- Published on
DDoS Attack: Tấn công DDoS là gì và cách phòng chống
- Authors
- Name
- Xiro The Dev
Tấn công DDoS (Distributed Denial of Service) là một trong những mối đe dọa bảo mật mạng phổ biến và nguy hiểm nhất hiện nay. Những cuộc tấn công này có thể làm gián đoạn hoàn toàn các dịch vụ trực tuyến, gây thiệt hại lớn về tài chính và danh tiếng cho các tổ chức. Từ các doanh nghiệp nhỏ đến các tập đoàn lớn như AWS, không ai có thể hoàn toàn miễn nhiễm trước các cuộc tấn công DDoS.
Table of Contents
DDoS Attack là gì?
DDoS (Distributed Denial of Service - Tấn công từ chối dịch vụ phân tán) là một loại tấn công mạng trong đó kẻ tấn công sử dụng nhiều thiết bị bị xâm phạm (thường là các máy tính, server, IoT devices) để gửi một lượng lớn lưu lượng truy cập đến một mục tiêu cụ thể, nhằm làm quá tải hệ thống và khiến dịch vụ không thể truy cập được đối với người dùng hợp pháp.
Đặc điểm chính của DDoS:
- Phân tán (Distributed): Lưu lượng tấn công đến từ nhiều nguồn khác nhau, làm khó phát hiện và ngăn chặn
- Từ chối dịch vụ (Denial of Service): Mục tiêu là làm cho dịch vụ không thể sử dụng được
- Khó truy vết: Do lưu lượng đến từ nhiều nguồn, việc xác định kẻ tấn công thật sự rất khó khăn
- Quy mô lớn: Có thể tạo ra lưu lượng lên đến hàng trăm Gbps hoặc Tbps
DDoS khác DoS như thế nào?
| Đặc điểm | DoS (Denial of Service) | DDoS (Distributed DoS) |
|---|---|---|
| Nguồn tấn công | Một nguồn duy nhất | Nhiều nguồn phân tán |
| Quy mô | Nhỏ, dễ phòng thủ | Rất lớn, khó phòng thủ |
| Botnet | Không cần | Cần sử dụng botnet |
| Khó truy vết | Dễ xác định nguồn | Rất khó xác định |
| Tần suất | Ít phổ biến hơn | Phổ biến hơn nhiều |
| Phòng thủ | Dễ chặn bằng firewall | Cần giải pháp chuyên dụng |
Tại sao DDoS nguy hiểm hơn?
- Quy mô: Có thể huy động hàng trăm nghìn thiết bị cùng lúc
- Khó ngăn chặn: Không thể chặn tất cả các IP nguồn
- Chi phí thấp: Dễ thực hiện với chi phí thấp
- Hiệu quả cao: Có thể làm sập ngay cả các hệ thống lớn
Các loại tấn công DDoS
DDoS attacks được phân loại dựa trên cách thức tấn công và lớp OSI mà chúng nhắm đến:
Tấn công băng thông (Volume-based)
Loại tấn công này nhằm làm đầy băng thông mạng của mục tiêu bằng cách gửi một lượng lớn dữ liệu. Các cuộc tấn công này được đo bằng bits per second (bps) hoặc packets per second (pps).
1. UDP Flood
Gửi một lượng lớn UDP packets đến các cổng ngẫu nhiên của server:
Attacker → UDP packets → Target server
Result: Server cố gắng xử lý và phản hồi, dẫn đến quá tải
Đặc điểm:
- Sử dụng UDP (không cần connection)
- Server phải tốn tài nguyên để xử lý mỗi packet
- Dễ thực hiện và phổ biến
2. ICMP Flood (Ping Flood)
Gửi một lượng lớn ICMP Echo Request (ping) packets:
Attacker → Ping packets → Target
Result: Băng thông bị đầy, server không thể xử lý
3. DNS Amplification
Một trong những loại tấn công nguy hiểm nhất. Kẻ tấn công lợi dụng các DNS servers để khuếch đại lưu lượng:
Attacker (spoofed source IP) → DNS Query (64 bytes)
↓
DNS Server → Response (4096 bytes) → Victim
Amplification: 64x
Tại sao nguy hiểm:
- Khuếch đại lưu lượng lên hàng trăm lần
- Khó chặn vì traffic đến từ DNS servers hợp pháp
- Có thể tạo ra lưu lượng lên đến hàng trăm Gbps
Ví dụ:
1,000 bots × 64 bytes query = 64 KB
↓ DNS amplification (64x)
→ 64 KB × 64 = 4 MB per bot
→ Total: 4 GB from just 1,000 bots
4. NTP Amplification
Tương tự DNS amplification nhưng sử dụng NTP (Network Time Protocol) servers.
