Các phương pháp phổ biến được sử dụng trong các cuộc tấn công DDoS: phản chiếu, khuếch đại và mạng bot.

03/04/2025
4 mins read
Nội dung
Tấn công DDoS: Phân loại và Phương pháp Đối phó
Phương pháp Tấn công DDoS Phản chiếu và Khuếch đại
Các loại tấn công:
Tấn công DDoS Điều khiển bởi Botnet
Các loại tấn công từ Botnet:
Các Phương Pháp Khác Thông Thường
Các Công Cụ Tinh Vi Sử Dụng trong Tấn Công DDoS
Chiến Lược Giảm Thiểu
Ví Dụ Thực Tế
Kết Luận

Tấn công DDoS: Phân loại và Phương pháp Đối phó

Tấn công DDoS là một mối đe dọa nghiêm trọng đối với an ninh mạng và hệ thống, có thể được phân loại thành nhiều loại dựa trên phương pháp và mục tiêu tấn công. Dưới đây là một cái nhìn tổng quan chi tiết về các phương pháp phổ biến trong các cuộc tấn công DDoS, bao gồm phản chiếu, khuếch đại và botnet.

Phương pháp Tấn công DDoS Phản chiếu và Khuếch đại

Định nghĩa: Các cuộc tấn công này lợi dụng tính chất không kết nối của UDP để gửi yêu cầu với địa chỉ IP giả mạo tới nhiều dịch vụ UDP hợp pháp. Phản hồi từ các máy phản chiếu, thường được khuếch đại bởi một hệ số nhất định, sẽ làm quá tải nạn nhân mục tiêu[2][3].

Các loại tấn công:

  • Khuếch đại DNS: Phương pháp này liên quan đến việc làm ngập hệ thống mục tiêu bằng phản hồi DNS từ các máy chủ DNS hợp pháp mà nó chưa từng yêu cầu. Các máy tính bị xâm phạm trong một botnet sử dụng các máy chủ DNS công khai để thực hiện truy vấn, và các phản hồi sau đó được chuyển tiếp đến mục tiêu thông qua địa chỉ IP nguồn giả mạo[3].
  • Khuếch đại NTP: Tương tự như khuếch đại DNS, phương pháp này tận dụng các máy chủ NTP để tạo ra lưu lượng lớn. Một kẻ tấn công gửi yêu cầu đến một máy chủ NTP, máy chủ này phản hồi với một lượng dữ liệu lớn, làm quá tải hệ thống mục tiêu[4].
  • Ngập ICMP: Phương pháp này bao gồm việc gửi một số lượng lớn yêu cầu echo ICMP đến một mục tiêu, có thể làm cạn kiệt băng thông và khiến hệ thống không phản hồi[4].

Tấn công DDoS Điều khiển bởi Botnet

Định nghĩa: Botnet là các mạng lưới máy tính bị xâm phạm mà kẻ tấn công có thể điều khiển để phát động các cuộc tấn công DDoS. Những cuộc tấn công này đặc biệt hiệu quả vì chúng có thể tạo ra lưu lượng lớn từ nhiều nguồn khác nhau, làm cho việc phát hiện và giảm thiểu trở nên khó khăn hơn[1][4].

Các loại tấn công từ Botnet:

  • Ngập UDP: Botnet có thể tấn công các máy chủ với các datagram UDP giả, làm quá tải khả năng xử lý lưu lượng hợp pháp của máy chủ[4].
  • Ngập TCP SYN: Cuộc tấn công này khai thác cơ chế bắt tay ba chiều của TCP bằng cách gửi nhiều gói SYN với địa chỉ IP nguồn giả mạo. Máy chủ phản hồi bằng các gói SYN-ACK, nhưng kẻ tấn công không hoàn thành quá trình bắt tay, để lại các kết nối mở và làm quá tải hệ thống[3][4].
  • Ngập HTTP: Botnet có thể gửi một lượng lớn yêu cầu HTTP GET hoặc POST đến một máy chủ mục tiêu, làm giảm khả năng xử lý của nó và khiến nó không phản hồi[1][4].

