêu. Các yêu cầu
này thường là các gói tin trống hoặc các gói tin có kích thước nhỏ.
- Tấn công khuếch đại (Amplification Attack) là loại tấn công tinh vi hơn, trong đó kẻ
tấn công gửi các yêu cầu không hợp lệ đến một hệ thống trung gian, hệ thống này sẽ
gửi lại các phản hồi lớn đến hệ thống mục tiêu. Các phản hồi này có thể lớn hơn nhiều
so với các yêu cầu ban đầu, do đó có thể làm quá tải hệ thống mục tiêu một cách hiệu
quả.
Các kỹ thuật khuếch đại thường sử dụng các lỗ hổng trong các giao thức mạng để tạo
ra các phản hồi lớn. Quá trình này thường được thực hiện bằng cách giả mạo nguồn
của các gói, hay còn gọi là phản xạ hay tấn công phản xạ. Ví dụ, kẻ tấn công có thể gửi
các yêu cầu DNS giả mạo đến một máy chủ DNS, khiến máy chủ DNS gửi lại các
phản hồi lớn đến hệ thống mục tiêu dù yêu cầu gửi đến máy chủ DNS rất nhỏ.
Các cuộc tấn công DDoS theo băng thông phổ biến nhất là:
- Tấn công UDP flood: Trong loại tấn công này, kẻ tấn công sẽ gửi một lượng lớn các
gói UDP không trạng thái đến máy chủ mục tiêu. Các gói này sẽ chiếm dụng tài
nguyên của máy chủ mục tiêu, khiến máy chủ không thể xử lý các yêu cầu hợp lệ.
- Tấn công khuếch đại DNS (hoặc phản chiếu DNS): Trong loại tấn công này, kẻ tấn
công sẽ gửi các yêu cầu DNS đến máy chủ DNS. Máy chủ DNS sẽ phản hồi bằng các
gói UDP lớn đến máy chủ mục tiêu. Kích thước của các gói UDP này thường lớn hơn
nhiều so với các yêu cầu DNS ban đầu. Điều này có thể khiến máy chủ mục tiêu bị quá
tải và không thể xử lý các yêu cầu hợp lệ.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 8: Mô hình cuộc tấn công khuếch đại DNS

- Tấn công ICMP flood: Trong loại tấn công này, kẻ tấn công sẽ gửi các yêu cầu lỗi
ICMP đến máy chủ mục tiêu. Máy chủ mục tiêu sẽ phản hồi bằng các gói UDP để báo
cáo lỗi. Các gói UDP này sẽ chiếm dụng tài nguyên của mục tiêu, khiến máy chủ
không thể xử lý các yêu cầu hợp lệ.
2.2.2. Tấn công giao thức

Hình 9: Mô hình OSI

Các cuộc tấn công giao thức, còn được gọi là tấn công cạn kiệt trạng thái, gây ra sự
gián đoạn dịch vụ do tiêu tốn quá nhiều tài nguyên máy chủ hoặc tài nguyên của thiết
bị mạng như tường lửa và bộ cân bằng tải. Kẻ tấn công sẽ tận dụng các điểm yếu ở lớp
3 và lớp 4 của ngăn xếp giao thức để khiến mục tiêu không thể truy cập được.
Bản chất toàn cầu của các giao thức này khiến cho việc khắc phục các lỗ hổng hiện
tại trở nên phức tạp, và ngay cả khi chúng được thiết kế lại để khắc phục các lỗi hiện

