Tấn công DDoS là gì? Làm thế nào để ngăn chặn tấn công DDoS cho website

Tấn công DDoS là gì?

Tấn công DDoS là một trong những cuộc tấn công phổ biến nhất vào các máy chủ trang web khiến web bị sập và người dùng không thể truy cập vào trang web. Nếu trang web của bạn là một trang thương mại điện tử thì tấn công DDoS có thể khiển bạn dừng hoạt động kinh doanh trên Internet của mình.

DDoS Attack là gì?

tấn công DDoS là gì

DDoS Attack là việc tin tặc tạo ra số lượng lớn lưu lượng truy cập vào một máy chủ web khiến chúng bị tràn băng thông và không thể đáp ứng các yêu cầu truy cập của người dùng thật. Một cuộc tấn công DDoS thường sử dụng bằng cách dùng nhiều hệ thống máy tính và tạo các yêu cầu truy cập web tới máy chủ. Và tất nhiên số lượng yêu cầu này rất khổng lồ khiến web bị nghẽn băng thông và chẳng thể làm gì cả.

tấn công DDoS giống như tắc ngẵn giao thông
tấn công DDoS giống như tắc ngẵn giao thông

Tại sao tin tặc lại tấn công DDoS vào một trang web?

Mục đích chính việc tấn công DDoS là khiến web không thể hoạt động và gây ra các lỗi 502, 503, 504, 505 về máy chủ web. Tùy vào mức độ của cuộc tấn công, trang web của ta sẽ bị chậm đi khi người dùng tương tác hoặc dừng hoạt động.

Việc tấn công DDoS khiến trang web không thể hoạt động. Tức là tin tặc muốn không cho bạn thực hiện các hoạt động trên web kể từ hoạt động kinh doanh, bán hàng, quảng cáo dịch vụ,… Ngoài ra DDoS có thể tạo ra các chỉ số xấu khiến Google đánh giá thấp trang web. Kinh nghiệm của mình là khi web bị tấn công DDoS và gây ra các lỗi 504 lâu hơn 10 phút thì thứ hạng từ khóa bắt đầu giảm.

Tin tặc thực hiện tấn công DDoS vì “tiền”. Trong đó tiền ở đây có thể là do làm dịch vụ DDoS cho một bên nào khác thuê, hoặc tống tiền chủ web.

Hậu quả của tấn công DDoS với web

Tấn công DDoS chỉ phổ biến với máy chủ web nhưng nó còn thực hiện được với bất kỳ máy chủ nào nếu biết địa chỉ IP cụ thể của nó. Tác động của DDos tới web gồm:

  • Khiến web dừng hoạt động.
  • Khiến trải nghiệm người dùng trên web rất kém.
  • Trang web kém uy tín trong mắt người dùng.
  • Tác động tiêu cực đến hoạt động SEO Web.

Tin tặc thực hiện tấn công DDoS như thế nào?

ví dụ một cuộc tấn công DDoS

Tin tặc thực hiện tấn công DDoS bằng cách sử dụng số lượng lớn thiết bị để gửi truy cập tới máy chủ web. Các thiết bị này có thể là những hệ thống máy tính lớn hoặc các thiết bị nhiễm Virus và có thể điều khiển từ xa hay được gọi là BOT hoặc BONET.

Tin tặc sẽ điều khiển các thiết bị bằng 1 hướng dẫn để khiến các thiết bị gửi yêu cầu tới địa chỉ IP của máy chủ web. Vì mỗi BOT đều là một thiết bị thực và hợp pháp nên rất khó để tách lưu lượng DDoS ra khỏi lưu lượng người dùng thật.

Do đó, bất kỳ ai làm quản trị web đều không muốn tiết lộ địa chỉ IP trang web cá nhân của mình!

Dấu hiệu nhận biết biết trang web bị tấn công DDoS?

Biểu hiện hay gặp nhất của một vụ tấn công DDoS là thời gian truy cập web chậm, không thể truy cập trang web. Dưới đây là các dấu hiệu nhận diện một cuộc tấn công DDoS:

  • Có luồng yêu cầu tăng đột ngột dành cho 1 trang cụ thể trên trang web.
  • Nhiều lưu lượng truy cập từ cùng một địa chỉ IP hoặc 1 dải địa chỉ IP.
  • Lưu lượng truy cập tăng đột ngột có tính chu kỳ hoặc nhằm vào các khung thời gian cố định.
  • Gặp sự cố khi truy cập trang web.
  • Không thể tải hoặc tải chậm các tệp tin web.
  • Máy chủ chậm hoặc không phản hồi, gồm cả các lỗi “quá nhiều kết nối”.
  • Một lượng lớn lưu lượng truy cập đến từ một loại thiết bị, vị trí địa lý hoặc phiên bản trình duyệt web.
  • Gặp mã trạng thái máy chủ 500, 503.

