Nội dung
DDoS là gì? Cách đề phòng tấn công DDoS trong Crypto
Các cuộc tấn công từ chối dịch vụ (DDoS) đang là mối lo ngại hàng đầu của các máy chủ trong môi trường Internet ngày nay khi chúng gây ra nhiều thiệt hại nặng nề đến kinh tế và uy tín của các nhà cung cấp dịch vụ.
DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDoS là một cuộc tấn công nhằm ngăn chặn lưu lượng truy cập thông thường từ những người dùng hợp lệ đến một trang web, máy chủ, dịch vụ hoặc mạng lưới. Các hacker thực hiện điều này bằng cách sử dụng một lượng lớn lưu lượng truy cập giả mạo gửi kèm theo các yêu cầu độc hại đến mục tiêu tấn công.
Các cuộc tấn công DDoS sử dụng nhiều hệ thống máy tính bị xâm nhập, nhiễm mã độc hoặc phần mềm độc hại cho phép hacker điều khiển từ xa và làm nguồn tạo ra lưu lượng tấn công. Thiết bị được khai thác có thể bao gồm máy tính và các tài nguyên có kết nối mạng khác như các thiết bị IoT (Internet of Things).
Nạn nhân của tấn công DDoS thường là máy chủ, trang web hoặc dịch vụ của các tổ chức nổi tiếng như ngân hàng, doanh nghiệp thương mại, công ty truyền thông, tổ chức chính phủ, mạng xã hội… Mặc dù các cuộc tấn công này thường ít gây nguy hại đến các dữ liệu, tài sản quan trọng lưu trữ trên hệ thống, nhưng chúng có thể khiến nạn nhân tốn rất nhiều thời gian và tiền bạc để xử lý các hậu quả mà nó đã gây ra với cơ sở hạ tầng và khách hàng.
Dấu hiệu rõ rệt nhất khi bị tấn công DDoS là một trang web hoặc dịch vụ mục tiêu đột nhiên trở nên chậm chạp hoặc không khả dụng. Nhưng không phải tất cả các hiện tượng trên đều là kết quả của một cuộc tấn công DDoS. Nhiều dấu hiệu cũng tương tự với một số vấn đề người dùng hay gặp phải hằng ngày như lỗi mạng, máy nhiễm virus, Internet không ổn định hoặc các hệ thống, trang web đang bảo trì… Điều này làm cho việc chẩn đoán, nhận biết chính xác đang có tấn công DDoS xảy ra là khá khó khăn.
Nếu bạn là nạn nhân của một cuộc tấn công DDoS, bạn sẽ thấy lưu lượng truy cập đến hệ thống tăng lên một cách đột ngột ngay trước khi máy chủ của mình gặp sự cố. Nếu bạn truy cập một trang web đang bị tấn công DDoS, nó sẽ tải cực kỳ chậm hoặc hiển thị thông báo lỗi 503 “dịch vụ không khả dụng”. Bạn sẽ không thể sử dụng trang web đó cho đến khi cuộc tấn công kết thúc hoặc bị ngăn chặn.
Nếu máy tính của bạn đang được sử dụng bị điều khiển để thực hiện các cuộc tấn công DDoS, bạn có thể gặp các dấu hiệu cảnh báo sau:
DoS, viết tắt của Denial of Service (từ chối dịch vụ). Sự khác biệt cơ bản giữa 2 hình thức này nằm ở nguồn bắt đầu của cuộc tấn công. Trong một cuộc tấn công DDoS, hacker sẽ thao túng và điều khiển nhiều máy tính, thiết bị phân tán để tấn công vào mục tiêu. Với DoS, nguồn tấn công đến từ một điểm duy nhất. Các hacker có xu hướng sử dụng hình thức tấn công DDoS do nó phân tán và khó bị phát hiện.
2 kiểu tấn công này có những điểm khác biệt như sau:
Tấn công DoS | Tấn công DDoS |
Chỉ một hệ thống được sử dụng để tấn công vào mục tiêu. | Nhiều hệ thống, thiết bị tấn công cùng một lúc vào mục tiêu. |
Máy chủ, máy tính mục tiêu được tải, gửi nhiều gói dữ liệu từ một vị trí duy nhất. | Máy chủ, máy tính mục tiêu được tải, gửi nhiều gói dữ liệu từ nhiều vị trí khác nhau. |
Tấn công DoS chậm hơn so với tấn công DDoS. | Tấn công DDoS nhanh hơn so với tấn công DoS. |
Có thể bị theo dõi, ngăn chặn dễ dàng vì chỉ sử dụng một hệ thống. | Rất khó để theo dõi, ngăn chặn cuộc tấn công này vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí. |
Lưu lượng truy cập trong cuộc tấn công DoS ít hơn so với DDoS. | Các cuộc tấn công DDoS cho phép hacker gửi một lượng lớn lưu lượng truy cập đến mục tiêu. |
Mặc dù tất cả các cuộc tấn công DDoS đều có chung một mục đích nhưng các kỹ thuật được sử dụng có thể khác nhau tùy theo từng hình thức tấn công. Các hình thức này khác nhau ở phương pháp tấn công nhắm vào các lớp khác nhau trong mô hình OSI (Open System Interconnection Basic Reference). OSI là mô hình căn bản về các tiến trình truyền thông và thiết lập các tiêu chuẩn kiến trúc mạng.
