Xây Dựng Giải Pháp Chống Tấn Công DDoS Tầng Ứng Dụng Website (ĐHBK HN)

Chuyên khảo kỹ thuật phân tích Xây dựng giải pháp chống tấn công từ chối dịch vụ trên tầng ứng dụng cho websites, đánh giá các khía cạnh quan trọng, đề xuất hướng nghiên cứu tiếp

Chuyên ngành

Hệ Thống Thông Tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2016

60
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

MỤC LỤC

Danh mục các từ viết tắt

Danh mục các hình vẽ

MỞ ĐẦU

1. CHƯƠNG 1: NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN TẤN CÔNG TỪ CHỐI DỊCH VỤ TRÊN TẦNG ỨNG DỤNG CHO WEBSITES

1.1. Phân tích tổng quan về nguy cơ, rủi ro và tác động của các kiểu tấn công từ chối dịch vụ websites

1.2. Khái niệm tấn công từ chối dịch vụ

1.3. Phân loại tấn công từ chối dịch vụ

1.4. Đặc điểm và ảnh hưởng của tấn công từ chối dịch vụ vào tầng ứng dụng của websites. Slow read, slow post

1.5. Phương pháp luận nghiên cứu các giải pháp ngăn chặn tấn công từ chối dịch vụ

1.6. Các yêu cầu đối với một hệ thống chấn tấn công từ chối dịch vụ

1.7. Phương pháp để xác định tấn công từ chối dịch vụ

1.8. Xác thực người dùng

1.9. Xác thực các bot của trang tìm kiếm

2. CHƯƠNG 2: XÂY DỰNG HỆ THỐNG NGĂN CHẶN TẤN CÔNG TỪ CHỐI DỊCH VỤ CHO WEBSITES

2.1. Thiết kế tổng quan mô hình và chức năng của hệ thống

2.2. Kiến trúc tổng quan và các thành phần của hệ thống

2.3. Mô hình hoạt động của hệ thống

2.4. Xây dựng hệ thống ngăn chặn tấn công từ chối dịch vụ

2.5. Lựa chọn công nghệ

2.6. Xây dựng các thành phần của hệ thống

2.7. Cài đặt môi trường

2.8. Module tạo cookie xác thực

2.9. Module xác thực người dùng bằng javascript

2.10. Module xác thực bằng captcha

2.11. Module xác thực bot của các công cụ tìm kiếm

2.12. Module giới hạn số request của người dùng

2.13. Triển khai hệ thống thực tế

3. CHƯƠNG 3: TRIỂN KHAI, THỬ NGHIỆM HỆ THỐNG

3.1. Mô hình và quy mô triển khai thử nghiệm của hệ thống

3.2. Mẫu dữ liệu thử nghiệm và các phương án thử nghiệm

3.3. Thử nghiệm với các công cụ tấn công từ chối dịch vụ phổ biến trên internet

3.4. Thử nghiệm với công cụ tấn công dùng mô phòng browser để qua mặt được cookie xác thực

3.5. Phân tích đánh giá kết quả thử nghiệm

TÀI LIỆU THAM KHẢO

MỞ ĐẦU

1. CHƯƠNG 1: NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN TẤN CÔNG TỪ CHỐI DỊCH VỤ TRÊN TẦNG ỨNG DỤNG CHO WEBSITES

1.1. Phân tích tổng quan về nguy cơ, rủi ro và tác động của các kiểu tấn công từ chối dịch vụ websites

1.2. Khái niệm tấn công từ chối dịch vụ

1.3. Phân loại tấn công từ chối dịch vụ

1.4. Đặc điểm và ảnh hưởng của tấn công từ chối dịch vụ vào tầng ứng dụng của websites. Slow read, slow post

1.5. Phương pháp luận nghiên cứu các giải pháp ngăn chặn tấn công từ chối dịch vụ

1.6. Các yêu cầu đối với một hệ thống chấn tấn công từ chối dịch vụ

1.7. Phương pháp để xác định tấn công từ chối dịch vụ

1.8. Xác thực người dùng

1.9. Xác thực các bot của trang tìm kiếm

2. CHƯƠNG 2: XÂY DỰNG HỆ THỐNG NGĂN CHẶN TẤN CÔNG TỪ CHỐI DỊCH VỤ CHO WEBSITES

2.1. Thiết kế tổng quan mô hình và chức năng của hệ thống

2.2. Kiến trúc tổng quan và các thành phần của hệ thống

2.3. Mô hình hoạt động của hệ thống

2.4. Xây dựng hệ thống ngăn chặn tấn công từ chối dịch vụ

2.5. Lựa chọn công nghệ

2.6. Xây dựng các thành phần của hệ thống

2.7. Cài đặt môi trường

2.8. Module tạo cookie xác thực

2.9. Module xác thực người dùng bằng javascript

2.10. Module xác thực bằng captcha

2.11. Module xác thực bot của các công cụ tìm kiếm

2.12. Module giới hạn số request của người dùng

2.13. Triển khai hệ thống thực tế

3. CHƯƠNG 3: TRIỂN KHAI, THỬ NGHIỆM HỆ THỐNG

3.1. Mô hình và quy mô triển khai thử nghiệm của hệ thống

3.2. Mẫu dữ liệu thử nghiệm và các phương án thử nghiệm

3.3. Thử nghiệm với các công cụ tấn công từ chối dịch vụ phổ biến trên internet

3.4. Thử nghiệm với công cụ tấn công dùng mô phòng browser để qua mặt được cookie xác thực

3.5. Phân tích đánh giá kết quả thử nghiệm

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tấn Công DDoS Tầng Ứng Dụng Nguy Cơ Và Tầm Quan Trọng Bảo Vệ Website

Sự phát triển vượt bậc của công nghệ thông tin đã mở ra kỷ nguyên vàng cho thương mại điện tử và kinh doanh trực tuyến. Hàng loạt doanh nghiệp, từ khởi nghiệp đến tập đoàn lớn, đều tận dụng website làm kênh tiếp cận khách hàng chính. Tuy nhiên, cùng với cơ hội là những mối đe dọa an ninh mạng ngày càng tinh vi, trong đó nổi bật là tấn công từ chối dịch vụ phân tán (DDoS). Đặc biệt, tấn công DDoS tầng ứng dụng (Layer 7 DDoS) đang trở thành nỗi ám ảnh lớn, có khả năng làm tê liệt hoàn toàn hoạt động của một website.