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

tại, các lỗ hổng mới thường được tạo ra, tạo điều kiện cho các loại tấn công giao thức
mới xuất hiện.
Việc phát hiện các cuộc tấn công giao thức DDoS đòi hỏi phải theo dõi chặt chẽ
các luồng thông tin và phân tích sự khác thường so với các tiêu chuẩn dự kiến. Không
giống như một số loại tấn công DDoS khác, thành công của các cuộc tấn công giao
thức được đo lường không phải bởi quy mô mà bởi tần suất và tính dai dẳng của
chúng.
Loại tấn công DDoS dựa trên giao thức phổ biến nhất là: tấn công SYN flood là
một loại tấn công từ chối dịch vụ (DDoS) nhắm mục tiêu vào quy trình bắt tay TCP.
Trong tấn công này, kẻ tấn công sẽ gửi một loạt các gói SYN đến máy chủ mục tiêu,
trong đó địa chỉ IP nguồn được giả mạo. Máy chủ mục tiêu sẽ phản hồi bằng gói SYN-
ACK, nhưng kẻ tấn công sẽ không gửi gói ACK để hoàn thành quá trình bắt tay. Điều
này làm cho máy chủ mục tiêu giữ lại các kết nối không hợp lệ, cuối cùng làm hỏng
máy chủ.
2.2.3. Tấn công lớp ứng dụng
Tấn công DDoS lớp 7, còn được gọi là tấn công DDoS ứng dụng, là một loại tấn
công từ chối dịch vụ (DDoS) nhắm mục tiêu vào lớp ứng dụng của mô hình OSI. Lớp
ứng dụng là lớp cao nhất trong mô hình OSI, nơi xảy ra các yêu cầu internet phổ biến
như HTTP GET và HTTP POST.
Các cuộc tấn công DDoS lớp 7 đặc biệt hiệu quả vì chúng tiêu thụ tài nguyên máy
chủ, ngoài tài nguyên mạng. Điều này là do sự khác biệt về mức tiêu thụ tài nguyên
tương đối giữa một client đưa ra yêu cầu và server phản hồi yêu cầu.
Khi người dùng gửi yêu cầu đăng nhập vào tài khoản trực tuyến, lượng dữ liệu và
tài nguyên mà máy tính của người dùng phải sử dụng là tối thiểu. Tuy nhiên, máy chủ
phải thực hiện nhiều tác vụ để xử lý yêu cầu, chẳng hạn như kiểm tra thông tin đăng
nhập, tải dữ liệu người dùng từ cơ sở dữ liệu và gửi phản hồi.
Tương tự, khi người dùng yêu cầu một trang web, máy chủ phải thực hiện các truy
vấn cơ sở dữ liệu hoặc các lệnh gọi API khác để tạo ra trang web. Khi nhiều thiết bị
cùng nhắm mục tiêu vào một thuộc tính web, như trong một cuộc tấn công mạng
botnet, sự chênh lệch về mức tiêu thụ tài nguyên này có thể dẫn đến hiện tượng từ chối
dịch vụ đối với lưu lượng truy cập hợp pháp.
Trong nhiều trường hợp, chỉ cần nhắm mục tiêu một API với một cuộc tấn công
DDoS lớp 7 là đủ để đưa dịch vụ vào trạng thái ngoại tuyến.
2.3. Một số loại tấn công DDoS
2.3.1. ICMP flood
ICMP - Internet Control Message Protocol là một giao thức internet được sử
dụng bởi các thiết bị mạng liên lạc được áp dụng trong một cuộc tấn công Ping Flood.
Các công cụ để kiểm tra khả năng truy cập và độ trễ mạng traceroute và ping đều sử
dụng bằng ICMP. ICMP thường gửi các tin nhắn (echo-request) và phản hồi đi (echo-
reply-messages). Dùng để Ping các thiết bị trong mạng nhằm chẩn đoán tình trạng, kết
nối của thiết bị, kết nối giữa người gửi và thiết bị.
Cụ thể, kẻ tấn công cố gắng làm quá tải một thiết bị mục tiêu bằng cách gửi một
lượng lớn các gói ICMP đến thiết bị đó. Các gói ICMP là các gói dữ liệu được sử dụng
để kiểm tra tính khả dụng của các thiết bị mạng. Trong một cuộc tấn công ICMP flood,

