Chào bạn, tôi là Lê Thành Trung – Founder & CEO của Chongddos.net. Trong hơn 12 năm làm việc trong ngành an ninh mạng, tôi đã đối mặt và xử lý hàng trăm cuộc tấn công khác nhau, đặc biệt là DDoS. Hôm nay, chúng ta sẽ cùng tìm hiểu về một trong những hình thức tấn công DDoS tinh vi và khó nhận biết nhất: “Tấn công DDoS thấp và chậm”.
Tại sao nó nguy hiểm? Cách thức hoạt động ra sao và làm thế nào để doanh nghiệp của bạn có thể phòng tránh hiệu quả? Hãy cùng khám phá ngay sau đây để bảo vệ hệ thống của bạn một cách tốt nhất.
Tấn công DDoS thấp và chậm là gì?
Tấn công DDoS thấp và chậm (Low and Slow) là hình thức tấn công từ chối dịch vụ hoặc từ chối dịch vụ phân tán. Nó gửi các yêu cầu HTTP hoặc lưu lượng truy cập giả mạo. Các yêu cầu này có tốc độ rất chậm. Mục tiêu của cuộc tấn công là làm cạn kiệt tài nguyên của máy chủ hoặc ứng dụng. Loại tấn công này khác biệt lớn so với DDoS truyền thống. Nó không tạo ra lưu lượng đột biến lớn. Thay vào đó, nó âm thầm tiêu tốn tài nguyên. Điều này khiến việc phát hiện Low and Slow trở nên khó khăn.
Tấn công Low and Slow nguy hiểm bởi khả năng ẩn mình. Lưu lượng thấp, băng thông tiêu thụ ít. Nó khó phân biệt với hoạt động hợp lệ của người dùng. Một cuộc tấn công như vậy có thể khởi chạy từ một máy tính hoặc mạng botnet nhỏ. Chúng không cần tài nguyên lớn như DDoS thông thường. Khi thành công, tấn công Low and Slow làm máy chủ bị quá tải. Nó không thể phản hồi yêu cầu từ người dùng hợp lệ. Hậu quả là dịch vụ bị gián đoạn nghiêm trọng.
Các loại tấn công Low and Slow phổ biến
Hiện nay, tấn công Low and Slow có ba loại chính, bao gồm: Slowloris, Sockstress, và RUDY.
Slowloris
Slowloris tấn công bằng cách thiết lập kết nối với máy chủ. Sau đó, nó từ từ gửi các tiêu đề HTTP không hoàn chỉnh. Máy chủ phải giữ kết nối mở để chờ phần còn lại của tiêu đề. Mục đích là để tập hợp các phần lại. Kẻ tấn công mở đồng thời nhiều kết nối như vậy. Điều này làm cạn kiệt số lượng kết nối tối đa của máy chủ. Máy chủ bị quá tải. Nó không thể xử lý thêm các yêu cầu từ người dùng hợp lệ.
Sockstress
Sockstress khai thác lỗ hổng trong quy trình “bắt tay ba bước” của TCP/IP. Nó tạo ra các kết nối không xác định. Cuộc tấn công này khiến máy chủ phải giữ kết nối mở vô thời hạn. Tài nguyên máy chủ bị tiêu hao dần. Nó cuối cùng dẫn đến tình trạng từ chối dịch vụ.
RUDY (R-U-DEAD-YET?)
RUDY tạo các yêu cầu HTTP POST để điền vào các trường biểu mẫu. Nó thông báo cho máy chủ về lượng dữ liệu dự kiến. Tuy nhiên, nó lại gửi dữ liệu đó rất chậm. Máy chủ giữ kết nối mở vì chờ đợi thêm dữ liệu. Việc này làm máy chủ phải duy trì các kết nối trong thời gian dài. Tài nguyên máy chủ bị chiếm dụng và cạn kiệt.
Slow Read
Tấn công Slow Read nhắm vào cách máy chủ xử lý các yêu cầu đọc dữ liệu từ các kết nối của khách hàng. Kẻ tấn công thiết lập một kết nối với máy chủ. Sau đó, nó yêu cầu đọc dữ liệu với tốc độ rất chậm. Việc này buộc máy chủ phải giữ kết nối trong thời gian dài. Nguồn tài nguyên của máy chủ bị tiêu tốn liên tục.