Theo Nguyễn Xuân Quang (2016), tấn công từ chối dịch vụ (Denial of Service - DoS) đã xuất hiện từ những năm 80, nhưng hình thức DDoS, ra đời từ năm 1999, mới thực sự gây ra những thiệt hại quy mô lớn. Khác biệt cơ bản giữa DoS và DDoS nằm ở phạm vi: DoS thường từ một nguồn, trong khi DDoS sử dụng mạng lưới máy tính ma (botnet) phân tán trên diện rộng. Các cuộc tấn công DDoS không chỉ đơn thuần là làm ngập lụt băng thông, mà còn khai thác lỗ hổng giao thức hoặc ứng dụng để làm cạn kiệt tài nguyên máy chủ. Nhiều cuộc tấn công DDoS nổi tiếng đã gây gián đoạn dịch vụ của các tổ chức lớn như Yahoo (2000), SCO (2004), Mastercard, Visa (2010) và các ngân hàng lớn của Mỹ (2012), cho thấy quy mô và mức độ nghiêm trọng của vấn đề này (Nguyễn Xuân Quang, 2016, trang 4-5).

Đối với các doanh nghiệp kinh doanh trực tuyến, một cuộc tấn công DDoS tầng ứng dụng có thể dẫn đến mất khách hàng, giảm doanh thu đáng kể và tổn hại uy tín thương hiệu. Chi phí khắc phục, phục hồi dịch vụ cũng là một gánh nặng lớn. Vấn đề càng trở nên nhức nhối khi các công cụ tấn công được chia sẻ miễn phí và dễ dàng sử dụng, khiến việc thực hiện tấn công DDoS ngày càng phổ biến. Điều này đặt ra yêu cầu cấp thiết về việc phát triển các giải pháp chống DDoS website hiệu quả, đặc biệt là ở tầng ứng dụng, nơi các cuộc tấn công khó phát hiện và ngăn chặn hơn các tầng mạng truyền thống. Việc bảo vệ website khỏi DDoS L7 không còn là tùy chọn mà là yêu cầu bắt buộc để đảm bảo sự ổn định và liên tục của mọi hoạt động kinh doanh trực tuyến.

Nghiên cứu của Nguyễn Xuân Quang (2016) tập trung vào việc xây dựng một hệ thống chống tấn công DDoS tầng ứng dụng cho website với chi phí thấp và hiệu quả cao, đặc biệt cho các dạng tấn công phổ biến nhất. Điều này khẳng định tầm quan trọng của việc hiểu rõ cơ chế tấn công và phát triển các biện pháp phòng vệ phù hợp, không chỉ dựa vào các giải pháp truyền thống ở tầng mạng.

1.1. Khái niệm và sự phát triển của tấn công từ chối dịch vụ DDoS

Tấn công từ chối dịch vụ (DoS) là hành động làm gián đoạn khả năng truy cập tài nguyên mạng của người dùng hợp pháp. Nó xuất hiện từ những năm 1980, nhắm vào việc khai thác lỗi giao thức hoặc ứng dụng. Tấn công từ chối dịch vụ phân tán (DDoS) là một dạng phát triển tinh vi hơn của DoS, xuất hiện từ năm 1999. Điểm khác biệt chính là DDoS phát sinh lưu lượng tấn công từ nhiều máy tính bị chiếm quyền điều khiển (botnet) rải rác trên Internet, khiến việc ngăn chặn trở nên phức tạp hơn rất nhiều. Các cuộc tấn công này có thể gây ngập lụt đường truyền, làm cạn kiệt băng thông hoặc tài nguyên máy chủ, gây đình trệ dịch vụ. Mục tiêu cuối cùng là ngăn chặn người dùng hợp pháp tiếp cận dịch vụ, gây thiệt hại doanh thu và chi phí phòng chống (Nguyễn Xuân Quang, 2016, trang 4).

1.2. DDoS tầng ứng dụng là gì Điểm khác biệt so với các tầng khác

DDoS tầng ứng dụng (Layer 7 DDoS) là một trong những dạng tấn công DDoS nguy hiểm nhất, nhắm vào các dịch vụ ứng dụng phổ biến như HTTP, DNS, SMTP. Theo Nguyễn Xuân Quang (2016, trang 7), loại tấn công này khó phát hiện hơn các tầng mạng hoặc giao vận (Layer 3/4) vì các yêu cầu tấn công thường tương tự như yêu cầu từ người dùng hợp pháp. Thay vì làm ngập lụt băng thông, tấn công L7 tập trung vào việc tiêu hao tài nguyên máy chủ như CPU, bộ nhớ, băng thông đĩa, và cơ sở dữ liệu bằng cách gửi hàng loạt yêu cầu phức tạp hoặc giữ kết nối lâu dài. Điều này khiến bảo vệ website khỏi DDoS L7 trở thành một thách thức lớn, đòi hỏi các giải pháp chuyên biệt vượt ra ngoài các biện pháp bảo mật mạng truyền thống.

II. Các Loại Tấn Công DDoS L7 Phổ Biến và Tác Động Nặng Nề Đến Website

Thế giới mạng không ngừng chứng kiến sự xuất hiện của các hình thức tấn công DDoS ngày càng tinh vi, đặc biệt là ở tầng ứng dụng (L7). Việc hiểu rõ các loại tấn công DDoS tầng ứng dụng này là bước đầu tiên để xây dựng một chiến lược phòng thủ hiệu quả và kiên cố cho website. Các dạng tấn công này thường khai thác điểm yếu trong cách ứng dụng xử lý yêu cầu, dẫn đến việc tiêu hao tài nguyên máy chủ một cách nhanh chóng, ngay cả khi băng thông mạng vẫn còn (Nguyễn Xuân Quang, 2016, trang 9-11).