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

kẻ tấn công sẽ gửi các gói ICMP yêu cầu lỗi đến thiết bị mục tiêu. Thiết bị mục tiêu sẽ
phản hồi các gói lỗi này, chiếm dụng tài nguyên của thiết bị và làm cho thiết bị không
thể xử lý các yêu cầu hợp lệ.
Ping Flood thường được thực hiện bằng cách sử dụng mạng botnet. Trong một
cuộc tấn công Ping Flood, các thiết bị botnet sẽ nhắm tới cùng một cơ sở hạ tầng,
mạng, dịch vụ… Lưu lượng tấn công với số lượng lớn có khả năng gây gián đoạn hoạt
động mạng bình thường, áp đảo khả năng xử lý của mục tiêu. Dấu hiệu dễ thấy là việc
giảm hiệu suất, ngừng hoạt động hoàn toàn hoặc thậm chí làm hỏng thiết bị mục tiêu.
Trong lịch sử, kẻ tấn công sẽ dùng IP giả để che giấu thiết bị gửi. Với các cuộc tấn
công botnet hiện đại, kẻ xấu không nhất thiết phải che giấu IP của bot. Thay vào đó
dựa vào một mạng lưới lớn các bot không giả mạo để bão hòa công suất của mục tiêu
tấn công.
2.3.2. SYN flood
Mục đích của SYN flood là làm cho Server không có đủ lưu lượng để có thể
truy cập hợp pháp bằng cách tiêu thụ hết tài nguyên có sẵn ở server. Kẻ tấn công có thể
liên tục gửi các gói yêu cầu kết nối tớ server để áp đảo phần lớn các cổng có sẵn trên
server gây phản hồi chậm hoặc ngưng.
Các cuộc tấn công SYN khai thác quá trình bắt tay ba chiều của TCP. Tạo kết nối
trong điều kiện kết nối TCP bình thường là một quá trình gồm ba bước:
- Máy khách gửi gói SYN đến máy chủ để thiết lập kết nối.
- Máy chủ sử dụng gói SYN/ACK để xác nhận giao tiếp với gói SYN.
- Máy khách xác nhận đã nhận gói từ máy chủ bằng cách trả lại gói ACK. Hoàn thành
các thao tác này sẽ mở kết nối TCP để gửi và nhận dữ liệu.
Trên thực tế, khi nhận được gói SYN từ máy khách, kẻ tấn công sẽ ngay lập tức bắt
đầu thực hiện cuộc tấn công DoS. Máy chủ gửi một hoặc nhiều gói SYN/ACK và đợi
bước cuối cùng của quá trình bắt tay. Quy trình cụ thể như sau:
- Kẻ tấn công gửi một số lượng lớn gói SYN đến máy chủ, chủ yếu bằng địa chỉ IP giả.
- Các yêu cầu kết nối lần lượt được máy chủ trả lời, để lại một cổng mở sẵn sàng nhận
phản hồi.
- Máy chủ đợi gói ACK từ máy khách nhưng gói đó không bao giờ đến. Đồng thời, kẻ
tấn công liên tục gửi các gói SYN, khiến máy chủ phải duy trì các kết nối cổng mở
mới trong một khoảng thời gian. Điều tồi tệ xảy ra là khi sử dụng các cổng có sẵn
khiến máy chủ không còn hoạt động như trước nữa.
SYN flood thường được chia làm ba cách dựa theo cách tấn công:
- Tấn công trực tiếp: là cuộc tấn công SYN trong đó kẻ tấn công không giả mạo địa
chỉ IP. Để khởi động cuộc tấn công, chúng sẽ sử dụng một thiết bị nguồn duy nhất có
IP thực, nên dễ dàng phát hiện và giảm thiểu.
- Tấn công giả mạo: Để ngăn chặn các biện pháp giảm thiểu và che giấu danh tính, kẻ
tấn công giả mạo địa chỉ IP trên các gói SYN được gửi đến máy chủ. Có thể theo dõi
một gói tin về nguồn gốc của nó không phải là điều dễ dàng. Tuy nhiên, với sự trợ
giúp của nhà cung cấp dịch vụ internet, điều đó hoàn toàn có thể thực hiện được.
- Tấn công phân tán: Khả năng một cuộc tấn công DDoS thành công là rất cao vì nó
được tạo bằng botnet và việc truy tìm nguồn gốc là rất khó khăn. Bằng cách thêm

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

obfuscation và obfuscation, kẻ tấn công sẽ cho phép các thiết bị phân tán đồng thời giả
mạo địa chỉ IP trên các gói.
2.3.3. HTTP flood
Là kiểu tấn công máy chủ web hoặc ứng dụng bằng cách sử dụng các yêu cầu
HTTP GET hoặc POST
Các cuộc tấn công tràn HTTP thường được thực hiện bằng cách sử dụng botnet,
là một nhóm máy tính được kết nối với Internet vàbị chiếm quyền điều khiển, thường
có sự trợ giúp của phần mềm độc hại như Trojan Horse.
Các cuộc tấn công hiệu quả nhất khi chúng buộc máy chủ hoặc ứng dụng phân
bổ càng nhiều tài nguyên càng tốt để đáp ứng từng yêu cầu. Vì vậy, kẻ tấn công
thường sẽ “làm ngập” một máy chủ hoặc ứng dụng với nhiều yêu cầu, mỗi yêu cầu sử
dụng càng nhiều tài nguyên càng tốt để xử lý.
Do đó, từ góc độ của kẻ tấn công, các cuộc tấn công tràn HTTP sử dụng các yêu cầu
POST thường tiết kiệm tài nguyên nhất; bởi vì các yêu cầu POST có thể chứa các tham
số kích hoạt quá trình xử lý phức tạp phía máy chủ. Mặt khác, các cuộc tấn công dựa
trên HTTP GET có thể được tạo đơn giản và mở rộng quy mô hiệu quả hơn khi sử
dụng botnet.
2.3.4. UDP flood
Khi thực hiện loại tấn công này, kẻ tấn công sẽ gửi đến server một lượng rất lớn
các gói UDP (User Datagram Protocol). Với mục tiêu áp đảo khả năng phản hồi và xử
lý của thiết bị. Tường lửa bảo vệ máy chủ mục tiêu có thể bị cạn kiệt do UDP flood
đẫn đến DDoS với lưu lượng hợp pháp
Tấn công UDP được thực hiện bằng cách phân tích các bước máy chủ thực hiện
khi nó phản hồi các gói UDP được gửi đến một trong số các port của máy khách. Bình
thường, máy chủ nhận các gói UDP tại 1 port cụ thể, thực hiện phản hồi qua 2 bước
dưới đây:
- Đầu tiên, máy chủ kiểm tra xem có tiến trình nào không, lắng nghe các port nào đã
được chương trình chiếm dụng.
- Nếu không chương trình nào nhận các gói tại port. Máy chủ sẽ gửi phản hồi kèm với
gói ICMP (Ping) để thông báo cho bên gửi rằng hiện không thể truy cập được.
Khi mỗi gói UDP được gửi đến server, nó sẽ trải qua các bước để xử lý yêu cầu.
Máy chủ sẽ sử dụng tài nguyên của chính nó trong quá trình xử lý. Khi các gói UDP
được gửi đi, IP của thiết bị nguồn sẽ được đính kèm. Kẻ tấn công thường sử dụng địa
chỉ IP giả mạo nguồn của các gói UDP. Tránh vị trí của bản thân bị lộ và có thể hòa lẫn
các gói phản hồi từ máy chủ mục tiêu
Vì server mục tiêu tiêu tốn tài nguyên để phản hồi và kiểm tra các gói UDP đã
nhận. Tài nguyên Server sẽ nhanh chóng cạn kiệt khi nhận một lượng lớn các gói UDP.
Điều này khiến máy chủ hoạt động chậm hoặc dừng hoạt động, từ chối dịch vụ từ
người dùng hợp pháp.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

