Bảo mật & An ninh mạng

DoS Attack là gì? Phân biệt DoS và DDoS, Hình thức & cách phòng

Đăng vào bởi Đức Hòa

DoS attack là hình thức tấn công mạng nhằm làm gián đoạn hoặc ngừng hoạt động của hệ thống bằng cách làm quá tải tài nguyên. Bài viết sẽ giúp bạn tìm hiểu DoS attack là gì, phân biệt rõ DoS và DDoS, hiểu cơ chế hoạt động, các kiểu tấn công phổ biến như SYN Flood, HTTP Flood, đồng thời cung cấp hướng dẫn phòng ngừa, xử lý và giải pháp bảo mật hiệu quả giúp doanh nghiệp tránh thiệt hại nặng nề.

DoS attack là gì?

Tấn công DoS (Denial of Service) là một hình thức tấn công mạng nhằm làm gián đoạn hoặc ngăn chặn người dùng hợp lệ truy cập vào một dịch vụ, hệ thống hoặc tài nguyên trên máy chủ bằng cách làm quá tải tài nguyên của hệ thống đó thông qua việc gửi lượng lớn yêu cầu hoặc dữ liệu bất thường.

DoS attack là gì
DoS attack là gì

Phân biệt DoS và DDoS

Trong quá trình tìm hiểu về DoS attack là gì, nhiều người thường nhầm lẫn hoặc không thể phân biệt DoS và DDoS một cách rõ ràng. Đây là một Pain Point phổ biến mà chúng tôi sẽ giải quyết chi tiết. Cả hai đều nhằm mục đích từ chối dịch vụ, nhưng khác biệt nằm ở nguồn gốc của lưu lượng tấn công.

DDoS là viết tắt của Distributed Denial of Service (Tấn công từ chối dịch vụ phân tán). Đây là một phiên bản mở rộng và nguy hiểm hơn nhiều so với DoS attack truyền thống.

Đặc điểm DoS (Denial of Service) DDoS (Distributed Denial of Service)
Nguồn gốc tấn công Chỉ đến từ một hệ thống duy nhất (một địa chỉ IP). Đến từ nhiều hệ thống đồng thời (nhiều địa chỉ IP).
Quy mô và Sức mạnh Nhỏ, dễ bị chặn bằng cách đơn giản là chặn địa chỉ IP nguồn. Lớn, mạnh mẽ, khó ngăn chặn vì Traffic tấn công đến từ nhiều nơi.
Công cụ sử dụng Thường là các công cụ đơn giản, script cơ bản. Sử dụng Botnet (một mạng lưới các máy tính bị nhiễm độc và điều khiển từ xa).
Tính phức tạp Thấp. Cao.

Một cuộc DoS attack rất dễ bị các hệ thống bảo mật hiện đại phát hiện và cô lập. Ngược lại, DDoS attack sử dụng mạng lưới Botnet khổng lồ (có thể lên đến hàng trăm ngàn máy tính bị kiểm soát) để tạo ra một lượng Traffic tăng đột biến gần như không thể phân biệt được đâu là người dùng hợp lệ, đâu là tấn công. Chính tính phân tán này làm cho DDoS trở thành mối đe dọa bảo mật nghiêm trọng nhất hiện nay.

InterData luôn nhấn mạnh: khi đối phó với tấn công từ chối dịch vụ, việc phân loại và xác định nguồn gốc là bước đầu tiên và quan trọng nhất.

Động cơ và mục tiêu của kẻ tấn công DoS

Hiểu được động cơ tấn công mạng giúp các doanh nghiệp chuẩn bị tâm lý và phòng thủ theo từng kịch bản rủi ro. Kẻ tấn công thực hiện DoS attackDDoS attack không chỉ vì niềm vui cá nhân; các hành động này thường xuất phát từ những mục tiêu cụ thể và đôi khi là mang tính tổ chức cao.

Tống tiền (Ransomware/Ransom DDoS)

Đây là động cơ thương mại phổ biến. Kẻ tấn công sẽ đe dọa thực hiện hoặc đang thực hiện một cuộc DDoS attack lên hệ thống, yêu cầu nạn nhân trả một khoản tiền chuộc (thường là Bitcoin) để ngừng tấn công. Nếu nạn nhân từ chối, cuộc tấn công sẽ tiếp tục cho đến khi dịch vụ sập hoàn toàn.

