DDoS là gì và chiến lược hiệu quả để bảo vệ website 2023

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service/ DDoS) là một cuộc tấn công mạng, trong đó kẻ tấn công (hacker) nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.

Một cuộc tấn công DDoS sẽ phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng được nhắm đến bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với lưu lượng truy cập Internet. Các cuộc tấn công DDoS đạt được mục đích bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy được khai thác có thể bao gồm máy tính và các tài nguyên được nối mạng khác như thiết bị IoT. DDoS là một dạng tấn công server chứa website, gây cạn kiệt tài nguyên hệ thống máy chủ, ngập lưu lượng băng thông internet và làm gián đoạn kết nối của người dùng.

Cách nhận biết rõ ràng nhất của một cuộc tấn công DDoS là một trang web hoặc dịch vụ của doanh nghiệp đột nhiên trở nên chậm hoặc không khả dụng. Ngoài ra, những dấu hiệu cơ bản khác như là:

• Các chỉ số về lưu lượng truy cập đột ngột tăng mạnh, bất thường.
• Không thể truy cập vào các trang web, kể cả khi đường truyền mạng của bạn vẫn đang ổn định.

Nhưng vì một số nguyên nhân — lưu lượng truy cập tăng đột biến như vậy cũng có thể tạo ra các vấn đề về hiệu suất tương tự, nên thường cần phải điều tra và phân tích thêm. Các công cụ phân tích lưu lượng truy cập có thể giúp bạn phát hiện một số dấu hiệu nhận biết về một cuộc tấn công DDoS:

• Lượng lưu lượng truy cập đáng ngờ bắt nguồn từ một địa chỉ IP hoặc dải IP
• Một lượng lớn lưu lượng truy cập từ những người dùng chia sẻ một hồ sơ hành vi, chẳng hạn như loại thiết bị, vị trí địa lý hoặc phiên bản trình duyệt web
• Yêu cầu đối với một trang hoặc điểm cuối tăng đột biến không giải thích được
• Các mẫu lưu lượng truy cập kỳ lạ, chẳng hạn như tăng đột biến vào các giờ lẻ trong ngày hoặc các mẫu có vẻ không tự nhiên (ví dụ: tăng đột biến cứ sau 10 phút)

3.1. Trải nghiệm khách hàng

Khách hàng luôn là thượng đế đối với bất kỳ doanh nghiệp nào, do đó nếu trang web của doanh nghiệp bị tấn công DDoS có thể sẽ gây ảnh hưởng lớn đến trải nghiệm của người dùng. Khi đó, người dùng có thể sẽ chuyển sang trang web khác cho cùng một sản phẩm hoặc dịch vụ. Sự cạnh tranh khốc liệt trong tất cả các ngành và việc tìm kiếm một giải pháp thay thế tương tự là rất dễ dàng. Do đó, để đảm bảo lòng trung thành của khách hàng đối với doanh nghiệp, cần phải suy nghĩ nghiêm túc về cách ngăn chặn các cuộc tấn công DDoS.

3.2. Danh tiếng

Khách hàng luôn chọn những công ty mà họ có thể tin tưởng. Do đó, việc dễ bị tấn công mạng khiến cho khách hàng sẽ giảm độ tin tưởng đối với doanh nghiệp của bạn. Bị tấn công DDoS sẽ khiến công ty của bạn bị ảnh hưởng xấu và khiến khách hàng của bạn phải suy nghĩ kỹ về việc hợp tác kinh doanh với bạn hoặc để lại thông tin cá nhân của họ cho bạn chăm sóc.

3.3. Giá trị tài chính

Một mạng bị tấn công DDoS sẽ dẫn đến mất dữ liệu, tài sản và các tài nguyên khác. Chi phí sửa chữa, xây dựng lại hoặc mua thiết bị mới và sửa chữa mạng bị tấn công có thể gây ảnh hưởng đến hoạt động thu chi của doanh nghiệp. Ngoài ra, hệ thống mạng bị gián đoạn khiến các quy trình hoạt động kinh doanh bị ảnh hưởng, ảnh hưởng tiêu cực đến lợi nhuận của doanh nghiệp.

