Một ví dụ điển hình cho kiểu tấn công DoS này là kẻ tấn công sẽ gửi đến máy chủ web lượng dữ liệu khổng lồ, làm nghẽn băng thông đến máy chủ, khiến cho các máy client khác không thể truy cập đến máy chủ này.
Ngoài ra một kiểu tấn công DoS khác làm tiêu tốn tài rất nhiều tài nguyên hệ thống máy chủ, dẫn đến việc máy chủ không còn khả năng đáp ứng dịch vụ. Kiểu tấn công này xảy ra do hacker hiểu rằng các máy tính khi muốn kết nối với nhau thì phải thực hiện các bước bắt tay theo quy định của giao thức truyền thông. Tuy nhiên kẻ tấn công không thực hiện các thủ tục này theo cách thông thường mà thực hiện theo cách bất thường . Điều này khiến máy nạn nhân tiêu tốn rất nhiều tài nguyên (RAM để lưu trữ thông tin kết nối, CPU để tính toán thời gian time-out) và do đó không thể đáp ứng các yêu cầu từ các client hợp lệ khác.
Tấn công từ chối dịch vụ làm mất tính sẵn sàng của mạng, máy và ứng dụng. Nó được coi làm mối nguy hại lớn bởi vì một kẻ tấn công non tay cũng có thể thực hiện được và gây ra những thiệt hại đáng kể đối với tổ chức.
Tấn công DDoS
Khác với DoS ở chỗ có nhiều nguồn tấn công ở nhiều nơi khác nhau đến một nạn nhân. Điều này làm cho nạn nhân chống đỡ khó khăn hơn nhiều lần. Cách thức kẻ tấn công thực hiện DDoS thường là:
B1. Dò quét lỗ hổng và từ đó chiếm quyền điều khiển máy chủ dịch vụ nào đó.
B2. Cài đặt zoombie trên các máy chủ này
B3. Khi client kết nối tới máy chủ, Zoobie sẽ lây nhiễm vào các máy client
B4. Zoombie trên các máy client sẽ tự động tải về các công cụ của hacker. Nhờ đó hacker có thể điều khiển các máy client từ xa nhằm thực hiện các hành vi tấn công. Các hành vi có thể là: gửi thư rác, tấn công từ chối dịch vụ phân tán, phát tán mã độc, thao túng bầu cử trực tuyến, tấn công các mạng chat IRC.
Bạn có thể tham khảo các bài viết dưới đây để nắm rõ hơn
//forum.whitehat.vn/threads/5456-Phan-I-Cach-Hackers-tao-Botnet.html
//forum.whitehat.vn/threads/5457-Phan-II-Cach-hacker-tao-Botnet.html
Các kiểu tấn công DDoS
//forum.whitehat.vn/threads/5352-Cac-loai-cua-tan-cong-tu-choi-dich-vu.html
//forum.whitehat.vn/threads/13214.html?p=26593&viewfull=1#post26593
Một vụ tấn công DDoS tại Việt Nam
//forum.whitehat.vn/threads/71-Da-tim-ra-mang-Botnet-tan-cong-cac-bao-dien-tu-Phan-I.html
//forum.whitehat.vn/threads/72-Da-tim-ra-mang-Botnet-tan-cong-cac-bao-dien-tu-Phan-II.html
Một vụ khác
//forum.whitehat.vn/threads/6507-SERVER-bi-tan-cong-DDOS.html
Tìm hiểu sâu hơn về mã độc Botnet
//forum.whitehat.vn/threads/10950-Phan-tich-ma-doc-Botnet.html
Các dấu hiệu bị tấn công
Khi bị tấn công DoS, triệu chứng thường gặp là:
- Băng thông, CPU, ổ đĩa hoạt động mức độ cao
- Hỏng cấu hình hệ thống, ví dụ cấu hình định tuyến
- Thông tin về kết nối bị mất, ví dụ các phiên TCP hết hạn
- Một số thiết bị mạng ngừng hoạt động
- Việc truyền thông rất chậm
Để sớm nhận biết các cuộc tấn công DoS, cần có phần mềm giám sát băng thông mạng. Khi người quản trị phát hiện băng thông mạng tăng đột biến, hoặc các dấu hiệu hoạt động bất thường của các thành phần mạng, đó có thể là do cuộc tấn công DoS. Một số phần mềm giám sát khác, bạn có thể xem tại bài viết này.
Một ví dụ về tấn công DoS: một máy tính trong mạng LAN, khi đó số lượng gói tin qua router trong một đơn vị thời gian sẽ tăng đột biến. Không chỉ có máy tính bị DoS mà cả hệ thống mạng cũng sẽ bị ảnh hưởng. Mở rộng vấn đề, nếu quy mô của cuộc tấn công càng lớn thì có thể làm ảnh hưởng đến việc truy cập mạng cả một khu vực.
Có thể bạn đã từng nghe nhiều về DoS, DDoS hay tấn công từ chối dịch vụ và cũng có thể đã từng là nạn nhân của kiểu tấn công này. Vậy DoS, DDoS là gì, dấu hiệu nào để nhận biết DoS, DDoS và tác hại của chúng ra sao? Trong bài viết này, Quantrimang.com sẽ cùng bạn tìm hiểu về kiểu tấn công kinh điển này, cũng như đưa ra cho bạn một số việc cần làm nếu nghi ngờ dịch vụ của mình đang bị DDoS, rôi cách kiểm tra, phòng tránh DDoS đang được áp dụng tại các trung tâm dữ liệu.
