Tấn công DoS/DDoS, đặc biệt là dạng tấn công DDoS TCP Syn flood, là mối đe dọa thường trực đối với hệ thống mạng và máy chủ dịch vụ của các cơ quan và tổ chức. Loại tấn công ngày thường gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, hoặc thậm chí khiến cả hệ thống ngừng hoạt động.
Tấn công DDoS rất khó phát hiện và phòng chống hiệu quả do số lượng các host bị điều khiển tham gia tấn công thường rất lớn và nằm rải rác ở nhiều nơi. Để có giải pháp phòng chống tấn công DDoS hiệu quả, việc nghiên cứu về các dạng tấn công DDoS là cần thiết.
Bài viết này, VNETWORK sẽ chia sẻ với doanh nghiệp về cách bảo mật Website và phòng chống tấn công DoS/DDoS TCP Syn flood hiệu quả. Bên cạnh đó là những kiến thức cần biết về bảo mật mạng, bảo mật thông tin số trong thời điểm hiện nay, giúp nâng cao hiểu biết về các dạng tấn công DDoS và trên cơ sở đó lựa chọn các biện pháp phòng chống hiệu quả cho từng hệ thống cụ thể.
Nội dung bài viết chủ yếu nói về phương thức phòng chống DDoS Attack TCP Syn Flood, do đó những khái niệm chúng tôi sẽ chỉ giới thiệu sơ bộ. Chúng tôi sẽ trình bày cụ thể từng khái niệm ở những bài viết khác.
DoS & DDoS Attack
DoS (Denial of Service) Attack: Là dạng tấn công từ chối dịch vụ với dạng tấn công 1 chọi 1. Còn DDoS (Distributed Denial of Service) Attack: Là dạng tấn công từ chối dịch vụ phân tán. Đây là dạng đánh hội đồng.
Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) chỉ khác nhau ở phạm vi tấn công. Trong khi lưu lượng tấn công DoS thường đến từ một hoặc một số ít nguồn, còn lưu lượng tấn công DDoS lại thường phát sinh từ rất nhiều nguồn nằm rải rác trên mạng Internet.
Tóm lại, DoS là việc hacker tận dụng điểm yếu của máy chủ và làm cho máy chủ đó trở lên quá tải, dẫn đến việc không có khả năng phản hồi bất cứ yêu cầu nào khác nữa. Nhưng nếu máy chủ có cấu hình cực cao khiến hacker không đánh sập được bằng cách DoS, thì chúng sẽ tấn công đồng loạt từ nhiều nguồn như DDoS. Hacker sẽ như 1 người điều khiển chính, điều khiển một hệ thống bao gồm hàng ngàn máy tính khác (zombie) qua các handler như IRC (Internet Relay Chat) hay C&C (Command and Control), tất cả cùng tấn công một lúc. Server cho dù có kiên cố đến mấy, nếu không biết cách phát hiện thì cũng sẽ sớm bị sập nhanh chóng.
Hacker phát tán mã độc để DDoS
Hacker kiếm đâu ra cả ngàn zombie để thực hiện các chiến dịch tấn công DDoS cực lớn vào các Doanh Nghiệp có quy mô rộng? Để chuẩn bị một cuộc càn quét lớn, thì trước tiên hacker sẽ phải phát tán một loại mã độc vào mạng Internet. Giới trẻ Việt thường thích sử dụng các sản phẩm miễn phí, sản phẩm Crack, rất dễ tải về các phần mềm download và vô tình trở thành các zombie cho hacker điều khiển từ xa.
Điều khiển từ xa ở đây cũng chẳng phải cái gì cao siêu quá, đơn giản chỉ là gửi 1 HTTP Request tới 1 IP nào đó mà thôi. Trong thời đại IoT bùng nổ hiện nay, ngay cả cái nồi cơm điện cũng là 1 thành phần trong mạng IoT, do đó nó cũng có thể bị nhiễm mã độc và trở thành zombie nghe theo sự điều khiển từ xa của hacker.
Tin tặc sử dụng phương thức tấn công DoS với mục đích duy nhất là gây tê liệt hoạt động website. Khiến phản hồi chậm với các yêu cầu từ người dùng hoặc vô hiệu hóa hoàn toàn website. Có ba kiểu tấn công DoS/DDoS chính:
- Tấn công vào băng thông mạng
Tin tặc sử dụng chiến thuật cơ bản, ai là người nhiều tài nguyên hơn sẽ thắng. Không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận.
- Tấn công vào giao thức
Internet hoạt động nhờ vào các giao thức, đơn giản là cách thức chuyển một đối tượng từ điểm A đến điểm B trên mạng. Kiểu tấn công này bao gồm Ping of Death, SYN Flood, sửa đổi gói tin và các dạng khác.
- Tấn công vào lớp ứng dụng
Các ứng dụng máy chủ web (Windows IIS, Apache,…) là đối tượng thường xuyên bị tấn công. Xu hướng mới của tin tặc hướng tới là các nền tảng ứng dụng WordPress, Joomla…
Tấn công DDoS TCP SYN Flood
Trong tầng giao vận, có một khái niệm là “bắt tay 3 bước” (three way handshake). Quá trình xác nhận bắt tay 3 bước thành công này được mở màn bằng gói tin SYN và kết thúc bằng gói tin ACK (Seq+1). Khi DoS/DDoS attack xảy ra, zombie sẽ chỉ gửi toàn SYN mà không gửi ACK (Seq+1) để xác nhận bắt tay 3 bước, vì đơn giản hacker đâu có sở hữu zombie, chỉ là điều khiển zombie mà thôi. Server nhận được SYN nào thì cũng phải tạo thread/buffer để phục vụ cho SYN đó. Dẫn đến cả những SYN fake từ zombie gửi đến cũng được tạo thread/buffer để chờ phục vụ. Điều này sẽ dẫn đến việc quá tải server.
Phòng chống DDoS ở tầng TCP (Filter Attack Syn Flood)
- Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.
- Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.
- Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.
- Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.
- Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả.
- Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước.
VNIS tích hợp tường lửa Cloud WAF và CDN Power ups để bảo mật website toàn diện và chống Attack TCP Syn Flood hiệu quả cho Doanh Nghiệp
Đăng ký dùng thử VNIS 7 ngày miễn phí tại Hotline: (028) 7306 8789
Tổng Kết
Tấn công từ chối dịch vụ phân tán (DDoS) là mối đe dọa thường trực với hệ thống mạng của các cơ quan chính phủ và các doanh nghiệp. Nhiều cuộc tấn công DDoS với quy mô rất lớn đã được thực hiện gây tê liệt hệ thống mạng của Chính phủ và gây ngắt quãng hoạt động của các mạng dịch vụ trực truyến nổi tiếng như Yahoo.
Tấn công DDoS rất khó phòng chống hiệu quả do quy mô rất lớn và bản chất phân tán của nó. Nhiều kỹ thuật và công cụ tấn công DDoS phức tạp đã được phát triển, trong đó hỗ trợ đắc lực nhất cho tấn công DDoS là sự phát triển nhanh chóng của các kỹ thuật lây nhiễm các phần mềm độc hại, xây dựng hệ thống mạng máy tính ma (zombie, botnets). Tin tặc có thể chiếm quyền điều khiển các máy tính có kết nối Internet, điểu khiển mạng botnet với hàng trăm ngàn máy tính để thực hiện tấn công DDoS. Để có giải pháp toàn diện chống DDoS hiệu quả, việc nghiên cứu về các dạng tấn công DDoS là khâu cần thực hiện đầu tiên.