Nội dung
DDoS là gì? Cách đề phòng tấn công DDoS trong Crypto
DDoS là gì? Cách đề phòng tấn công DDoS trong Crypto
Các cuộc tấn công từ chối dịch vụ (DDoS) đang là mối lo ngại hàng đầu của các máy chủ trong môi trường Internet ngày nay khi chúng gây ra nhiều thiệt hại nặng nề đến kinh tế và uy tín của các nhà cung cấp dịch vụ.
12232Total views
DDoS là gì? Cách đề phòng tấn công DDoS trong Crypto
Tấn công DDoS là gì?
DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán. Tấn công DDoS là một cuộc tấn công nhằm ngăn chặn lưu lượng truy cập thông thường từ những người dùng hợp lệ đến một trang web, máy chủ, dịch vụ hoặc mạng lưới. Các hacker thực hiện điều này bằng cách sử dụng một lượng lớn lưu lượng truy cập giả mạo gửi kèm theo các yêu cầu độc hại đến mục tiêu tấn công.
Các cuộc tấn công DDoS sử dụng nhiều hệ thống máy tính bị xâm nhập, nhiễm mã độc hoặc phần mềm độc hại cho phép hacker điều khiển từ xa và làm nguồn tạo ra lưu lượng tấn công. Thiết bị được khai thác có thể bao gồm máy tính và các tài nguyên có kết nối mạng khác như các thiết bị IoT (Internet of Things).
Nạn nhân của tấn công DDoS thường là máy chủ, trang web hoặc dịch vụ của các tổ chức nổi tiếng như ngân hàng, doanh nghiệp thương mại, công ty truyền thông, tổ chức chính phủ, mạng xã hội… Mặc dù các cuộc tấn công này thường ít gây nguy hại đến các dữ liệu, tài sản quan trọng lưu trữ trên hệ thống, nhưng chúng có thể khiến nạn nhân tốn rất nhiều thời gian và tiền bạc để xử lý các hậu quả mà nó đã gây ra với cơ sở hạ tầng và khách hàng.
Cách nhận biết bị tấn công DDoS
Dấu hiệu rõ rệt nhất khi bị tấn công DDoS là một trang web hoặc dịch vụ mục tiêu đột nhiên trở nên chậm chạp hoặc không khả dụng. Nhưng không phải tất cả các hiện tượng trên đều là kết quả của một cuộc tấn công DDoS. Nhiều dấu hiệu cũng tương tự với một số vấn đề người dùng hay gặp phải hằng ngày như lỗi mạng, máy nhiễm virus, Internet không ổn định hoặc các hệ thống, trang web đang bảo trì… Điều này làm cho việc chẩn đoán, nhận biết chính xác đang có tấn công DDoS xảy ra là khá khó khăn.
Nếu bạn là nạn nhân của một cuộc tấn công DDoS, bạn sẽ thấy lưu lượng truy cập đến hệ thống tăng lên một cách đột ngột ngay trước khi máy chủ của mình gặp sự cố. Nếu bạn truy cập một trang web đang bị tấn công DDoS, nó sẽ tải cực kỳ chậm hoặc hiển thị thông báo lỗi 503 “dịch vụ không khả dụng”. Bạn sẽ không thể sử dụng trang web đó cho đến khi cuộc tấn công kết thúc hoặc bị ngăn chặn.
Nếu máy tính của bạn đang được sử dụng bị điều khiển để thực hiện các cuộc tấn công DDoS, bạn có thể gặp các dấu hiệu cảnh báo sau:
- Hiệu suất giảm đột ngột
- Thông báo lỗi thường xuyên
- Hệ thống gặp sự cố
- Tốc độ Internet giảm nghiêm trọng
Phân biệt tấn công DoS và DDoS
DoS, viết tắt của Denial of Service (từ chối dịch vụ). Sự khác biệt cơ bản giữa 2 hình thức này nằm ở nguồn bắt đầu của cuộc tấn công. Trong một cuộc tấn công DDoS, hacker sẽ thao túng và điều khiển nhiều máy tính, thiết bị phân tán để tấn công vào mục tiêu. Với DoS, nguồn tấn công đến từ một điểm duy nhất. Các hacker có xu hướng sử dụng hình thức tấn công DDoS do nó phân tán và khó bị phát hiện.