Tấn công giao thức (Protocol-based)
Nhắm vào các lỗ hổng trong giao thức mạng hoặc làm quá tải tài nguyên server. Đo bằng packets per second (pps).
1. SYN Flood
Lợi dụng quá trình TCP handshake:
1. Client → SYN → Server
2. Server → SYN-ACK → Client (tạo half-open connection)
3. Client không gửi ACK (attack)
Result: Server giữ nhiều half-open connections → hết tài nguyên
Cách hoạt động:
- Gửi nhiều SYN packets với IP giả mạo
- Server phản hồi và chờ ACK (không bao giờ đến)
- Hết tài nguyên để xử lý các connection hợp pháp
2. Ping of Death
Gửi các ICMP packets có kích thước lớn hơn giới hạn cho phép, gây crash hoặc reboot system.
3. Slowloris
Gửi các HTTP requests không hoàn chỉnh và giữ chúng mở:
Attacker → HTTP Request (không gửi \r\n\r\n) → Server
Server chờ data → Timeout
→ Hết kết nối có sẵn cho users hợp pháp
Tấn công tầng ứng dụng (Application Layer)
Nhắm vào lớp ứng dụng (Layer 7 trong mô hình OSI), tấn công các thành phần cụ thể của ứng dụng web. Đo bằng requests per second (rps).
1. HTTP Flood
Gửi một lượng lớn HTTP requests đến web server:
GET / HTTP/1.1
Host: target-website.com
User-Agent: [random]
POST /login HTTP/1.1
Host: target-website.com
Content-Length: [large]
[slow data stream]
Đặc điểm:
- Giống traffic hợp pháp nên khó phát hiện
- Nhắm vào các endpoints tốn tài nguyên (login, search)
- Có thể kết hợp với slow POST/GET
2. Slow HTTP Attack
Gửi HTTP requests rất chậm:
- Slow POST: Gửi POST với Content-Length lớn nhưng gửi data rất chậm
- Slow GET: Gửi HTTP headers từng chút một
- R-U-Dead-Yet (RUDY): Tấn công bằng POST request rất chậm
3. Layer 7 DDoS (Application Layer)
Nhắm vào các tính năng cụ thể của ứng dụng:
- Search endpoints (tốn CPU)
- Login endpoints (tốn database)
- API endpoints
- Dynamic content generation
Tại sao nguy hiểm:
- Rất khó phân biệt với traffic hợp pháp
- Ít traffic nhưng vẫn hiệu quả (1 request = nhiều database queries)
- Có thể bypass các biện pháp bảo vệ thông thường
Cơ chế hoạt động của DDoS
1. Xây dựng Botnet
Kẻ tấn công cần một mạng lưới các thiết bị bị xâm phạm:
Các cách tạo botnet:
- Malware: Lây nhiễm máy tính với malware
- IoT Devices: Khai thác các thiết bị IoT không được bảo mật
- Cloud instances: Khai thác các server cloud bị lộ thông tin đăng nhập
- Điện thoại: Ứng dụng độc hại trên mobile
Quy mô botnet:
- Botnet nhỏ: 1,000 - 10,000 bots
- Botnet trung bình: 10,000 - 100,000 bots
- Botnet lớn: 100,000+ bots (Mirai botnet có hơn 600,000 IoT devices)
2. Quy trình tấn công
┌─────────────┐
│ Attacker │
│ (C&C) │
└──────┬──────┘
│ Commands
↓
┌─────────────────┐
│ Botnet │
│ ┌───┐ ┌───┐ ┌──┐│
│ │Bot│ │Bot│ │B.││
│ └───┘ └───┘ └──┘│
│ ... │
└────────┬────────┘
│ Attack Traffic
↓
┌─────────────┐
│ Target │
│ Server │
└─────────────┘
Các bước:
- Command & Control (C&C): Attacker gửi lệnh đến botnet
- Synchronization: Tất cả bots bắt đầu tấn công cùng lúc
- Flood: Gửi lượng lớn traffic đến target
- Maintain: Tiếp tục tấn công cho đến khi đạt mục tiêu
3. Các kỹ thuật nâng cao
