Cuộc tấn công từ chối dịch vụ (DoS) là gì?
Hiểu về lịch sử, sự phát triển và mức độ nghiêm trọng của cuộc tấn công từ chối dịch vụ
Chia sẻ
Tấn công Từ chối Dịch vụ (DoS) là một trong những hình thức tấn công mạng lâu đời và dai dẳng nhất. Mục tiêu của nó rất đơn giản: từ chối khả năng truy cập dịch vụ hợp pháp.
Các hình thức của các cuộc tấn công từ chối dịch vụ
Các cuộc tấn công DoS chủ yếu xảy ra thông qua các kỹ thuật sau:
- Tấn công Tràn Dữ liệu (Flooding): một cuộc tấn công phối hợp làm quá tải các máy chủ chịu trách nhiệm hỗ trợ dịch vụ với lưu lượng nhiều hơn khả năng xử lý.
- Khai thác lỗ hổng bảo mật: các thông điệp cụ thể — gọi là exploit — làm dịch vụ không thể sử dụng được bằng cách làm cạn kiệt tài nguyên tính toán của nó, như gây vòng lặp vô hạn, làm chậm, làm sập, đóng băng hoặc khởi động lại ứng dụng.
Do đó, các kẻ tấn công khai thác lỗ hổng hoặc làm quá tải các tài nguyên như băng thông mạng, CPU và bộ nhớ đến mức mục tiêu không thể phục vụ khách hàng.
Một trong những hình thức hiệu quả nhất của cuộc tấn công này là dạng phân tán — Tấn công Từ chối Dịch vụ Phân tán (DDoS) — trong đó kẻ tấn công xâm nhập và kiểm soát nhiều máy, sau đó điều phối cuộc tấn công lên nạn nhân. Thông thường, các cuộc tấn công sử dụng phương pháp tràn dữ liệu nêu trên là DDoS.
Khó truy dấu và có tác động mạnh, các cuộc tấn công DoS và DDoS đã tồn tại từ khi internet thương mại ra đời và không ngừng phát triển theo các phương thức hiện đại và hiệu quả hơn, như việc ứng dụng trí tuệ nhân tạo và công nghệ đám mây trong việc điều phối các cuộc tấn công này gần đây.
Vậy một cuộc tấn công DoS bắt đầu như thế nào?
Cách thức thiết bị bị thu thập, tấn công và khai thác
Bạn có thể đã nghe về botnet và các rủi ro của VPN miễn phí. Tải xuống các chương trình độc hại ẩn dưới các dịch vụ hợp pháp là một trong những cách phổ biến nhất để thiết bị bị xâm nhập, nhắc nhở chúng ta về châm ngôn triết học trên các diễn đàn Reddit: nếu dịch vụ là miễn phí, bạn chính là sản phẩm.
Ý tưởng cơ bản đằng sau một cuộc tấn công DDoS — tức là dạng phân tán của DoS, vốn là hình thức phổ biến nhất hiện nay — trước hết là thu thập đủ sức mạnh tính toán để làm quá tải dịch vụ nạn nhân. Điều này được thực hiện bằng cách chiếm quyền các thiết bị dễ bị tổn thương và cài đặt phần mềm độc hại lên chúng, cho phép kẻ chủ mưu kiểm soát từ xa các thiết bị đó.
Tập hợp các máy tính, máy chủ và thiết bị IoT bị chiếm quyền gọi là botnet, và đây là đội quân máy tính của tội phạm mạng. Thứ hai, sự xâm nhập vào mạng lưới máy tính này giúp ẩn danh nguồn gốc cuộc tấn công, nghĩa là những kẻ gây ra các cuộc tấn công DDoS hiếm khi bị truy cứu trách nhiệm.
Do đó, trước khi tải về một dịch vụ VPN hoặc web “miễn phí”, hãy cân nhắc rằng máy của bạn có thể bị chiếm quyền để tham gia botnet tội phạm và nhiều hoạt động phi pháp khác — đặc biệt là các cuộc tấn công DDoS — có thể bị liên kết với địa chỉ IP của bạn mà bạn không hay biết.
Kiến trúc tấn công DoS
Dưới đây là ví dụ về kiến trúc phân tán trong đó kẻ tấn công xâm nhập nhiều máy thông qua các handler, giữ kín danh tính và đổ trách nhiệm cho chủ sở hữu các máy bị tuyển mộ vào botnet.
Hình 1.1 - kiến trúc handlers / agent.
Ý tưởng trung tâm đằng sau các handler, là các máy chủ trung gian giữa kẻ tấn công và máy bị nhiễm, là gây khó khăn cho việc truy tìm hacker hoặc nhóm gây ra cho cuộc tấn công. Do đó, các máy agent — lực lượng tiền tuyến — phản hồi trực tiếp với máy chủ handler, thực hiện cuộc tấn công DoS hoặc DDoS lên nạn nhân, thông qua các exploit hoặc tràn dữ liệu. Tất nhiên, các handler được kiểm soát bởi kẻ tấn công.
Điểm chung của agent và handler là gì? Thông thường, là do các chính sách bảo mật yếu kém, như:
- Mật khẩu yếu hoặc mặc định
- Tường lửa cấu hình kém
- Hệ thống lỗi thời chưa được vá bảo mật.
Ngoài ra, tấn công xã hội (social engineering), trong đó tội phạm thường xuyên giả mạo các giao tiếp nội bộ công ty, kích thích việc cài đặt phần mềm độc hại, thao túng nhân viên để cấp quyền truy cập đặc quyền vào hệ thống công ty, hoặc đơn giản là gửi các liên kết độc hại qua email, là một trong các cách hiệu quả nhất để xâm nhập và kiểm soát thiết bị.
