Ngay cả khi bạn nhận biết được dấu hiệu website / ứng dụng đang bị DDoS thì việc tránh các cuộc tấn công từ chối dịch vụ cũng rất khó khăn do quy mô các cuộc tấn công ngày càng lớn, kỹ thuật tấn công ngày càng tinh vi.

Hơn nữa trong một số trường hợp, bạn không thể phân biệt được đâu là DDoS và đâu là lưu lượng hợp lệ chẳng hạn như khi doanh nghiệp tung ra các chương trình khuyến mại, khi này lưu lượng tăng đột biến, có dấu hiệu không khác gì một cuộc tấn công.

Mối quan tâm chính trong việc giảm thiểu một cuộc tấn công DDoS là phân biệt giữa tấn công và lưu lượng truy cập bình thường. Ví dụ: nếu bản phát hành sản phẩm có trang web của công ty, tràn ngập những khách hàng háo hức, việc cắt đứt tất cả lưu lượng truy cập là một sai lầm. Nếu công ty đó đột nhiên có sự gia tăng lưu lượng truy cập từ các kẻ xấu được biết đến, những nỗ lực để giảm bớt một cuộc tấn công có lẽ là cần thiết. Khó khăn nằm ở việc phân biệt khách hàng thực sự và lưu lượng tấn công.

Trong Internet hiện đại, lưu lượng DDoS có nhiều dạng. Lưu lượng có thể thay đổi trong thiết kế từ các cuộc tấn công nguồn đơn không giả mạo đến các cuộc tấn công đa vector phức tạp và thích ứng. Một cuộc tấn công DDoS đa vector sử dụng nhiều con đường tấn công để áp đảo mục tiêu theo nhiều cách khác nhau, có khả năng làm mất tập trung các nỗ lực giảm thiểu. Một cuộc tấn công nhắm vào nhiều lớp của ngăn xếp giao thức cùng một lúc, chẳng hạn như khuếch đại DNS (lớp nhắm mục tiêu 3/4) kết hợp với HTTP flood (lớp nhắm mục tiêu 7) là một ví dụ về DDoS đa vector.

Giảm thiểu một cuộc tấn công DDoS đa vector đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau. Nói chung, cuộc tấn công càng phức tạp, càng có nhiều khả năng giao thông sẽ khó tách khỏi lưu lượng  – mục tiêu của kẻ tấn công là hòa trộn càng nhiều càng tốt. Nếu bạn giảm thiểu bằng cách giảm hoặc hạn chế traffic một cách bừa bãi có thể khiến những traffic tốt bị chặn lại và kẻ tấn công có thể sửa đổi và thích ứng. Bạn cần một giải pháp với nhiều lớp để mang lại lợi ích cao nhất.

2.Giải pháp để giảm thiểu một cuộc tấn công DDoS ?

2.1. Định tuyến hố đen

Một giải pháp khả dụng cho hầu hết tất cả các quản trị viên mạng là tạo tuyến đường lỗ đen và chuyển traffic vào tuyến đường đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được triển khai mà không có tiêu chí hạn chế cụ thể, cả lưu lượng truy cập mạng hợp pháp và độc hại được chuyển đến tuyến đường rỗng hoặc lỗ đen và bị loại khỏi mạng. Nếu một tài sản Internet đang gặp phải một cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) thuộc tính có thể gửi tất cả lưu lượng truy cập của trang web vào một lỗ đen như một sự bảo vệ.

2.2. Giới hạn tỷ lệ

Giới hạn số lượng yêu cầu mà máy chủ sẽ chấp nhận trong một cửa sổ thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ. Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm các kẻ tấn công web khỏi ăn cắp nội dung và để giảm thiểu các nỗ lực đăng nhập brute force, nhưng một mình nó sẽ không đủ khả năng để xử lý một cuộc tấn công DDoS phức tạp một cách hiệu quả. Tuy nhiên, giới hạn tỷ lệ là một thành phần hữu ích trong chiến lược giảm thiểu DDoS hiệu quả.

2.3. Tường lửa ứng dụng web (Web Application Firewall)

Tường lửa ứng dụng web (WAF) là một công cụ có thể hỗ trợ giảm thiểu tấn công DDoS lớp 7. Bằng cách đặt WAF giữa Internet và máy chủ gốc, WAF có thể hoạt động như một proxy ngược, bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng độc hại. Bằng cách lọc các yêu cầu dựa trên một loạt các quy tắc được sử dụng để xác định các công cụ DDoS, các cuộc tấn công lớp 7 có thể bị cản trở. Một giá trị quan trọng của WAF hiệu quả là khả năng thực hiện nhanh chóng các quy tắc tùy chỉnh để đáp ứng với một cuộc tấn công.