2 kiểu tấn công này có những điểm khác biệt như sau:
| Tấn công DoS | Tấn công DDoS |
| Chỉ một hệ thống được sử dụng để tấn công vào mục tiêu. | Nhiều hệ thống, thiết bị tấn công cùng một lúc vào mục tiêu. |
| Máy chủ, máy tính mục tiêu được tải, gửi nhiều gói dữ liệu từ một vị trí duy nhất. | Máy chủ, máy tính mục tiêu được tải, gửi nhiều gói dữ liệu từ nhiều vị trí khác nhau. |
| Tấn công DoS chậm hơn so với tấn công DDoS. | Tấn công DDoS nhanh hơn so với tấn công DoS. |
| Có thể bị theo dõi, ngăn chặn dễ dàng vì chỉ sử dụng một hệ thống. | Rất khó để theo dõi, ngăn chặn cuộc tấn công này vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí. |
| Lưu lượng truy cập trong cuộc tấn công DoS ít hơn so với DDoS. | Các cuộc tấn công DDoS cho phép hacker gửi một lượng lớn lưu lượng truy cập đến mục tiêu. |
Các hình thức tấn công DDoS phổ biến
Mặc dù tất cả các cuộc tấn công DDoS đều có chung một mục đích nhưng các kỹ thuật được sử dụng có thể khác nhau tùy theo từng hình thức tấn công. Các hình thức này khác nhau ở phương pháp tấn công nhắm vào các lớp khác nhau trong mô hình OSI (Open System Interconnection Basic Reference). OSI là mô hình căn bản về các tiến trình truyền thông và thiết lập các tiêu chuẩn kiến trúc mạng.
Có 3 hình thức tấn công DDoS cơ bản, bao gồm:
- Tấn công lớp ứng dụng (Application layer attacks): Đây là hình thức tấn công DDoS phổ biến nhất, các cuộc tấn công lớp ứng dụng tạo ra một lượng lớn các yêu cầu HTTP, nhanh chóng làm cạn kiệt khả năng phản hồi của mục tiêu từ đó khiến hệ thống từ chối dịch vụ. Các hệ thống rất khó để phân biệt giữa các yêu cầu HTTP hợp lệ và độc hại khiến các cuộc tấn công này khó bị ngăn chặn và đối phó. Lớp ứng dụng là lớp thứ 7 và cuối cùng của mô hình OSI. Nó bao gồm những phần mềm, ứng dụng web, dịch vụ… mà người dùng hay sử dụng và tương tác khi họ truy cập Internet. Các cuộc tấn công lớp ứng dụng còn được gọi là cuộc tấn công lớp 7.
- Tấn công giao thức (Protocol attacks): Hình thức này còn được gọi là tấn công cạn kiệt trạng thái. Nó gây ra gián đoạn dịch vụ do sử dụng quá nhiều tài nguyên của máy chủ hoặc tài nguyên của các thiết bị mạng như tường lửa và bộ cân bằng tải. Các cuộc tấn công giao thức sử dụng các điểm yếu, lỗ hổng bảo mật trong lớp 3 và lớp 4 của mô hình OSI. Do các giao thức Internet là tiêu chuẩn chung toàn cầu, nên việc cập nhật một giao thức để sửa chữa một điểm yếu, lỗ hổng sẽ mất rất nhiều thời gian.
- Tấn công theo khối lượng (Volume-based attacks): Các cuộc tấn công này sẽ cố gắng tiêu thụ tất cả băng thông có sẵn của mục tiêu. Một lượng lớn dữ liệu sẽ được gửi đến mục tiêu bằng cách sử dụng một hình thức khuếch đại hoặc một phương tiện để tạo ra lưu lượng truy cập lớn.
