Tweet
🔥 DoS và DDoS – Kẻ hủy diệt thầm lặng của hạ tầng mạng hiện đại
Hãy tưởng tượng bạn đang điều khiển một tuyến đường cao tốc trọng yếu của thành phố. Bỗng một loạt xe rác, xe không biển số từ đâu xuất hiện, chen chúc, bịt kín hết các làn đường, khiến xe cứu thương, xe chữa cháy, thậm chí xe giao hàng không thể đi qua. Đó chính là bản sao thực tế ngoài đời của tấn công từ chối dịch vụ (Denial of Service – DoS) trong thế giới mạng. 🧨 DoS – Tấn công từ một điểm, triệt hạ cả hệ thống
🎯 Mục tiêu:
Chiếm dụng tài nguyên hệ thống (CPU, RAM, kết nối mạng, bảng phiên TCP...) đến mức không còn chỗ phục vụ người dùng hợp lệ. 🔍 Ví dụ kinh điển – TCP SYN Flood
Tấn công TCP SYN flood lợi dụng chính thiết kế ba bước bắt tay trong TCP:
🚫 Khi bảng kết nối đầy, server không thể chấp nhận thêm kết nối TCP mới – tức là dịch vụ như HTTP, FTP, SMTP bị từ chối cho người dùng hợp pháp.
💡 Lưu ý: IP trong các gói SYN đều là giả mạo nên rất khó truy vết kẻ tấn công thực sự.
💣 Các biến thể của DoS
🧟 Ping of Death (PoD)
🎯 Tấn công này đánh thẳng vào tầng IP và khai thác lỗi xử lý giao thức. Dù hiện nay đã lỗi thời vì hệ điều hành và firewall hiện đại đã được vá, đây vẫn là ví dụ điển hình về protocol anomaly attack. 🛠 Các kiểu tấn công khác:
☠️ DDoS – Sát thủ phân tán diện rộng
❗ Khác biệt với DoS ở chỗ:
🧠 Botnet – Bộ não điều khiển DDoS
Một mạng botnet hoạt động theo mô hình:
📡 C2 thường sử dụng các giao thức ẩn danh như:
🔍 Tóm lược nhanh
🧪 Câu hỏi ôn tập
1. Câu hỏi: Một ví dụ kinh điển của DoS là gì?
→ Đáp án: TCP SYN flood
2. Câu hỏi: Sự khác biệt chính giữa DoS và DDoS là gì?
→ Đáp án: Số lượng thiết bị khởi phát tấn công
🛡️ Ghi chú bảo mật thực chiến
Hãy tưởng tượng bạn đang điều khiển một tuyến đường cao tốc trọng yếu của thành phố. Bỗng một loạt xe rác, xe không biển số từ đâu xuất hiện, chen chúc, bịt kín hết các làn đường, khiến xe cứu thương, xe chữa cháy, thậm chí xe giao hàng không thể đi qua. Đó chính là bản sao thực tế ngoài đời của tấn công từ chối dịch vụ (Denial of Service – DoS) trong thế giới mạng. 🧨 DoS – Tấn công từ một điểm, triệt hạ cả hệ thống
🎯 Mục tiêu:
Chiếm dụng tài nguyên hệ thống (CPU, RAM, kết nối mạng, bảng phiên TCP...) đến mức không còn chỗ phục vụ người dùng hợp lệ. 🔍 Ví dụ kinh điển – TCP SYN Flood
Tấn công TCP SYN flood lợi dụng chính thiết kế ba bước bắt tay trong TCP:
- Attacker gửi hàng loạt gói SYN (bắt đầu kết nối) với địa chỉ IP nguồn giả (spoofed).
- Server phản hồi bằng SYN-ACK và chờ gói ACK hoàn tất quá trình bắt tay.
- Nhưng vì IP giả, gói ACK sẽ không bao giờ tới. Kết quả là server giữ lại các “phiên ma” trong bảng kết nối cho đến khi hết timeout.