2.4. Anycast Network Diffusion

Cách tiếp cận giảm thiểu này sử dụng mạng Anycast để phân tán lưu lượng tấn công qua mạng của các máy chủ phân tán đến điểm lưu lượng được mạng hấp thụ. Giống như chuyển một dòng sông ào ạt xuống các kênh nhỏ hơn, cách tiếp cận này lan truyền tác động của lưu lượng tấn công phân tán đến điểm có thể quản lý được, khuếch tán bất kỳ khả năng gây rối nào. Độ tin cậy của mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công và hiệu quả của mạng.

Thất thu: Thời gian ngừng hoạt động có thể cực kỳ tốn kém, tùy thuộc vào loại hình kinh doanh và quy mô của tổ chức. Một giờ ngừng hoạt động cho một tổ chức tài chính so với một giờ ngừng hoạt động cho mạng trường đại học có thể phát sinh chi phí rất khác nhau, nhưng tác động đến khách hàng hoặc người dùng là đáng kể trong cả hai trường hợp. Trong năm ngoái, phần mềm Veeam đã báo cáo rằng một giờ ngừng hoạt động của ứng dụng Mức độ ưu tiên cao ước tính trị giá 67.651 đô la, trong khi con số này chỉ thấp hơn một chút là 61.642 đô la cho một ứng dụng thông thường. Với sự cân bằng giữa Mức độ ưu tiên cao và Mức bình thường trong chi phí tác động, rõ ràng rằng “tất cả dữ liệu đều quan trọng” và thời gian ngừng hoạt động là không thể chấp nhận được ở bất kỳ đâu trong môi trường ngày nay ”.

Mất năng suất: Khi một ứng dụng hoặc dịch vụ của doanh nghiệp bị xuống cấp, hoặc tệ hơn, được đưa vào ngoại tuyến hoàn toàn, điều đó thường có nghĩa là nhân viên không thể làm việc hiệu quả hoặc trong nhiều trường hợp, hoàn toàn có thể xảy ra. Điều này đã trở nên đặc biệt rõ ràng trong đại dịch COVID-19, vì một tỷ lệ lớn hơn nhiều nhân viên hiện làm việc từ xa và phụ thuộc vào kết nối đáng tin cậy để cộng tác với đồng nghiệp của họ. Khi tính toán chi phí tổng thể của một cuộc tấn công DDoS, CISO nên xem xét chi phí cho mỗi giờ ngừng hoạt động của nhân viên.

Chi phí khắc phục hậu quả: Tranh giành để khôi phục các hệ thống CNTT trong và sau một cuộc tấn công DDoS sẽ phát sinh thêm chi phí lao động, chẳng hạn như làm thêm giờ hoặc phải sử dụng các chuyên gia tư vấn bên ngoài. Và, bụi phóng xạ có thể ảnh hưởng nhiều hơn đến các nhân viên CNTT; một cuộc tấn công DDoS và thời gian ngừng hoạt động liên quan có thể ảnh hưởng đến quan hệ công chúng của công ty và gây căng thẳng cho các nhóm hỗ trợ khách hàng hiện tại, những người có thể đang tranh giành để trả lời các khiếu nại hoặc yêu cầu của khách hàng.

Thiệt hại cho danh tiếng thương hiệu: Một số ngành – chẳng hạn như trò chơi, lưu trữ, trung tâm dữ liệu và dịch vụ tài chính – phụ thuộc rất nhiều vào danh tiếng về tính khả dụng của dịch vụ. Nếu khách hàng không thể tin tưởng rằng một nhà cung cấp sẽ luôn trực tuyến và luôn có sẵn, họ có thể dễ dàng quảng cáo trực tuyến, thông qua Đánh giá của Google hoặc các kênh truyền thông xã hội khác. Để có được khách hàng mới trong một thị trường cạnh tranh cao, một công ty phải duy trì danh tiếng tích cực.

Mất thị phần: Các cuộc tấn công DDoS có thể tạo ra sự hỗn loạn của khách hàng. Khi người dùng cuối bị từ chối quyền truy cập vào các ứng dụng sử dụng Internet hoặc nếu các vấn đề về độ trễ cản trở trải nghiệm người dùng, điều đó có thể ảnh hưởng đến điểm mấu chốt, bởi vì những khách hàng không thể tin tưởng vào một công ty cung cấp dịch vụ nhất quán có thể đi nơi khác để tiến hành công việc kinh doanh của họ .

