DoS là gì và có gì khác DDoS? Thực chất, đây đều là các phương thức tấn công từ chối dịch vụ, tuy nhiên chủ yếu khác nhau về quy mô của cuộc tấn công.
DoS là gì?
DoS là từ viết tắt của denial-of-service. Denial of service (DoSS) là một dạng tấn công thường được thực hiện bằng 1 máy chủ, quy mô nhỏ hơn cuộc tấn công DDoS, mời bạn xem hình bên dưới để dễ hình dung.
Sự khác biệt giữa DoS và DDoS
Sự khác biệt cơ bản nhất giữa 2 khái niệm này, đó chính là quy mô cuộc tấn công. Như đã nói và thể hiện ở trên. Ngoài ra còn có một số khác biệt như sau:
- Mục đích, đối tượng mục tiêu
- Hậu quả gây ra cho doanh nghiệp
- Thời gian chuẩn bị cho cuộc tấn công
- Chi phí cho cuộc tấn công…
DoS là phương thức sử dụng 1 thiết bị để thực hiện tấn công một đối tượng khác (thường là trực tiếp vào các máy chủ).
DDoS sử dụng cùng lúc nhiều thiết bị, nhiều nguồn để thực hiện tấn công vào một (hoặc nhiều mục tiêu).
Xem thêm: Lý do nên dùng dịch vụ chống DDoS chuyên nghiệp
Các phương thức tấn công DoS phổ biến
Các cuộc tấn công theo khối lượng
Các cuộc tấn công theo khối lượng được phân loại là bất kỳ hình thức tấn công nào trong đó tài nguyên băng thông của mạng mục tiêu bị kẻ tấn công cố tình tiêu thụ. Khi băng thông mạng đã được sử dụng, nó không có sẵn cho các thiết bị và người dùng hợp pháp trong mạng. Các cuộc tấn công theo khối lượng xảy ra khi kẻ tấn công làm ngập các thiết bị mạng với các yêu cầu ICMP echo cho đến khi không còn băng thông nữa.
Tấn công phân mảnh
Tấn công phân mảnh là bất kỳ loại tấn công nào buộc mạng phải tập hợp lại các gói mạng bị thao túng. Trong một cuộc tấn công phân mảnh, kẻ tấn công sẽ gửi các gói đã bị thao túng đến một mạng để một khi mạng cố gắng tập hợp chúng lại, chúng sẽ không thể được tập hợp lại. Điều này là do các gói có nhiều thông tin tiêu đề gói hơn mức cho phép. Kết quả cuối cùng là các tiêu đề gói quá lớn để tập hợp lại hàng loạt.
Các cuộc tấn công cạn kiệt trạng thái TCP
Trong một cuộc tấn công cạn kiệt trạng thái TCP, kẻ tấn công nhắm mục tiêu vào máy chủ web hoặc tường lửa nhằm giới hạn số lượng kết nối mà chúng có thể thực hiện. Ý tưởng đằng sau phong cách tấn công này là đẩy thiết bị đến giới hạn số lượng kết nối đồng thời.
Các cuộc tấn công lớp ứng dụng
Các cuộc tấn công lớp ứng dụng hoặc lớp 7 là các cuộc tấn công nhắm mục tiêu vào các ứng dụng hoặc máy chủ nhằm sử dụng tài nguyên bằng cách tạo càng nhiều quy trình và giao dịch càng tốt. Các cuộc tấn công lớp ứng dụng đặc biệt khó phát hiện và xử lý vì chúng không cần nhiều máy để thực hiện một cuộc tấn công.
Các phương thức tấn công DDoS phổ biến
Ping of Death
Trong một cuộc tấn công Ping of Death (POD), kẻ tấn công sẽ gửi nhiều ping đến một máy tính. Các cuộc tấn công POD sử dụng các gói được thao tác để gửi các gói đến mạng có gói IP lớn hơn độ dài gói tối đa. Các gói không hợp pháp này được gửi dưới dạng các đoạn. Khi mạng của nạn nhân cố gắng tập hợp lại các gói tài nguyên mạng này đã được sử dụng hết, chúng sẽ không khả dụng với các gói hợp pháp. Điều này làm cho mạng mục tiêu dừng lại và ngừng hoạt động hoàn toàn.
UDP Floods
Tấn công UDP là một cuộc tấn công DDoS làm ngập mạng nạn nhân với các gói Giao thức Dữ liệu Người dùng (UDP). Cuộc tấn công hoạt động bằng cách làm ngập các cổng trên máy chủ từ xa để máy chủ tiếp tục tìm kiếm một ứng dụng đang lắng nghe tại cổng. Khi máy chủ phát hiện ra rằng không có ứng dụng nào, máy chủ sẽ trả lời bằng một gói thông báo rằng không thể truy cập được đích. Điều này tiêu tốn tài nguyên mạng và có nghĩa là các thiết bị khác không thể kết nối đúng cách.
