Các cuộc tấn công DDoS (được gọi là từ chối dịch vụ phân tán, trong bản dịch tự do: từ chối dịch vụ phân tán) là một trong những cuộc tấn công của hacker phổ biến nhất, nhằm vào các hệ thống máy tính hoặc dịch vụ mạng và được thiết kế để chiếm tất cả các tài nguyên có sẵn và miễn phí nhằm ngăn chặn hoạt động của toàn bộ dịch vụ trên Internet (ví dụ: trang web và email của bạn được lưu trữ).
Tấn công DDoS là gì?
Một cuộc tấn công DDoS bao gồm việc thực hiện một cuộc tấn công đồng thời từ nhiều nơi cùng một lúc (từ nhiều máy tính). Một cuộc tấn công như vậy chủ yếu được thực hiện từ các máy tính đã được kiểm soát, sử dụng phần mềm đặc biệt (ví dụ: bot và Trojan). Điều này có nghĩa là chủ sở hữu của những máy tính này thậm chí có thể không biết rằng máy tính, máy tính xách tay hoặc thiết bị khác được kết nối với mạng của họ có thể chỉ được sử dụng mà không hề hay biết, để tiến hành một cuộc tấn công DDoS.
Một cuộc tấn công DDoS bắt đầu khi tất cả các máy tính bị xâm nhập bắt đầu tấn công hệ thống hoặc dịch vụ web của nạn nhân đồng thời. Mục tiêu của một cuộc tấn công DDoS sau đó tràn ngập những nỗ lực sai lầm để sử dụng các dịch vụ (ví dụ: chúng có thể là những nỗ lực để gọi một trang web hoặc các yêu cầu khác).
Tại sao một cuộc tấn công DDoS lại gây ra gián đoạn dịch vụ?
Mỗi nỗ lực sử dụng dịch vụ (ví dụ: cố gắng gọi một trang web) yêu cầu máy tính bị tấn công phân bổ tài nguyên thích hợp để phục vụ yêu cầu này (ví dụ: bộ xử lý, bộ nhớ, băng thông mạng), với một số lượng rất lớn các yêu cầu như vậy, dẫn đến cạn kiệt tài nguyên sẵn có và kết quả là làm gián đoạn hoạt động hoặc thậm chí đình chỉ hệ thống bị tấn công.
Làm thế nào để bảo vệ bạn khỏi các cuộc tấn công DDoS?
Các cuộc tấn công DDoS hiện là mối đe dọa có thể xảy ra nhất đối với các công ty hoạt động trong mạng và hậu quả của chúng không chỉ vượt ra ngoài lĩnh vực CNTT mà còn gây ra những tổn thất thực tế, có thể đo lường được về tài chính và hình ảnh. Các cuộc tấn công kiểu này không ngừng phát triển và ngày càng trở nên chính xác hơn. Mục đích của chúng là tiêu thụ tất cả tài nguyên có sẵn của cơ sở hạ tầng mạng hoặc kết nối internet.
Bạn có thể tìm thấy các đề nghị bảo vệ chống lại các cuộc tấn công DDoS trên Internet. Thông thường, việc kích hoạt bảo vệ chống lại các cuộc tấn công DDoS được thực hiện bằng cách thay đổi các bản ghi DNS, điều này sẽ hướng tất cả lưu lượng HTTP / HTTPS qua lớp lọc, trong đó việc kiểm tra chi tiết từng gói và truy vấn được thực hiện.
Sau đó, các thuật toán nâng cao, cũng như các quy tắc được xác định đúng, lọc ra các gói sai và các nỗ lực tấn công, vì vậy chỉ có lưu lượng truy cập thuần túy đi đến máy chủ của bạn. Các công ty bảo vệ chống lại các cuộc tấn công DDoS có địa điểm ở các khu vực khác nhau trên thế giới, nhờ đó họ có thể chặn các cuộc tấn công tại nguồn một cách hiệu quả, cũng như cung cấp dữ liệu tĩnh từ trung tâm dữ liệu gần nhất, do đó giảm thời gian tải trang.