🚫 Khi bảng kết nối đầy, server không thể chấp nhận thêm kết nối TCP mới – tức là dịch vụ như HTTP, FTP, SMTP bị từ chối cho người dùng hợp pháp.
💡 Lưu ý: IP trong các gói SYN đều là giả mạo nên rất khó truy vết kẻ tấn công thực sự.
💣 Các biến thể của DoS
🧟 Ping of Death (PoD)
- Tấn công bằng cách gửi các gói ICMP fragment có kích thước vượt quá giới hạn 65.535 byte (giới hạn của IP).
- Khi hệ thống đích cố gắng tái lắp gói tin này, nó sẽ gặp lỗi tràn bộ đệm (buffer overflow), dẫn đến treo máy hoặc khởi động lại.
🎯 Tấn công này đánh thẳng vào tầng IP và khai thác lỗi xử lý giao thức. Dù hiện nay đã lỗi thời vì hệ điều hành và firewall hiện đại đã được vá, đây vẫn là ví dụ điển hình về protocol anomaly attack. 🛠 Các kiểu tấn công khác:
- UDP Flood: Gửi lượng lớn gói UDP đến nạn nhân khiến hệ thống bận rộn xử lý các port không tồn tại, gây tiêu tốn tài nguyên.
- ICMP Flood: Gửi liên tục các gói ICMP Echo Request (ping) khiến băng thông và CPU của thiết bị đích bị tiêu tốn.
☠️ DDoS – Sát thủ phân tán diện rộng
❗ Khác biệt với DoS ở chỗ:
- DoS: chỉ đến từ một nguồn duy nhất.
- DDoS (Distributed Denial of Service): đến đồng thời từ hàng trăm hoặc hàng ngàn thiết bị bị kiểm soát (botnet) – thường là máy tính người dùng bị nhiễm malware mà không hề hay biết.
🧠 Botnet – Bộ não điều khiển DDoS
Một mạng botnet hoạt động theo mô hình:
- Lây nhiễm: Hacker phát tán mã độc qua email, website, USB,... lây nhiễm vào máy người dùng.
- Kết nối: Bot trên máy nạn nhân âm thầm kết nối về máy chủ điều khiển (Command-and-Control Server – C2).
- Chờ lệnh: Khi nhận được lệnh từ C2, các bot sẽ đồng loạt thực hiện tấn công như gửi UDP flood, TCP SYN flood, hoặc spam.
📡 C2 thường sử dụng các giao thức ẩn danh như:
- IRC (Internet Relay Chat)
- Kênh mã hóa
- Peer-to-Peer botnet
- Thậm chí dùng API Twitter để ẩn danh
🔍 Tóm lược nhanh
| Nguồn tấn công | Một thiết bị | Nhiều thiết bị (botnet) |
| Mức độ phá hoại | Trung bình | Cao, diện rộng |
| Dễ truy vết | Có thể | Khó vì địa chỉ IP giả |
| Ví dụ điển hình | TCP SYN flood, Ping of Death | Mirai botnet, UDP/ICMP floods |
🧪 Câu hỏi ôn tập
1. Câu hỏi: Một ví dụ kinh điển của DoS là gì?
→ Đáp án: TCP SYN flood
2. Câu hỏi: Sự khác biệt chính giữa DoS và DDoS là gì?
→ Đáp án: Số lượng thiết bị khởi phát tấn công
🛡️ Ghi chú bảo mật thực chiến
- Các tường lửa đời mới (Next-Gen Firewall) đều tích hợp cơ chế bảo vệ SYN flood, ICMP rate-limiting, và IP spoofing detection.
- Cisco Firepower, Palo Alto, và các thiết bị dùng Zone-Based Policy Firewall (ZBF) đều cho phép chống DDoS ở tầng network.
- Triển khai thêm công cụ Cloud DDoS Mitigation Services như Akamai, Cloudflare, AWS Shield, Azure DDoS Protection... giúp bảo vệ chống lại các tấn công diện rộng.
- Luôn giám sát lưu lượng bằng NetFlow, NTA, hoặc SIEM để phát hiện bất thường.
Attached Files