3. Các giải pháp phòng chống tấn công DDoS

3.1. Tối ưu hóa số lượng agent
Tối ưu hóa số lượng agent trong cuộc tấn công DDoS (tấn công từ nhiều nguồn)
là một phần quan trọng trong việc ngăn chặn và ứng phó với cuộc tấn công. Những
biện pháp sau có thể giúp tối ưu hóa số lượng agent trong cuộc tấn công DDoS:
- Phát hiện và Chặn Agent: Phát hiện và chặn các agent tấn công DDoS trước khi
chúng có thể tham gia vào cuộc tấn công. Sử dụng các giải pháp phát hiện xâm nhập
(IDS) và phát hiện cuộc tấn công DDoS (DDoS detection) để xác định các agent độc
hại và tác động lập tức.

Hình 10: Hệ thống phát hiện xâm nhập - IDS

Hình 11: Cách hoạt động IDS

- Sử dụng Whitelisting: Áp dụng whitelisting để chỉ cho phép kết nối từ các nguồn
được xác định trước. Các agent từ nguồn không được liệt kê sẽ bị từ chối kết nối.
- Sử dụng Rate Limiting: Đặt giới hạn về tốc độ kết nối từ một địa chỉ IP cụ thể hoặc
các agent được xác định. Điều này sẽ làm giảm tốc độ cuộc tấn công và tăng khả năng
phát hiện.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

 Github API: Cho phép mỗi người dùng gọi 5000 request mỗi giờ. Nếu chưa
đăng nhập thì chỉ được 60 request mỗi giờ. Có thể họ sử dụng Sliding Window
hoặc Fixed Window.

 Youtube API: Mỗi application sẽ được cấp 10000 unit 1 ngày. Mỗi lần gọi API
sẽ tốn 1 unit nhất định, API tìm kiếm thì tẩm 50 unit, API upload thì tầm 1000
unit. Cách này chắc là dựa theo thuật toán Token Bucket.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

- Phân tích Tài khoản: Điều này đặc biệt quan trọng khi cuộc tấn công DDoS sử dụng
botnet. Nắm bắt các thông tin tài khoản bị lạm dụng và ngăn chặn các agent sử dụng
tài khoản này.

Hình 12: Cách thức tấn công DDoS Botnet

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 13: Quy trình chống Botnet

- Sử dụng Các Dịch vụ DDoS Scrubbing: Nhiều dịch vụ DDoS scrubbing (rửa sạch
DDoS) có thể lọc lưu lượng và ngăn chặn các agent độc hại trước khi chúng có thể gây
hại đến mạng.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 14: DDoS Scrubbing

- Liên hệ với Nhà Cung cấp Mạng: Nếu bạn phát hiện các agent tấn công, thông báo
cho nhà cung cấp dịch vụ mạng của bạn để họ có thể thực hiện biện pháp ngăn chặn
cấp mạng.
- Hợp tác với Cộng đồng An toàn Mạng: Tham gia vào các cộng đồng và tổ chức an
toàn mạng để chia sẻ thông tin và kinh nghiệm về việc xác định và ngăn chặn agent
DDoS.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

- Quản lý thiết bị IoT và Thiết bị Kết nối Mạng Khác: Đảm bảo rằng các thiết bị IoT
và các thiết bị kết nối mạng khác trong hạ tầng mạng của bạn được quản lý một cách
an toàn và không bị lạm dụng để trở thành agent DDoS.