Chi phí tiền chuộc: Mặc dù ransomware là một loại tấn công mạng khác biệt rõ ràng, nhưng trong những năm gần đây, những kẻ tấn công DDoS đã ngày càng kết hợp các cuộc tấn công DDoS với yêu cầu đòi tiền chuộc, tức là những kẻ tấn công đe dọa một tổ chức bằng cách giữ các tệp của họ làm con tin và đe dọa thực hiện một cuộc tấn công DDoS trên đó, trừ khi tổ chức trả một khoản phí chuộc bằng bitcoin cắt cổ. Trả phí chuộc là không khôn ngoan, nhưng hãy đối mặt với nó, đôi khi các công ty cũng vậy. Đó thường không phải là điều gì đó tạo nên tin tức, bởi vì các tổ chức không muốn công khai thừa nhận rằng họ đã trả tiền chuộc. Một ngoại lệ là sự cố Đường ống Thuộc địa vào đầu năm nay, trong đó công ty đã trả 5 triệu USD tiền chuộc để được giải thoát khỏi vị trí con tin. Và như trường hợp gần đây với cơ quan dịch vụ Y tế của Ireland, đôi khi tội phạm mạng kiểm tra hệ thống bằng cách khởi chạy các cuộc tấn công DDoS trước khi chúng cài đặt ransomware.

DDoS là viết tắt của cụm từ Distributed Denial-of-Service hay Tấn công từ chối dịch vụ – Một dạng tấn công làm quá tải máy chủ, làm cho người dùng không thể truy cập website / ứng dụng.

Một cuộc tấn công DDoS thường được thực hiện một cách có chủ đích, nhắm vào các ứng dụng/website của công ty hoặc đối thủ nhằm đánh sập hệ thống hoặc bày tỏ sự đồng tình với một cá nhân, tổ chức nào đó.

2.DDoS hoạt động như thế nào?

Một cuộc tấn công từ chối dịch vụ (DDoS) thường được phát động sau khi tin tặc thu tập và tổng hợp được một lượng tài nguyên cần thiết. Thường là từ các thiết bị IoT, máy tính cá nhân, máy chủ,…

Sau khi đã tổng hợp đủ tài nguyên, tin tặc sẽ điều hướng toàn bộ lưu lượng đó tới máy chủ mục tiêu với tuần suất cao, cùng với lượng truy cập sẵn có của website/ứng dụng sẽ làm quá tải băng thông, gây mất kết nối với máy chủ.

3.Cách nhận biết khi bị tấn công DDoS?

DDoS không phải lúc nào cũng có thể nhận ra ngay lập tức. Tuy nhiên bạn có thể chú ý một số dấu hiệu như:

• Website / ứng dụng tải chậm, vỡ giao diện
• Không thể truy cập website mặc dù các website khác vẫn truy cập được
• Website / ứng dụng mất kết nối mặc dù internet của bạn vẫn hoạt động
• Xuất hiện nội dung, hình ảnh, video bất thường
• Email bị spam hàng loạt tin rác…

Không phải lúc nào DDoS cũng có những dấu hiệu này, nhưng nếu bạn nhận thấy các vấn đề này xuất hiện lâu dài thì rất có thể website / ứng dụng của bạn đang bị DDoS. Một cuộc tấn công từ chối dịch vụ cũng có thể kéo dài trong vài tiếng tới vài tháng tuỳ vào mục đích và mức độ tấn công của tin tặc.

4.Các dạng tấn công DDoS phổ biến?

Các cuộc tấn công có thể được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các thiết bị định tuyến, web, thư điện tử và hệ thống DNS,…

Theo thống kê thì có 5 cách tấn công DDos cơ bản:

• Phá vỡ các thành phần vật lý của mạng máy tính
• Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP
• Phá vỡ các thông tin cấu hình như thông tin định tuyến
• Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý
• Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫn đến việc liên lạc giữa hai bên không được thông suốt.

Trong đó, có một số cuộc tấn công còn lồng ghép cả việc thực hiện malware nhằm:

• Gây crash hệ thống.
• Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên hoặc bị thrashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn đến không một công việc thực tế nào có thể hoàn thành được.
• Những lỗi gọi tức thì trong microcode của máy tính.
• Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạt động không ổn định hoặc bị đơ.
• Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì một công việc nào khác.
• Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của trang web đó bị quá hạn.

DDos Attack là việc tạo ra sự truy cập của người vào một website bất kì lượng truy cập cao một cách không chủ động, người dùng không hề biết thiết bị của mình bị cài đặt virus và vô tình bị lợi dụng để tấn công vào một website nào đó. Nếu một người bị nhiễm virus vá tấn công thì sẽ không ảnh hưởng quá nhiều đến website nhưng bạn hãy tưởng tượng rằng, 10.000 người bị nhiễm virus và cùng một lúc tất cả những con virus này tấn công vào một website thì đó đúng là một tổn thất cực kì lớn đối với một cá nhân hay tổ chức nào đó.