Một trong những loại hình tấn công DDoS L7 đáng chú ý là Slowloris, khai thác lỗi thiết kế của máy chủ web như Apache. Kẻ tấn công giữ các kết nối HTTP mở càng lâu càng tốt bằng cách gửi dữ liệu chậm, chiếm hết số lượng kết nối tối đa mà máy chủ có thể xử lý. Kết quả là, người dùng hợp pháp không thể truy cập vào website, mặc dù máy chủ không bị quá tải CPU hay băng thông. Tương tự, tấn công Slow Read và Slow Post tiếp tục phát triển, khai thác thời gian timeout dài khi máy chủ chờ nhận hoặc gửi dữ liệu trong phần body của request. Các dạng tấn công này đặc biệt nguy hiểm vì chúng không đòi hỏi băng thông lớn từ phía kẻ tấn công nhưng lại gây ra tác động của DDoS tầng ứng dụng nghiêm trọng, làm gián đoạn dịch vụ mà quản trị viên khó phát hiện qua các log thông thường (Nguyễn Xuân Quang, 2016, trang 9-11).

Bên cạnh các kỹ thuật tấn công giữ kết nối, tấn công botnet vào website là phương pháp phổ biến và có sức tàn phá lớn. Kẻ tấn công sử dụng một mạng lưới máy tính bị chiếm quyền điều khiển (botnet) để đồng loạt gửi hàng ngàn yêu cầu HTTP flood mỗi giây đến máy chủ mục tiêu. Các yêu cầu này có vẻ hợp pháp nhưng mục đích là làm quá tải tài nguyên của máy chủ, khiến nó không thể đáp ứng các yêu cầu từ người dùng thực. Các lưu lượng truy cập bất thường website này rất khó phân biệt với lưu lượng thông thường, đặt ra thách thức lớn trong việc phát hiện tấn công DDoS L7 (Nguyễn Xuân Quang, 2016, trang 12). Thiệt hại kinh tế từ các cuộc tấn công này có thể lên đến hàng triệu đô la, không chỉ từ doanh thu bị mất mà còn từ chi phí khắc phục và thiệt hại lâu dài về uy tín. Doanh nghiệp cần chủ động bảo mật ứng dụng web chống DDoS để tránh những hậu quả khôn lường này.

Thực tế cho thấy, việc ngăn chặn DDoS HTTP flood đòi hỏi các giải pháp chuyên sâu hơn là chỉ chặn địa chỉ IP thông thường, bởi các botnet thường có địa chỉ IP phân tán và thay đổi liên tục. Các công cụ tấn công DDoS, dù là công cụ phổ biến trên Internet hay mã tự viết tinh vi, đều có thể dễ dàng được tìm thấy và sử dụng, làm tăng mức độ rủi ro cho các website thương mại điện tử vừa và nhỏ. Những cuộc tấn công này không chỉ làm gián đoạn dịch vụ mà còn có thể gây hỏng hóc hạ tầng, từ server quá tải đến hỏng database, buộc doanh nghiệp phải tốn kém thời gian và chi phí để khôi phục (Nguyễn Xuân Quang, 2016, trang 14).

2.1. Điểm mặt các dạng tấn công DDoS tầng ứng dụng Slowloris Slow Read Post

Các loại tấn công DDoS tầng ứng dụng như Slowloris, Slow Read và Slow Post là những ví dụ điển hình cho thấy sự tinh vi của kẻ tấn công. Slowloris (phát hiện năm 2009) khai thác việc máy chủ web (như Apache) đợi request kết thúc trong thời gian dài (mặc định 300 giây). Kẻ tấn công gửi các request HTTP chậm, giữ kết nối mở và chiếm dụng hết số lượng slot phục vụ người dùng, khiến website không thể truy cập. Các tấn công Slow Post và Slow Read (phát hiện khoảng năm 2012) là các biến thể tinh vi hơn, nhắm vào việc làm chậm quá trình gửi hoặc nhận dữ liệu trong phần body của request. Chúng ảnh hưởng đến nhiều web service hơn như IIS và cực kỳ khó phát hiện nếu chỉ dựa vào log thông thường (Nguyễn Xuân Quang, 2016, trang 9-11). Ngăn chặn DDoS HTTP flood dạng này yêu cầu cơ chế kiểm tra tốc độ và hành vi kết nối thay vì chỉ đếm request.

2.2. Tác động của tấn công botnet vào website và thiệt hại kinh tế

Tấn công botnet vào website là hình thức DDoS phổ biến, nơi kẻ tấn công chiếm quyền điều khiển hàng loạt máy tính để gửi yêu cầu giả mạo đến mục tiêu. Những cuộc tấn công này gây ra tác động của DDoS tầng ứng dụng nghiêm trọng, làm quá tải máy chủ và hệ thống, dẫn đến ngừng hoạt động dịch vụ. Mức độ tải của server thường tăng vọt, dễ nhận biết nhưng khó chặn do lưu lượng đến từ nhiều IP khác nhau (Nguyễn Xuân Quang, 2016, trang 12). Hậu quả là mất doanh thu, tổn hại uy tín thương hiệu và phát sinh chi phí lớn cho việc khắc phục và phục hồi. Đối với các trang thương mại điện tử, việc website ngừng hoạt động có thể gây ra thiệt hại không thể bù đắp, đặc biệt trong các mùa mua sắm cao điểm.