IP Spoofing
Giả mạo địa chỉ IP nguồn để:
- Khó truy vết attacker
- Làm đầy bảng routing của router
- Tránh các biện pháp blacklisting
Reflection và Amplification
Sử dụng các dịch vụ hợp pháp để khuếch đại traffic:
- DNS servers: DNS amplification (50-100x)
- NTP servers: NTP amplification (200x)
- Memcached: Memcached amplification (10,000-50,000x!)
- SNMP: SNMP amplification
Ai dễ bị tấn công DDoS?
1. Tất cả các tổ chức đều có nguy cơ
Không có tổ chức nào hoàn toàn an toàn trước DDoS:
- Doanh nghiệp nhỏ: Dễ bị tấn công do thiếu biện pháp bảo vệ
- Doanh nghiệp lớn: Hấp dẫn hơn do có nhiều tài sản giá trị
- Cloud providers: AWS, Azure đã từng bị tấn công (AWS năm 2020)
- Chính phủ: Mục tiêu hấp dẫn cho hacktivist
- Tài chính: Ngân hàng, fintech companies
- E-commerce: Đặc biệt trong mùa sale, Black Friday
- Gaming: Game servers thường xuyên bị tấn công
2. Các tổ chức có lỗ hổng bảo mật
Những tổ chức với:
- ❌ Phần mềm không được cập nhật
- ❌ Thiếu các biện pháp bảo vệ DDoS
- ❌ Không có monitoring và alerting
- ❌ Thiếu incident response plan
- ❌ Cơ sở hạ tầng không được bảo mật
3. High-profile targets
- Media và Entertainment: Disrupt streaming services
- Chính trị: Trong thời kỳ bầu cử hoặc sự kiện quan trọng
- Công nghệ: Tech companies là mục tiêu phổ biến
- Giáo dục: Trường học, đại học trong mùa thi
4. Động cơ tấn công
Financial gain:
- Ransom DDoS: Yêu cầu tiền để dừng tấn công
- Đối thủ cạnh tranh: Làm hại đối thủ
- Chơi cổ phiếu: Short selling sau khi tấn công
Political/Hacktivist:
- Biểu tình, phản đối
- Cyberwarfare giữa các quốc gia
Personal:
- Revenge, personal grudge
- Competitive gaming: Cheating trong esports
Tác động của tấn công DDoS
1. Gián đoạn dịch vụ
- Website không thể truy cập
- Ứng dụng di động không hoạt động
- API services bị downtime
- Email servers bị quá tải
2. Thiệt hại tài chính
Chi phí trực tiếp:
- Mất doanh thu từ downtime
- Chi phí phục hồi và khắc phục
- Chi phí cho DDoS mitigation services
- Fines và penalties từ SLA violations
Ví dụ thiệt hại:
- Small business: $10,000 - $50,000 per hour
- Medium business: $100,000 - $500,000 per hour
- Large enterprise: $1M+ per hour
Tấn công kéo dài 24h có thể gây thiệt hại hàng triệu USD
3. Thiệt hại danh tiếng
- Mất niềm tin của khách hàng
- Negative publicity
- Competitive disadvantage
- Loss of customer data confidence
4. Rủi ro bảo mật
- DDoS có thể là "smokescreen" cho các cuộc tấn công khác
- Khi security team tập trung vào DDoS, attackers có thể:
- Thực hiện data breach
- Cài đặt malware
- Steal credentials
- Lateral movement trong network
5. Operational impact
- Team phải làm việc ngoài giờ để khắc phục
- Chi phí nhân sự tăng
- Distraction khỏi các vấn đề khác
- Burnout của IT team
Các ví dụ thực tế về DDoS
1. AWS Attack (2020)
- Quy mô: 2.3 Tbps (TeraBytes per second)
- Loại: Application Layer (Layer 7)
- Mục tiêu: AWS Shield customer
- Kết quả: AWS đã mitigate thành công nhờ có DDoS protection
Bài học:
- Ngay cả các cloud providers lớn cũng bị tấn công