Tấn công DDoS và tống tiền nó là một tội ác
Mối đe dọa tấn công DDoS đôi khi được sử dụng để tống tiền các công ty, ví dụ: các trang web đấu giá, các công ty môi giới và tương tự, nơi sự gián đoạn của hệ thống giao dịch dẫn đến thiệt hại tài chính trực tiếp cho công ty và khách hàng của công ty. Trong những trường hợp như vậy, những người đứng sau vụ tấn công yêu cầu một khoản tiền chuộc để hủy bỏ hoặc dừng cuộc tấn công. Tống tiền như vậy là một tội ác.
Cách bảo vệ bạn khỏi các cuộc tấn công DoS / DDoS
Nói một cách dễ hiểu, các cuộc tấn công DoS là một dạng hoạt động độc hại nhằm mục đích đưa hệ thống máy tính đến điểm mà nó không thể phục vụ người dùng hợp pháp hoặc thực hiện các chức năng dự định của nó một cách chính xác. Các lỗi trong phần mềm (software) hoặc tải quá mức trên kênh mạng hoặc toàn bộ hệ thống thường dẫn đến tình trạng "từ chối dịch vụ". Kết quả là phần mềm hoặc toàn bộ hệ điều hành của máy bị "treo" hoặc ở trạng thái "lặp lại". Và điều này đe dọa đến thời gian chết, mất khách / khách hàng và tổn thất.
Giải phẫu một cuộc tấn công DoS
Các cuộc tấn công DoS được phân loại là cục bộ và từ xa. Khai thác cục bộ bao gồm nhiều lần khai thác khác nhau, ném bom và các chương trình mở một triệu tệp mỗi lần hoặc chạy một thuật toán vòng tròn ngốn bộ nhớ và tài nguyên bộ xử lý. Chúng tôi sẽ không tập trung vào tất cả những điều này. Chúng ta hãy xem xét kỹ hơn các cuộc tấn công DoS từ xa. Chúng được chia thành hai loại:
Khai thác từ xa các lỗi phần mềm để làm cho nó không hoạt động.
Flood - gửi một số lượng lớn các gói dữ liệu vô nghĩa (thường ít có ý nghĩa hơn) đến địa chỉ của nạn nhân. Mục tiêu lũ lụt có thể là kênh liên lạc hoặc tài nguyên máy. Trong trường hợp đầu tiên, luồng gói tin chiếm toàn bộ băng thông và không cung cấp cho máy bị tấn công khả năng xử lý các yêu cầu hợp pháp. Trong cách thứ hai, tài nguyên của máy được thu thập bằng các lệnh gọi lặp đi lặp lại và rất thường xuyên tới bất kỳ dịch vụ nào thực hiện một hoạt động phức tạp, tốn nhiều tài nguyên. Ví dụ, đây có thể là một cuộc gọi dài đến một trong các thành phần hoạt động (tập lệnh) của máy chủ web. Máy chủ dành tất cả tài nguyên của máy để xử lý các yêu cầu của kẻ tấn công và người dùng phải đợi.
Trong phiên bản truyền thống (một kẻ tấn công - một nạn nhân), chỉ có kiểu tấn công đầu tiên mới có hiệu quả. Lũ cổ điển là vô ích. Chỉ vì với băng thông ngày nay của các máy chủ, mức sức mạnh tính toán và việc sử dụng rộng rãi các kỹ thuật chống DoS khác nhau trong phần mềm (ví dụ: sự chậm trễ khi cùng một máy khách liên tục thực hiện các hành động giống nhau), kẻ tấn công biến thành một con muỗi khó chịu. không thể gây ra bất kỳ cũng như không có bất kỳ thiệt hại.
Nhưng nếu có hàng trăm, hàng nghìn thậm chí hàng trăm nghìn con muỗi này, chúng có thể dễ dàng đặt máy chủ lên bả vai của nó. Đám đông là một thế lực khủng khiếp không chỉ trong cuộc sống, mà còn trong thế giới máy tính. Một cuộc tấn công từ chối dịch vụ (DDoS) phân tán, thường được thực hiện bằng cách sử dụng nhiều máy chủ zombified, có thể cắt ngay cả máy chủ khó nhất khỏi thế giới bên ngoài.