Cạnh tranh kinh doanh

Các đối thủ cạnh tranh không lành mạnh có thể thuê dịch vụ DDoS attack để làm tê liệt dịch vụ của đối thủ, đặc biệt trong các sự kiện quan trọng như ra mắt sản phẩm, mùa mua sắm cao điểm (Black Friday) hoặc các chiến dịch quảng cáo lớn. Mất khả dụng dịch vụ vào thời điểm này đồng nghĩa với việc mất đi lợi thế thị trường.

Báo thù hoặc Phá hoại

Đây là các hành vi xuất phát từ sự bất mãn cá nhân (nhân viên cũ, khách hàng tức giận) hoặc các nhóm Hacktivism (hack vì lý do chính trị, xã hội). Mục đích tấn công DoS của nhóm này thường chỉ là làm gián đoạn tiếng nói của tổ chức mục tiêu.

Chiến tranh mạng/Thăm dò

Đôi khi, DoS attack chỉ là một chiến thuật nghi binh để đánh lạc hướng đội ngũ an ninh mạng, trong khi đó, cuộc tấn công chính nhằm vào việc thâm nhập và đánh cắp dữ liệu đang diễn ra ở một cửa khác.

XEM THÊM:  VPS bị nhiễm malware: Dấu hiệu và cách xử lý hiệu quả

Mục tiêu của DoS attack thường là các hệ thống có tính công cộng cao và đòi hỏi tính khả dụng tuyệt đối: website thương mại điện tử, cổng thanh toán trực tuyến, game server (vì người chơi dễ phản ứng mạnh), và các hệ thống dịch vụ công.

Cơ chế và phương thức tấn công DoS

Để chống lại DoS attack, điều cốt yếu là hiểu rõ cơ chế tấn công DoS/DDoS. Về cơ bản, chúng hoạt động bằng cách gửi một lượng lớn yêu cầu hoặc dữ liệu độc hại đến máy chủ mục tiêu, khiến máy chủ không thể xử lý kịp thời và rơi vào trạng thái từ chối dịch vụ.

Cơ chế này tập trung vào việc tiêu thụ tài nguyên của mục tiêu:

  • Tiêu thụ Bandwidth (Băng thông): Kẻ tấn công gửi các gói dữ liệu lớn hoặc liên tục, lấp đầy toàn bộ dung lượng băng thông mà máy chủ có thể xử lý. Kết quả là, lưu lượng hợp lệ không còn đường để đi qua.
  • Tiêu thụ CPURAM: Các phương thức tấn công tinh vi hơn sẽ gửi các yêu cầu cần máy chủ phải xử lý nặng (ví dụ: yêu cầu tính toán phức tạp, thiết lập kết nối tốn tài nguyên). Việc này làm quá tải CPU và cạn kiệt bộ nhớ RAM của server, dẫn đến crash (sập).
  • Tiêu thụ Kết nối (Connection States): Kẻ tấn công tạo ra hàng ngàn kết nối không hoàn chỉnh, giữ cho các cổng mạng luôn ở trạng thái chờ. Điều này làm cạn kiệt bảng kết nối (Connection Table) của hệ thống, khiến máy chủ không thể chấp nhận thêm kết nối hợp lệ nào khác.

Một trong những ví dụ điển hình nhất về việc lạm dụng tài nguyên là SYN Flood attack, nơi kẻ tấn công gửi đi hàng loạt gói SYN (yêu cầu kết nối TCP) nhưng không bao giờ hoàn tất quá trình bắt tay ba bước (Three-way Handshake). Hàng ngàn kết nối nửa vời này sẽ giữ các tài nguyên của server, gây ra tấn công từ chối dịch vụ.

Cơ chế và phương thức tấn công DoS
Cơ chế và phương thức tấn công DoS

Các hình thức tấn công DoS phổ biến

Các loại hình tấn công DoS attack rất đa dạng và không ngừng phát triển, từ các cuộc tấn công dữ liệu khổng lồ đến các cuộc tấn công ứng dụng cực kỳ tinh vi.

Tấn công vào Tầng Mạng (Layer 3 & 4)

Đây là những hình thức tấn công thô bạo, dựa trên việc lạm dụng các giao thức cơ bản của mạng Internet (TCP/IP).