Hình 15: Quy trình quản lý thiết bị IOT từ xa

 Lưu ý rằng việc tối ưu hóa số lượng agent trong cuộc tấn công DDoS thường
yêu cầu sự kết hợp của nhiều biện pháp và phải được thực hiện một cách nhanh
chóng để ngăn chặn tác động của cuộc tấn công.
3.2. Tìm và vô hiệu hóa các handler
Các "handler" trong cuộc tấn công DDoS thường là máy tính hoặc thiết bị mà
kẻ tấn công sử dụng để điều khiển và điều hướng các "agent" (thường là máy tính
zombie) tham gia vào cuộc tấn công. Vô hiệu hóa các handler là một phần quan trọng

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

trong việc đối phó với cuộc tấn công DDoS. Dưới đây là một số cách để tìm ra và vô
hiệu hóa các handler:
- Phân tích lưu lượng mạng: Sử dụng công cụ phân tích lưu lượng mạng để xác định
các mẫu kết nối hoặc lưu lượng không bình thường. Các handler thường sẽ gửi lệnh
đến các agent thông qua các kết nối đặc biệt. Phân tích lưu lượng mạng có thể giúp xác
định các địa chỉ IP hoặc cổng sử dụng bởi các handler.
- Sử dụng phần mềm chống DDoS: Các giải pháp chống DDoS có thể giúp phát hiện
và vô hiệu hóa các handler bằng cách theo dõi và chặn các hoạt động không bình
thường. Các giải pháp này có thể tự động tìm và phản ứng với các handler.

Hình 16: Công cụ kiểm tra lỗ hổng bảo mật: Nessus, OpenVAS

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 17: Công cụ kiểm tra mức độ chịu tải của websit: Apache Jmeter, LoadRunner

Hình 18: Tường lửa chống DDoS toàn diện của Vietnix
- Hợp tác với nhà cung cấp dịch vụ mạng: Thông báo cho nhà cung cấp dịch vụ mạng
của bạn về các handler mà bạn phát hiện. Họ có thể thực hiện các biện pháp để chặn
các handler tại mạng cấp mạng, ngăn chúng tiếp cận tới bạn.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

- Giám sát tài khoản và quyền truy cập: Xác định các tài khoản bị lạm dụng để điều
khiển các handler. Vô hiệu hóa hoặc đặt giới hạn về quyền truy cập của các tài khoản
đó.

- Quy trình phân tích sâu: Phân tích mã độc và phần mềm độc hại mà handler sử dụng
để điều khiển agent. Điều này có thể giúp xác định cách mà handler hoạt động và tìm
cách vô hiệu hóa nó.
 việc tìm và vô hiệu hóa các handler có thể khó khăn và đòi hỏi sự chuyên
nghiệp trong an toàn mạng. Việc này thường phải được thực hiện một cách cẩn
thận để đảm bảo rằng không gây ra hậu quả không mong muốn cho hệ thống
mạng của bạn.
3.3. Phát hiện dấu hiệu của một cuộc tấn công
Phát hiện dấu hiệu của một cuộc tấn công DDoS (Distributed Denial of Service)
là quá trình quan sát và xác định các biểu hiện không bình thường trong hoạt động
mạng. Một số dấu hiệu phổ biến của cuộc tấn công DDoS:
- Tăng tải lưu lượng mạng: Một trong những biểu hiện rõ rệt của cuộc tấn công DDoS
là tăng đột ngột trong lưu lượng mạng đối với máy chủ hoặc dịch vụ cụ thể. Điều này
có thể dẫn đến sự giảm sút đáng kể về hiệu suất và khả năng truy cập.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 19: Tấn công DDoS SYN

- Sự giảm hiệu suất: Máy chủ hoặc dịch vụ bị tấn công có thể trải qua sự giảm hiệu
suất nghiêm trọng hoặc trở nên không khả dụng cho người dùng. Điều này có thể được
phát hiện thông qua giám sát CPU, bộ nhớ và tài nguyên hệ thống.

Hình 20: Các bước hoạt động của Ping of Death gây nên sự quá tải máy
- Tăng đột ngột trong số lượng kết nối: Cuộc tấn công DDoS thường đi kèm với sự
tăng đột ngột trong số lượng kết nối đến máy chủ hoặc dịch vụ. Các bản ghi nhật ký
kết nối mạng có thể cho thấy sự tăng này.
 ví dụ cho thấy lượng kết nối request tăng vô lí 70 triệu request trong 1 s

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 21: Lượng kết nối request tăng vô lý 70 triệu request trong 1s
- Sự bất thường về địa chỉ IP nguồn: Cuộc tấn công DDoS thường sử dụng nhiều địa
chỉ IP nguồn khác nhau để tạo sự nhầm lẫn và khó xác định. Sự tăng cường theo dõi
địa chỉ IP nguồn có thể phát hiện các biểu hiện này.

