Tấn công từ chối dịch vụ phân tán (DDoS / Distributed Denial-Of-Service) là một nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập bình thường của một máy chủ (hoặc dịch vụ, mạng được nhắm mục tiêu) bằng cách làm quá tải (overwhelming) mục tiêu hoặc cơ sở hạ tầng xung quanh đó bằng một lượng lớn lưu lượng truy cập Internet (flood of Internet traffic).
Các cuộc tấn công DDoS đạt được mục tiêu của nó bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Máy (thiết bị) bị khai thác / lạm dụng có thể bao gồm máy tính và các tài nguyên có nối mạng khác như thiết bị IoT (Internet of Things / Internet vạn vật).
Ở cấp độ cao, một cuộc tấn công DDoS giống như một vụ tắc đường bất ngờ làm tắc nghẽn đường cao tốc bạn hay đi, ngăn không cho giao thông vận hành bình thường.
Tấn công DDoS hoạt động như thế nào?
Các cuộc tấn công DDoS nhắm đến mạng các máy kết nối Internet.
Các mạng này bao gồm máy tính và các thiết bị khác (chẳng hạn như thiết bị IoT) đã bị nhiễm phần mềm độc hại (malware), cho phép kẻ tấn công điều khiển chúng từ xa. Những thiết bị riêng lẻ này được gọi là bot (hoặc zombie), và một nhóm bot được gọi là botnet.
Khi mạng botnet đã được thiết lập, kẻ tấn công có thể chỉ đạo một cuộc tấn công bằng cách gửi các hướng dẫn từ xa đến từng bot.
Khi máy chủ hoặc mạng của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ gửi yêu cầu đến địa chỉ IP của mục tiêu, điều này có khả năng khiến máy chủ hoặc mạng bị quá tải, dẫn đến từ chối dịch vụ đối với lưu lượng truy cập bình thường khác.
Vì mỗi bot đều là một thiết bị Internet hợp pháp, việc tách bạch lưu lượng tấn công khỏi lưu lượng truy cập thông thường có thể rất khó khăn, do vậy việc ngăn cản DDoS không hề là chuyện đơn giản.
Cách xác định một cuộc tấn công DDoS
Triệu chứng biểu hiện rõ ràng nhất của các cuộc tấn công DDoS là trang web hoặc dịch vụ đột nhiên trở nên chậm chạp hoặc không khả dụng (không còn khả năng sử dụng bình thường được nữa).
Tuy nhiên lưu lượng truy cập tăng đột biến như vậy có thể có nhiều nguyên nhân khác nhau. Nghĩa là các nguyên nhân đó đều tạo ra các vấn đề về hiệu suất tương tự, do vậy thường chúng ta cần phải điều tra thêm xem đó có phải thực sự là DDoS hay không?
Các công cụ phân tích lưu lượng có thể giúp bạn phát hiện một số dấu hiệu đáng chú ý của cuộc tấn công DDoS, bao gồm:
- Lượng lưu lượng truy cập đáng ngờ bắt nguồn từ một địa chỉ IP hoặc dải IP;
- Một lượng lớn lưu lượng truy cập từ những người dùng có cùng một kiểu hành vi, chẳng hạn như cùng loại thiết bị, vị trí địa lý hoặc phiên bản trình duyệt web;
- Yêu cầu đến một trang hoặc điểm cuối (endpoint) tăng lên không giải thích được (bạn không rõ nguyên nhân từ đâu, và bình thường thì nó không như vậy);
- Các mẫu lưu lượng truy cập kỳ lạ chẳng hạn như tăng đột biến vào các giờ lẻ trong ngày hoặc các mẫu có vẻ không tự nhiên (ví dụ: tăng đột biến cứ sau 10 phút).
Ngoài ra, còn có những dấu hiệu khác, cụ thể hơn của cuộc tấn công DDoS có thể khác nhau tùy thuộc vào từng loại tấn công.
Một số kiểu tấn công DDoS phổ biến là gì?
Các kiểu tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu các cuộc tấn công DDoS khác nhau hoạt động như thế nào, chúng ta cần phải biết mạng được kết nối như thế nào.
Kết nối mạng trên Internet bao gồm nhiều thành phần hoặc “lớp” khác nhau. Chuyện này giống như việc xây dựng một ngôi nhà từ mặt đất lên, mỗi lớp trong mô hình có một mục đích khác nhau.
Các mô hình OSI, hiển thị dưới đây, là một bộ khung khái niệm dùng để mô tả khả năng kết nối mạng trong 7 lớp riêng biệt.
Mặc dù gần như tất cả các cuộc tấn công DDoS đều liên quan đến việc làm quá tải một thiết bị hoặc mạng mục tiêu với lưu lượng truy cập lớn, các cuộc tấn công có thể được chia thành ba loại.
Kẻ tấn công có thể sử dụng một hoặc nhiều vectơ tấn công khác nhau, hoặc vectơ tấn công chu kỳ để phản ứng lại các biện pháp kháng cự lại của mục tiêu.
Mời bạn xem tiếp bài viết: Các kiểu tấn công DDoS khác nhau.
(Dịch và tổng hợp từ bài viết What is a DDoS Attack? của Cloudflare)