2.3. Dấu hiệu nhận biết lưu lượng truy cập bất thường website khi bị DDoS L7

Lưu lượng truy cập bất thường website là dấu hiệu cảnh báo hàng đầu của một cuộc tấn công DDoS L7. Các biểu hiện bao gồm: tốc độ tải trang chậm bất thường, máy chủ phản hồi lỗi (HTTP 5xx), dịch vụ web không khả dụng, hoặc tài nguyên máy chủ (CPU, RAM, băng thông) đạt đỉnh không rõ nguyên nhân. Theo Nguyễn Xuân Quang (2016), việc phát hiện tấn công L7 khó hơn các tầng khác vì request giống người dùng thật. Các log apache có thể chỉ ghi nhận timeout, dễ nhầm lẫn. Việc theo dõi sát sao hiệu suất hệ thống và phân tích log truy cập là cần thiết để phát hiện tấn công DDoS L7 sớm và có biện pháp đối phó kịp thời, đặc biệt là khi có sự gia tăng đột ngột của các yêu cầu từ một số lượng lớn IP khác nhau hoặc các request có hành vi không điển hình.

III. Phương Pháp Phát Hiện và Xác Thực Chống Tấn Công Từ Chối Dịch Vụ Layer 7

Để chống tấn công DDoS tầng ứng dụng cho website hiệu quả, việc phát hiện sớm và xác thực chính xác lưu lượng truy cập là yếu tố then chốt. Tấn công DDoS L7 thường được ngụy trang khéo léo để giống với hoạt động của người dùng hợp pháp, khiến các giải pháp bảo mật truyền thống gặp khó khăn. Một hệ thống phòng thủ mạnh mẽ cần phải có khả năng phân biệt rõ ràng giữa người dùng thực, bot của công cụ tìm kiếm và các yêu cầu tấn công (Nguyễn Xuân Quang, 2016, trang 15).

Nghiên cứu của Nguyễn Xuân Quang (2016) đã đề xuất các yêu cầu cụ thể cho một hệ thống phòng chống tấn công từ chối dịch vụ layer 7. Hệ thống cần có khả năng phát hiện nhiều cơ chế tấn công khác nhau, liên tục cập nhật các kiểu tấn công mới để đáp ứng kịp thời. Đặc biệt quan trọng là tính trong suốt với người dùng, nghĩa là hệ thống phải hoạt động mà không làm giảm trải nghiệm truy cập của người dùng hợp pháp. Đồng thời, hệ thống phải phân biệt được các bot của công cụ tìm kiếm (như Googlebot, Bingbot) để tránh chặn nhầm, làm ảnh hưởng đến SEO và khả năng hiển thị của website. Cuối cùng, tốc độ phản ứng phải cao, có khả năng chặn chính xác các yêu cầu tấn công trong thời gian thực, tránh chặn nhầm người dùng hợp lệ (Nguyễn Xuân Quang, 2016, trang 15).

Một trong những phương pháp cốt lõi để phát hiện tấn công DDoS L7 là xác thực người dùng. Các công cụ tấn công, kể cả botnet, thường tạo request HTTP ở mức socket hoặc mô phỏng trình duyệt một cách đơn giản, không thực hiện đầy đủ các tác vụ như một trình duyệt web thực thụ. Do đó, việc sử dụng cookie xác thực được tạo thông qua JavaScript là một biện pháp hữu hiệu. JavaScript thường không được các công cụ tấn công xử lý đầy đủ, cho phép hệ thống phân biệt được yêu cầu hợp lệ. Tuy nhiên, nếu cookie không được bảo vệ và có thời gian tồn tại hợp lý, kẻ tấn công có thể vượt qua bằng cách mô phỏng trình duyệt để lấy cookie. Vì vậy, cookie cần có thời gian tồn tại xác định và được tạo bằng các phương pháp mã hóa đủ mạnh để tránh bị giả mạo (Nguyễn Xuân Quang, 2016, trang 16).

Trong trường hợp các công cụ tấn công tinh vi hơn có khả năng vượt qua xác thực JavaScript, một phương pháp xác thực mạnh mẽ hơn như Captcha sẽ được áp dụng. Captcha là một công cụ hiệu quả để phân biệt người và máy, rất khó bị vượt qua ngay cả với các công nghệ Deep Learning hiện đại. Việc kết hợp nhiều lớp xác thực, từ JavaScript đến Captcha và giới hạn số lượng request, tạo nên một hệ thống mitigation DDoS application layer toàn diện, bảo vệ hiệu quả khỏi hầu hết các dạng tấn công. Điều này giúp ngăn chặn bot độc hại và các yêu cầu tấn công, đồng thời vẫn cho phép người dùng và bot hợp pháp truy cập website một cách bình thường.

3.1. Yêu cầu đối với hệ thống phòng chống tấn công từ chối dịch vụ layer 7

Một hệ thống phòng chống tấn công từ chối dịch vụ layer 7 hiệu quả cần đáp ứng nhiều yêu cầu nghiêm ngặt. Hệ thống phải có khả năng phát hiện tấn công DDoS L7 đa dạng, liên tục cập nhật để chống lại các kiểu tấn công mới. Tính trong suốt là cực kỳ quan trọng: người dùng hợp pháp không được bị ảnh hưởng trải nghiệm. Hệ thống cần phân biệt được bot của các công cụ tìm kiếm để tránh chặn nhầm, đảm bảo SEO. Cuối cùng, tốc độ phản ứng phải cao, chặn chính xác các yêu cầu tấn công trong thời gian thực. Các yêu cầu này là nền tảng để xây dựng một giải pháp mitigation DDoS application layer đáng tin cậy (Nguyễn Xuân Quang, 2016, trang 15).

3.2. Xác thực người dùng để bảo vệ website khỏi DDoS L7 Cookies và Captcha

Để bảo vệ website khỏi DDoS L7, việc xác thực người dùng là chìa khóa. Phương pháp chính là sử dụng cookie xác thực được tạo qua JavaScript. Các công cụ tấn công thường không xử lý JavaScript đầy đủ, giúp phân biệt yêu cầu hợp lệ. Cookie này cần có thời gian tồn tại và được mã hóa mạnh để chống giả mạo. Khi người dùng vượt quá giới hạn request, họ sẽ được yêu cầu xác thực bằng Captcha – một biện pháp cực kỳ hiệu quả để phân biệt người và máy, ngay cả với AI hiện đại. Giải pháp này giúp ngăn chặn bot độc hại và các yêu cầu tấn công vượt qua JavaScript (Nguyễn Xuân Quang, 2016, trang 16-17).