3.4. Năng suất của doanh nghiệp bị sụt giảm

Một cuộc tấn công DDoS ngay cả khi không làm mất hoàn toàn hiệu lực hệ thống của bạn, nó vẫn sẽ khiến cho các quy trình chạy của hệ thống chậm hơn rất nhiều. Khối lượng lớn lưu lượng truy cập bất thường làm tắc nghẽn các kênh trong hệ thống của bạn, làm tăng lượng thời gian cần thiết để nhận, phản hồi các yêu cầu và hoàn thành các tác vụ.

3.5. Thứ hạng SEO của doanh nghiệp có thể bị ảnh hưởng

Nếu trang web của bạn chậm hoặc không hoạt động, Google có thể sẽ hạ thứ hạng của nó trong các trang kết quả, khiến doanh nghiệp của bạn ít hiển thị hơn đối với khách hàng tiềm năng. Google sẽ không cho rằng sự cố là do một cuộc tấn công DDoS gây ra. Nếu vấn đề không được giải quyết ngay lập tức, công cụ tìm kiếm sẽ hiểu tốc độ tải chậm của bạn là hiện trạng mới và sẽ tính toán lại thứ hạng của bạn cho phù hợp.

3.6. Doanh nghiệp có thể mất dữ liệu

Các dữ liệu thông tin quan trọng có thể bị tấn công lấy cắp hoặc phá hủy trong khi cuộc tấn công đang diễn ra. Một cuộc tấn công DDoS thường xảy ra trước khi vi phạm dữ liệu. Nó được sử dụng để đánh sập tường lửa của công ty hoặc đánh lạc hướng nhóm CNTT của công ty khỏi hành vi trộm cắp dữ liệu sắp tới. Một ví dụ cũ, mặc dù rất có liên quan, đã xảy ra với Sony khi một cuộc tấn công DDoS phối hợp vào năm 2011 đã làm công ty mất tập trung trong khi tin tặc đánh cắp thông tin tài khoản của hơn 77 triệu người dùng trên PlayStation Network và Qriocity.

Hiện nay có rất nhiều loại tấn công DDoS đa dạng và tinh vi, đòi hỏi doanh nghiệp phải có một giải pháp bảo vệ toàn diện. Về cơ bản, các doanh nghiệp cần lưu ý đến ba loại tấn công DDoS phổ biến dưới đây:

4.1. Volume-based attack

Volume-based attack là kiểu tấn công DDoS phổ biến nhất và hoạt động bằng cách áp đảo khả năng của máy chủ với một lượng lớn yêu cầu dữ liệu sai. Kẻ tấn công thường sẽ vận dụng các kỹ thuật khuếch đại để sinh ra các request mà không cần dùng đến một lượng lớn tài nguyên. Trong khi máy chủ bận rộn với việc kiểm tra các yêu cầu dữ liệu độc hại này, các lưu lượng truy cập hợp lệ không thể đi qua. Volume-base attack bao gồm các phương thức tấn công phổ biến như: UDP flood, ICMP flood,...

4.2 Protocol attack

Protocol attack là loại tấn công nhắm vào tập trung vào việc khai thác nguồn tài nguyên của máy chủ. Tấn công này tập trung vào các lỗ hổng ở Layer 3 hoặc Layer 4 của mô hình Kết nối hệ thống mở (OSI). Điều đó có nghĩa là chúng sẽ sử dụng hết bộ nhớ, các lõi xử lý, hoặc làm quá tải nguồn thiết bị hoặc các mạng lưới giữa hệ thống bị nhắm đến và người dùng ở đầu kia. Protocol attack bao gồm các phương thức tấn công phổ biến như: SYN floods, Ping of death, Smurf, Teardrop...

