BÁO CÁO KỸ THUẬT: TẤN CÔNG DoS & DDoS - Rủi Ro và Biện Pháp Phòng Thủ. Môn Ứng dụng Web | Đại học Trường Đại học Phenika.
1) Tóm tắt điều hành (Executive Summary)
• DoS (Denial of Service): Làm suy giảm hoặc ngừng dịch vụ bằng cách làm cạn kiệt tài nguyên của mục tiêu (CPU, RAM, băng thông, kết nối).
• DDoS (Distributed DoS): Phiên bản phân tán của DoS, sử dụng nhiều nguồn (thường là botnet) để tấn công đồng thời, khó lọc hơn và quy mô lớn hơn.
• Tác động chính: Ngừng dịch vụ, mất doanh thu, vi phạm SLA, giảm uy tín, chi phí khắc phục tăng.
• Chiến lược phòng thủ: Phối hợp nhiều lớp – giảm thiểu tại nguồn, lọc ở biên, Anycast/CDN, WAF/L7, hạ tầng co giãn, kế hoạch ứng phó và diễn tập định kỳ.
BÁO CÁO KỸ THUẬT: TẤN CÔNG DoS & DDoS - Rủi Ro và Biện Pháp Phòng Thủ. Môn Ứng dụng Web | Đại học Trường Đại học Phenika.
Tài liệu gồm 5 trang giúp bạn tham khảo, củng cố kiến thức và ôn tập đạt kết quả cao trong kỳ thi sắp tới. Mời bạn đọc đón xem!
Môn: Ứng dụng Web 18 tài liệu
Trường: Đại học Phenika 1.2 K tài liệu
Tác giả:
Preview text:
lOMoAR cPSD| 59735516
BÁO CÁO KỸ THUẬT: TẤN CÔNG DoS & DDoS
Mục tiêu: Cung cấp cái nhìn toàn diện, có thể hành động về rủi ro DoS/DDoS, dấu hiệu
nhận biết, tác động kinh doanh, và biện pháp phòng thủ – phục vụ đào tạo nội bộ và lập kế hoạch ứng phó sự cố.
1) Tóm tắt điều hành (Executive Summary)
• DoS (Denial of Service): Làm suy giảm hoặc ngừng dịch vụ bằng cách làm cạn kiệt tài
nguyên của mục tiêu (CPU, RAM, băng thông, kết nối).
• DDoS (Distributed DoS): Phiên bản phân tán của DoS, sử dụng nhiều nguồn (thường là
botnet) để tấn công đồng thời, khó lọc hơn và quy mô lớn hơn.
• Tác động chính: Ngừng dịch vụ, mất doanh thu, vi phạm SLA, giảm uy tín, chi phí khắc phục tăng.
• Chiến lược phòng thủ: Phối hợp nhiều lớp – giảm thiểu tại nguồn, lọc ở biên,
Anycast/CDN, WAF/L7, hạ tầng co giãn, kế hoạch ứng phó và diễn tập định kỳ. 2) Khái niệm và phạm vi
• DoS: Tấn công từ một nguồn đơn lẻ nhằm làm không khả dụng dịch vụ.
• DDoS: Tấn công từ nhiều nguồn phân tán (máy tính, IoT bị nhiễm malware tạo botnet).
• Mục tiêu phổ biến: Website, API, DNS, VPN, VoIP, ứng dụng di động, cổng thanh toán, game server.
• Phạm vi báo cáo: Tập trung vào dấu hiệu, phân loại tấn công, biện pháp giảm thiểu, kế
hoạch ứng phó, chỉ số và bài học thực tiễn. Không cung cấp hướng dẫn thực hiện tấn công.
3) Phân loại tấn công DDoS
1. Volumetric (L3/L4 băng thông) o Mục tiêu: Bão hòa băng thông mạng. o Ví dụ:
UDP flood, ICMP flood, DNS/NTP/SSDP/CLDAP amplification, TCP SYN flood quy mô lớn.
2. Protocol/State Exhaustion (L4/L5) o Mục tiêu: Cạn kết nối hoặc bảng trạng thái
thiết bị (firewall, load balancer, máy chủ).
o Ví dụ: SYN flood, ACK/RST flood, lạm dụng TLS handshake.
3. Application-layer (L7) o Mục tiêu: Tài nguyên ứng dụng (CPU, I/O, DB, thread pool)
bằng lưu lượng trông “hợp lệ”. lOMoAR cPSD| 59735516
o Ví dụ: HTTP GET/POST flood, Slowloris/Slow HTTP, lạm dụng endpoint tốn tài
nguyên (tìm kiếm, xuất báo cáo, tải tệp lớn).
4) Kỹ thuật & vector tấn công phổ biến
• SYN Flood: Gửi ồ ạt SYN tạo kết nối nửa vời, làm đầy backlog.