Phương pháp kiểm soát
Sự nguy hiểm của hầu hết các cuộc tấn công DDoS nằm ở tính minh bạch tuyệt đối và "tính bình thường" của chúng. Rốt cuộc, nếu một lỗi phần mềm luôn có thể được sửa chữa, thì việc tiêu thụ hết tài nguyên là một điều gần như phổ biến. Nhiều quản trị viên phải đối mặt với họ khi tài nguyên máy (băng thông) không đủ hoặc trang web bị hiệu ứng Slashdot (twitter.com không hoạt động trong vòng vài phút sau khi có tin đầu tiên về cái chết của Michael Jackson). Và nếu bạn cắt giảm lưu lượng truy cập và tài nguyên cho tất cả mọi người liên tiếp, bạn sẽ được cứu khỏi DDoS, nhưng bạn sẽ mất một nửa khách hàng tốt của mình.
Hầu như không có cách nào để thoát khỏi tình trạng này, nhưng hậu quả của các cuộc tấn công DDoS và hiệu quả của chúng có thể giảm đáng kể bằng cách cấu hình đúng bộ định tuyến, tường lửa và phân tích liên tục các điểm bất thường trong lưu lượng mạng. Trong phần tiếp theo của bài viết, chúng ta sẽ xem xét:
cách nhận biết một cuộc tấn công DDoS mới bắt đầu;
phương pháp đối phó với các dạng tấn công DDoS cụ thể;
lời khuyên chung để giúp bạn chuẩn bị cho một cuộc tấn công DoS và làm giảm hiệu quả của nó.
Cuối cùng, câu trả lời sẽ được đưa ra cho câu hỏi: phải làm gì khi cuộc tấn công DDoS bắt đầu.
Chống lại lũ lụt
Vì vậy, có hai loại tấn công DoS / DDoS và phổ biến nhất là dựa trên ý tưởng làm ngập lụt, tức là làm cho nạn nhân bị ngập lụt với một số lượng lớn các gói tin. Flood thì khác: lũ ICMP, lũ SYN, lũ UDP và lũ HTTP. Các bot DoS hiện đại có thể sử dụng đồng thời tất cả các kiểu tấn công này, vì vậy bạn nên chú ý bảo vệ đầy đủ trước từng kiểu tấn công đó. Một ví dụ về cách phòng thủ trước các kiểu tấn công phổ biến nhất.
Lũ lụt HTTP
Một trong những phương pháp chống ngập phổ biến nhất hiện nay. Nó dựa trên việc gửi liên tục các thông báo HTTP GET trên cổng 80 để tải máy chủ web để nó không thể xử lý tất cả các yêu cầu khác. Thông thường, mục tiêu lũ không phải là gốc của máy chủ web mà là một trong những tập lệnh thực hiện các tác vụ sử dụng nhiều tài nguyên hoặc làm việc với cơ sở dữ liệu. Trong mọi trường hợp, sự tăng trưởng nhanh bất thường của nhật ký máy chủ web sẽ là dấu hiệu cho thấy một cuộc tấn công đã bắt đầu.
Các phương pháp để đối phó với ngập lụt HTTP bao gồm điều chỉnh máy chủ web và cơ sở dữ liệu để giảm thiểu tác động của một cuộc tấn công, cũng như lọc ra các bot DoS bằng các kỹ thuật khác nhau. Đầu tiên, bạn nên tăng số lượng kết nối tối đa đến cơ sở dữ liệu cùng một lúc. Thứ hai, cài đặt nginx nhẹ và hiệu quả trước máy chủ web Apache - nó sẽ lưu vào bộ nhớ cache các yêu cầu và phục vụ tĩnh. Đây là một giải pháp bắt buộc phải có để không chỉ làm giảm tác động của các cuộc tấn công DoS mà còn cho phép máy chủ chịu được tải rất lớn.
