Các loại tấn công từ chối dịch vụ (DoS) phổ biến nhất
Tại cốt lõi của nó, tấn công từ chối dịch vụ thường được thực hiện bằng cách làm ngập một máy chủ - nói rằng, máy chủ của một trang web - đến mức nó không thể cung cấp các dịch vụ của mình cho người dùng hợp pháp. Có một vài cách có thể thực hiện, phổ biến nhất là các cuộc tấn công tràn ngập TCP và các cuộc tấn công khuếch đại DNS.
Các cuộc tấn công của TCP Flooding
Hầu như tất cả lưu lượng truy cập web (HTTP / HTTPS) đều được thực hiện bằng cách sử dụng Giao thức điều khiển truyền (Transmission Control Protocol - TCP). TCP có nhiều chi phí hơn thay thế, Giao thức Datagram của Người dùng (UDP), nhưng được thiết kế để đáng tin cậy. Hai máy tính được kết nối với nhau qua TCP sẽ xác nhận việc nhận mỗi gói. Nếu không có xác nhận được cung cấp, các gói tin phải được gửi một lần nữa.
Điều gì sẽ xảy ra nếu một máy tính bị ngắt kết nối? Có thể người dùng mất quyền lực, ISP của họ bị lỗi hoặc bất kỳ ứng dụng nào họ đang sử dụng thoát mà không thông báo cho máy tính khác. Khách hàng khác cần phải ngừng gửi lại cùng một gói, nếu không, nó sẽ lãng phí tài nguyên. Để ngăn chặn truyền dẫn không bao giờ kết thúc, một khoảng thời gian chờ được xác định và / hoặc giới hạn được đặt vào bao nhiêu lần một gói có thể được gửi lại trước khi ngắt kết nối hoàn toàn.
TCP được thiết kế để tạo điều kiện giao tiếp đáng tin cậy giữa các căn cứ quân sự trong trường hợp có thảm họa, nhưng thiết kế này rất dễ bị tấn công từ chối dịch vụ. Khi TCP được tạo ra, không ai chụp ảnh rằng nó sẽ được sử dụng bởi hơn một tỷ thiết bị khách. Bảo vệ chống lại các cuộc tấn công từ chối dịch vụ hiện đại không chỉ là một phần của quá trình thiết kế.
Cuộc tấn công từ chối dịch vụ phổ biến nhất đối với các máy chủ web được thực hiện bằng cách gửi thư rác các gói SYN (đồng bộ hóa). Gửi gói SYN là bước đầu tiên để khởi tạo kết nối TCP. Sau khi nhận được gói SYN, máy chủ phản hồi với gói SYN-ACK (đồng bộ hóa xác nhận). Cuối cùng, máy khách gửi một gói ACK (xác nhận), hoàn thành kết nối.
Tuy nhiên, nếu máy khách không trả lời gói SYN-ACK trong một khoảng thời gian đã định, máy chủ sẽ gửi gói lại và chờ phản hồi. Nó sẽ lặp lại quy trình này nhiều lần, điều này có thể làm lãng phí bộ nhớ và thời gian xử lý trên máy chủ. Trong thực tế, nếu được thực hiện đủ, nó có thể lãng phí quá nhiều bộ nhớ và thời gian xử lý mà người dùng hợp pháp nhận được phiên của họ cắt ngắn, hoặc phiên mới không thể bắt đầu. Ngoài ra, việc sử dụng băng thông tăng lên từ tất cả các gói có thể làm cho mạng lưới bão hòa, khiến chúng không thể thực hiện lưu lượng truy cập mà chúng thực sự muốn.
Các cuộc tấn công khuếch đại DNS
Tấn công từ chối dịch vụ cũng có thể nhắm đến các máy chủ DNS: các máy chủ dịch tên miền (như howtogeek.com) thành địa chỉ IP (12.345.678.900) mà các máy tính sử dụng để giao tiếp. Khi bạn gõ howtogeek.com trong trình duyệt của bạn, nó sẽ được gửi đến một máy chủ DNS. Máy chủ DNS sau đó sẽ đưa bạn đến trang web thực tế. Tốc độ và độ trễ thấp là mối quan tâm chính đối với DNS, do đó giao thức hoạt động trên UDP thay vì TCP. DNS là một phần quan trọng trong cơ sở hạ tầng của Internet và băng thông được tiêu thụ bởi các yêu cầu DNS nói chung là tối thiểu.
Tuy nhiên, DNS dần dần phát triển, với các tính năng mới đang được bổ sung dần dần theo thời gian. Điều này đã giới thiệu một vấn đề: DNS có giới hạn kích thước gói là 512 byte, không đủ cho tất cả các tính năng mới đó. Vì vậy, vào năm 1999, IEEE đã công bố đặc điểm kỹ thuật cho các cơ chế mở rộng cho DNS (EDNS), tăng giới hạn lên 4096 byte, cho phép thêm thông tin vào mỗi yêu cầu.