DoS là gì?
DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch vụ DoS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ/mạng đó. Kẻ tấn công thực hiện điều này bằng cách "tuồn" ồ ạt traffic hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi.
Nạn nhân của tấn công DoS thường là máy chủ web của các tổ chức cao cấp như ngân hàng, doanh nghiệp thương mại, công ty truyền thông, các trang báo, mạng xã hội...
Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.
Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email của công ty hay dùng dịch vụ miễn phí như Gmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể làm đầy hòm thư đến và ngăn chặn bạn nhận được các mail khác.
DDoS là gì?
DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.
Khi DDoS, kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó. Đây là kiểu tấn công phân tán vì kẻ tấn công sử dụng nhiều máy tính, bao gồm có cả máy tính của bạn để thực hiện tấn công Dos.
Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. Có ba loại tấn công cơ bản:
- Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng
- Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ
- Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất
Sự khác biệt giữa tấn công DoS và DDoS
Tóm lại, tấn công DoS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy tính của nạn nhân và đánh "sập" nó. Tấn công DoS là một cuộc tấn công trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên một trang web. Cuộc tấn công này làm cho máy chủ của một trang web được kết nối với Internet "sập" bằng cách gửi một lượng lớn lưu lượng truy cập đến nó.
Còn trong cuộc tấn công DDoS, các cuộc tấn công được thực hiện từ nhiều địa điểm khác nhau bằng cách sử dụng nhiều hệ thống.
Đối với các anh em tiếp xúc thường xuyên với internet trong kỉ nguyên công nghệ hiện nay thì việc thấy thuật ngữ DOS và DDOS không còn quá xa lạ. Đặc biệt trong vài năm trở lại đây, việc tin tức đưa tin những bộ phận thông tin và công nghệ của các tổ chức lớn trên thế giới bị hack và đánh cắp dữ liệu đều luôn chứa thuật ngữ DOS và DDOS. Bài viết dưới đây sẽ giúp chúng ta hiểu rõ hơn về đặc điểm và cách thức hoạt động của loại hình tấn công phá hoại này.
1. Dos là gì?
“Dos” tên đầy đủ là “Denial Of Service” là một hình thức tấn công từ chối dịch vụ. Đây là hình thức tấn công khá phổ biến hiện nay, nó khiến cho máy tính mục tiêu không thể xử lý kịp các tác vụ và dẫn đến quá tải. Các cuộc tấn công DOS này thường nhắm vào các máy chủ ảo (VPS) hay Web Server của các doanh nghiệp lớn như ngân hàng, chính phủ hay là các trang thương mại điện tử … hoặc hacker cũng có thể tấn công để “bỏ ghét”.
Tấn công DOS thường chỉ được tấn công từ một địa điểm duy nhất, tức là nó sẽ xuất phát tại một điểm và chỉ có một dải IP thôi. Bạn có thể phát hiện và ngăn chặn được.
Một số kiểu tấn công mà Hacker hay sử dụng là:
- SYN Flood Attack • Teardrop Attack
- Ping Flood Attack • Peer-to-Peer Attacks
2. DDos là gì?
“Ddos” tên đầy đủ là “Distributed Denial Of Service” là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống. Hoặc thậm chí là cả một hệ thống mạng nội bộ.
- Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình thức này đó là nó được phân tán từ nhiều dải IP khác nhau, chính vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được.
- Hacker không chỉ sử dụng máy tính của họ để thực hiện một cuộc tấn công vào một trang web hay một hệ thống mạng nào đó, mà họ còn lợi dùng hàng triệu máy tính khác để thực hiện việc này.
3. Vậy tại sao hacker họ lại có thể điều khiển được hàng triệu máy tính trên khắp thế giới?
Nguyên nhân là do rất nhiều người đang dùng các phần mềm Crack, hay phần mềm lậu được chia sẻ tràn lan trên mạng bị chèn mã độc, virus…. Bạn cũng có thể đang là nạn nhân của những hacker đó.
Một số kiểu tấn công mà Hacker hay sử dụng là:
- Đánh vào băng thông (Bandwidth).
- Tấn công vào Giao thức.
- Tấn công bằng cách gói tin bất thường.
- Tấn công qua phần mềm trung gian.
- Các công cụ tấn công dùng Proxy ví dụ như: Trinoo, Flood Network,Trinity, Knight, Kaiten, MASTER HTTP,…
Làm sao nhận biết mình đang bị Hacker tấn công Ddos?
- Mạng chậm một cách bất thường khi bạn mở file hoặc một website/ blog nào đó.
- Bạn không thể truy cập được vào một trang web/blog nào đó.
- Hoặc là bạn không thể truy cập vào được một trang web/blog nào cả.
- Lượng thư rác tăng đột biến.
Trên đây là phần 1 nội dung “Tấn công từ chối dịch vụ DOS và DDOS”. Chúc các bạn thành công và bảo vệ máy tính của mình tốt hơn. DIGISTAR sẽ tiếp tục cập nhật nội dung của các phần sau, các bạn hãy đăng ký nhận tin để được thông báo khi có bài viết về kiến thức trên blog.