4.3. Application attack

Application attack là loại tấn công nhắm vào các ứng dụng web. Đây được coi là loại tấn công tinh vi và nguy hiểm nhất. Đây là những cuộc tấn công tập trung vào Layer 7 trong mô hình OSI. Chúng tập trung chủ yếu vào lưu lượng truy cập web và có thể được khởi chạy thông qua HTTP, HTTPS, DNS hoặc SMTP. Chúng hoạt động bằng cách tấn công các lỗ hổng trong ứng dụng khiến ứng dụng không thể cung cấp nội dung cho người dùng. HTTP GET là một trong những phương thức phổ biến nhất của Application attack.

Một trong những lý do tại sao các cuộc tấn công lớp ứng dụng khó bị ngăn chặn là vì chúng sử dụng ít tài nguyên hơn. Điều này làm cho nó trông giống như một lưu lượng truy cập hợp pháp cao hơn và đánh lừa máy chủ. Tin tặc cũng có thể kết hợp các phương pháp này để khởi động một cuộc tấn công đa hướng vào mục tiêu.

5.1. UDP Flood

UDP Flood là phương thức tấn công bằng cách gửi một số lượng lớn các gói tin giao thức dữ liệu người dùng (User Datagram Protocol/ UDP) đến máy chủ mục tiêu để làm giảm khả năng xử lý và phản hồi của thiết bị. UDP Flood cũng có thể gây tổn hại đến các tường lửa (Firewall) bảo vệ server mục tiêu.

5.2. SYN Flood

SYN Flood là phương thức tấn công nhằm vào những điểm yếu trên chuối kết nối TCP (Transmission Control Protocol/ Giao thức điều khiển truyền vận), thông qua những kết nối chưa được hoàn chỉnh. Khi người dùng thực hiện request TCP Syn thì sẽ không nhận được phản hồi từ máy chủ, đồng nghĩa với việc kết nối không hoạt động. Kẻ tấn công sẽ tiêu thụ mọi tài nguyên có sẵn trên server để làm cho những server không có đủ lưu lượng để truy cập hợp pháp. Kẻ tấn công nhắm vào các server mục tiêu bằng cách liên tục gửi nhiều tin yêu cầu kết nối SYN, làm các máy khách (Client) không thể đáp ứng.

5.3. HTTP Flood

HTTP Flood là phương thức tấn công sử dụng một số lượng lớn botnet và máy tính. Do sử dụng các phần mềm độc hại, nên các máy tính này hầu hết đã bị kiểm soát. Hình thức này sử lượng băng thông ít hơn các hình thức khác, tuy nhiên các máy chủ sẽ buộc phải sử dụng hết tối đa lượng tài nguyên đang có.

5.4. Ping of Death

Ping of Death là phương thức tấn công bằng cách thao túng các giao thức IP, thông qua việc gửi số lượng lớn ping độc hại đến một hệ thống. Đặc biệt, phương thức tấn công này thường xảy ra phổ biến trên các hệ điều hành Windows NT trở xuống và rất phổ biến ở thời điểm 2 thập kỷ trước. Do đó có thể nói, ở thời điểm hiện tại, kiểu tấn công Ping of Death không còn mang lại hiệu quả cao.

5.5. Smurf Attack

Smurf là phương thức tấn công bằng cách lợi dụng địa chỉ IP (Internet Protocol / Giao thức Internet) và các ICMP (Internet Control Message Protocol/ giao thức thông điệp điều khiển Internet), thông qua các chương trình độc hại gọi là Smurf. Kẻ tấn công sẽ giả vờ lấy địa chỉ IP nguồn làm mục tiêu tấn công, thông qua đó ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều mạng. Điều này sẽ làm cho địa chỉ IP này sẽ nhận một số lượng lớn các phản hồi gói ICMP, khiến cho mạng bị chậm hoặc không khả dụng đối với các dịch vụ khác.