- Khả năng chống cự yếu đi: Các cuộc tấn công DDoS thường không chỉ tập trung vào
một lĩnh vực duy nhất. Điều này có thể dẫn đến một sự phân tán và tác động nhiều
vùng, cố gắng làm cho các biện pháp chống lại cuộc tấn công yếu đi.
- Xác minh danh tính: Có thể có các dấu hiệu về việc xác minh danh tính sai lầm hoặc
các tài khoản được sử dụng sai cách trong quá trình tấn công. Các hoạt động không
được thực hiện bởi người dùng thường xuyên có thể là một dấu hiệu.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Yêu cầu xác nhận danh tính trên Facebook

Xác nhận danh tính bằng mã được Facebook gửi đến số điện thoại

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Xác nhận danh tính thông qua các thiết bị đã đăng nhập Facebook trước đó
- Báo động hệ thống và quá trình: Các hệ thống và ứng dụng an toàn mạng có thể phát
ra báo động về các sự kiện không bình thường hoặc tấn công DDoS.
- Giám sát lưu lượng mạng: Sử dụng các công cụ giám sát lưu lượng mạng, bạn có thể
theo dõi lưu lượng đến và ra từ mạng và phát hiện các sự cố không bình thường.
- Theo dõi bất thường: Theo dõi các hoạt động và hoạt động không bình thường trong
môi trường mạng. Điều này có thể bao gồm việc theo dõi lưu lượng không thường
xuyên đến cổng hoặc dịch vụ cụ thể.
- Xác minh bằng phân tích gói tin: Phân tích gói tin mạng để xác định các biểu hiện
của cuộc tấn công DDoS, bao gồm cả việc tìm hiểu các mẫu lưu lượng hoặc tấn công.
 Khi phát hiện dấu hiệu của cuộc tấn công DDoS, quá trình ứng phó nhanh
chóng và hiệu quả là rất quan trọng. Điều này có thể bao gồm việc chuyển
hướng lưu lượng, kích hoạt các biện pháp chống tấn công và liên hệ với nhà
cung cấp dịch vụ mạng để giúp đối phó với cuộc tấn công.
3.4. Làm suy giảm hay dừng cuộc tấn công
- Sử dụng Firewall và Intrusion Prevention Systems (IPS): Cấu hình và triển
khai các tường lửa (firewalls) và hệ thống ngăn chặn xâm nhập (IPS) để ngăn chặn lưu
lượng đáng ngờ và loại bỏ các gói tin gây hại từ cuộc tấn công.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 22: Phần cứng tường lửa

Hình 23: Cách hoạt động IPS

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 24: Lợi ích của IPS

- Tăng băng thông mạng: Tăng băng thông mạng có thể giúp đối phó với cuộc
tấn công DDoS bằng cách cung cấp nhiều nguồn tài nguyên hơn để xử lý lưu lượng tấn
công. Tuy nhiên, điều này có thể đắt đỏ và không phải lúc nào cũng là giải pháp tốt.
- Sử dụng Content Delivery Network (CDN): Sử dụng CDN giúp phân phối tải
lưu lượng mạng trên nhiều máy chủ toàn cầu, giúp giảm tải cho máy chủ chính và làm
cho cuộc tấn công khó khăn hơn.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 25: Cách hoạt động CDN

- Lọc lưu lượng: Triển khai các hệ thống lọc lưu lượng để loại bỏ lưu lượng tấn công,
nhưng duy trì lưu lượng hợp pháp.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 26: StopIt là một bộ lọc dựa trên cơ chế bảo vệ lai DDoS
- Sử dụng giải pháp phân giải tên miền (DDoS Mitigation Service): Các dịch vụ giải
quyết cuộc tấn công DDoS chuyên nghiệp có thể giúp lọc và xử lý lưu lượng tấn công
trước khi nó đến máy chủ của bạn.

Hình 27: Cách thức hoạt động DDoS Mitigation

- Chuyển hướng lưu lượng: Điều này liên quan đến việc đổi các cấu hình DNS để
chuyển hướng lưu lượng DDoS qua các hệ thống chống tấn công trước khi đến máy
chủ chính. Thiết lập cấu hình cho thiết bị mạng: Thiết lập cấu hình cho thiết bị mạng
(router, switch) để chặn lưu lượng đáng ngờ hoặc tấn công từ các nguồn cụ thể.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 28: Đây là cách DNS phân giải một tên miền đủ điều kiện (FQDN) theo các
nhãn và hậu tố

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 29: Chiến lược phòng thủ DNS