• UDP/ICMP Flood: Tràn băng thông, gây nghẽn đột ngột.
• Amplification/Reflection: Giả mạo IP nguồn (spoofing) và khai thác dịch vụ mở (DNS,
NTP, SSDP, Memcached…) để khuếch đại lưu lượng.
• HTTP Flood: Nhiều yêu cầu L7 khó phân biệt với người dùng thật; có thể tấn công vào endpoint nặng.
• Slowloris/Slow HTTP: Giữ kết nối lâu bằng cách gửi dữ liệu nhỏ giọt.
• TLS/SSL Exhaustion: Lạm dụng chi phí handshake/crypto.
• Botnet IoT: Lây nhiễm thiết bị yếu (ví dụ dòng họ Mirai) tạo mạng lưới khổng lồ.
Lưu ý: Các mô tả nhằm nhận diện và phòng thủ, không hướng dẫn khai thác.
5) Dấu hiệu nhận biết & chỉ số theo dõi (KPIs) • Dấu hiệu
o Lưu lượng tăng đột biến, tỷ lệ packet drop cao, latency tăng, timeout nhiều. o
CPU/Memory server tăng bất thường; error rate 5xx tăng; RPS tăng nhưng
conversion giảm. o SYN backlog đầy, established connections bất thường, tăng incomplete handshakes.
o DNS: TTL bị bỏ qua, NXDOMAIN tăng, truy vấn lặp lại từ nhiều ASN.
• Chỉ số/KPIs cần giám sát o PPS (Packets per second), Gbps, RPS (Requests per second) theo lớp L3→L7.
o Conns: SYN/ACK ratio, incomplete vs. completed handshakes.
o App: P95/P99 latency, error 4xx/5xx, queue depth, thread pool saturation.
o Infra: CPU, memory, NIC RX/TX, drops, retransmits.
6) Tác động kinh doanh & rủi ro
• Dừng dịch vụ → mất doanh thu trực tiếp, vi phạm SLA.
• Mất uy tín → giảm niềm tin khách hàng/đối tác.
• Chi phí tăng → băng thông, scrubbing, autoscaling, nhân sự ứng phó.
• Hệ lụy an ninh → tấn công DDoS có thể đánh lạc hướng để che giấu xâm nhập khác. lOMoAR cPSD| 59735516
7) Chiến lược phòng thủ nhiều lớp (Defense-in-Depth)
1. Tại nguồn & mạng nội bộ o Cập nhật/ vá lỗi, hardening hệ thống, giảm bề mặt tấn công.
o Rate limiting, connection limiting, SYN cookies, tăng backlog hợp lý. o
Ingress/Egress filtering (BCP 38/84) để hạn chế IP spoofing (với nhà mạng/ISP).
o ACL, Geo-IP policies, chặn dịch vụ khuếch đại không cần thiết (NTP monlist, Open DNS resolver…).
2. Tại biên (edge) & trung gian o CDN/Anycast để phân tán lưu lượng, hấp thụ
volumetric. o WAF cho L7: chặn bot, JA3/SNI fingerprint, challenge (JS/Proof-
ofWork/CAPTCHA) khi nghi ngờ. o DDoS scrubbing (đám mây hoặc on-prem) với
profile chữ ký tấn công. o BGP Flowspec, RTBH (Remote Triggered Black Hole) khi cần chặn nhanh.
3. Tầng ứng dụng & kiến trúc o Thiết kế idempotent, caching (CDN, reverse proxy),
circuitbreaker, queue-based.
o Autoscaling và multi-region; giới hạn chi phí (budgets/alarms) để tránh scaling “cháy túi”.
o Endpoint nặng: thêm throttling, pagination, async job.
4. Giám sát & phản ứng o NetFlow/sFlow, IDS/IPS, SIEM; alert theo ngưỡng và dị
thường. o Runbook rõ ràng; diễn tập GameDay định kỳ.
8) Kế hoạch ứng phó sự cố (IR Playbook)
Giai đoạn 0 – Chuẩn bị - Rà soát asset inventory, RTO/RPO, bản đồ phụ thuộc (DNS, CDN, ISP,
API bên thứ ba). - Thống nhất Mức dịch vụ tối thiểu (MVP), kênh liên lạc (Slack/Email/Bridge),
vai trò. - Ký sẵn với nhà cung cấp chống DDoS, thử BGP/Anycast failover.
Giai đoạn 1 – Phát hiện - Kích hoạt cảnh báo khi vượt ngưỡng PPS/Gbps/RPS, error rate,
latency. - Xác định loại tấn công, lớp (L3/4/7), vector chính.
Giai đoạn 2 – Cô lập & Giảm thiểu - Bật scrubbing, cập nhật WAF rules, rate limit động, challenge.