SYN Flood

Đây là loại hình kinh điển và phổ biến nhất, nhằm vào lớp giao vận (Layer 4). Kẻ tấn công gửi một lượng lớn gói SYN (yêu cầu kết nối TCP) nhưng không gửi gói ACK cuối cùng.

Server phải duy trì trạng thái chờ (SYN_RECEIVED) cho hàng ngàn kết nối không bao giờ được hoàn thành, làm cạn kiệt bộ nhớ và bảng kết nối. Đây là một ví dụ rõ ràng về cách thức DoS attack khai thác lỗ hổng giao thức.

UDP Flood

Tấn công sử dụng giao thức UDP (User Datagram Protocol) bằng cách gửi lượng lớn gói tin UDP đến các cổng ngẫu nhiên trên máy chủ. Máy chủ sau đó phải xử lý bằng cách gửi lại gói ICMP ‘Destination Unreachable’, khiến tài nguyên máy chủ và băng thông đi/đến đều bị tắc nghẽn.

ICMP Flood (Smurf Attack)

Sử dụng giao thức ICMP (Internet Control Message Protocol), hay còn gọi là Ping. Kẻ tấn công gửi các gói tin Ping lớn và liên tục. Trong biến thể Smurf, kẻ tấn công sử dụng IP giả mạo (Spoofed IP) của nạn nhân và gửi yêu cầu Ping đến một mạng lưới lớn, khiến tất cả các máy tính trong mạng lưới đó đồng loạt phản hồi Ping về nạn nhân, tạo ra một Traffic tăng đột biến khổng lồ.

Tấn công khuếch đại (Amplification Attacks)

Đây là một chiến thuật tinh vi, ví dụ như DNS Amplification hoặc NTP Amplification. Kẻ tấn công gửi một yêu cầu nhỏ đến dịch vụ công cộng (DNS Server) với địa chỉ IP giả mạo của nạn nhân. Dịch vụ này sau đó phản hồi lại một lượng dữ liệu lớn gấp nhiều lần về phía nạn nhân, khuếch đại sức mạnh của cuộc DoS attack lên hàng chục lần.

Các cuộc tấn công DoS attack ở Layer 3 và 4 thường dễ phát hiện hơn vì chúng tạo ra lưu lượng truy cập lớn bất thường, dễ dàng bị các thiết bị mạng cấp cao như Router và Firewall phát hiện và chặn.

Tấn công vào Tầng Ứng dụng (Layer 7)

Đây là các hình thức DDoS attack hiện đại và nguy hiểm nhất vì chúng tiêu tốn ít Bandwidth hơn, nhưng lại yêu cầu máy chủ phải thực hiện nhiều công việc xử lý logic nhất, khiến chúng trở nên khó phát hiện. Layer 7 DDoS attack hoạt động ở tầng ứng dụng (Application Layer), nơi các dịch vụ web như HTTP, HTTPS được sử dụng.

HTTP Flood

Kẻ tấn công gửi một lượng lớn các yêu cầu HTTP GET hoặc POST hợp lệ. Các yêu cầu này rất giống với hành vi người dùng bình thường (như tải trang, gửi form, đăng nhập), khiến hệ thống bảo mật khó khăn trong việc phân biệt.

XEM THÊM:  Kiểm thử xâm nhập (Pentest): Mục tiêu, Lợi ích | Các loại hình

Mỗi yêu cầu HTTP Flood buộc server phải thực hiện toàn bộ quá trình xử lý: chạy script, truy vấn cơ sở dữ liệu, tải tài nguyên. Việc này nhanh chóng làm quá tải CPU và các dịch vụ backend, dẫn đến tấn công từ chối dịch vụ. Đây là một ví dụ hoàn hảo cho việc kẻ xấu đang làm gì với DoS attack trong thời đại hiện nay.

Slowloris

Một kiểu tấn công Layer 7 cực kỳ hiệu quả, nhằm mục đích giữ các kết nối TCP càng lâu càng tốt trong khi tiêu tốn tối thiểu tài nguyên của kẻ tấn công. Nó gửi các yêu cầu HTTP không hoàn chỉnh (ví dụ: chỉ gửi header mà không gửi hết body) và sau đó gửi các header tiếp theo rất chậm.