Có 3 hình thức tấn công DDoS cơ bản, bao gồm:
Sự phân quyền của các mạng blockchain đã khiến một số người nói rằng các cuộc tấn công DDoS vào một mạng blockchain là không thể. Tuy nhiên, điều này không hoàn toàn đúng.
Trong không gian blockchain, quá tải các giao dịch cần xử lý là điểm yếu mà các hacker thường tận dụng để tiến hành tấn công DDoS. Hầu hết các nền tảng blockchain đều có dung lượng cố định do cơ chế tạo ra các khối (block) với kích thước nhất định trong những khoảng thời gian đều đặn. Bất kỳ dữ liệu gì không phù hợp với khối hiện tại sẽ được lưu trữ trong các bể chứa bộ nhớ (mempool) để xem xét cho khối tiếp theo.
Nếu hacker gửi nhiều giao dịch đến mạng blockchain. Chúng có thể lấp đầy các khối bằng các giao dịch spam và khiến các giao dịch hợp lệ bị đẩy sang lưu trữ trong các mempool. Nếu các giao dịch hợp lệ không được bọc trong các khối, chúng sẽ không được xử lý và thêm vào sổ cái của blockchain. Ngoài ra, chúng cũng còn có thể gây ra thêm nhiều hậu quả xấu khác như tắc nghẽn mạng, gây ra lỗi hoặc đánh sập số lượng lớn các node trên mạng lưới…
Vào ngày 14 tháng 9 năm 2021, blockchain Solana đã ngoại tuyến và không khả dụng trong vài tiếng đồng hồ. Nguyên nhân sâu xa dẫn đến tình trạng này là do một cuộc tấn công DDoS được khởi chạy khi dự án SolChicks vừa được phát hành trên Solana.
Đỉnh điểm, lưu lượng truy cập vào Solana đã tăng đột biến đạt 400.000 giao dịch mỗi giây, khiến hàng đợi của người giao nhận (forwarder queue) tăng lên đáng kể. Ngoài ra, các giao dịch được thêm mới vào các khối cũng sử dụng nhiều tài nguyên hơn, khiến chúng chậm đi và khó xử lý hơn đối với các node.
Cuối cùng, Solana đã đồng ý thực hiện một đợt hard fork, đưa mạng trở lại vị trí cuối cùng trước khi cuộc tấn công xảy ra với sự đồng thuận của hơn 80% các validator. Sau khi bản nâng cấp được mã hóa và triển khai, mạng Solana đã được hoạt động trở lại ngay sau đó.
Arbitrum One là một giao thức tầng 2 của Ethereum. Arbitrum có một thành phần được gọi là Sequencer. Sequencer có chức năng chính là nhận các giao dịch và sắp xếp lại chúng trong Inbox, một danh sách các giao dịch đang chờ được đưa vào blockchain.
Arbitrum One cũng đã chịu một cuộc tấn công DDoS vào ngày 14 tháng 9 năm 2021. Một lượng lớn các giao dịch spam đã được gửi đến khiến Sequencer ngoại tuyến trong khoảng 45 phút. Trong giao thức Arbitrum, chỉ Sequencer mới có thể gửi các giao dịch mà không có độ trễ. Sequencer ngừng hoạt động sẽ làm các giao dịch bị kẹt lại trong hàng đợi cũng nhưng không có giao dịch mới nào được chấp nhận hoặc được thêm vào blockchain.
Việc phòng tránh các cuộc tấn công DDoS là vô cùng khó khăn do việc phát hiện, phân biệt giữa chúng với các lỗi kỹ thuật, lưu lượng từ người dùng thực là một thách thức lớn. Vì vậy, phương án tốt nhất mà các công ty, dự án có thể làm là tổ chức, lập kế hoạch ứng phó trước khi các cuộc tấn công này xảy ra.
Mặc dù khả năng người dùng thông thường là mục tiêu của một cuộc tấn công DDoS là rất thấp. Nhưng các thiết bị của bạn có thể trở thành công cụ để các hacker thực hiện một cuộc tấn công DDoS. Thực hiện các thói quen khi truy cập Internet sau đây có thể giúp bạn ngăn chặn, giảm thiểu khả năng bị hacker xâm nhập vào thiết bị của mình:
Các cuộc tấn công DDoS được thiết kế để khai thác các nút thắt cổ chai trong một hệ thống, máy chủ bằng cách gửi một lượng lớn lưu lượng ảo. Thông qua đó, nó làm giảm tính khả dụng của mạng, hệ thống, dịch vụ đối với người dùng hợp lệ cùng nhiều tác động xấu khác. Tấn công DDoS là điều khó tránh khỏi và hiện nay vẫn chưa có biện pháp cụ thể nào có thể xử lý triệt để những cuộc tấn công này. Với những thông tin hữu ích từ bài viết, Coinvn hy vọng bạn đọc đã hiểu hơn về khái niệm, phân loại và cách nhận biết, đề phòng các cuộc tấn công DDoS.