Đâu là nguyên nhân thực sự dẫn đến các cuộc tấn công DDos?

Tấn công từ chối dịch vụ DDoS đang ngày càng trở lên phổ biến và là nỗi ác mộng đối với các tổ chức, doanh nghiệp kinh doanh online . Các cuộc tấn công thường được thực hiện bới một nhóm Hacker nhằm mục đích khủng bố không gian mạng, kiếm tiền hay đơn giản chỉ để cho vui.

Chắc hẳn  bạn cũng đã nghe về cuộc tấn công DDos có khả năng khuếch đại lên tới 51,000 lần so với kích thước ban đầu vào tuần trước, do một nhóm hacker khai thác hàng ngàn máy chủ Memcached cấu hình sai hiển thị trên Internet để thực hiện tấn công đến từ cổng UDP 11211.

Bạn đã bao giờ tự hỏi, tại sao các cuộc tấn công DDoS lớn như vậy vẫn có thể xảy ra trên môi trường Internet hiện đại?. Đâu là nguyên nhân thực sự dẫn đến các cuộc tấn công này?.

Thế giới công nghệ ngày càng phát triển kéo theo các cuộc tấn công cũng trở nên tinh vi và khó ngăn chặn hơn. Tin tặc có rất nhiều kỹ thuật để có thể thực hiệc việc tấn công DDos nhằm phá hoại một mục tiêu nào đó. Ví dụ như những phương thức phổ biến sau đây:

• UDP flood
• DNS, NTP, UDP, SYN, SSPD, lũ ACK
• Tấn công CharGEN
• TCP bất thường

Tuy nhiên hầu hết các cuộc tấn công DDos quy mô lớn, có sự khuếch đại cường độ từ trước cho đến nay đều yêu cầu hacker phải thực hiện giả mạo IP và trong bài viết này, HOSTVN sẽ giới thiệu qua về loại tấn công sử dụng IP giả mạo này.

Tất cả các tấn công DDos với kích thước khổng lồ- grabbing đều được gọi với cái tên chung là “L3” (Layer 3 OSI). Và kiểu tấn công này có một đặc điểm chung là phần mềm độc hại sẽ gửi nhiều gói tin nhất có thể lên mạng với một tốc độ lớn (gây ngập lụt, gói tin do hacker tạo ra) và các gói dữ liệu này sẽ được nghiền với nhau như một loạt các byte và bắn lên mạng nhằm gây thiệt hại lớn nhất cho mục tiêu DDos.

Các cuộc tấn công L3 được chia thành hai loại, tùy thuộc vào nơi hacker điều khiển traffic của họ:

• Tấn công trực tiếp : traffic được gửi trực tiếp đến địa chỉ IP của nạn nhân. SYN Flood là kiểu tấn công thông thường của loại này – Tin tặc sẽ gửi rất nhiều gói tin SYN đến máy chủ đích từ địa chỉ IP giả mạo.
• Tấn công khuếch đại : traffic được gửi đến các máy chủ UDP dễ bị tấn công. Máy chủ UDP không nhận biết được yêu cầu giả mạo và sẽ ngay lập tức gửi trả lại một lượng lớn dữ liệu không mong muốn đến mục tiêu.

Các cuộc tấn công khuếch đại thường có hiệu quả và gây ra tổn hại lớn, bởi vì các gói tin trả lời thường là lớn hơn nhiều so với các gói yêu cầu.

1. Tấn công trực tiếp

Trong các cuộc tấn công trực tiếp, lưu lượng truy cập được gửi trực tiếp đến nạn nhân. Có một điểm tích cực của kiểu tấn công này là nạn nhân DDos có thể điều tra ra các nguồn IP thực hiện tấn công!

2. Các cuộc tấn công khuếch đại

Trong cuộc tấn công khuếch đại, lưu lượng truy cập của kẻ tấn công gửi có đặc điểm:

• IP nguồn bị giả mạo và được đặt thành địa chỉ IP của nạn nhân.
• Traffic được gửi đến các máy chủ khuếch đại (UDP) dễ bị tấn công.