- Theo dõi và phân tích lưu lượng: Theo dõi lưu lượng mạng để xác định mẫu tấn công
và cố gắng tìm nguồn gốc của cuộc tấn công.
- Nâng cấp phần mềm và hệ thống: Đảm bảo rằng bạn luôn cập nhật các ứng dụng và
hệ điều hành, đặc biệt là các lỗ hổng bảo mật đã được vá.
- Tổ chức quản lý cuộc tấn công: Trong trường hợp tấn công DDoS, nên có kế hoạch
ứng phó cụ thể và liên hệ với các đối tác nếu cần thiết.
 không có giải pháp duy nhất cho mọi cuộc tấn công DDoS, và một chiến lược
kết hợp của các biện pháp có thể cần thiết. Nếu bạn gặp phải cuộc tấn công
DDoS, việc hợp tác với các chuyên gia an toàn mạng có thể rất quan trọng để
đảm bảo rằng bạn có thể đối phó với tình huống một cách hiệu quả.
3.5 Chuyển hướng cuộc tấn công
Chuyển hướng cuộc tấn công DDoS có thể là một phần quan trọng của chiến
lược bảo vệ an toàn mạng. Một số cách bạn có thể cân nhắc để chuyển hướng cuộc tấn
công DDoS:
- Sử dụng giải pháp bên ngoài: Một số dịch vụ bên ngoài cung cấp giải pháp chuyển
hướng cuộc tấn công DDoS. Họ có khả năng phát hiện tấn công và chuyển hướng lưu
lượng tấn công, để giảm tải trên hệ thống nội bộ.
 Giải pháp phòng chống tấn công từ chối dịch vụ của Arbor Networks

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 30: Mô hình hoạt động của Arbor Networks

 VNPT cung cấp dịch vụ chống tấn công DDoS

 Dịch vụ bảo mật của FPT

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Hình 31: Dịch vụ bảo mật của FPT

- Sử dụng giải pháp chuyển hướng mạng: Một số bộ tường lửa và thiết bị mạng cho
phép bạn cấu hình chuyển hướng lưu lượng tấn công. Bằng cách chỉ định các nguồn
hoặc giao thức cụ thể, bạn có thể điều hướng lưu lượng tấn công ra khỏi mạng nội bộ.
- Bảo vệ cơ sở dữ liệu từ xa: Đối với các cuộc tấn công liên quan đến DDoS, có thể
hữu ích chuyển hướng dữ liệu và ứng dụng cốt lõi ra xa khỏi mạng nội bộ. Điều này có
thể giảm nguy cơ dữ liệu quan trọng bị mất hoặc bị hỏng trong cuộc tấn công.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

 Việc chuyển hướng cuộc tấn công không phải lúc nào cũng là giải pháp tốt. Nó
cần phải được kết hợp với các biện pháp bảo vệ và kiểm soát khác để đảm bảo
rằng cuộc tấn công không gây hại cho mạng của bạn hoặc khách hàng của bạn.
Hãy luôn làm việc với các chuyên gia an toàn mạng để đảm bảo rằng chiến lược
của bạn là hiệu quả và an toàn.
3.6 Giai đoạn sau tấn công
Giai đoạn sau cuộc tấn công DDoS là thời kỳ sau khi cuộc tấn công đã xảy ra
và bạn cần đối phó với hậu quả. Dưới đây là một số bước và biện pháp có thể bạn cần
thực hiện trong giai đoạn này:
- Phân tích tấn công: Đầu tiên, bạn cần xác định loại tấn công DDoS mà bạn đã trải
qua và nhận biết các đặc điểm cụ thể của cuộc tấn công. Điều này có thể giúp bạn hiểu
rõ cách tấn công đã diễn ra và đối phó tốt hơn trong tương lai.
- Khôi phục dịch vụ: Hãy đảm bảo rằng dịch vụ hoặc trang web của bạn đã được khôi
phục. Kiểm tra lại tài khoản và dịch vụ, đảm bảo rằng họ hoạt động bình thường.
- Cải thiện bảo mật: Sử dụng kinh nghiệm từ cuộc tấn công để cải thiện bảo mật của
bạn. Điều này có thể bao gồm triển khai các giải pháp bảo mật mạng mới, cập nhật hệ
thống hoặc áp dụng các biện pháp đối phó bổ sung.
- Giám sát liên tục: Đảm bảo rằng bạn đang theo dõi mạng của bạn để phát hiện các
tấn công tiềm ẩn và thực hiện biện pháp ngăn chặn trước khi chúng trở thành cuộc tấn
công lớn hơn.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