- DDoS protection là cần thiết ở mọi cấp độ
2. GitHub Attack (2018)
- Quy mô: 1.35 Tbps
- Loại: Memcached amplification
- Duration: 20 phút
- Kết quả: GitHub bị downtime 10 phút
Chi tiết:
- Sử dụng Memcached servers không được bảo vệ
- Amplification factor: 51,000x
- Gửi từ 126.9 million packets per second
3. Dyn DNS Attack (2016)
- Mục tiêu: Dyn DNS provider
- Impact:
- Twitter, Reddit, GitHub, Netflix bị downtime
- Ảnh hưởng đến hàng triệu users
- Botnet: Mirai botnet (IoT devices)
- Duration: Nhiều giờ trong nhiều ngày
Bài học quan trọng:
- Tấn công vào infrastructure provider có thể ảnh hưởng nhiều services
- IoT security là rất quan trọng
4. Tấn công băng thông (Volume-based DDoS)
Ví dụ về tấn công làm tràn website bằng lưu lượng truy cập bất hợp pháp:
Normal traffic: 100 requests/second
During attack: 1,000,000 requests/second
Result: Server quá tải → Website không thể truy cập
Hậu quả:
- Website chậm lại hoặc ngừng hoạt động
- Users hợp pháp không thể truy cập
- Loss of business và customer trust
Cách phòng chống tấn công DDoS
1. DDoS Protection Services
Cloud-based DDoS Protection
Sử dụng các dịch vụ chuyên dụng:
- AWS Shield: Tự động bảo vệ cho AWS services
- Azure DDoS Protection: Native protection cho Azure resources
- Cloudflare: CDN + DDoS protection
- Akamai: Enterprise DDoS mitigation
- Imperva: Application-layer protection
Ưu điểm:
- ✅ Quy mô lớn để xử lý high-volume attacks
- ✅ Automatic detection và mitigation
- ✅ Chuyên gia 24/7
- ✅ Không cần hardware riêng
On-premise Solutions
- Firewall với DDoS protection
- DDoS mitigation appliances
- Load balancers với rate limiting
2. Network Security Best Practices
Rate Limiting
Giới hạn số requests từ một IP:
// Example: Rate limiting
const rateLimiter = {
maxRequests: 100,
windowMs: 60000, // 1 minute
// Block IP nếu vượt quá 100 requests/phút
};
Traffic Filtering
- Firewall rules: Chặn traffic từ các IP đáng ngờ
- Geo-blocking: Chặn traffic từ các quốc gia không cần thiết
- IP whitelisting: Chỉ cho phép IPs được trust
Load Balancing
Phân tán traffic qua nhiều servers:
- Giảm tải cho từng server
- Failover nếu một server bị tấn công
- Health checks để tự động loại bỏ servers không healthy
3. Application Layer Protection
Web Application Firewall (WAF)
Bảo vệ ở Layer 7:
- Filter HTTP/HTTPS traffic
- Detect và block malicious requests
- Protect against SQL injection, XSS
- Rate limiting per IP/endpoint
CDN (Content Delivery Network)
- Phân tán traffic qua nhiều edge locations
- Cache static content, giảm tải cho origin server
- DDoS protection built-in (Cloudflare, Akamai)
4. Monitoring và Alerting
Real-time Monitoring
- Network traffic monitoring
- Anomaly detection
- Traffic pattern analysis
- Bandwidth usage alerts
Metrics to Monitor
- Requests per second (RPS)
- Bandwidth utilization
- Response times
- Error rates (5xx errors)
- Connection counts
- CPU/Memory usage
Alerting
Thiết lập alerts khi:
- Traffic tăng đột biến (ví dụ: >300% baseline)