Các Phương Pháp Khác Thông Thường

  • Tấn công Smurf: Phương pháp này liên quan đến việc gửi các yêu cầu echo ICMP đến một mạng với địa chỉ IP nguồn giả mạo là địa chỉ của mục tiêu. Mạng sau đó phản hồi với các phản hồi echo ICMP, làm quá tải hệ thống mục tiêu[4].
  • Ping of Death: Cuộc tấn công này bao gồm việc gửi các yêu cầu echo ICMP quá lớn có thể làm hỏng thiết bị hoặc khiến chúng không phản hồi[4].

Các Công Cụ Tinh Vi Sử Dụng trong Tấn Công DDoS

  • LOIC (Low Orbit Ion Cannon): Công cụ này được sử dụng cho các cuộc tấn công DDoS quy mô lớn, tập trung các kết nối mạng của máy tính vào các khung máy chủ cụ thể. Nó hỗ trợ các gói TCP, UDP và HTTP GET[1].
  • HOIC (High Orbit Ion Cannon): Đây là phiên bản nâng cao của LOIC, có khả năng tạo ra nhiều yêu cầu hơn và hỗ trợ các gói HTTP POST và GET. Nó nổi tiếng vì khả năng né tránh các hệ thống tường lửa truyền thống[1].
  • SLOWLORIS: Công cụ này gửi các yêu cầu HTTP hợp pháp nhưng chưa hoàn tất, làm quá tải máy chủ với sự mong đợi của các yêu cầu chưa hoàn thành. Nó đặc biệt hiệu quả vì các yêu cầu không bị giả mạo, làm cho việc phát hiện trở nên khó khăn hơn[1].

Chiến Lược Giảm Thiểu

  • Củng cố Hệ thống và Mạng: Thay đổi các tham số cấu hình mạng hoặc các dịch vụ mục tiêu để ngăn chặn các cuộc tấn công phản chiếu và khuếch đại[2].
  • Lọc Lưu lượng: Chặn hoặc ưu tiên lưu lượng từ các vùng địa lý không liên quan để giảm áp lực lên các hệ thống[3].
  • Giới hạn Tỷ lệ: Giới hạn tốc độ lưu lượng để ngăn chặn các cuộc tấn công theo thể tích[4].
  • Phát hiện Dựa trên AI: Sử dụng các thuật toán AI để phân tích các mẫu lưu lượng và xác định các cuộc tấn công chưa biết, có khả năng thích ứng với các mối đe dọa đang phát triển trong thời gian thực[2][4].

Ví Dụ Thực Tế

  • Tấn công DDoS vào Spamhaus.org: Năm 2013, Spamhaus.org trải qua một cuộc tấn công DDoS với tốc độ dữ liệu 300 Gbps, được coi là một trong những cuộc tấn công lớn nhất vào thời điểm đó. Cuộc tấn công được thực hiện bằng cách sử dụng các kỹ thuật khuếch đại DNS[3].
  • Tấn công DDoS vào GitHub: Năm 2018, GitHub trải qua một cuộc tấn công DDoS với tốc độ dữ liệu 1.35 Tbps, được ghi nhận là một trong những cuộc tấn công DDoS lớn nhất từng có. Cuộc tấn công có khả năng được thực hiện bằng sự kết hợp của các kỹ thuật phản chiếu và khuếch đại[3].

Kết Luận

Tấn công DDoS là một mối đe dọa dai dẳng, và các phương pháp của chúng luôn tiếp tục phát triển. Việc hiểu các phương pháp phổ biến được sử dụng trong các cuộc tấn công DDoS, bao gồm phản chiếu, khuếch đại và botnet, là rất quan trọng để phát triển các chiến lược giảm thiểu hiệu quả. Kết hợp các phương pháp truyền thống với phát hiện dựa trên AI và các chiến lược phòng ngừa chủ động có thể giúp bảo vệ khỏi những cuộc tấn công tinh vi này.

Tài liệu tham khảo:

  • [1] Wallarm. (2025, 11 tháng 3). 16 Best DDoS Attack Tools in 2025.
  • [2] Nuiaa, R., et al. (2022). Detecting and Mitigating DDoS Attacks with AI: A Survey.
  • [3] iSAQB. (2025, 18 tháng 3). DDoS: Permanent Flood of Data Without a Protection Strategy – And How To Protect Yourself Against It.
  • [4] PMC. (2025, 19 tháng 3). Securing IIoT systems against DDoS attacks with adaptive moving average filters.