Tấn công từ chối dịch vụ DoS, DDoS, DRDoS
--------------------------------------------------------------------------------
tấn công từ chối dịch vụ là gì?
Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn công làm cho một hệ
thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Tấn công
kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ rất ít có khả năng thâm nhập hay
chiếm được thông tin dữ liệu của nó.
Tùy theo phương thức thực hiện mà nó được biết dưới nhiều tên gọi khác nhau. Khởi thủy
là lợi dụng sự yếu kém của giao thức TCP (Transmision Control Protocol) để thực hiện tấn
công từ chối dịch vụ cổ điển DoS (Denial of Service), sau đó là tấn công từ chối dịch vụ
phân tán DDoS (Distributed Denial of Service) và mới nhất là tấn công từ chối dịch vụ
theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service). Theo thời
gian, xuất hiện nhiều biến thể tấn công DoS như: Broadcast Storms, SYN, Finger, Ping,
Flooding,… với mục tiêu nhằm chiếm dụng các tài nguyên của hệ thống (máy chủ) như:
Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,… làm hoạt động của
hệ thống bị quá tải dẫn đến không thể đáp ứng được các yêu cầu (request) hợp lệ nữa.
Như đã nói, tấn công DoS nói chung không nguy hiểm như các kiểu tấn công khác ở chỗ
nó không cho phép kẻ tấn công chiếm quyền truy cập hệ thống hay có quyền thay đổi hệ
thống. Tuy nhiên, nếu một máy chủ tồn tại mà không thể cung cấp thông tin, dịch vụ cho
người sử dụng, sự tồn tại là không có ý nghĩa nên thiệt hại do các cuộc tấn công DoS do
máy chủ bị đình trệ hoạt động là vô cùng lớn, đặc biệt là các hệ thống phụ vụ các giao dịch
điện tử. Đối với các hệ thống máy chủ được bảo mật tốt, rất khó để thâm nhập vào thì tấn
công từ chối dịch vụ được các hacker sử dụng như là “cú chót” để triệt hạ hệ thống đó. Các
loại tấn công từ chối dịch vụ tiêu biểu:
SYN Attack
Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của thủ
tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết nối
(connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – ways
handshake) thông qua các gói tin (packet).
Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu
cầu kết nối.

với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc biệt là trong các giao dịch thương
mại điện tử trực tuyến.
Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần một máy tính nối
internet qua ngã dial-up đơn giản cũng có thể tấn công kiểu này (tất nhiên sẽ lâu hơn chút).
Flood Attack
Một kiểu tấn công DoS nữa cũng rất hay được dùng vì tính đơn giản của nó và vì có rất
nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ tấn công là Flood Attack, chủ yếu thông qua
các website.
Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu lượng tài nguyên máy chủ
nhất định, nhất là lượng bộ nhớ (RAM) và bộ vi xử lý (CPU). Dựa vào việc tiêu hao đó,
những kẻ tấn công đơn giản là dùng các phần mềm như smurf chẳng hạn để liên tục yêu
cầu máy chủ phục vụ trang web đó để chiếm dụng tài nguyên. Cách tấn công này tuy
không làm máy chủ ngừng cung cấp dịch vụ hoàn toàn nhưng sẽ làm cho tốc độ phục vụ
của toàn bộ hệ thống giảm mạnh, người dùng sẽ cảm nhận rõ ràng việc phải chờ lâu hơn để
trang web hiện ra trên màn hình. Nếu thực hiện tấn công ồ ạt và có sự phối hợp nhịp
nhàng, phương thức tấn công này hoàn toàn có thể làm tê liệt máy chủ trong một thời gian
dài.
Tấn công từ chối dịch vụ kiểu phân tán - DDoS
Xuất hiện vào mùa thu 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn
gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông
(bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động. Để thực hiện thì
kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian
(đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng
rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác
định nào đó.
Theo cách này thì dù băng thông có bao nhiêu đi chăng nữa thì cũng không thể chịu đựng
được số lượng hàng triệu các gói tin đó nên hệ thống không thể hoạt động được nữa và
như thế dẫn đến việc các yêu cầu hợp lệ khác không thể nào được đáp ứng, server sẽ bị “đá
văng” khỏi internet.
Nói nôm na là nó giống như tình trạng kẹt xe vào giờ cao đỉêm vậy. Ví dụ rõ nhất là sự

phó bằng cách tăng cường “phần cứng” cũng là giải pháp tốt, nhưng thường xuyên theo dõi
để phát hiện và ngăn chặn kịp thời cái gói tin IP từ các nguồn không tin cậy là hữu hiệu
nhất. Phần phòng chống cụ thể sẽ được cập nhật trong phiên bản kế tiếp.