- Response time tăng cao
- Error rate tăng
- Bandwidth gần đầy
5. Incident Response Plan
Preparation
- DDoS response team: Xác định người chịu trách nhiệm
- Escalation procedures: Ai cần được thông báo
- Communication plan: Cách thông báo cho customers
- Backup systems: Failover mechanisms
During Attack
- Detect: Xác định có phải DDoS không
- Analyze: Phân loại loại tấn công
- Mitigate: Áp dụng các biện pháp counter
- Monitor: Theo dõi hiệu quả
- Adapt: Điều chỉnh strategy nếu cần
Post-Attack
- Forensics: Phân tích để hiểu attack vector
- Documentation: Ghi lại lessons learned
- Improvement: Cập nhật protection strategy
- Legal: Báo cáo nếu cần (nhiều quốc gia yêu cầu)
6. Tường lửa có ngăn được DDoS không?
Câu trả lời ngắn: Không, thường thì chỉ mình tường lửa không thể ngăn chặn được cuộc tấn công DDoS.
Lý do:
- ❌ Tường lửa chỉ bảo vệ một phần, không phải toàn bộ mối đe dọa
- ❌ Traditional firewall không được thiết kế cho DDoS mitigation
- ❌ DDoS traffic có thể giống traffic hợp pháp
- ❌ Firewall có thể bị quá tải bởi chính lượng traffic
Tuy nhiên:
- ✅ Firewall có thể giúp filter một số traffic đáng ngờ
- ✅ Next-gen firewalls có thể có một số DDoS protection
- ✅ Nên kết hợp firewall với các công cụ khác
Giải pháp:
- Kết hợp nhiều lớp bảo vệ
- DDoS protection service (cloud-based)
- WAF (Web Application Firewall)
- Rate limiting
- Monitoring và alerting
Giải pháp của Microsoft
Microsoft cung cấp nhiều giải pháp để bảo vệ chống DDoS:
1. Azure DDoS Protection
Azure DDoS Protection Standard cung cấp:
- Automatic mitigation: Tự động phát hiện và mitigate
- Always-on monitoring: 24/7 monitoring
- Adaptive tuning: Tự động điều chỉnh thresholds
- Attack analytics: Chi tiết về các cuộc tấn công
- DDoS rapid response: Support team 24/7 trong attack
Tính năng:
- Bảo vệ cho tất cả Azure services
- Bảo vệ cả IPv4 và IPv6
- Integration với Azure Monitor
- Cost protection: Không tính phí egress nếu bị tấn công
2. Microsoft Defender cho Đám mây
Defender for Cloud cung cấp:
- Threat protection: Phát hiện các mối đe dọa
- Security posture management: Quản lý tình trạng bảo mật
- Cloud security: Bảo vệ cloud resources
3. Microsoft Defender cho Điểm cuối
Bảo mật điểm cuối trên nhiều hệ điều hành:
- Detect malware có thể tạo botnet
- Prevent infection của IoT devices
- Protect network devices
4. Microsoft Sentinel (SIEM)
- Security information and event management
- Phân tích logs và events để phát hiện DDoS
- Correlation với các mối đe dọa khác
- Automated response
5. Azure Front Door + WAF
- Azure Front Door: CDN với DDoS protection
- Web Application Firewall (WAF): Bảo vệ Layer 7
- Rate limiting và filtering
- Geo-filtering
Best Practices cho tổ chức
1. Đa lớp bảo vệ (Defense in Depth)
Không dựa vào một giải pháp duy nhất:
Layer 1: Network-level protection (DDoS protection service)
Layer 2: Application-level protection (WAF)
Layer 3: Host-level protection (Firewall, IDS/IPS)
Layer 4: Monitoring và Alerting