Nếu cần, bạn có thể sử dụng mô-đun nginx, mô-đun này giới hạn số lượng kết nối đồng thời từ một địa chỉ. Các tập lệnh sử dụng nhiều tài nguyên có thể được bảo vệ khỏi bot bằng cách sử dụng độ trễ, nút "Nhấp vào tôi", cài đặt cookie và các thủ thuật khác nhằm kiểm tra "tính người".
Mẹo chung
Để không rơi vào tình huống vô vọng khi cơn bão DDoS sụp đổ trên các hệ thống, bạn phải chuẩn bị kỹ lưỡng cho chúng cho tình huống như vậy:
Tất cả các máy chủ có quyền truy cập trực tiếp vào mạng bên ngoài phải được chuẩn bị để khởi động lại từ xa nhanh chóng và dễ dàng. Một điểm cộng lớn sẽ là sự hiện diện của giao diện mạng thứ hai, quản trị, qua đó bạn có thể truy cập vào máy chủ trong trường hợp kênh chính bị tắc.
Phần mềm được sử dụng trên máy chủ phải luôn được cập nhật. Tất cả các lỗ hổng đều được vá, các bản cập nhật được cài đặt (đơn giản như khởi động, lời khuyên mà nhiều người không tuân theo). Điều này sẽ bảo vệ bạn khỏi các cuộc tấn công DoS khai thác lỗi trong các dịch vụ.
Tất cả các dịch vụ mạng lắng nghe dành cho mục đích sử dụng quản trị phải được tường lửa ẩn khỏi bất kỳ ai không được phép truy cập vào chúng. Khi đó kẻ tấn công sẽ không thể sử dụng chúng cho các cuộc tấn công DoS hoặc các cuộc tấn công bạo lực.
Tại các vị trí tiếp cận máy chủ (bộ định tuyến gần nhất) nên lắp đặt hệ thống phân tích lưu lượng để có thể kịp thời tìm hiểu về cuộc tấn công đang diễn ra và có biện pháp ngăn chặn kịp thời.
Cần lưu ý rằng tất cả các kỹ thuật đều nhằm mục đích làm giảm hiệu quả của các cuộc tấn công DDoS, nhằm mục đích sử dụng hết tài nguyên của máy. Hầu như không thể phòng thủ trước một trận lũ làm tắc nghẽn dòng kênh bằng các mảnh vỡ, và cách đấu tranh duy nhất, nhưng không phải lúc nào cũng khả thi là “tước đi ý nghĩa tấn công”. Nếu bạn có một kênh thực sự rộng theo ý của mình sẽ dễ dàng cho phép lưu lượng truy cập từ một mạng botnet nhỏ, hãy xem xét rằng máy chủ của bạn được bảo vệ khỏi 90% các cuộc tấn công.
Có một cách phòng thủ tinh vi hơn. Nó dựa trên tổ chức của một mạng máy tính phân tán, bao gồm nhiều máy chủ dự phòng được kết nối với các xương sống khác nhau. Khi sức mạnh tính toán hoặc băng thông của kênh hết, tất cả các máy khách mới được chuyển hướng đến máy chủ khác hoặc dần dần. "
Một giải pháp khác ít nhiều hiệu quả hơn là mua hệ thống phần cứng. Làm việc song song với nhau, chúng có thể ngăn chặn một cuộc tấn công mới bắt đầu, nhưng giống như hầu hết các giải pháp khác dựa trên việc học và phân tích trạng thái, chúng thất bại.
Nó dường như đã bắt đầu. Để làm gì?
Trước khi bắt đầu cuộc tấn công ngay lập tức, các bot "khởi động", tăng dần luồng gói tin đến máy bị tấn công. Điều quan trọng là nắm bắt thời điểm và bắt đầu hành động. Việc giám sát liên tục bộ định tuyến được kết nối với mạng bên ngoài sẽ giúp ích trong việc này. Trên máy chủ nạn nhân, bạn có thể xác định thời điểm bắt đầu cuộc tấn công bằng các phương tiện sẵn có.