5.6. Fraggle Attack

Fraggle Attack là phương thức tấn công vào mạng phát sóng của thiết bị định tuyến (Router) thông qua việc sử dụng nhiều lưu lượng UDP. Phương thức này khá tương đồng với Smurf, tuy nhiên nó không sử dụng nhiều ICMP.

5.7. Slowloris

Slowloris là phương thức tấn công những website đích thông qua việc chỉ sử dụng ít nguồn tài nguyên. Vì Slowloris là một công cụ cho phép kẻ tấn công thông qua nó có thể đánh sập được một máy chủ khác mà không cần tốn quá nhiều băng thông. Slowloris giúp thực hiện cuộc tấn công đến các ứng dụng thông qua nhiều yêu cầu HTTP, với việc luôn duy trì mở các kết nối đến máy chủ mục tiêu và luôn giữ cho kết nối đó mở.

5.8. NTP Amplification

NTP Amplification là phương thức tấn công bằng các gói tin mà kẻ tấn công khai thác từ máy chủ NTP (Network Time Protocol/ Giao thức đồng bộ thời gian mạng) đang hoạt động. Do một số lượng lớn các UDP được khuếch đại nên điều này khiến cho máy chủ mục tiêu hoặc hệ thống mạng bị quá tải.

5.9. HTTP GET

HTTP GET là phương thức tấn công nhắm đến nhiều mục tiêu vào những lớp ứng dụng với quy mô nhỏ. Mục tiêu của HTTP GET là nhắm vào những ứng dụng có nhiều điểm yếu, đặc biệt là nhắm vào lớp thứ 7 (Layer 7), vì đây là lớp có lưu lượng mạng cao nhất. Kiểu tấn công này thường sử dụng các URL tiêu chuẩn thay vì các tệp khối lượng lớn hoặc tệp hỏng. Do đó, việc chống lại hình tấn công này tương đối khó.

5.10. Advanced persistent Dos (APDos)

Advanced Persistent Dos (ApDos) là phương thức tấn công kết hợp tất cả những hình thức tấn công khác như HTTP Flood, SYN Flood,…Đây là phương tấn công phức tạp và nguy hiểm. Những cuộc tấn công kiểu này luôn mong muốn gây ra những thiệt hại nghiêm trọng. Cuộc tấn công này cực kỳ lớn và dai dẳng vì có thể kéo dài hàng tuần đến hằng tháng.

Nếu bạn am hiểu về máy chủ và phần mềm hoặc nếu doanh nghiệp có bộ phận CNTT, thì có một số cách tiếp cận thủ công để quản lý các cuộc tấn công DDoS. Phương pháp phổ biến nhất để xử lí các cuộc tấn công nhỏ là giới hạn tỷ lệ, nghĩa là bạn sẽ giới hạn tần suất lặp lại một số hành động của kẻ tấn công. Vì các cuộc tấn công DDoS diễn ra liên tục nên bạn sẽ phát hiện được sự khác biệt giữa các lưu lượng truy cập hợp lệ và không hợp lệ. Đối với những người không biết cách quản lý hoặc giới hạn lưu lượng mạng, có một số bước đơn giản để xử lí các cuộc tấn công DDoS một cách dễ dàng và nhanh chóng để ngăn chặn các hậu quả tai hại nhất như sau:

Bước 1: Liên hệ với nhà cung cấp bảo mật kỹ thuật số của bạn

Trước tiên hãy liên hệ với đối tác bảo mật bên thứ ba của bạn. Khi cần hỗ trợ, họ có thể giải quyết vấn đề của bạn một cách nhanh chóng.