2. Cập nhật và vá lỗi
- ✅ Cập nhật phần mềm, firmware thường xuyên
- ✅ Patch security vulnerabilities ngay lập tức
- ✅ Update các security tools
- ✅ Review và update security policies
3. Network Architecture
- Redundancy: Không có single point of failure
- Scalability: Có thể scale khi cần
- Segmentation: Tách biệt các phần của network
- Backup systems: Failover mechanisms
4. Security Awareness
- Training: Đào tạo nhân viên về DDoS
- Incident response drills: Luyện tập xử lý sự cố
- Communication plan: Kế hoạch thông báo khi bị tấn công
5. Monitoring và Logging
- 24/7 monitoring: Theo dõi liên tục
- Centralized logging: Tập trung logs để phân tích
- SIEM: Sử dụng SIEM để correlation
- Baseline establishment: Thiết lập baseline để phát hiện anomalies
6. Incident Response
- Response plan: Có kế hoạch rõ ràng
- Team assignment: Xác định trách nhiệm
- Communication: Cách thông báo cho stakeholders
- Post-mortem: Phân tích sau sự cố
7. Regular Testing
- Penetration testing: Test khả năng chống DDoS
- Red team exercises: Simulate attacks
- Load testing: Test capacity của hệ thống
- Failover testing: Test backup systems
8. Compliance và Legal
- Know regulations: Hiểu các yêu cầu pháp lý
- Reporting requirements: Báo cáo khi cần (nhiều quốc gia yêu cầu)
- Documentation: Ghi lại mọi sự cố
Kết luận
Tấn công DDoS là một mối đe dọa thực sự và nguy hiểm trong thế giới số hiện đại. Từ các doanh nghiệp nhỏ đến các tập đoàn lớn như AWS, không ai có thể hoàn toàn miễn nhiễm. Tuy nhiên, với việc hiểu rõ về các loại tấn công, tác động của chúng, và các biện pháp bảo vệ phù hợp, các tổ chức có thể giảm thiểu đáng kể rủi ro.
Điểm mấu chốt
- ✅ DDoS là mối đe dọa thực sự - Mọi tổ chức đều có nguy cơ
- ✅ Nhiều loại tấn công - Volume-based, Protocol-based, Application-layer
- ✅ Tác động lớn - Thiệt hại tài chính, danh tiếng, và operational
- ✅ Phòng thủ đa lớp - Cần nhiều biện pháp kết hợp
- ✅ Monitoring quan trọng - Phát hiện sớm là chìa khóa
- ✅ Có kế hoạch - Incident response plan là cần thiết
Tương lai của DDoS
- IoT botnets: Sẽ tiếp tục phát triển khi số lượng IoT devices tăng
- AI-powered attacks: Attacker có thể sử dụng AI để tạo attacks phức tạp hơn
- 5G networks: Băng thông cao hơn = attacks lớn hơn
- Edge computing: Attacks có thể nhắm vào edge infrastructure
Bước tiếp theo
- Đánh giá rủi ro: Hiểu rõ mức độ rủi ro của tổ chức bạn
- Thiết lập protection: Triển khai DDoS protection phù hợp
- Monitoring: Thiết lập monitoring và alerting
- Incident plan: Tạo và test incident response plan
- Training: Đào tạo team về DDoS và response procedures
WARNING
Lưu ý quan trọng: Chỉ có tường lửa thôi là không đủ để bảo vệ chống DDoS. Bạn cần kết hợp nhiều lớp bảo vệ, bao gồm DDoS protection service, WAF, monitoring, và có kế hoạch ứng phó sự cố rõ ràng.
TIP
Bắt đầu ngay hôm nay: Nếu tổ chức của bạn chưa có DDoS protection, hãy bắt đầu đánh giá và triển khai. Ngay cả một cuộc tấn công nhỏ cũng có thể gây thiệt hại đáng kể. Đừng đợi đến khi bị tấn công!