Server phải giữ mở các kết nối này, làm cạn kiệt bảng kết nối và ngăn chặn người dùng hợp lệ kết nối. Slowloris cho thấy một cuộc DoS attack không cần phải có quy mô khổng lồ để thành công.

Lạm dụng API/Logic

Tấn công vào các API hoặc chức năng ứng dụng cụ thể có yêu cầu tính toán phức tạp nhất, ví dụ: tìm kiếm nâng cao, tạo báo cáo theo thời gian thực. Kẻ tấn công chỉ cần một số lượng yêu cầu vừa phải nhưng lại buộc server phải làm việc quá sức (CPU/RAM cạn kiệt), dẫn đến tình trạng tấn công từ chối dịch vụ.

Trong các cuộc tấn công DDoS attack phức tạp, kẻ tấn công thường kết hợp cả Layer 3/4 và Layer 7 để tạo ra một cuộc tấn công đa tầng, khiến đội ngũ bảo mật phải phân tán lực lượng và khó khăn hơn trong việc ứng phó.

Các hình thức tấn công phổ biến
Các hình thức tấn công phổ biến

Dấu hiệu nhận biết hệ thống bị tấn công DoS

Nhận biết sớm một cuộc DoS attack là chìa khóa để giảm thiểu thiệt hại. Các kỹ thuật viên và quản trị viên mạng cần theo dõi các chỉ số quan trọng một cách thường xuyên.

InterData đã tổng hợp các dấu hiệu bị DDoS attack phổ biến sau:

  1. Hiệu suất mạng suy giảm nghiêm trọng: Đây là dấu hiệu rõ ràng nhất. Website, ứng dụng hoặc dịch vụ bỗng dưng server bị chậm đột ngột hoặc hoàn toàn không phản hồi. Các yêu cầu (Requests) bị Time-out.
  2. Lưu lượng Truy cập (Traffic) tăng đột biến bất thường: Kiểm tra Log và các công cụ giám sát (như Google Analytics, Search Console, hay các công cụ giám sát mạng) và bạn sẽ thấy lượng Traffic tăng đột biến về một cổng, giao thức, hoặc địa chỉ IP cụ thể. Thường là sự tăng vọt về số lượng gói tin (Packet per second) hoặc số lượng kết nối TCP/UDP.
  3. Tài nguyên Server bị quá tải: CPU và RAM trên server đạt ngưỡng 90-100% trong thời gian dài. Các tiến trình hệ thống bị tắc nghẽn.
  4. Sự gia tăng kết nối từ một nguồn hoặc một dải IP: Đây là dấu hiệu của DoS attack (một nguồn) hoặc DDoS attack (nhiều nguồn, thường là các dải IP không phải địa chỉ người dùng thông thường).
  5. Thông báo lỗi từ người dùng hợp lệ: Người dùng báo cáo không thể truy cập dịch vụ, nhận thông báo lỗi 503 Service Unavailable hoặc các lỗi Time-out khác.

Phát hiện kịp thời sự gia tăng đột ngột của tấn công từ chối dịch vụ qua các dấu hiệu trên cho phép đội ngũ IT cô lập và chuyển hướng lưu lượng tấn công trước khi toàn bộ hệ thống sập.

Dấu hiệu nhận biết hệ thống bị tấn công
Dấu hiệu nhận biết hệ thống bị tấn công

Tác hại của tấn công DoS là gì?

Hậu quả của một cuộc DoS attack thành công có thể kéo dài và gây tổn thương sâu sắc đến nhiều mặt hoạt động của doanh nghiệp, không chỉ giới hạn ở thiệt hại kỹ thuật.