Tuy nhiên, sự thay đổi này đã khiến DNS dễ bị tổn thương bởi “các cuộc tấn công khuếch đại”. Kẻ tấn công có thể gửi các yêu cầu được tạo thủ công đặc biệt đến máy chủ DNS, yêu cầu một lượng lớn thông tin và yêu cầu họ gửi tới địa chỉ IP của mục tiêu của họ. Một "khuếch đại" được tạo ra bởi vì đáp ứng của máy chủ lớn hơn nhiều so với yêu cầu tạo ra nó, và máy chủ DNS sẽ gửi phản hồi của nó tới IP giả mạo.
Nhiều máy chủ DNS không được cấu hình để phát hiện hoặc xóa các yêu cầu xấu, do đó, khi kẻ tấn công liên tục gửi các yêu cầu giả mạo, nạn nhân bị tràn ngập các gói EDNS lớn, nghẽn mạng. Không thể xử lý quá nhiều dữ liệu, lưu lượng truy cập hợp pháp của chúng sẽ bị mất.
Vậy tấn công từ chối dịch vụ phân tán (DDoS) là gì?
Một cuộc tấn công từ chối dịch vụ phân tán là một tấn công có nhiều kẻ tấn công (đôi khi không muốn). Các trang web và ứng dụng được thiết kế để xử lý nhiều kết nối đồng thời - sau khi tất cả, các trang web sẽ không hữu ích nếu chỉ có một người có thể truy cập tại một thời điểm. Các dịch vụ khổng lồ như Google, Facebook hoặc Amazon được thiết kế để xử lý hàng triệu hoặc hàng chục triệu người dùng đồng thời. Vì lý do đó, một kẻ tấn công đơn lẻ không thể đưa họ xuống bằng một cuộc tấn công từ chối dịch vụ. Nhưng nhiều kẻ tấn công có thể.
Phương pháp phổ biến nhất của việc tuyển dụng kẻ tấn công là thông qua một botnet.Trong một botnet, tin tặc lây nhiễm tất cả các loại thiết bị kết nối internet có phần mềm độc hại. Các thiết bị đó có thể là máy tính, điện thoại hoặc thậm chí các thiết bị khác trong nhà của bạn, như DVR và camera an ninh. Sau khi bị nhiễm, họ có thể sử dụng các thiết bị đó (được gọi là thây ma) để định kỳ liên hệ với một lệnh và máy chủ điều khiển để yêu cầu hướng dẫn. Các lệnh này có thể dao động từ việc khai thác tiền điện tử đến, có, tham gia vào các cuộc tấn công DDoS. Bằng cách đó, họ không cần một tấn tin tặc để kết hợp với nhau - họ có thể sử dụng các thiết bị không an toàn của người dùng tại nhà bình thường để thực hiện công việc bẩn thỉu của họ.
Các cuộc tấn công DDoS khác có thể được thực hiện tự nguyện, thường là vì các lý do có động cơ chính trị. Khách hàng như Low Orbit Ion Cannon làm cho các cuộc tấn công DoS đơn giản và dễ dàng phân phối. Hãy nhớ rằng nó là bất hợp pháp ở hầu hết các nước (cố ý) tham gia vào một cuộc tấn công DDoS.
Cuối cùng, một số cuộc tấn công DDoS có thể không chủ ý. Ban đầu được gọi là hiệu ứng Slashdot và được khái quát hóa như là một cái chết của cái chết, một khối lượng lớn lưu lượng hợp pháp có thể làm tê liệt một trang web. Bạn có thể thấy điều này xảy ra trước khi một trang web phổ biến liên kết đến một blog nhỏ và một lượng lớn người dùng vô tình đưa trang web xuống. Về mặt kỹ thuật, điều này vẫn được phân loại là DDoS, ngay cả khi nó không phải là cố ý hoặc độc hại.
Làm thế nào tôi có thể bảo vệ bản thân khỏi các tấn công từ chối dịch vụ?
Người dùng tiêu biểu không phải lo lắng về việc là mục tiêu tấn công từ chối dịch vụ. Ngoại trừ các bộ phát và các game thủ chuyên nghiệp, rất hiếm khi một DoS chỉ vào một cá nhân. Điều đó nói rằng, bạn vẫn nên làm tốt nhất bạn có thể để bảo vệ tất cả các thiết bị của bạn từ phần mềm độc hại có thể làm cho bạn một phần của một botnet.
Tuy nhiên, nếu bạn là quản trị viên của máy chủ web, có rất nhiều thông tin về cách bảo mật các dịch vụ của bạn trước các cuộc tấn công DoS. Cấu hình máy chủ và các thiết bị có thể giảm thiểu một số cuộc tấn công. Những người khác có thể được ngăn chặn bằng cách đảm bảo người dùng chưa được xác thực không thể thực hiện các hoạt động yêu cầu tài nguyên máy chủ đáng kể. Thật không may, một thành công DoS tấn công thường được xác định bởi những người có đường ống lớn hơn. Các dịch vụ như Cloudflare và Incapsula cung cấp sự bảo vệ bằng cách đứng trước các trang web, nhưng có thể tốn kém.