- Với volumetric: phối hợp ISP cho RTBH/Flowspec; cân nhắc geoblock tạm thời. - Với L7: cache
tích cực, reduce features, chuyển read-only nếu cần.
Giai đoạn 3 – Phục hồi - Từng bước gỡ biện pháp tạm thời; giám sát hồi quy (latency, lỗi,
chuyển đổi). - Bật lại tính năng theo ưu tiên kinh doanh.
Giai đoạn 4 – Hậu kiểm (Postmortem) - Tổng hợp timeline, MAU/DAU, doanh thu, SLA; nguyên
nhân gốc; điều chỉnh SLO, runbook, quy tắc WAF. lOMoAR cPSD| 59735516
9) Kiểm thử & diễn tập
• Tabletop: Diễn tập kịch bản (DNS amp, HTTP flood) – kiểm tra quy trình, liên lạc.
• Chaos/Load: Kiểm tra autoscaling, hạn mức, khả năng chịu tải; luôn tuân thủ pháp lý.
• Red team vs Blue team: Bài học về phát hiện sớm và phối hợp. Cảnh báo pháp lý & đạo
đức: Chỉ kiểm thử trên hạ tầng thuộc quyền sở hữu hoặc có ủy quyền bằng văn bản.
10) Khía cạnh pháp lý (VN) – tổng quan ngắn
• Luật An ninh mạng 2018: Bảo vệ hệ thống thông tin quan trọng, hành vi tấn công mạng là vi phạm.
• BLHS 2015 (sửa đổi 2017): Các tội liên quan cản trở/hủy hoại hoạt động mạng và dữ liệu
có thể bị xử lý hình sự.
• Khuyến nghị: Làm việc với pháp chế nội bộ; lưu trữ log, bằng chứng đúng quy định.
(Nội dung không phải tư vấn pháp lý.)
11) Kiến trúc tham chiếu giảm thiểu
• Anycast CDN/WAF trước ứng dụng – hấp thụ volumetric.
• Reverse proxy với rate limit và caching.
• Service mesh (circuit breaker, retry budget) tránh khuếch đại nội bộ.
• DB: read-replica/ cache layer; backpressure khi quá tải.
• Observability: metrics/traces/logs hợp nhất; dashboard 1-click.
12) Danh sách kiểm (Checklist triển khai nhanh)
☐ Ký hợp đồng dịch vụ DDoS Protection (L3–L7).
☐ Bật SYN cookies, cấu hình backlog, timeout hợp lý.
☐ Thiết lập rate limit/throttle theo IP/ASN/API key.
☐ WAF rules cho pattern phổ biến (HTTP flood, bot signatures).
☐ CDN/Cache cho nội dung tĩnh và API GET.
☐ Alert theo PPS/Gbps/RPS, 5xx, P95/P99, backlog. lOMoAR cPSD| 59735516
☐ Runbook & kênh liên lạc; diễn tập hàng quý.
☐ Quy trình ISP coordination (RTBH/Flowspec).
☐ Postmortem template & SLA cập nhật. 13) Thuật ngữ nhanh
• Anycast: Cùng một IP được quảng bá từ nhiều vị trí để điều phối lưu lượng về POP gần nhất.
• RTBH: Chuyển hướng lưu lượng đến “hố đen” ở biên mạng để chặn khẩn cấp.
• BGP Flowspec: Phân phối quy tắc lọc ở lớp mạng qua BGP.
• JA3: Fingerprint TLS ClientHello để nhận diện nhóm client/bot.
14) Tài liệu tham khảo khuyến nghị
• NIST SP 800-61r2 – Computer Security Incident Handling Guide.
• ENISA – Good Practices for Mitigating DDoS Attacks.
• MANRS / BCP 38 – Khuyến nghị chống IP spoofing cho nhà mạng.
• FIRST.org – Traffic Light Protocol & IR best practices.
15) Phụ lục A – Mẫu Runbook ứng phó nhanh (rút gọn)
Trigger: PPS > ngưỡng X hoặc error 5xx > Y trong 5 phút.
B1. Báo động trên kênh #incident-ddos; chỉ định Incident Commander (IC).
B2. Phân loại tấn công (L3/4/7) và vector chính (SYN, UDP, HTTP, amp…).
B3. Kích hoạt: CDN/WAF “under attack mode”, tăng rate limit; bật scrubbing.
B4. Liên hệ ISP: yêu cầu RTBH/Flowspec nếu volumetric.
B5. Tối giản tính năng: tắt endpoint nặng, bật cache mạnh.
B6. Theo dõi KPIs: Gbps/PPS/RPS, latency P95/P99, 5xx; ghi timeline.
B7. Khi ổn định: rollback dần, xác nhận phục hồi; mở postmortem trong 24h. Hết.