Phần này trình bày kiến trúc và các phương pháp phân loại tấn công DDoS , giúp nâng cao hiểu biết về dạng tấn công này và trên cơ sở đó lựa chọn các biện pháp phòng chống hiệu quả cho từng hệ thống cụ thể.

Kiến trúc tấn công DDoS

Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có thể chia kiến trúc tấn công DDoS thành 2 loại chính :

1.Kiến trúc tấn công DDoS trực tiếp 

Capture
Kiến trúc tấn công DDoS trực tiếp

Hình trên mình họa kiến trúc tấn công DDOS trực tiếp .Theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc.

Tin tặc thường điều khiển các Zombie thông qua các máy trung gian (Handler). Hệ thống các Zombie chịu sự điều khiển của tin tặc còn được gọi là mạng máy tính ma hay botnet.

ddos truc tiep

Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập  đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng.

2. Kiến trúc tấn công DDOS gián tiếp hay phản chiếu

tan cong gian tiep
Kiến trúc tấn công DDOS gián tiếp

Hình trên minh họa kiến trúc tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công DDoS phản chiếu.

Tương tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi la Slave.

Tin tặc điều khiển các Slave thông qua các máy trung gian (Master). Theo lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến một số lớn các máy khác (Reflectors) trên mạng Internet.tan cong DDOS gian tiep

Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo. Khi các Reflectors có số lượng lớn số phản hồi sẽ  gây ngập đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng.

Các Reflectors bị lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có công suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc.

Phân loại tấn công DDoS

Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp. Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp

Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính :

1.Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể được chia thành 2 dạng

  • Flooding attacks: Trong tấn công gây ngập lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp. Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,…
  • Logical attacks: Tấn công logic thường khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối. Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo – các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp.

2.Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng

  • Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công
  • Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động. Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân
  • Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động. Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent.

3. Dựa trên giao thức mạng
Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng

  • Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP và ICMP được sử dụng để thực hiện tấn công
  • Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP. Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp. Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tương tự yêu cầu từ người dùng hợp pháp

4. Dựa trên phương thức giao tiếp
Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots – công cụ giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công. Theo phương thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành 4 dạng

  • DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các thành phần: clients, handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp trực tiếp với clients. Clients sẽ giao tiếp với agents thông qua handlers. Nhận được lệnh và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn công
  • DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers
  • DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots. Các bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS.
  • DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này

5.Dựa trên việc khai thác các lỗ hổng an ninh
Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS có thể được phân loại thành 2 dạng

  • Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (zombie) của các botnets. Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại
  • Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu cầu của người dùng hợp pháp
    + Tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức : tin tặc khai thác các  lỗi hoặc các tính năng đặc biệt của các giao thức trên hệ thống nạn nhân để gây cạn kiệt tài nguyên
    + Tấn công sử dụng các gói tin được tạo đặc biệt : kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân.

Ví dụ: trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn hơn 64KB gây lỗi các máy chạy hệ điều hành Windows XP.

LuanPM -Adminvietnam

Chia sẻ