Có thể bạn đã từng nghe đến thuật ngữ tấn công DDoS nhưng lại gặp rất nhiều thông tin nhiễu loạn, bài này sẽ giúp bạn phần nào hiểu rõ về chúng.
Nói một cách đơn giản nhất, những vụ tấn công mạng đình đám nhắm đến các website từ nhỏ như các trang bán hàng, đến tầm trung như các trang báo chí, hoặc các công ty lớn như Google, Facebook đều sử dụng cách thức tấn công này. Thậm chí như những dịch vụ nổi tiếng bạn đang dùng thì họ vẫn đang phải hứng chịu những cuộc tấn công DDoS mỗi giây.
Vậy tấn công DDoS là gì?
DDoS – viết tắt của Distributed Denial of Service (Tấn công từ chối dịch vụ phân tán). Đây là một nhánh con của giao thức tấn công DoS, Denial of Service, hay còn gọi là tấn công từ chối dịch vụ.
Một cuộc tấn công DoS xảy ra khi máy chủ trở thành mục tiêu của số lượng lớn các yêu cầu gây ra nghẽn và hư hỏng máy chủ. Có thể lấy ví dụ khi mở bán một vé xem ca nhạc online hay một sản phẩm phiên bản giới hạn trên web, máy chủ đó sẽ phải gánh chịu lượng lớn người dùng truy cập cùng lúc ngay thời điểm vừa mở bán, dẫn đến việc chậm do quá tải. Đây là trường hợp vô ý, nhưng khi các hacker muốn làm cho một website nào đó trở nên chậm, lag hay thậm chí sập để không cho người dùng thực thụ truy cập, các tin tặc sẽ thực hiện tương tự như vậy.
Thông thường, một cuộc tấn công DoS dễ bị ngăn chặn. Nếu hệ thống tường lửa của máy chủ phát hiện số lượng lớn yêu cầu đến từ 1 nơi (địa chỉ IP, user-agent…) thì sẽ hiểu đây là tin tặc có ý đồ xấu và dễ dàng ngăn chặn.
DoS và DDoS
Chính vì nhược điểm đó, các tin tặc đã phát triển ra phương pháp mới: DDoS, hay còn gọi là tấn công từ chối dịch vụ phân tán. Trong cách này, máy chủ nạn nhân cũng sẽ chịu rất nhiều lượt yêu cầu như tấn công DoS, nhưng các yêu cầu này sẽ đến từ rất nhiều địa chỉ khác nhau. Ví dụ thay vì được phát ra từ 1 địa chỉ IP ở DoS, các lệnh truy cập ảo sẽ được gửi từ hàng ngàn, hàng chục ngàn, thậm chí hàng trăm ngàn địa chỉ IP. Việc này gây khó khăn rất nhiều đối với Firewall trong việc phân biệt thật/giả giữa các lượt truy cập để đưa ra các phương pháp ngăn chặn kịp thời.
Có nhiều cách để tin tặc sở hữu số lượng lớn địa chỉ để phát lệnh tấn công DDoS cùng lúc. Điển hình nhất là sử dụng hệ thống botnet, một số lượng lớn máy tính bị chiếm quyền điều khiển mà chủ nhân của nó không hề hay biết. Những máy tính này bị nhiễm do người sử dụng cài đặt những phần mềm crack, miễn phí có chứa virus do tin tặc tung ra. Tin tặc có thể dùng hệ thống botnet này để tấn công DDoS những trang web khác, hoặc bán quyền sử dụng cho những kẻ xấu với mục đích tương tự.
Tác hại của tấn công DDoS
Có 2 vấn đề bạn nên biết về ảnh hưởng của các cuộc tấn công DDoS đối với người dùng.
Đầu tiên, trong trường hợp bạn đang vận hành 1 trang web hoặc dịch vụ web, bạn cần bảo vệ địa chỉ IP của máy chủ đang sử dụng. Có nhiều cách khác nhau để làm việc đó, chẳng hạn sử dụng dịch vụ chống DDoS của nhà cung cấp máy chủ để đảm bảo website vẫn hoạt động khi đang bị DDoS, hoặc dùng những dịch vụ trung gian của bên thứ 3 như VPN.