Cơ chế hoạt động của tấn công Low and Slow
Tấn công Low and Slow khai thác cơ chế quản lý kết nối và tài nguyên của máy chủ hoặc ứng dụng. Không giống các cuộc tấn công DDoS khác, Low and Slow không gửi lượng lớn dữ liệu trong thời gian ngắn. Thay vào đó, nó tập trung vào việc giữ máy chủ kết nối lâu dài bằng cách gửi một lượng dữ liệu rất nhỏ.
Các yêu cầu độc hại được gửi đi một cách chậm rãi. Chúng thường không hoàn chỉnh. Điều này buộc máy chủ phải giữ kết nối mở trong thời gian dài. Kẻ tấn công tận dụng số lượng kết nối tối đa mà máy chủ có thể quản lý. Khi các kết nối này bị chiếm dụng, tài nguyên máy chủ sẽ nhanh chóng cạn kiệt. Máy chủ trở nên quá tải. Nó không thể xử lý các yêu cầu từ người dùng hợp lệ.
Cuộc tấn công Low and Slow đặc biệt khó phát hiện. Lý do là lưu lượng dữ liệu thấp. Nó không tạo ra bất kỳ sự đột biến nào về lưu lượng kết nối. Các hệ thống giám sát tiêu chuẩn thường dựa vào việc phát hiện lưu lượng lớn bất thường. Do đó, chúng khó nhận ra một cuộc tấn công Low and Slow.
Dấu hiệu nhận biết một cuộc tấn công Low and Slow
Việc phát hiện tấn công Low and Slow rất khó khăn. Các kỹ thuật phát hiện tốc độ truyền thống, dùng cho DDoS thông thường, không hiệu quả. Tấn công Low and Slow mô phỏng lưu lượng truy cập của người dùng bình thường.
Cách tốt nhất để nhận biết tấn công này là theo dõi và ghi lại nhật ký hoạt động cẩn thận. Doanh nghiệp cần giám sát chặt chẽ việc sử dụng tài nguyên máy chủ. Các tài nguyên này bao gồm CPU và RAM. Đồng thời, cần theo dõi trạng thái ứng dụng. Bất kỳ sự bất thường nào cũng cần được chú ý.
Phân tích hành vi lưu lượng truy cập là cần thiết. Hãy so sánh lưu lượng truy cập và hành vi người dùng trong thời gian bình thường với giai đoạn nghi ngờ bị tấn công. Nếu máy chủ hoạt động chậm hoặc gặp sự cố, và bạn nghi ngờ có tấn công Low and Slow DDoS, hãy kiểm tra. Một dấu hiệu rõ ràng là quá trình xử lý thông thường của người dùng mất nhiều thời gian hơn. Ví dụ, một hành động như điền vào biểu mẫu thường mất vài giây. Nếu nó kéo dài thành vài phút hoặc vài giờ, và chiếm nhiều tài nguyên máy chủ bất thường, nguyên nhân có thể là do tấn công Low and Slow.
Cách ngăn chặn tấn công Low and Slow hiệu quả
Để ngăn chặn các cuộc tấn công Low and Slow hiệu quả, doanh nghiệp cần triển khai các biện pháp bảo mật nhiều lớp.
Giám sát và phát hiện sớm
Phân tích các mẫu lưu lượng truy cập thông thường là bước đầu. Sau đó, liên tục theo dõi hành vi lưu lượng truy cập theo thời gian thực. Điều này giúp kịp thời phát hiện bất thường của một cuộc tấn công Low and Slow. Đồng thời, giám sát tài nguyên máy chủ như CPU, RAM và trạng thái ứng dụng. Việc này giúp phát hiện sớm mọi dấu hiệu bất thường.
Nâng cao khả năng phòng thủ hệ thống
Nâng cấp tính khả dụng của máy chủ là cần thiết. Thêm nhiều kết nối hơn sẽ làm Low and Slow khó làm cạn tài nguyên. Một giải pháp hiệu quả là bảo vệ hệ thống máy chủ dựa trên Proxy ngược. Giải pháp này giảm thiểu tấn công trước khi chúng đến máy chủ gốc.