Bước 2: Thông báo cho bộ phận CNTT

Trong một cuộc tấn công DDoS, bạn có thể muốn cố gắng nắm bắt mọi thứ trước khi cảnh báo về việc bị tấn công. Tuy nhiên, điều này có nguy cơ làm trì hoãn giải pháp và can thiệp vào quy trình làm việc, bởi vì nhiều người có thể sẽ cùng khắc phục sự cố – ​​hoặc thậm chí là khắc phục sai sự cố. Đó là lý do tại sao bạn nên thông báo cho bộ phận CNTT và bất kỳ nhân viên nào khác có khả năng bị ảnh hưởng càng sớm càng tốt.

Bước 3: Xem xét các bước đề giảm thiểu thiệt hại khi bị DDoS

Bước đầu tiên hãy tải phần mềm bảo mật của bạn lên để xem liệu bạn có thể bắt đầu tự chặn địa chỉ IP hay không. Tại thời điểm này của quy trình, bạn thường muốn biết cách khắc phục bộ định tuyến sau một cuộc tấn công DDoS. Bạn có thể thực hiện việc này bằng cách rút cáp nguồn của bộ định tuyến trong 15 đến 30 giây, sau đó khởi động lại.

Để phòng chống và đối phó với DDoS ngày càng tinh vi và đa dạng, đòi hỏi các doanh nghiệp cần phải có các giải pháp hiệu quả như sau:

7.1. Xây dựng hạ tầng máy chủ rộng lớn

Lý do chính khiến website bị crash (hỏng chương trình hay còn gọi là bị văng) hay sập là vì không thể xử lý các lưu lượng truy cập bởi cuộc tấn công DDoS. Tình trạng lượng người dùng truy cập vào website cùng một thời điểm quá lớn sẽ dẫn đến máy chủ bị quá tải. Việc có cho mình một hệ thống có lượng băng thông và dung lượng server rộng lớn là một cách phòng chống và giảm thiểu tấn công DDoS rất tốt. Tuy nhiên, việc này đòi hỏi doanh nghiệp phải đầu tư chi phí hạ tầng rất lớn. Do đó, các doanh nghiệp thường có xu hướng thông qua bên thứ ba chuyên cung cấp và sở hữu hạ tầng mạnh mẽ vừa để đảm bảo cho hệ thống an toàn hiệu quả nhất vừa tối ưu về mặt chi phí.

7.2. Sử dụng các nền tảng bảo mật

Việc sử dụng tường lửa ứng dụng web (Web Application Firewall/ WAF) là cách chống DDoS Layer 7 tốt và hiện đại nhất hiện nay, đặc biệt là đối với hệ thống website của những doanh nghiệp. WAF sẽ giúp phát hiện và chống DDoS bằng việc theo dõi, phân tích và ngăn chặn các lượng truy cập bất thường. Đặc biệt đối với xu hướng hiện nay, các doanh nghiệp hướng đến Cloud WAF, giúp lưu trữ dữ liệu đối tượng không giới hạn và truy xuất dữ liệu liên tục. Hệ thống Cloud WAF sẽ luôn cập nhật và có khả năng mở rộng cao để có thể ngăn chặn các lỗ hổng bảo mật mới nhất gây hại cho website của bạn một cách thông minh nhất.

7.3. Áp dụng công nghệ truyền tải nội dung

Việc ứng dụng công nghệ CDN để hỗ trợ việc phòng chống và giảm thiểu thiệt hại từ DDoS Layer 3, Layer 4 đang ngày càng trở nên phổ biến. Mạng lưới phân phối nội dung (Content Delivery Network/ CDN) sẽ giúp cân bằng lưu lượng truy cập vào Website, đồng thời phân bổ chúng đến nhiều máy chủ khác nhau trên toàn cầu. Qua đó việc những kẻ tấn công nhắm vào Website sẽ khó thực hiện được mục đích hơn. Đặc biệt, trong xu thế hiện nay việc ứng dụng Multi CDN trong 1 nền tảng với kho CDN Power-Ups sẽ giúp hệ thống của bạn có thể kích hoạt các CDN tốt nhất như VNCDN, Cloudflare, Akamai, AWS,... Qua đó, tự động phân tích và lựa chọn CDN đem lại hiệu suất tối ưu nhất cho website của bạn.