Ping Flood
Giống như một cuộc tấn công lũ lụt UDP, một cuộc tấn công lũ lụt ping sử dụng ICMP Echo Request hoặc các gói ping để làm trật bánh dịch vụ của mạng. Kẻ tấn công gửi các gói tin này một cách nhanh chóng mà không cần đợi trả lời nhằm cố gắng làm cho mạng mục tiêu không thể truy cập được thông qua bạo lực. Các cuộc tấn công này đặc biệt đáng lo ngại vì băng thông được tiêu thụ theo cả hai cách với các máy chủ bị tấn công đang cố gắng trả lời bằng các gói ICMP Echo Reply của riêng chúng. Kết quả cuối cùng là giảm tốc độ trên toàn bộ mạng.
SYN Flood
Các cuộc tấn công SYN Flood là một kiểu tấn công DoS khác trong đó kẻ tấn công sử dụng trình tự kết nối TCP để làm cho mạng của nạn nhân không khả dụng. Kẻ tấn công gửi các yêu cầu SYN đến mạng của nạn nhân, sau đó phản hồi bằng phản hồi SYN-ACK. Sau đó, người gửi phải trả lời bằng phản hồi ACK nhưng thay vào đó, kẻ tấn công không phản hồi (hoặc sử dụng địa chỉ IP nguồn giả mạo để gửi yêu cầu SYN thay thế). Mọi yêu cầu không được trả lời sẽ chiếm tài nguyên mạng cho đến khi không có thiết bị nào có thể kết nối.
Slowloris
Slowloris là một loại phần mềm tấn công DDoS ban đầu được phát triển bởi Robert Hansen hoặc RSnake để đánh sập các máy chủ web. Một cuộc tấn công Slowloris xảy ra khi kẻ tấn công gửi một phần các yêu cầu HTTP mà không có ý định hoàn thành chúng. Để giữ cho cuộc tấn công tiếp tục, Slowloris định kỳ gửi tiêu đề HTTP cho mỗi yêu cầu để giữ cho tài nguyên của mạng máy tính được ràng buộc. Điều này tiếp tục cho đến khi máy chủ không thể tạo thêm bất kỳ kết nối nào nữa. Hình thức tấn công này được những kẻ tấn công sử dụng vì nó không yêu cầu bất kỳ băng thông nào.
HTTP Flood
Trong một cuộc tấn công HTTP Flood, kẻ tấn công yêu cầu người dùng HTTP GET hoặc POST khởi động một cuộc tấn công trên một máy chủ web hoặc ứng dụng riêng lẻ. HTTP lũ là một cuộc tấn công Lớp 7 và không sử dụng các gói không đúng định dạng hoặc giả mạo. Những kẻ tấn công sử dụng kiểu tấn công này vì chúng yêu cầu ít băng thông hơn các cuộc tấn công khác để đưa mạng của nạn nhân ra khỏi hoạt động.
Zero-Day Attacks
Các cuộc tấn công Zero-Day là các cuộc tấn công khai thác các lỗ hổng chưa được phát hiện. Đây là một thuật ngữ chung cho các cuộc tấn công có thể phải đối mặt trong tương lai. Những kiểu tấn công này có thể đặc biệt tàn khốc vì nạn nhân không có cách cụ thể nào để chuẩn bị cho chúng trước khi trải qua một cuộc tấn công trực tiếp.
Hậu quả, tác hại của DoS và DDoS
Tác hại của DoS là gì?
Về cơ bản, DoS sẽ làm hệ thống của bạn bị chậm hoặc nghiêm trọng hơn là bị tê liệt trong một khoảng thời gian nhất định. Tuy nhiên hậu quả của các cuộc tấn công DoS ngày nay đã giảm đi đáng kể.
Tác hại của DDoS là gì?
DDoS gây ra tác hại lớn và nghiêm trọng hơn rất nhiều. Nó có thể làm toàn bộ hệ thống của bạn tê liệt trong thời gian dài, khó khôi phục, thậm chí gây ra cháy nổ, hư hại tài nguyên vật lý.
Mời xem thêm: Những đối tượng thường xuyên bị DDoS
Kết luận
Sau bài viết tìm hiểu DoS là gì và sự khác biệt của nó với DDoS có lẽ bạn đã phân biệt được chính xác hai khái niệm này rồi. Hãy chia sẻ nếu như bạn cảm thấy bài viết hữu ích nhé.