Xin chào mọi người, hôm nay mình trở lại với đề tài khá thú vị đó chính là DDoS và DoS. Chắc hẳn vừa qua các bạn cũng đã theo dõi tình hình tại Ukraine nhỉ, là thấy những bài báo nói về việc nhóm Anonymous tấn công đánh sập các web của Nga, và các hacker của Nga đã trả đũa lại bằng cách đánh sập Website của Anonymous. Hình thức tấn công đánh sập website đó chính là DDoS. Nhưng mà DDoS là gì? Thì bài viết hôm nay sẽ giải đáp cho mọi người chi tiết về DDoS vs DoS và cả về các hình thức tấn công DDoS vs DoS phổ biến hiện nay.
{tocify} $title={Mục lục}
DDoS là gì?
 |
| DDoS là gì? Phân biệt DoS vs DDoS và những hình thức tấn công phổ biến - KenDzz |
DDoS ( Distributed Denial of Service ) là một cuộc tấn công mạng nhằm mục đích làm sập mạng, dịch vụ hoặc máy chủ bằng cách làm ngập hệ thống với lưu lượng giả mạo. Sự gia tăng đột ngột về tin nhắn, yêu cầu kết nối hoặc gói tin sẽ lấn át cơ sở hạ tầng của mục tiêu và khiến hệ thống chậm lại hoặc gặp sự cố.
Trong khi một số tin tặc sử dụng các cuộc tấn công DDoS để tống tiền một doanh nghiệp trả tiền chuộc (tương tự như ransomware ), các động cơ phổ biến hơn đằng sau DDoS là:
- Làm gián đoạn các dịch vụ hoặc thông tin liên lạc.
- Gây thiệt hại cho thương hiệu.
- Giành được lợi thế kinh doanh trong khi trang web của đối thủ cạnh tranh không hoạt động.
- Đánh lạc hướng đội ứng phó sự cố.
Các cuộc tấn công DDoS là mối nguy hiểm đối với các doanh nghiệp thuộc mọi quy mô, từ các công ty trong danh sách Fortune 500 đến các nhà bán lẻ điện tử nhỏ. Theo thống kê, tin tặc DDoS thường nhắm mục tiêu nhất:
- Các nhà bán lẻ trực tuyến.
- Các nhà cung cấp dịch vụ CNTT.
- Các công ty tài chính và fintech.
- Các cơ quan chính phủ.
- Các công ty đánh bạc và trò chơi trực tuyến.
Những kẻ tấn công thường sử dụng mạng botnet để gây DDoS. Mạng botnet là một mạng liên kết gồm các máy tính, thiết bị di động và tiện ích IoT bị nhiễm phần mềm độc hại dưới sự kiểm soát của kẻ tấn công. Tin tặc sử dụng các thiết bị "thây ma" này để gửi quá nhiều yêu cầu đến một trang web mục tiêu hoặc địa chỉ IP của máy chủ.
Khi mạng botnet gửi đủ yêu cầu, các dịch vụ trực tuyến (email, trang web, ứng dụng web, v.v.) sẽ chậm lại hoặc không thành công. Theo một báo cáo của Radware, đây là độ dài trung bình của một cuộc tấn công DDoS:
- 33% giữ cho các dịch vụ không hoạt động trong một giờ.
- 60% kéo dài dưới một ngày.
- 15% kéo dài trong một tháng.
Mặc dù DDoS thường không trực tiếp dẫn đến vi phạm hoặc rò rỉ dữ liệu , nhưng nạn nhân dành thời gian và tiền bạc để đưa các dịch vụ trở lại trực tuyến. Mất công việc kinh doanh, giỏ hàng bị bỏ rơi, người dùng thất vọng và tổn hại danh tiếng là những hậu quả thường thấy khi không ngăn chặn được các cuộc tấn công DDoS.
Đây là Tool DDoS khá mạnh hiện nay, mọi người có thể tham khảo phía dưới nhé.