Việc triển khai hệ thống giảm thiểu DDoS thông minh (IDMS) là tối ưu. IDMS được thiết kế để bảo vệ các ứng dụng chính trong trung tâm dữ liệu. Ngoài ra, kết hợp các biện pháp chống DDoS khác nhau. Tường lửa ứng dụng web (WAF) là một ví dụ. WAF giúp phát hiện và giảm thiểu các cuộc tấn công hiệu quả.
Thiết lập hạn chế truy cập và cấu hình chặn cũng quan trọng. Nó ngăn chặn các hoạt động bất thường từ các nguồn không xác định. Luôn cập nhật hệ thống và ứng dụng thường xuyên. Điều này khắc phục các lỗ hổng bảo mật đã biết. Sử dụng các giải pháp bảo mật mạng như IDS (Hệ thống phát hiện xâm nhập) hoặc IPS (Hệ thống ngăn chặn xâm nhập). Các giải pháp này phát hiện và ngăn chặn hoạt động tấn công Low and Slow. Hạn chế quyền truy cập vào hệ thống và dữ liệu. Chỉ những người dùng hoặc máy chủ cần thiết mới có quyền truy cập.
Đào tạo và nâng cao nhận thức
Đào tạo an ninh mạng cho đội ngũ nhân sự. Nâng cao nhận thức về các nguy cơ và biện pháp phòng ngừa tấn công mạng. Người dùng có kiến thức vững vàng sẽ phát hiện và phản ứng kịp thời.
Giải pháp phòng thủ DDoS từ Chống DDoS – Bảo vệ hệ thống của bạn
Tại Chống DDoS (chongddos.net), chúng tôi hiểu rõ mức độ nguy hiểm của các cuộc tấn công DDoS thấp và chậm đối với doanh nghiệp. Chúng tôi tự hào có đội ngũ hơn 15 kỹ sư bảo mật và 5 chuyên gia với các chứng chỉ quốc tế như CISSP, CEH, OSCP. Chúng tôi cung cấp giải pháp phòng thủ DDoS toàn diện, chuyên nghiệp và dễ triển khai. Chống DDoS đã phục vụ trên 120 dự án doanh nghiệp. Chúng tôi giúp giảm downtime trung bình 85% sau khi triển khai giải pháp. Trong năm 2024, chúng tôi đã thực chiến ứng phó 36 sự cố nghi DDoS. Hãy liên hệ với chúng tôi ngay hôm nay qua Hotline 0909.xxx.xxx hoặc truy cập website https://chongddos.net để nhận tư vấn. Chúng tôi sẽ bảo vệ hệ thống của bạn khỏi mọi cuộc tấn công DDoS!
Các câu hỏi thường gặp về tấn công Low and Slow
Tại sao tấn công Low and Slow khó bị phát hiện hơn các cuộc tấn công DDoS khác?
Tấn công Low and Slow khó phát hiện vì chúng gửi lưu lượng truy cập rất nhỏ và chậm. Chúng mô phỏng hành vi người dùng bình thường. Hệ thống giám sát truyền thống thường tìm kiếm lưu lượng lớn đột biến, nên dễ bỏ sót.
Doanh nghiệp nhỏ có cần lo lắng về tấn công Low and Slow không?
Có, mọi doanh nghiệp đều có thể là mục tiêu. Tấn công Low and Slow không yêu cầu tài nguyên lớn. Kẻ tấn công có thể thực hiện chúng bằng một máy tính cá nhân. Doanh nghiệp nhỏ thường có ít biện pháp bảo mật hơn. Điều này khiến họ dễ bị tổn thương hơn.
Chi phí để triển khai các giải pháp phòng chống tấn công Low and Slow có cao không?
Chi phí phụ thuộc vào quy mô và mức độ phức tạp của hệ thống. Các giải pháp cơ bản có thể tiết kiệm chi phí. Các giải pháp toàn diện và chuyên sâu sẽ cần đầu tư hơn. Tuy nhiên, chi phí đầu tư phòng ngừa thường thấp hơn nhiều so với thiệt hại khi bị tấn công.
