Dos vs DDos, tấn công và phòng thủ

Như các bạn đã biết, tối 21/10/2016, Internet trên một nửa nước Mỹ đã bị mất khi các hacker tung ra một cuộc tấn công DDos nhằm vào các máy chủ của Dyn - nhà cung cấp dịch vụ DNS lớn của Mỹ. Cuộc tấn công gây ảnh hưởng lên các website lớn như Twitter,Reddit, PayPal và một số trang web khác...

Dưới đây là bản đồ những vùng bị ảnh hưởng! DDos.jpg

Dyn đã phải đưa ra thông báo trấn an người dùng:

Từ lúc 11h10 (theo giờ UTC, tương đương 18h 10 phút ở Việt Nam) ngày 21 tháng Mười năm 2016, chúng tôi bắt đầu theo dõi và hạn chế một cuộc tấn công DDos nhằm vào cơ sở hạ tầng DNS của chúng tôi. Một số khách hàng có thể sẽ gặp phải tình trạng độ trễ gia tăng khi truy vấn DNS, và đường truyền trong vùng bị chậm lại trong thời gian này. Chúng tôi sẽ đăng tải các cập nhật tình hình khi thông tin trở nên rõ ràng hơn.

Vụ tấn công này làm mình nhớ tới các cuộc tấn công Dos trước đây. @@

Vậy rốt cuộc DDosDos attack khác nhau ở đâu (?) và cách phòng chống thế nào (?). Hôm nay chúng ta sẽ cùng nhau tìm hiểu nhé!

I. Sự khác nhau của Dos attack và DDos attack

1. Dos attack

Dos là viết tắt của Denial of Services attack, tạm dịch là Tấn công từ chối dịch vụ.

Có nhiều thủ đoạn phương thức để thực hiện cuộc tấn công này, nhưng mục tiêu của nó là làm cho trang Web đang vận hành bị quá tải, tiêu tốn hết tài nguyên dẫn tới việc không thể phản hồi, cung cấp dịch vụ cho user hay có phản hồi cũng vô cùng chậm. Thủ đoạn phổ biến nhất là từ máy của hacker gửi đồng loạt một lượng lớn request hay yêu cầu truy cập tới máy chủ; làm cho máy chủ của Website bị quá tải, không thể hiển thị kết quả hoặc tốn rất nhiều thời gian để gửi lại response như hiện tượng của Twitter hôm 21/10/2016 vửa rồi.

Các bạn có thể hình dung qua về Dos với sơ đồ dưới đây スクリーンショット 2016-10-30 午後4.28.00.png

2. DDos attack

DDos là viết tắt của Distributed Denial of Services attack, tạm dịch là Tấn công từ chối dịch vụ phân tán.

Điểm khác biệt lớn nhất giữa DosDDos là thay vì gửi request trực tiếp từ máy mình, hacker sẽ sử dụng các máy đã bị hack từ trước để đồng loạt gửi lượng lớn request và yêu cầu truy cập tới máy chủ. スクリーンショット 2016-10-30 午後4.28.32.png

Cuộc tấn công DDos gây hậu quả lớn hơn và cũng khó tìm ra thủ phạm hơn rất nhiều vì 2 lý do dưới đây

  1. Khó tìm ra máy tính của hacker từ những request gửi tới máy chủ dịch vụ
  2. Khó phân biệt và loại bỏ được các truy cập gây tổn hại tới hoạt động của máy chủ dịch vụ

II. Phòng Thủ

ddos-attack-measure.png

1. Phòng thủ trước Dos attack

Vì cuộc tấn công Dos chỉ bắt nguồn từ một nguồn duy nhất, nên có thể dễ dàng xác định được IP của máy hacker và đưa ra đối sách phù hợp.

  1. Hạn chế truy cập từ IP bất kì nào đó
  2. Giới hạn số request được chấp nhận từ một IP trong một khoảng thời gian xác định (ví dụ một ngày chỉ được tối đa 100 requests)
  3. Xây dựng và thiết kế máy chủ có khả năng chịu tải lớn

2. Phòng thủ trước DDos attack

Như đã phân tích ở trên, lượng máy tính bị hack từ trước và sử dụng cho cuộc tấn công có thể rất lớn, việc tìm ra IP của máy kẻ chủ mưa cũng rất khó khăn. Nên việc đưa ra đối sách để chống lại DDos attack cũng vô cùng khó.

  1. Giới hạn số request được chấp nhận từ một IP nào đó trong khoảng thời gian xác định (lấy mẫu các gói tin và xác định xu hướng lưu lượng mạng)
  2. Hạn chế access từ các địa chỉ IP nước ngoài nếu nội dung chỉ dành cho user trong nước
  3. Xây dựng và thiết kế máy chủ có khả năng chịu tải lớn

III. Kết

Vậy là nhân sự kiện một vụ tấn công mạng đình đám, chúng nhau đã cùng nhau tìm hiểu qua về sự khác nhau của DosDDos attack cũng như cách phòng thủ trước các cuộc tấn công đó.

Hy vọng bài viết sẽ giúp ích cho các bạn trong việc xây dựng và bảo vệ website của mình trong tương lai! (bye)