  • Thiệt hại Tài chính và Doanh thu: Đây là tác hại của DoS attack trực tiếp nhất. Đối với các website thương mại điện tử, mỗi phút dịch vụ ngừng hoạt động đồng nghĩa với việc mất đi doanh số bán hàng. Thiệt hại do DDoS có thể lên đến hàng chục nghìn đô la mỗi giờ, đặc biệt trong các sự kiện mua sắm lớn.
  • Tổn hại Uy tín và Niềm tin Khách hàng: Khi dịch vụ bị gián đoạn, khách hàng sẽ chuyển sang đối thủ. Niềm tin vào khả năng duy trì hoạt động ổn định và bảo mật của công ty bị suy giảm nghiêm trọng. Việc khôi phục niềm tin này tốn rất nhiều thời gian và chi phí tiếp thị.
  • Chi phí Phục hồi và Ứng phó: Doanh nghiệp phải chi trả khẩn cấp cho các chuyên gia bảo mật, Bandwidth khổng lồ để chống đỡ, và chi phí nâng cấp phần cứng/phần mềm.
  • Rủi ro Pháp lý và Hợp đồng: Đối với các công ty cung cấp dịch vụ bên thứ ba (SaaS, Hosting), việc dịch vụ bị gián đoạn có thể vi phạm các thỏa thuận mức dịch vụ (SLA), dẫn đến việc phải bồi thường hoặc bị chấm dứt hợp đồng.
Hậu quả đối với doanh nghiệp
Hậu quả đối với doanh nghiệp

Giải pháp phòng ngừa và ứng phó DoS attack

Cách phòng chống DDoS hiệu quả phải là một chiến lược nhiều lớp, kết hợp giữa cấu hình mạng, dịch vụ chuyên biệt, và tối ưu hóa ứng dụng. Dưới đây là các giải pháp phòng ngừa DoS attack chi tiết bạn có thể tham khảo:

XEM THÊM:  Watering Hole Attack: Cách nhận biết, tác hại, & Cách phòng 2026

Phòng ngừa ở tầng Mạng (Network)

Đây là tuyến phòng thủ đầu tiên và quan trọng nhất để chống lại các cuộc DoS attack Layer 3 và Layer 4.

  1. Sử dụng Router và Firewall: Cấu hình Firewall chống DDoS bằng cách thiết lập các luật lọc gói (Packet Filtering) để loại bỏ các gói tin có IP giả mạo (Spoofed IP) hoặc các gói tin không hợp lệ về mặt giao thức (ví dụ: các gói tin nhỏ của Smurf Attack). Đảm bảo Router có các tính năng chống DDoS attack cơ bản.
  2. Giới hạn Tốc độ (Rate Limiting): Đây là kỹ thuật cơ bản nhưng cực kỳ hiệu quả để chống lại DoS attack. Thiết lập giới hạn số lượng yêu cầu kết nối (SYN) hoặc số lượng truy cập từ một địa chỉ IP duy nhất trong một khoảng thời gian ngắn. Kỹ thuật này ngăn chặn các cuộc tấn công SYN Flood và các cuộc tấn công quy mô nhỏ từ một nguồn.
  3. Tăng cường Băng thông (Bandwidth): Mặc dù không phải là một giải pháp hoàn hảo, nhưng việc có Bandwidth dư thừa sẽ cho bạn thêm thời gian để phản ứng. Dung lượng Bandwidth lớn hơn có thể hấp thụ các cuộc DoS attack quy mô nhỏ và trung bình mà không bị quá tải ngay lập tức.
  4. Cân bằng Tải (Load Balancing): Sử dụng Load Balancer để phân phối lưu lượng truy cập trên nhiều server. Khi một cuộc DDoS attack xảy ra, lượng Traffic sẽ được chia đều, giảm áp lực lên bất kỳ server đơn lẻ nào.

Sử dụng Dịch vụ Chuyên biệt

Đối phó với DDoS attack quy mô lớn và tinh vi (Layer 7) đòi hỏi phải có sự hỗ trợ của các hệ thống được thiết kế riêng để xử lý lưu lượng khổng lồ.

  1. Mạng phân phối Nội dung (CDN): Các dịch vụ chống DDoS như Cloudflare, Akamai là giải pháp hàng đầu. CDN (Content Delivery Network) hoạt động như một bức tường trung gian, chuyển lưu lượng tấn công đến mạng lưới máy chủ rộng lớn của họ. Mạng lưới này có Bandwidth lớn hơn nhiều lần so với bất kỳ doanh nghiệp nào, có thể hấp thụ và lọc Traffic độc hại, chỉ cho phép Traffic hợp lệ đến máy chủ gốc của bạn.
  2. Dịch vụ Anti-DDoS Đám mây (Cloud-based Anti-DDoS): Các dịch vụ này chuyên về việc phân tích Traffic theo thời gian thực (Behavioral Analysis) để phát hiện và loại bỏ các cuộc tấn công Layer 7 DDoS attack tinh vi. Chúng sử dụng Machine Learning và các thuật toán nâng cao để phân biệt giữa người dùng thật và Botnet.
  3. Dịch vụ Chống Tấn công Dữ liệu lớn: Để chống lại các cuộc tấn công khuếch đại, bạn cần các nhà cung cấp dịch vụ Internet (ISP) hoặc dịch vụ Anti-DDoS có khả năng “Blackhole Routing” hoặc “Traffic Scrubbing” để chuyển hướng và làm sạch lưu lượng tấn công trước khi nó đến mạng của bạn.