3.3. Xác thực bot của các công cụ tìm kiếm Đảm bảo SEO và bảo mật ứng dụng web

Trong quá trình bảo mật ứng dụng web chống DDoS, việc xác thực các bot của công cụ tìm kiếm là không thể thiếu. Các bot này hoạt động tương tự như các công cụ tấn công, nhưng việc chặn nhầm chúng sẽ ảnh hưởng nghiêm trọng đến SEO. Theo Nguyễn Xuân Quang (2016, trang 17-18), hệ thống cần kiểm tra tính xác thực của bot dựa trên DNS (ví dụ: Google, Bing) hoặc dải IP (ví dụ: Facebook). Phương pháp này giúp hệ thống quản lý lưu lượng truy cập web một cách thông minh, cho phép các bot hợp pháp truy cập để thu thập dữ liệu mà không cần xác thực JavaScript hay Captcha, từ đó duy trì thứ hạng và khả năng hiển thị của website trên các công cụ tìm kiếm.

IV. Xây Dựng Giải Pháp Chống DDoS Website Kiến Trúc Hệ Thống và Lựa Chọn Công Nghệ

Việc xây dựng giải pháp chống DDoS website ở tầng ứng dụng đòi hỏi một kiến trúc hệ thống rõ ràng và lựa chọn công nghệ phù hợp. Mục tiêu là tạo ra một hàng rào phòng thủ hiệu quả, có khả năng lọc sạch các yêu cầu độc hại trước khi chúng tiếp cận máy chủ chính, đồng thời đảm bảo trải nghiệm liền mạch cho người dùng hợp pháp. Theo Nguyễn Xuân Quang (2016), hệ thống chống tấn công từ chối dịch vụ sẽ hoạt động như một proxy đứng trước website, lọc tất cả các request đến. Chỉ những request hợp lệ mới được chuyển tiếp đến máy chủ web phía sau, trong khi các yêu cầu từ botnet hoặc kẻ tấn công sẽ bị chặn ngay lập tức, ngăn chặn tình trạng quá tải (Nguyễn Xuân Quang, 2016, trang 19).

Kiến trúc hệ thống bao gồm nhiều module cốt lõi, mỗi module đảm nhận một chức năng bảo mật chuyên biệt. Các module chính được đề xuất bao gồm: module tạo cookie xác thực, module xác thực qua JavaScript, module xác thực qua Captcha, module giới hạn request và module xác thực bot của các công cụ tìm kiếm. Module tạo cookie xác thực có nhiệm vụ sinh ra các cookie độc nhất, được mã hóa mạnh mẽ và có thời gian tồn tại giới hạn, giúp phân biệt người dùng thật với kẻ tấn công. Module xác thực JavaScript sẽ tự động tạo cookie này trong suốt quá trình truy cập của trình duyệt, không gây gián đoạn cho người dùng (Nguyễn Xuân Quang, 2016, trang 19).

Module xác thực Captcha đóng vai trò là lớp phòng thủ cuối cùng khi các biện pháp khác bị vượt qua, yêu cầu người dùng giải mã hình ảnh hoặc âm thanh để chứng minh là con người. Module giới hạn request sẽ theo dõi và chặn các hành vi gửi quá nhiều yêu cầu trong một khoảng thời gian nhất định, buộc các nguồn truy cập đáng ngờ phải trải qua các bước xác thực nghiêm ngặt hơn. Ngoài ra, module xác thực bot của các công cụ tìm kiếm là cực kỳ quan trọng để đảm bảo rằng các bot như Googlebot vẫn có thể truy cập website mà không bị chặn nhầm, duy trì hiệu quả SEO (Nguyễn Xuân Quang, 2016, trang 20). Sự phối hợp nhịp nhàng giữa các module này tạo nên một giải pháp chống DDoS website toàn diện.

Về lựa chọn công nghệ, OpenResty, một phiên bản phát triển từ Nginx, được xem là nền tảng lý tưởng. Nginx nổi tiếng với khả năng xử lý hiệu suất cao, dễ cấu hình và mở rộng. OpenResty kế thừa những ưu điểm này, đồng thời hỗ trợ mạnh mẽ việc viết module bằng ngôn ngữ Lua, cho phép phát triển các chức năng phức tạp một cách linh hoạt và hiệu quả. Việc sử dụng LuaJIT trong OpenResty đảm bảo tốc độ xử lý gần tương đương với các module viết bằng C, nhưng dễ phát triển hơn rất nhiều. Hơn nữa, OpenResty là mã nguồn mở, có cộng đồng hỗ trợ lớn, giúp giảm thiểu chi phí và rào cản kỹ thuật khi triển khai dịch vụ chống DDoS L7 tự xây dựng (Nguyễn Xuân Quang, 2016, trang 24-25).

4.1. Kiến trúc tổng quan và các module chính của hệ thống chống DDoS website

Kiến trúc của một giải pháp chống DDoS website tiên tiến thường hoạt động như một proxy ngược, đặt trước máy chủ web chính. Mô hình này giúp lọc các yêu cầu trước khi chúng đến đích. Hệ thống sẽ bao gồm các module cốt lõi: module sinh cookie xác thực, module xác thực qua JavaScript, module xác thực qua Captcha, module giới hạn request và module xác thực bot của công cụ tìm kiếm. Mỗi module đóng vai trò quan trọng trong việc bảo mật ứng dụng web chống DDoS, đảm bảo chỉ có lưu lượng hợp pháp mới được phép truy cập. Các yêu cầu từ botnet hoặc kẻ tấn công sẽ bị chặn, giảm tải cho máy chủ backend (Nguyễn Xuân Quang, 2016, trang 19).