Các blockchain có bị tấn công DDoS không?
Sự phân quyền của các mạng blockchain đã khiến một số người nói rằng các cuộc tấn công DDoS vào một mạng blockchain là không thể. Tuy nhiên, điều này không hoàn toàn đúng.
Trong không gian blockchain, quá tải các giao dịch cần xử lý là điểm yếu mà các hacker thường tận dụng để tiến hành tấn công DDoS. Hầu hết các nền tảng blockchain đều có dung lượng cố định do cơ chế tạo ra các khối (block) với kích thước nhất định trong những khoảng thời gian đều đặn. Bất kỳ dữ liệu gì không phù hợp với khối hiện tại sẽ được lưu trữ trong các bể chứa bộ nhớ (mempool) để xem xét cho khối tiếp theo.
Nếu hacker gửi nhiều giao dịch đến mạng blockchain. Chúng có thể lấp đầy các khối bằng các giao dịch spam và khiến các giao dịch hợp lệ bị đẩy sang lưu trữ trong các mempool. Nếu các giao dịch hợp lệ không được bọc trong các khối, chúng sẽ không được xử lý và thêm vào sổ cái của blockchain. Ngoài ra, chúng cũng còn có thể gây ra thêm nhiều hậu quả xấu khác như tắc nghẽn mạng, gây ra lỗi hoặc đánh sập số lượng lớn các node trên mạng lưới…
Một số cuộc tấn công DDoS thực tế vào các blockchain
Cuộc tấn công DDoS vào mạng Solana
Vào ngày 14 tháng 9 năm 2021, blockchain Solana đã ngoại tuyến và không khả dụng trong vài tiếng đồng hồ. Nguyên nhân sâu xa dẫn đến tình trạng này là do một cuộc tấn công DDoS được khởi chạy khi dự án SolChicks vừa được phát hành trên Solana.
Đỉnh điểm, lưu lượng truy cập vào Solana đã tăng đột biến đạt 400.000 giao dịch mỗi giây, khiến hàng đợi của người giao nhận (forwarder queue) tăng lên đáng kể. Ngoài ra, các giao dịch được thêm mới vào các khối cũng sử dụng nhiều tài nguyên hơn, khiến chúng chậm đi và khó xử lý hơn đối với các node.
Cuối cùng, Solana đã đồng ý thực hiện một đợt hard fork, đưa mạng trở lại vị trí cuối cùng trước khi cuộc tấn công xảy ra với sự đồng thuận của hơn 80% các validator. Sau khi bản nâng cấp được mã hóa và triển khai, mạng Solana đã được hoạt động trở lại ngay sau đó.
Cuộc tấn công DDoS vào Arbitrum One Sequencer
Arbitrum One là một giao thức tầng 2 của Ethereum. Arbitrum có một thành phần được gọi là Sequencer. Sequencer có chức năng chính là nhận các giao dịch và sắp xếp lại chúng trong Inbox, một danh sách các giao dịch đang chờ được đưa vào blockchain.
Arbitrum One cũng đã chịu một cuộc tấn công DDoS vào ngày 14 tháng 9 năm 2021. Một lượng lớn các giao dịch spam đã được gửi đến khiến Sequencer ngoại tuyến trong khoảng 45 phút. Trong giao thức Arbitrum, chỉ Sequencer mới có thể gửi các giao dịch mà không có độ trễ. Sequencer ngừng hoạt động sẽ làm các giao dịch bị kẹt lại trong hàng đợi cũng nhưng không có giao dịch mới nào được chấp nhận hoặc được thêm vào blockchain.
Cách đề phòng bị tấn công DDoS
Việc phòng tránh các cuộc tấn công DDoS là vô cùng khó khăn do việc phát hiện, phân biệt giữa chúng với các lỗi kỹ thuật, lưu lượng từ người dùng thực là một thách thức lớn. Vì vậy, phương án tốt nhất mà các công ty, dự án có thể làm là tổ chức, lập kế hoạch ứng phó trước khi các cuộc tấn công này xảy ra.