Tối ưu Server và Ứng dụng

Phòng thủ cũng phải được thực hiện ở tầng ứng dụng, nơi kẻ tấn công Layer 7 nhắm đến.

  1. Tối ưu hóa mã nguồn và truy vấn cơ sở dữ liệu: Tối ưu server chống DDoS bằng cách đảm bảo rằng các truy vấn cơ sở dữ liệu và các hàm tính toán của ứng dụng được thực hiện nhanh nhất có thể. Mã nguồn hiệu quả sẽ giảm thiểu thời gian CPU phải xử lý cho mỗi yêu cầu, làm tăng khả năng chịu tải tổng thể của server.
  2. Thiết lập Session Timeout ngắn: Đối với các cuộc tấn công DoS attack giữ kết nối (như Slowloris), việc thiết lập Session Timeout (thời gian chờ) ngắn sẽ giúp server nhanh chóng giải phóng tài nguyên.
  3. Cài đặt WAF (Web Application Firewall): WAF có khả năng chặn các yêu cầu HTTP/HTTPS độc hại trước khi chúng chạm đến ứng dụng. WAF rất quan trọng để chống lại các cuộc tấn công HTTP Flood vì chúng phân tích nội dung của yêu cầu Layer 7.
Giải pháp phòng ngừa DoS attack
Giải pháp phòng ngừa DoS attack

Lời khuyên bảo mật DoS attack nâng cao

Để không bao giờ phải lo lắng về một cuộc DoS attack đột ngột, InterData gợi ý bạn nên chuyển từ tư duy phòng thủ sang tư duy bảo mật chiến lược. Đây là những lời khuyên bảo mật nâng cao giúp doanh nghiệp có khả năng chịu đựng và tự phục hồi cao hơn.

Thiết lập Kế hoạch Ứng phó Thảm họa (DRP) và Diễn tập

Kế hoạch chỉ là lý thuyết nếu không được thử nghiệm. Hãy tổ chức các buổi diễn tập ứng phó với kịch bản DDoS attack ít nhất hai lần một năm. Việc này đảm bảo đội ngũ IT biết chính xác phòng ngừa và ứng phó như thế nào khi khủng hoảng xảy ra.

Áp dụng Zero Trust Model

Không tin tưởng bất kỳ ai hoặc bất kỳ thứ gì, ngay cả bên trong mạng giúp cô lập thiệt hại do DoS attack nếu kẻ tấn công đã thâm nhập được vào một phần của hệ thống.

Đa dạng hóa hạ tầng

Phân tán hệ thống của bạn trên nhiều vùng địa lý (Availability Zones) hoặc thậm chí nhiều nhà cung cấp Cloud khác nhau khiến kẻ tấn công khó khăn hơn trong việc làm tê liệt toàn bộ dịch vụ chỉ bằng một cuộc DDoS attack đơn lẻ.

Giám sát Chủ động và Phân tích Hành vi

Sử dụng các công cụ AI/Machine Learning để không chỉ đo lường lượng Traffic mà còn phân tích hành vi của Traffic. Các công cụ này có thể phát hiện sự thay đổi tinh vi trong hành vi truy cập (ví dụ: lượng Request từ một User Agent tăng bất thường) – dấu hiệu của một cuộc Layer 7 DDoS attack mới chớm.

Việc hiểu rõ DoS attack là gì, phân biệt DoS và DDoS, và áp dụng các chiến lược phòng thủ nâng cao là điều bắt buộc. An ninh mạng không phải là đích đến, mà là một quá trình liên tục. Hãy để InterData trở thành đối tác tin cậy của bạn trong hành trình bảo vệ hệ thống khỏi mọi mối đe dọa tấn công từ chối dịch vụ.

Đức Hòa