4.2. Lựa chọn công nghệ tối ưu OpenResty Nginx để xây dựng hệ thống ngăn chặn DDoS

Việc lựa chọn công nghệ nền tảng là then chốt để xây dựng hệ thống ngăn chặn DDoS hiệu quả. OpenResty, dựa trên Nginx, được xem là lựa chọn tối ưu. Nginx cung cấp khả năng reverse proxy, cân bằng tải và chịu lỗi mạnh mẽ, đồng thời cho phép giới hạn số kết nối/yêu cầu từ một IP (Nguyễn Xuân Quang, 2016, trang 24). OpenResty mở rộng khả năng này bằng cách hỗ trợ phát triển module bằng ngôn ngữ Lua, với hiệu suất cao nhờ LuaJIT. Sự kết hợp này mang lại một nền tảng linh hoạt và mạnh mẽ để triển khai các chức năng phức tạp như xác thực người dùng và bot, đáp ứng yêu cầu của một cách chống DDoS cho website hiện đại với chi phí hiệu quả.

4.3. Hướng dẫn xây dựng module cốt lõi Xác thực người dùng và Giới hạn request

Xây dựng các module cốt lõi là bước quan trọng trong giải pháp chống DDoS website. Module xác thực người dùng bao gồm việc tạo cookie xác thực độc đáo cho từng người dùng, được sinh ra qua JavaScript. Cookie này có thời gian tồn tại giới hạn và được mã hóa mạnh mẽ. Khi người dùng gửi quá nhiều request, module giới hạn request (dựa trên lua-resty-limit-traffic của OpenResty) sẽ được kích hoạt, buộc người dùng phải xác thực lại bằng Captcha. Cơ chế này giúp ngăn chặn bot độc hại và các cuộc tấn công HTTP flood bằng cách đảm bảo rằng chỉ có người dùng hợp pháp mới có thể tiếp tục truy cập sau khi vượt quá ngưỡng an toàn, đồng thời vẫn duy trì tính trong suốt tối đa (Nguyễn Xuân Quang, 2016, trang 27-32).

V. Triển Khai Thực Tế và Đánh Giá Hiệu Quả Chống Tấn Công DDoS Tầng Ứng Dụng

Sau quá trình nghiên cứu và xây dựng, việc triển khai và thử nghiệm hệ thống là bước không thể thiếu để đánh giá hiệu quả của giải pháp chống DDoS tầng ứng dụng cho website. Môi trường thử nghiệm cần mô phỏng thực tế nhất có thể, sử dụng các công cụ tấn công phổ biến và thậm chí cả mã tự viết để kiểm tra khả năng phòng thủ của hệ thống. Theo Nguyễn Xuân Quang (2016), do điều kiện thử nghiệm thực tế khó khăn, hệ thống được thử nghiệm trên một website WordPress phổ biến, sử dụng các công cụ tấn công DDoS như GoldenEye và mã tự viết mô phỏng trình duyệt để vượt qua cơ chế xác thực cookie. Mục tiêu là so sánh khả năng cản lọc, tải của server và khả năng đáp ứng cho người dùng hợp lệ trong điều kiện bị tấn công (Nguyễn Xuân Quang, 2016, trang 36).

Các phương án thử nghiệm được thiết kế để đánh giá nhiều khía cạnh khác nhau của hệ thống. Phương án đầu tiên là tấn công trực tiếp vào website mà không có bảo vệ, làm cơ sở so sánh. Phương án thứ hai là tấn công vào website đã được bảo vệ bởi một giải pháp chống DDoS phổ biến khác (như module Roboo của Nginx), có cấu hình whitelist user-agent là Googlebot. Điều này nhằm kiểm tra khả năng vượt qua các biện pháp bảo vệ đơn giản bằng cách giả mạo user-agent. Phương án thứ ba là tấn công vào website khi đã được bảo vệ bởi hệ thống chống tấn công tự xây dựng, sử dụng các công cụ tấn công HTTP flood phổ biến. Ngoài ra, việc thử nghiệm với công cụ tấn công tự viết mô phỏng trình duyệt, có khả năng lấy cookie xác thực ban đầu, giúp đánh giá hiệu quả của module giới hạn request và cơ chế xác thực Captcha (Nguyễn Xuân Quang, 2016, trang 37-39).

Kết quả thử nghiệm đóng vai trò quan trọng trong việc xác nhận giá trị của giải pháp chống DDoS website được đề xuất. Dữ liệu về số lượng request không hợp lệ bị chặn, tải của server web khi bị tấn công và khả năng đáp ứng cho người dùng hợp lệ sẽ được phân tích kỹ lưỡng. Đặc biệt, việc so sánh với các giải pháp miễn phí hoặc phổ biến khác giúp làm nổi bật ưu điểm của hệ thống tự xây dựng. Nghiên cứu của Nguyễn Xuân Quang (2016) cũng nhấn mạnh rằng việc triển khai OpenResty dựa trên Nginx đã có sẵn chức năng chống các dạng tấn công Slowloris hay Slow Read/Post, do đó trọng tâm thử nghiệm là các dạng tấn công HTTP flood (Nguyễn Xuân Quang, 2016, trang 36).

Phân tích kết quả cho thấy hệ thống có khả năng cản lọc và phân biệt request hợp lệ với request tấn công rất tốt. Trong các trường hợp tấn công bằng công cụ phổ biến, hệ thống đã chặn thành công tất cả các yêu cầu độc hại, ngăn không cho chúng làm quá tải hệ thống bên trong. Quan trọng hơn, hệ thống tự xây dựng không đòi hỏi quá nhiều tài nguyên xử lý hoặc bộ nhớ RAM, cho phép triển khai trên máy chủ cấu hình thấp để bảo vệ server web khỏi DDoS hiệu quả mà vẫn tối ưu chi phí (Nguyễn Xuân Quang, 2016, trang 40-41). Đặc biệt, phương pháp xác thực Captcha được chứng minh là rào cản gần như không thể vượt qua đối với kẻ tấn công. Hệ thống xác thực bot cũng đạt hiệu quả tốt, giúp duy trì SEO.