Phân biệt DoS vs DDoS?
 |
| DDoS là gì? Phân biệt DoS vs DDoS và những hình thức tấn công phổ biến - KenDzz |
Sự khác biệt cơ bản giữa DoS và DDoS là ở chỗ cái trước là một cuộc tấn công trên hệ thống, trong khi cái sau liên quan đến một số hệ thống tấn công một hệ thống duy nhất. Tuy nhiên, có những khác biệt khác liên quan đến bản chất hoặc cách phát hiện của chúng, bao gồm:
- Dễ phát hiện / giảm thiểu: Do một DoS đến từ một vị trí duy nhất, nên việc phát hiện nguồn gốc của nó và cắt đứt kết nối sẽ dễ dàng hơn. Trên thực tế, một tường lửa thành thạo có thể làm được điều này. Mặt khác, một cuộc tấn công DDoS đến từ nhiều địa điểm từ xa, ngụy tạo nguồn gốc của nó.
- Tốc độ tấn công: Bởi vì một cuộc tấn công DDoS đến từ nhiều vị trí, nó có thể được triển khai nhanh hơn nhiều so với một cuộc tấn công DoS bắt nguồn từ một vị trí duy nhất. Tốc độ tấn công tăng lên làm cho việc phát hiện khó khăn hơn, đồng nghĩa với việc tăng sát thương hoặc thậm chí là một kết cục thảm khốc.
- Lưu lượng truy cập: Một cuộc tấn công DDoS sử dụng nhiều máy từ xa (zombie hoặc bot), có nghĩa là nó có thể gửi một lượng lớn hơn nhiều lưu lượng truy cập từ các vị trí khác nhau đồng thời, làm quá tải máy chủ nhanh chóng theo cách không phát hiện được.
- Cách thức thực hiện: Một cuộc tấn công DDoS điều phối nhiều máy chủ bị nhiễm phần mềm độc hại (bot), tạo ra một mạng botnet được quản lý bởi máy chủ lệnh và kiểm soát (C&C). Ngược lại, một cuộc tấn công DoS thường sử dụng một tập lệnh hoặc một công cụ để thực hiện cuộc tấn công từ một máy duy nhất.
- Truy tìm nguồn gốc: Việc sử dụng botnet trong một cuộc tấn công DDoS có nghĩa là việc truy tìm nguồn gốc thực sự phức tạp hơn nhiều so với việc truy tìm nguồn gốc của một cuộc tấn công DoS.
Những hình thức tấn công phổ biến?
- SYN floods: Cuộc tấn công này khai thác thủ tục bắt tay TCP. Kẻ tấn công gửi các yêu cầu TCP với địa chỉ IP giả đến mục tiêu. Hệ thống đích phản hồi và đợi người gửi xác nhận việc bắt tay. Vì kẻ tấn công không bao giờ gửi phản hồi để hoàn tất quá trình bắt tay, các quy trình chưa hoàn thiện sẽ chồng chất và cuối cùng làm sập máy chủ.
- Smurf DDoS: Một hacker sử dụng phần mềm độc hại để tạo một gói mạng gắn với một địa chỉ IP sai ( giả mạo ). Gói chứa một tin nhắn ping ICMP yêu cầu mạng gửi lại một câu trả lời. Tin tặc sẽ gửi các phản hồi (tiếng vọng lại) trở lại địa chỉ IP của mạng một lần nữa, tạo ra một vòng lặp vô hạn cuối cùng làm hỏng hệ thống.
- UDP floods: Các cuộc tấn công này cho phép tin tặc áp đảo các cổng trên máy chủ mục tiêu bằng các gói IP chứa giao thức UDP không trạng thái.
- DNS amplification (or DNS reflection): Cuộc tấn công này chuyển hướng số lượng lớn các yêu cầu DNS đến địa chỉ IP của mục tiêu.
- ICMP flood: Chiến lược này sử dụng các yêu cầu lỗi ICMP false để làm quá tải băng thông của mạng.