7.4. Tăng khả năng vận hành của hệ thống

Một hệ thống để đứng vững trước các cuộc tấn công DDoS cần sở hữu một khả năng vận hành tự động, nhanh chóng và chính xác nhất.

AI Load Balancing (Hệ thống cân bằng tải thông minh)

Việc sở hữu cho mình một hệ thống cân bằng tải thông minh (AI Load Balancing) sẽ giúp phân phối lưu lượng tăng đột biến từ các cuộc tấn công DDoS một cách thông minh dựa trên dữ liệu về độ trễ, tính khả dụng và vị trí địa lý. Cân bằng tải sẽ giúp bạn cung cấp trải nghiệm người dùng và hiệu năng website tốt nhất.

SOC (Trung tâm điều hành an ninh mạng)

SOC - Security Operations Center được xây dựng dựa trên nhu cầu, nhằm đảm bảo trải nghiệm tốt nhất cho người dùng. Các doanh nghiệp sẽ phải xây dựng một đội ngũ nhân sự, quy trình vận hành và công nghệ để liên tục giám sát và phân tích các cuộc tấn công DDoS. Qua đó, để thực hiện các hành động ứng phó và xử lý một cách kịp thời. Việc xây dựng một hệ thống SOC phải đầu tư khá lớn. Do đó, việc thông qua bên thứ ba có sẵn hệ thống SOC hỗ trợ 24/7 là phương án đáng cân nhắc cho các doanh nghiệp.

Scrubbing Centers (Trung tâm thanh lọc)

Scrubbing Centers là một trung tâm giúp xử lí toàn bộ mọi lưu lượng truy cập đến. Các trung tâm giám sát sẽ ngăn chặn các cuộc tấn công DDoS lớn nhắm vào lớp mạng (layer 3), lớp truyền tải (layer 4), lớp ứng dụng (layer7),...Khi bị tấn công, lưu lượng truy cập sẽ được chuyển tới Scrubbing Centers để phân tích và loại bỏ các lưu lượng giả, độc hại. Đồng thời, chuyển các lưu lượng sạch trở lại mạng để phân phối cho các máy chủ mà không gây gián đoạn dịch vụ.

Khi lựa chọn các nhà cung cấp dịch vụ chống DDoS, các doanh nghiệp cần xem xét và chú ý đến các tiêu chí sau để lựa chọn cho mình dịch vụ tốt nhất: Multi CDN, Cloud WAF, AI Load Balancing Multi CDN, Global Anti DDoS Scrubbing Centers, CDN Power-Ups, Global SOC.

Ngoài ra , các doanh nghiệp còn cần phải xem xét các yếu tố khác như công nghệ dễ dàng tích hợp, dịch vụ chăm sóc, hỗ trợ kĩ thuật nhanh chóng, kịp thời và chuyên nghiệp,... cũng là những yếu tố giúp doanh nghiệp đạt được hiệu quả hoạt động tốt nhất khi lựa chọn hợp tác cùng các nhà cung cấp dịch vụ chống DDoS.

Có một điều chắc chắn là đại đa số các doanh nghiệp không có đủ nguồn lực hoặc chuyên môn để dành toàn bộ cho vấn đề bảo mật CNTT. Do đó, bạn cần có sự liên minh hỗ trợ từ nhiều đối tác để giúp bạn bảo vệ Website công ty trước các cuộc tấn công DDoS. Bạn có thể tham khảo VNIS - nền tảng bảo mật Web/App chống DDoS toàn diện cho Layer 3/4/7. Đăng ký trải nghiệm thử nền tảng VNIS của VNETWORK bằng cách để lại thông tin liên hệ tại form bên dưới hoặc gọi ngay vào hotline: (028) 7306 8789, các chuyên gia của chúng tôi sẽ hỗ trợ bạn.