5.1. Mô hình và phương án thử nghiệm hệ thống ngăn chặn DDoS L7 trên website

Mô hình thử nghiệm hệ thống ngăn chặn DDoS L7 được xây dựng trên một website WordPress với cấu hình server tiêu chuẩn (2 CPU, 2GB RAM). Các phương án thử nghiệm bao gồm: tấn công trực tiếp vào website không bảo vệ, tấn công qua Nginx với module bảo vệ phổ biến (Roboo), và tấn công vào website được bảo vệ bởi hệ thống chống tấn công tự xây dựng. Các công cụ tấn công như GoldenEye được sử dụng để tạo HTTP flood, cùng với mã tự viết mô phỏng trình duyệt để kiểm tra khả năng vượt qua cookie xác thực (Nguyễn Xuân Quang, 2016, trang 36-39). Kết quả tập trung vào số request bị chặn, tải CPU và khả năng đáp ứng của website.

5.2. Phân tích kết quả thử nghiệm Khả năng cản lọc và hiệu suất của giải pháp chống DDoS

Kết quả thử nghiệm cho thấy giải pháp chống DDoS website tự xây dựng có khả năng cản lọc vượt trội, chặn đứng hầu hết các request tấn công, bao gồm cả các mã tấn công tinh vi. Hệ thống thể hiện hiệu suất cao, không tiêu tốn quá nhiều tài nguyên CPU và RAM, giúp bảo vệ server web khỏi DDoS hiệu quả mà vẫn giữ chi phí thấp. Khả năng xác thực bot chính xác và sử dụng Captcha làm rào cản cuối cùng được đánh giá rất cao (Nguyễn Xuân Quang, 2016, trang 40-41). So với các giải pháp phổ biến khác, hệ thống tự xây dựng cho thấy khả năng chống chịu tốt hơn, đặc biệt với các kiểu tấn công nhắm vào tầng ứng dụng, chứng minh tính hiệu quả và thực tiễn của nghiên cứu.

VI. Tương Lai Bảo Mật Website Ngăn Chặn DDoS L7 Với Các Xu Hướng Mới Nhất

Với sự phát triển không ngừng của công nghệ và sự gia tăng của các mối đe dọa an ninh mạng, việc chống tấn công DDoS tầng ứng dụng cho website sẽ tiếp tục là một ưu tiên hàng đầu. Các kẻ tấn công ngày càng tinh vi hơn, sử dụng các công cụ tự động hóa và kỹ thuật che giấu danh tính để thực hiện các cuộc tấn công phức tạp, khó phát hiện. Do đó, các giải pháp bảo mật cần liên tục được cải tiến và nâng cấp để đối phó kịp thời với các xu hướng mới nhất.

Một trong những hướng phát triển quan trọng là tích hợp trí tuệ nhân tạo (AI) và học máy (Machine Learning) vào các hệ thống mitigation DDoS application layer. Các công nghệ này có thể phân tích hành vi lưu lượng truy cập, nhận diện các mẫu bất thường và dự đoán các cuộc tấn công tiềm tàng một cách chính xác hơn so với các phương pháp dựa trên luật truyền thống. Điều này giúp tăng cường khả năng phát hiện tấn công DDoS L7 và giảm thiểu tỷ lệ chặn nhầm người dùng hợp pháp. Ngoài ra, việc sử dụng các dịch vụ bảo mật đám mây chuyên dụng, như các CDN chống DDoS tầng ứng dụngdịch vụ chống DDoS L7, sẽ trở nên phổ biến hơn. Các dịch vụ này cung cấp khả năng mở rộng linh hoạt, băng thông lớn và mạng lưới phân tán để hấp thụ và lọc các cuộc tấn công DDoS quy mô lớn.

Thách thức trong tương lai không chỉ nằm ở việc đối phó với các kỹ thuật tấn công mới mà còn ở việc quản lý và bảo vệ dữ liệu trong môi trường ngày càng phức tạp. Các hệ thống bảo vệ website khỏi DDoS L7 cần phải được xây dựng để không chỉ chặn tấn công mà còn duy trì hiệu suất hoạt động và tính sẵn sàng cao. Việc nghiên cứu và áp dụng các kỹ thuật xác thực đa yếu tố, phân tích hành vi người dùng nâng cao, và tăng cường mã hóa dữ liệu sẽ là những bước đi cần thiết.

Kết luận, nghiên cứu của Nguyễn Xuân Quang (2016) đã đặt nền móng vững chắc cho việc phát triển một hệ thống chống tấn công từ chối dịch vụ layer 7 hiệu quả, chứng minh rằng ngay cả với nguồn lực hạn chế, các doanh nghiệp vẫn có thể tự xây dựng giải pháp bảo vệ đáng tin cậy. Tuy nhiên, để duy trì vị thế dẫn đầu trong cuộc chiến an ninh mạng, việc liên tục nghiên cứu, thử nghiệm và tích hợp các công nghệ mới là yếu tố then chốt. Chỉ khi đó, website mới có thể thực sự an toàn trước những hiểm họa DDoS không ngừng tiến hóa.

6.1. Những thách thức mới và cải tiến cho hệ thống chống tấn công từ chối dịch vụ

Tương lai của chống tấn công DDoS tầng ứng dụng cho website đối mặt với nhiều thách thức mới. Kẻ tấn công ngày càng sử dụng AI/ML để tạo ra các botnet tinh vi hơn, mô phỏng hành vi người dùng chân thực và vượt qua các cơ chế xác thực truyền thống. Điều này đòi hỏi các hệ thống mitigation DDoS application layer phải liên tục cải tiến, tích hợp các công nghệ phân tích hành vi nâng cao và học máy để nhận diện các mối đe dọa mới. Nhu cầu về một hệ thống có khả năng tự động học và thích ứng với các kiểu tấn công mới là cấp thiết để duy trì hiệu quả bảo mật.