Với kiểu tấn công này, nạn nhân chỉ có thể xem IP của các máy chủ bị tấn công mà không xác định được IP nguồn.

3. Tại sao lại có thể giả mạo IP?

Đó là một tác dụng phụ của việc thiết kếcủa internet.

Có ba thuộc tính của internet khiến không thể xác minh xem gói tin nhận được có phải giả mạo hay không.

• Đầu tiên là thuộc tính “đa chức năng – Multihoming” – phương thức kết nối máy chủ hoặc mạng máy tính với nhiều mạng internet khác nhau. Do đó với mạng “đa chức năng” sẽ có thể có nhiều hơn một nhà cung cấp internet đơn lẻ. Về phía tiếp nhận, chúng ta không thể biết được có bao nhiêu nhà cung cấp mà người gửi (hacker) có, và không có cách nào để đảm bảo rằng tất cả các con đường đều an toàn.
• Tiếp theo, đó chính là tính chất năng động của Internet. Các đường dẫn có thể thay đổi theo thời gian nên rất khó để triển khai các quy tắc lọc tĩnh. Ngay cả khi chúng ta biết rằng một số dãy IP có thể tiếp cận nhưng nó sẽ bị thay đổi theo thời gian. Các đường dẫn có thể thay đổi theo thời gian, làm cho nó mong manh để triển khai các quy tắc lọc tĩnh. Ngay cả khi chúng ta biết rằng một số dãy IP nhất định có thể tiếp cận chúng ta chỉ từ một con đường, nhưng điều đó có thể thay đổi theo thời gian.
• Sau đó là có sự không đối xứng định tuyến. Sẽ không có quy tắc “một con đường tốt nhất từ ​​tôi đến bạn phải giống như từ bạn tới tôi” phá vỡ ở Tier 2 và Tier 1 lớp. Trong thế giới thực, đường đi theo hai hướng khác nhau, vì vậy chúng ta không thể sử dụng các đường dẫn tốt nhất làm gợi ý cho các quy tắc lọc.

Việc lọc ngăn ngừa IP giả mạo chỉ có thể được thực hiện trên mép của mạng – ở các ISP cuối cùng. Tuy nhiên việc này cũng rất khó có hiệu quả.

Đến nay, vẫn chưa có một giải pháp nào trên thế giới đảm bảo rằng có thể ngăn chặn được 100% DDos. Việc chúng ta cso thể làm là phòng ngừa và hạn chế ở mức cao nhất sự tấn công của các tin tặc này bằng các biện pháp như tường lửa, sử dụng tính năng bảo mật của dịch vụ đám mây để tránh bị tấn công.

Nếu bạn đang quan tâm đến một giải pháp bảo vệ website trước tấn công DDos, thì giải pháp bảo mật dựa trên đám mây của Sucuri là giải pháp mà bạn có thể lựa chọn. Một nền tảng bảo mật được xây dựng trên đám mây, dễ sử dụng và không phải cài đặt, áp dụng được cho tất cả các loại trang web bao gồm WordPress, Joomla, Drupal, Magento, Microsoft.Net,…

Một tin vui cho bạn vì không cần phải liên hệ trực tiếp với sucuri để có thể sử dụng dịch vụ này, mà đây chính là một dịch vụ mà HOSTVN sẽ liên kết triển khai cùng sucuri trong thời gian tới để đem đến sự bảo mật an toàn cho các khách hàng đang có nhu cầu với mức phí hợp lý nhất.

—————–

Nếu có bất kỳ thắc mắc nào hãy gọi ngay cho HOSTVN hoặc comment tại post này, chúng tôi sẽ ngay lập tức liên hệ để hỗ trợ bạn:

• Điện thoại: 024 4455 3333 hoặc 028 4455 3333
• Email : kinhdoanh@hostvn.net
• Website: https:hostvn.net