Anti-DDoS là một giải pháp bảo mật được thiết kế để bảo vệ website và ứng dụng khỏi các cuộc tấn công từ chối dịch vụ. Lý do là vì cuộc tấn công (DDoS) có thể làm quá tải hệ thống, khiến cho các dịch vụ trực tuyến không thể truy cập được. Do đó, doanh nghiệp nên hiểu rõ về loại tấn công này để kịp thời phát hiện và ngăn chặn.

Thế nào là một cuộc tấn công từ chối dịch vụ?

Cuộc tấn công từ chối dịch vụ (hay còn gọi là DDoS) là trường hợp kẻ xấu cố ý tấn công khiến người dùng không thể truy cập vào các trang web hoặc dịch vụ trực tuyến của doanh nghiệp hoặc chủ sở hữu website. Kỹ thuật này được thực hiện bằng cách làm nghẽn mạng hay máy chủ bằng cách truy cập giả mạo ồ ạt vào trang.

Cụ thể, kẻ tấn công sẽ gửi nhiều thông tin hoặc yêu cầu tới một trang web cùng một lúc. Tuy nhiên, máy chủ chỉ có khả năng xử lý một số lượng hạn chế các yêu cầu trong cùng một thời điểm. Việc gửi quá nhiều yêu cầu sẽ khiến cho máy chủ không thể đáp ứng và dẫn đến việc từ chối dịch vụ.

Kẻ tấn công sẽ gửi nhiều thông tin hoặc yêu cầu tới một trang web.

Ví dụ trong một tình huống thực tế: Nếu đột nhiên có quá đông số lượng khách hàng cùng đến, cửa hàng sẽ không thể phục vụ hết mọi người. Đặc biệt, những khách hàng thực sự muốn sử dụng dịch vụ sẽ không thể vào được. Đó chính là mục đích của cuộc tấn công DDoS.

Một số kiểu tấn công DDoS phổ biến

Hiện nay, hacker có thể sử dụng nhiều kiểu tấn công DDoS để xâm nhập vào máy chủ. Do đó, các doanh nghiệp nên hiểu rõ từng loại attack để kịp thời xử lý.

UDP Flood

Trong cuộc tấn công UDP Flood, kẻ tấn công sẽ gửi hàng loạt gói tin UDP đến nhiều cổng không xác định trên một máy chủ mục tiêu. Server này sẽ kiểm tra liệu có chương trình nào đang chạy tại những cổng này không.

Khi không tìm thấy chương trình nào tương ứng, máy chủ sẽ gửi lại thông điệp lỗi ICMP "Destination Unreachable". Việc này khiến server phải xử lý một lượng lớn thông điệp lỗi và  làm ảnh hưởng đến khả năng giải quyết các yêu cầu hợp lệ.

Bên cạnh đó, để gây khó khăn cho doanh nghiệp trong việc phát hiện và ngăn chặn, kẻ tấn công thường giả mạo địa chỉ IP. Điều này làm rối loạn việc xác định nguồn gốc của cuộc tấn công và khó xử lý hơn.

Trong cuộc tấn công UDP Flood, kẻ tấn công sẽ gửi hàng loạt gói tin UDP.

SYN Flood

Tấn công SYN Flood nhằm vào quá trình thiết lập kết nối TCP bằng cách gửi một số lượng lớn yêu cầu kết nối (SYN) nhưng không hoàn thành chúng. Máy chủ sẽ chờ đợi để hoàn tất kết nối bằng cách gửi lại gói tin ACK-SYN. Tuy nhiên, server sẽ không bao giờ nhận được gói ACK cuối cùng từ người gửi. Điều này làm cạn kiệt tài nguyên máy chủ và khiến cho các kết nối hợp lệ không thể được thiết lập.

Ping of Death

Tấn công Ping of Death sử dụng gói tin ICMP quá lớn khiến máy tính không xử lý được và có thể bị treo hoặc khởi động lại. Loại tấn công này đã từng rất hiệu quả đối với các hệ điều hành cũ như Windows NT. Tuy nhiên, các biến thể của cuộc tấn CÔNG này vẫn có thể gây nguy hiểm cho các hệ thống chưa được bảo vệ kỹ hiện nay.

Tấn công Ping of Death sử dụng gói tin ICMP quá lớn.

Smurf

Cuộc tấn công Smurf sử dụng chiến thuật lợi dụng địa chỉ IP và giao thức ICMP thông qua phần mềm độc hại mang tên Smurf. Trong kiểu tấn công này, hacker thường giả mạo địa chỉ IP của mục tiêu và gửi yêu cầu ping ICMP tới địa chỉ broadcast của nhiều mạng.

Điều này khiến địa chỉ IP mục tiêu bị bão hòa bởi một khối lượng lớn phản hồi ICMP. Từ đó, máy chủ sẽ gặp tình trạng mạng bị quá tải, chậm trễ hoặc thậm chí không xử lý được các yêu cầu dịch vụ khác.

Cuộc tấn công Smurf sử dụng chiến thuật lợi dụng địa chỉ IP.

Các dấu hiệu nhận biết website đã bị tấn công DDoS

Khi website đột nhiên có tốc độ chậm hoặc hoàn toàn không thể truy cập mặc dù đường truyền Internet vẫn bình thường, bạn có thể đã bị tấn công DDoS. Dưới đây là một số biểu hiện cho thấy server hosting website của bạn đang gặp vấn đề này:

• Truy cập vào website chậm bất thường mặc dù Internet vẫn hoạt động ổn định.

• Gặp phải lỗi khi truy cập vào nhiều trang web khác nhau được lưu trữ trên cùng một server.

• Số lượng email rác tăng vọt trong hòm thư của bạn.

• Bạn quan sát thấy tài nguyên server (như RAM và CPU) bị sử dụng ở mức cao bất thường.

• Máy chủ thường xuyên gặp trạng thái treo. Đồng thời, bạn phát hiện nhật ký truy cập của website có lượng lớn yêu cầu đến từ nhiều địa chỉ IP khác nhau. Tuy nhiên, các địa chỉ này lại có chi tiết truy cập tương tự nhau, ví dụ như loại trình duyệt hoặc trang web mục tiêu cụ thể.

Khi website đột nhiên có tốc độ chậm, bạn có nguy cơ bị tấn công.