6.2. Khuyến nghị và lộ trình bảo vệ website khỏi DDoS tầng ứng dụng toàn diện

Để bảo vệ website khỏi DDoS tầng ứng dụng một cách toàn diện, cần áp dụng lộ trình bảo mật đa lớp. Khuyến nghị bao gồm: sử dụng tường lửa ứng dụng web (WAF) và CDN chống DDoS tầng ứng dụng để lọc lưu lượng ở biên, triển khai xác thực người dùng mạnh mẽ (JavaScript, Captcha), và giới hạn tỷ lệ yêu cầu. Doanh nghiệp nên cân nhắc dịch vụ chống DDoS L7 chuyên dụng để có khả năng mở rộng và đối phó với các cuộc tấn công quy mô lớn. Việc liên tục giám sát, phân tích log, và cập nhật các bản vá bảo mật cũng là yếu tố then chốt để đảm bảo website luôn an toàn trước các mối đe dọa đang phát triển.

27/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN TẤN CÔNG TỪ CHỐI DỊCH VỤ TRÊN TẦNG ỨNG DỤNG CHO WEBSITES. Phân tích tổng quan về nguy cơ, rủi ro và tác động của các kiểu tấn công từ chối dịch vụ websites. Khái niệm tấn công từ chối dịch vụ. Tấn công từ chối dịch vụ (Denial of Service - DoS) là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng.

Tấn công DoS đã xuất hiện từ khá sớm, vào đầu những năm 80 của thế kỷ trước. Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào năm 1999. Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công. Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet.

Hiện nay, có hai phương pháp tấn công DDoS chủ yếu. Trong phương pháp thứ nhất, kẻ tấn công gửi các gói tin được tạo theo dạng đặc biệt gây lỗi trong giao thức truyền hoặc lỗi trong ứng dụng chạy trên máy nạn nhân. Một dạng tấn công DDoS điển hình theo phương pháp này là tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên máy nạn nhân. Phương pháp tấn công DDoS thứ hai phổ biến hơn phương pháp thứ nhất, gồm hai dạng: (i) dạng tấn công DDoS gây ngắt quãng kết nối của người dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông hoặc tài nguyên mạng, và (ii) dạng tấn công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài nguyên của máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông đĩa, cơ sở dữ liệu.

Dạng tấn công này bảo gồm các loại tấn công gây ngập lụt ở mức ứng dụng. Kể từ cuộc tấn công DDoS đầu tiên được xác nhận vào năm 1999, nhiều 4 cuộc tấn công DDoS gây ngập lụt đã được thực hiện vào hệ thống mạng của các công ty và các tổ chức. Hầu hết các cuộc tấn công DDoS gây ngập lụt cho đến hiện nay đều tập trung vào làm ngắt quãng hoặc ngừng dịch vụ chạy trên hệ thống nạn nhân. Hậu quả là làm giảm doanh thu, tăng chi phí phòng chống và phục hồi dịch vụ.

Ví dụ, vào tháng Hai năm 2000, hệ thống mạng của công ty Internet Yahoo phải hứng chịu đợt tấn công DDoS đầu tiên làm các dịch vụ của công ty phải ngừng hoạt động trong 2 giờ, gây thiệt hại lớn về doanh thu quảng cáo. Tháng Hai năm 2004, một đợt tấn công DDoS rất lớn xuất phát từ một lượng rất lớn các máy tính bị nhiễm virus Mydoom làm trang web của tập đoàn SCO không thể truy nhập. Virus Mydoom chứa các đoạn mã độc hại chạy trên hàng ngàn máy tính bị lây nhiễm đồng loạt tấn công trang web của tập đoàn SCO. Mã độc của virus Mydoom còn được tái sử dụng vào tháng Bảy năm 2009 để tấn công một loạt các trang web của Chỉnh phủ và các tổ chức tài chính ở Hàn Quốc và Mỹ gây nhiều hậu quả nghiêm trọng.

Vào tháng Mười Hai năm 2010, một nhóm tin tặc có tên là “Anonymous” đã đạo diễn một loạt các cuộc tấn công DDoS gây ngừng hoạt động các trang web của các tổ chức tài chính, như Mastercard, Visa International, Paypal và PostFinance. Tháng Chín năm 2012, một đợt tấn công DDoS rất lớn do nhóm tin tặc “Izz ad-Din al-Qassam Cyber Fighters” thực hiện gây ngắt quãng hoặt ngừng hoạt động các trang web ngân hàng trực tuyến của 9 ngân hàng lớn của Mỹ. Các dạng tấn công DDoS được thực hiện ngày một nhiều với quy mô ngày một lớn và tinh vi hơn nhờ sự phát triển của các kỹ thuật tấn công và sự lan tràn của các công cụ tấn công. Phân loại tấn công từ chối dịch vụ.

Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet. Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng. Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp. Một trong 5 các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp.

Nhiều phương pháp phân loại tấn công DDoS đã được đề xuất như trong các công trình.Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: Dựa trên phương pháp tấn công, Dựa trên mức độ tự động, Dựa trên giao thức mạng, Dựa trên phương thức giao tiếp, Dựa trên cường độ tấn công và Dựa trên việc khai thác các lỗ hổng an ninh. Phần tiếp theo của mục này trình bày chi tiết từng loại. Dựa trên phương pháp tấn công Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể được chia thành 2 dạng: 1) Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp.

Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,. 2) Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối. Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo – các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp.

Dựa trên mức độ tự động Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng: 1) Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công. 6 2) Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động.

Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân. 3) Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động. Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn công.

Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent. Dựa trên giao thức mạng Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng: 1) Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP và ICMP được sử dụng để thực hiện tấn công. 2) Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP. Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp.

Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tương tự yêu cầu từ người dùng hợp pháp. Dựa trên phương thức giao tiếp Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để 7 gửi thông tin và các lệnh điều khiển tấn công. Theo phương thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành 4 dạng: 1) DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các thành phần: clients, handlers và agents (bots/zombies).

Tin tặc chỉ giao tiếp trực tiếp với clients. Clients sẽ giao tiếp với agents thông qua handlers. Nhận được lệnh và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn công. 2) DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực.

Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers. 3) DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots. Các bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