Đối với người dùng thông thường
Mặc dù khả năng người dùng thông thường là mục tiêu của một cuộc tấn công DDoS là rất thấp. Nhưng các thiết bị của bạn có thể trở thành công cụ để các hacker thực hiện một cuộc tấn công DDoS. Thực hiện các thói quen khi truy cập Internet sau đây có thể giúp bạn ngăn chặn, giảm thiểu khả năng bị hacker xâm nhập vào thiết bị của mình:
- Cảnh giác với các liên kết hoặc tệp đính kèm lạ. Các hacker luôn cố gắng đánh lừa người dùng tải xuống các phần mềm độc hại thông qua các email hoặc tin nhắn rác. Nếu bạn không biết người gửi là ai, đừng mở email hoặc tham gia vào tin nhắn đó.
- Cài đặt và cập nhật liên tục phần mềm diệt virus. Bạn có thể sử dụng phần mềm diệt virus trả phí để tăng tính bảo mật cao hơn.
- Cập nhật thường xuyên các phần mềm của bạn. Phần mềm cũ thường sẽ chứa các lỗ hổng bảo mật mà các hacker có thể khai thác để xâm nhập vào máy tính của bạn. Nếu nhà phát triển phần mềm phát hành bản vá hoặc bản cập nhật, bạn hãy cài đặt và cập nhật nó càng sớm càng tốt để sửa các lỗ hổng này.
- Cài đặt, thiết lập cấu hình tường lửa (Firewall) để hạn chế lưu lượng đến và đi từ máy tính của bạn.
Đối với những máy chủ
- Sử dụng dịch vụ hosting, server uy tín có cung cấp các tài nguyên, cấu hình phù hợp với độ bảo mật cao cũng như có thể hỗ trợ người dùng kịp thời khi xảy ra tấn công DDoS.
- Thường xuyên theo dõi lưu lượng truy cập của website để nhận ra dấu bất thường và xử lý kịp thời.
- Tạo định tuyến hố đen (Black Hole Routing) giúp chuyển lưu lượng truy cập vào tuyến đó, hạn chế tình trạng quá tải trên mạng lưới. Nếu gặp phải một cuộc tấn công DDoS, nhà cung cấp dịch vụ có thể đưa tất cả lưu lượng truy cập của trang web vào một hố đen như một biện pháp phòng thủ. Tuy nhiên, đây không phải là một giải pháp tối ưu khi nó đã một phần giúp hoàn thành mục tiêu của một cuộc tấn công DDoS là làm hệ thống đó không thể truy cập được.
- Giới hạn số lượng truy cập vào máy chủ, điều này sẽ làm chậm quá trình tấn công của các hacker.
- Sử dụng tường lửa ứng dụng web (WAF) giúp hạn chế các cuộc tấn công DDoS lớp ứng dụng khỏi những lưu lượng truy cập độc hại.
- Sử dụng mạng Anycast để phân tán lưu lượng tấn công đến những nơi có thể quản lý và xử lý được.
Tổng kết
Các cuộc tấn công DDoS được thiết kế để khai thác các nút thắt cổ chai trong một hệ thống, máy chủ bằng cách gửi một lượng lớn lưu lượng ảo. Thông qua đó, nó làm giảm tính khả dụng của mạng, hệ thống, dịch vụ đối với người dùng hợp lệ cùng nhiều tác động xấu khác. Tấn công DDoS là điều khó tránh khỏi và hiện nay vẫn chưa có biện pháp cụ thể nào có thể xử lý triệt để những cuộc tấn công này. Với những thông tin hữu ích từ bài viết, Coinvn hy vọng bạn đọc đã hiểu hơn về khái niệm, phân loại và cách nhận biết, đề phòng các cuộc tấn công DDoS.
Kiến thức