Để phán đoán trang web của mình có gặp tấn công DDoS, theo kinh nghiệm cá nhân của mình thì bạn hãy truy cập vào Google Analytics của trang web của bạn và theo dõi lưu lượng truy cập. Nếu thấy tự dưng xuất hiện lưu lượng từ các người dùng ở nước ngoài với số lượng lớn hoặc một bài viết hay sản phẩm nào đó có lưu lượng vào cao thì khả năng bị gặp tấn công DDoS là rất cao.

Các loại tấn công DDoS

Hiện nay tấn công DDoS đang phát triển trở thành dịch vụ, các đối thủ của trang web của bạn có thể sử dụng DDoS làm cách để đánh vào trang web, khiến trang web của bạn bị giảm thứ hạng từ khóa. Hiện nay có các loại tấn công DDoS sau:

  • Tăng phản hồi DNS: Một số dịch vụ như DNS có phản hồi lớn hơn nhiều so với yêu cầu tương ứng, các cuộc tấn công DDoS, kẻ tấn công sẽ gửi yêu cầu đến máy chủ DNS với địa chỉ IP giả mạo thành địa chỉ IP mục tiêu. Điều này khiến mục tiêu nhận được lượng phàn hồi không yêu cầu tiêu tốn tài nguyên.
  • Bão lưu lượng băng thông: Mọi mạng đều có băng thông và thông lượng tối đa có thể duy trì. Các cuộc tấn công bão lưu lượng băng thông tạo ra các yêu cầu lưu lượng rác làm tiêu thụ hết băng thông của máy chủ.
  • Khai thác tài nguyên đám mây: Khả năng mở rộng là ưu điểm nổi bật của Cloud. Bằng cách lợi dụng điều này, các kẻ xấu thực hiện tấn công DDoS với quy mô lớn nhằm vào hệ thống mạng mục tiêu.
  • Làm giảm dịch vụ: Cuộc tấn công DDoS nào tạo ra một lưu lượng truy cập giả với số lượng nhỏ chỉ khiến thời gian tải web lâu hơn chứ không làm sập web. Loại tấn công này ngày càng phổ biến vì nó khó phát hiện và khiến người dùng giảm trải nghiệm trên trang web.
ví dụ tấn công DDoS tăng cường DNS
ví dụ tấn công DDoS tăng cường DNS

Cách ngăn chặn trang web khỏi tấn công DDoS

Để ngăn ngừa trang web của chúng ta khỏi các cuộc tấn công DDoS có thể sử dụng các cách sau:

Blackhole Routing (Định tuyến hố đen)

Theo cách này, các quản trị mạng tạo 1 tuyến đường hố đen và đưa lưu lượng vào đó. Nếu không đặt tiêu chí hạn chế cụ thể, sử dụng cách này có thể khiến cả lưu lượng hợp pháp và từ tấn công DDoS đến 1 đường định tuyến rỗng (hay hố đen) để loại bỏ lưu lượng này khỏi mạng.

Nếu một trang web đang bị trấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) có thể định tuyến toàn bộ lưu lượng truy cập của trang web vào hố đen để bảo vệ web. Nhưng rõ ràng là cách này không phải là một biện pháp tốt vì kẻ xấu vẫn thực hiện được mục đích của mình là khiến trang web không thể truy cập.

Giới hạn tỷ lệ (Rate Limiting)

Biện pháp này được sử dụng để giới hạn số lượng yêu cầu của một máy chủ sẽ chấp nhận trong một thời gian cụ thể. Đây cũng là một cách để giảm thiểu tấn công DDoS. Mặc dù cách này hữu hiệu nhưng nếu cuộc tấn công DDoS phức tạp thì sẽ không hiệu quả.

Nhưng đây vẫn là một trong những biện pháp hữu ích để giảm thiểu tấn công DDoS.

Tường lửa ứng dụng web (Web Application Firewall – WAF)

WAF hay tường lửa ứng dụng web là một công cụ giảm thiểu tấn công DDoS nhằm vào tầng ứng dụng (tầng 7 trong mô hình OSI). Cách này sử dụng 1 WAF giữa Internet và máy chủ gốc, lúc này WAF đóng vai trò như một máy chủ Proxy ngược và bảo vệ máy chủ khỏi một số loại lưu lượng tấn công DDoS.

WAF hoạt động bằng cách lọc các yêu cầu truy cập dựa trên một loại các quy tắc để xác định xem đó có phải là tấn công DDoS không. Do đó, đây cũng là một trong những công cụ quan trọng để bảo vệ WEB khỏi DDOS.

Mạng phân tán Anycast (Anycast Network Diffusion)

Phương pháp này thực hiện bằng cách sử dụng mạng Anycast để phân tán lưu lượng tấn công trên 1 mạng máy chủ phân phối nhỏ sang các máy chủ khác để lưu lượng nhỏ đến mức máy chủ có thể quản lý.

Hiệu quả của phương pháp này trong ngăn chặn tấn công DDoS còn phụ thuộc vào kích thước của cuộc tấn công và hạ tầng mạng. Đây cũng là cách khá hưu hiệu và được rất nhiều nhà cung cấp VPS sử dụng để bảo vệ trang web của khách hàng.