- Làm việc với cơ quan thích hợp: Nếu bạn tin rằng cuộc tấn công là hợp pháp hoặc có
thể dẫn đến hậu quả nghiêm trọng, bạn nên báo cáo cho cơ quan thích hợp, ví dụ như
cơ quan thực thi pháp luật hoặc tổ chức bảo vệ an toàn mạng.
- Xác định nguồn tấn công: Nếu có khả năng, hãy cố gắng xác định nguồn của cuộc
tấn công để có thể chứng minh và đối phó trong tương lai.
- Học từ kinh nghiệm: Cuộc tấn công có thể là một cơ hội để học hỏi và cải thiện an
toàn mạng của bạn. Đảm bảo rằng bạn thực hiện việc này để ngăn chặn các cuộc tấn
công tương lai.
 Giai đoạn sau cuộc tấn công DDoS rất quan trọng để đảm bảo rằng bạn có khả
năng phục hồi nhanh chóng và đối phó với các tình huống tương tự trong tương
lai

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Kết luận

Bài tiểu luận đã trình bày chi tiết các nội dung sau:
1.Tổng quan về tấn công DDoS
- Khái niệm
- Mục đích: Gây gián đoạn dịch vụ, Làm quá tải hệ thống,….
- Đặc tính: Tính phân tán, tính khủng bố, quá tải hệ thống, sử dụng botnet hoặc zombie
army, sử dụng phương thức tấn công đa dạng, khả năng thay đổi và điều chỉnh
- Dấu hiệu nhận biết: Lưu lượng truy cập tăng đột ngột và/hoặc bất ngờ, một trang web
hoặc dịch vụ đột nhiên trở nên chậm chạp hoặc không khả dụng, …
- Mô hình kiến trúc: trực tiếp và gián tiếp
2. Cách thực hiện tấn công
- Cơ chế hoạt động
- 1 số loại tấn công DDoS phổ biến: ICMP flood, SYN flood, HTTP flood, UDP flood
3. Các giải pháp phòng chống
- Tối ưu hóa số lượng agent: Phát hiện và Chặn Agent, sử dụng Whitelisting, sử dụng
Rate Limiting, sử dụng Các Dịch vụ DDoS Scrubbing,…
- Tìm và vô hiệu hóa các Handler: Phân tích lưu lượng mạng, sử dụng phần mềm
chống DDoS, giám sát tài khoản và quyền truy cập, …
- Phát hiện dấu hiệu của một cuộc tấn công: tăng tải lưu lượng mạng, sự giảm hiệu
suất, tăng đột ngột trong số lượng kết nối, …
- Làm suy giảm hay dừng cuộc tấn công: Sử dụng Firewall và Intrusion Prevention
Systems (IPS), tăng băng thông mạng, sử dụng Content Delivery Network (CDN), …
- Chuyển hướng cuộc tấn công: Sử dụng giải pháp bên ngoài, sử dụng giải pháp
chuyển hướng mạng, bảo vệ cơ sở dữ liệu từ xa
- Giai đoạn sau tấn công: Phân tích tấn công, khôi phục dịch vụ, cải thiện bảo mật,
giám sát liên tục, …
 DDoS ngày càng trở nên phổ biến và nguy hiểm do đó người dùng cần có và bổ
sung thêm kiến thức để ngăn chặn và đề phòng các cuộc tấn công DDoS.

Nhóm 10 | Trang
 Tiểu luận môn An toàn mạng thông tin

Tài liệu tham khảo

1. N.C.Trinh, N.T.Ban, H.T.Minh, P.A.Thư & N.T.Trà - Bài giảng An ninh mạng
thông tin Học viện CNBCVT (2021)
2. Hoàng Xuân Dậu - PHÂN LOẠI TẤN CÔNG DDOS VÀ CÁC BIỆN PHÁP
PHÒNG CHỐNG.pdf
(https://thuviencntt.com/wp-content/uploads/2021/01/Phan-loai-tan-cong-
DDoS-va-cac-bien-phap-phong-chong.pdf)
3. Nguyễn Hải Long - http://dlib.ptit.edu.vn/handle/HVCNBCVT/3131 (2015)
4. Nguyễn Văn Hạnh - http://dlib.ptit.edu.vn/handle/HVCNBCVT/885 (2013)
5. https://www.microsoft.com/vi-vn/security/business/security-101/what-is-a-
ddos-attack
6. https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/
7. https://cystack.net/blog/cach-chong-cuoc-tan-cong-ddos
8. https://fptcorp.com.vn/dich-vu-bao-mat-ddos.html
9. https://www.vnetwork.vn/news/dns-anti-ddos-cach-bao-ve-dich-vu-dns-khoi-
moi-hinh-thuc-tan-cong-ddos/
10. https://antoanthongtin.vn/tin-tuc-san-pham/san-pham-anti-ddos-phai-dam-bao-
phat-hien-chan-loc-toi-thieu-80-luu-luong-tan-cong-108076
11. https://www.hostinger.vn/huong-dan/cdn-la-gi
12. https://tltvietnam.vn/ung-dung-cua-firewall-la-gi-tren-website.html

Nhóm 10 | Trang