Trường hợp thứ 2 là máy tính, điện thoại của bạn bị nhiễm virus và trở thành một zombie trong hệ thống botnet của tin tặc. Thiết bị của bạn sẽ trở nên chậm chạp, thậm chí còn làm nghẽn đường truyền internet của bạn.
Tóm lại, bạn vẫn có thể bị ảnh hưởng bởi tấn công DDoS dù bạn có sử hữu website hay không. Nguyên tắc là như nhau trong các trường hợp: Tin tặc tìm ra thông tin của mục tiêu như địa chỉ IP, số điện thoại, địa chỉ email, tài khoản… sau đó gửi đến số lượng lớn dữ liệu nhằm mục đích làm quá tải máy chủ.
Cách bảo vệ bản thân khỏi tấn công DDoS
Có một cách để phòng ngừa cho cả chủ những website và người dùng trước những cuộc tấn công từ chối dịch vụ DDoS là dùng dịch vụ VPN. Khi cài VPN vào các thiết bị, những dữ liệu của bạn sẽ được mã hóa trước khi gửi ra internet thông qua các máy chủ của VPN.
Việc này sẽ ẩn hoàn toàn địa chỉ IP thực của bạn và không ai có thể tìm ra nó để tấn công DDoS bạn. Hơn nữa việc sử dụng VPN sẽ bảo vệ thiết bị cũng như thông tin của bạn trước tin tặc, giảm thiểu khả năng trở thành một phần của hệ thống botnet.
Ở một số dịch vụ phòng chống DDoS cho máy chủ của các nhà cung cấp VPN, đa phần đều lọc lưu lượng truy cập đến địa chỉ IP website của bạn. Việc đầu tiên, họ sẽ ẩn địa chỉ IP thật của bạn, người ngoài rất khó để dò ra IP thật máy chủ của bạn mà chỉ thấy địa chỉ IP của nhà cung cấp VPN. Lưu lượng truy cập đến website bạn sẽ phải thông qua địa chỉ IP ảo trung gian này để sàng lọc và loại bỏ những truy vấn đáng nghi ngờ.
Hệ thống lọc và phân tích nguồn gốc, metadata của dữ liệu truy cập để kiểm tra tính hợp lệ của nó. Nếu truy cập hợp lệ, truy vấn sẽ được “thông quan”, nếu có dấu hiệu khả nghi sẽ bị chặn.
Ví dụ một lượng truy cập cực lớn đến từ khắp nơi trên thế giới cùng lúc sẽ bị đánh dấu là DDoS và không được phép thông qua bộ lọc. Tường lửa sẽ đưa ra những bài kiểm tra (gõ captcha, đưa đến trang xác nhận…) xem truy cập này có đến từ người dùng hay là truy vấn tự động của botnet.
Lợi thế của việc sử dụng VPN có tính năng chống DDoS là tính linh động và tiện lợi. Bạn không cần thay đổi máy chủ đang sử dụng mà chỉ cần bật nó lên là xong, khi nào không cần dùng thì tắt đi. Việc tích hợp cũng đơn giản và nhanh chóng, không rắc rối như tự xây dựng một hệ thống phòng chống DDoS riêng. Khách truy cập của bạn hoàn toàn không hề biết hay bị gián đoạn truy cập trong thời gian này.
Các cuộc tấn công từ chối dịch vụ phân tán DDoS có thể gây ảnh hưởng đến tất cả người dùng, không phân biệt chủ website hay người truy cập. Những cuộc tấn công sẽ vô hiệu hóa trang web trong khoảng thời gian, làm cho máy chủ bị chậm hay không thể truy cập. Để bảo vệ bản thân khỏi kiểu tấn công này, bạn cần bảo vệ địa chỉ IP cũng như máy tính và thiết bị của mình. Nếu kẻ xấu không biết địa chỉ IP hay thông tin của bạn, họ không thể nhắm đến bạn.