Cuộc cách mạng thị trường DoS với đám mây và trí tuệ nhân tạo
Rủi ro trong môi trường đám mây
Không ai muốn nhớ về những năm đại dịch COVID-19: phong tỏa, khủng hoảng kinh tế, các dịch vụ y tế công quá tải và cái chết... Thực sự đó là những năm tháng đầy đau thương. Nhưng một tác động kéo dài — có thể tích cực đối với một số người — là sự tăng tốc và phổ biến của hình thức làm việc tại nhà.
Tuy nhiên, làm việc tại nhà có nghĩa là, trong hầu hết các trường hợp, truy cập hệ thống công ty từ xa. Điều này đồng nghĩa với việc sử dụng các dịch vụ trên đám mây.
Tóm lại, có thể hiểu đám mây là các máy tính mạnh mẽ đặt trong các trung tâm dữ liệu lớn trên thế giới để lưu trữ và cung cấp các dịch vụ thương mại. Nói cách khác, thay vì chạy trên máy của bạn hoặc máy chủ của công ty bạn, dịch vụ chạy trên các máy của nhà cung cấp đám mây như AWS, Microsoft Azure và Google Cloud.
Thường thì một công ty thuê hai, ba hoặc nhiều nhà cung cấp đám mây để lưu trữ dịch vụ của mình. Tuy nhiên, mỗi đám mây có cấu hình, quyền hạn và nhật ký khác nhau. Sự phân mảnh này có thể gây ra những bất nhất về bảo mật. Quan trọng hơn, việc áp dụng rộng rãi dịch vụ đám mây mở rộng bề mặt tấn công tiềm năng.
Vì vậy, chúng ta có thể thấy các phương pháp tấn công DoS phát triển theo công nghệ tiên tiến tại từng thời điểm lịch sử.
Máy tính cá nhân tại nhà
Vào thập niên 1990 và 2000, sự phổ biến của máy tính cá nhân tại nhà tạo ra các sâu tự nhân bản và phần mềm độc hại khác như Phatbot, xâm nhập hệ thống Windows và được sử dụng trong botnet.
Internet vạn vật (IoT)
Trong giai đoạn 2010–2015, cuộc cách mạng thiết bị Internet vạn vật (IoT) đã tăng số lượng máy dễ bị tổn thương đáng kể, tạo nên các vụ điển hình như Mirai.
Dịch vụ đám mây
Sau năm 2020, việc áp dụng rộng rãi dịch vụ đám mây mang lại cả cơ hội mới và rủi ro mới. Hiện nay, các cuộc tấn công theo lưu lượng có thể nhắm vào các dịch vụ đám mây quan trọng, tận dụng tính đàn hồi của chúng và biến DDoS thành một cuộc tấn công kinh tế: đám mây chịu tải lưu lượng nhưng tính phí cho từng yêu cầu.
Gia tăng rủi ro nhờ trí tuệ nhân tạo
Cùng lúc đó, trí tuệ nhân tạo đã trở thành yếu tố trung tâm trong các cuộc tấn công này. Trước đây cần sự phối hợp thủ công của hacker hoặc nhóm, hiện nay các cuộc tấn công được tự động hóa bằng các thuật toán học máy. Các hệ thống này phân tích phòng thủ theo thời gian thực và điều chỉnh cuộc tấn công trong vài giây, làm tăng tính bền bỉ của nó. Ngoài ra, việc phổ biến các mô hình như FraudGPT và WormGPT đã đem công cụ tấn công đến cả những người mới bắt đầu. Các script kiddie giờ có thể làm việc nhóm với các mô hình ngôn ngữ lớn (LLM), tăng sức mạnh tấn công mặc dù kỹ năng kỹ thuật còn thấp.
Trí tuệ nhân tạo cách mạng hóa thị trường
Vì vậy, sự kết hợp của đám mây và trí tuệ nhân tạo đã cách mạng hóa thị trường DDoS: đám mây mang lại quy mô và tác động kinh tế, trong khi AI mang lại tính thích nghi và khả năng tiếp cận.
Cuối cùng nhưng không kém phần quan trọng, chúng ta đang nói về một thị trường DDoS: giống như việc thuê dịch vụ stream và lưu trữ đám mây hàng tháng, các thị trường tội phạm cho các cuộc tấn công DDoS theo yêu cầu cũng có trên các kênh Telegram.
Thực tế, chưa bao giờ dễ dàng hơn để tấn công đối thủ của bạn vào Black Friday hay thậm chí tặng kẻ thù với hàng triệu yêu cầu HTTP mỗi giây.
Lịch sử các cuộc tấn công DoS
Ngày | Description | Tech Stack | Responsible(s) |
|---|---|---|---|
2003-2004 | Emergence of the Phatbot [1] worm, which exploited vulnerabilities in Windows systems to control millions of machines, used for spam, credential theft, and massive DDoS attacks. | Exploiting vulnerabilities in Windows + self-replicating worms | No clear central authorship |
2016 | The Mirai [2] botnet, made up of millions of insecure IoT devices (cameras, routers, DVRs), was used in an attack against DynDNS, which resulted in the shutdown of global services such as Netflix & Amazon. | Exploitation of default passwords on IoT devices, creation of a massive botnet, and distributed volumetric attack | In 2017, Paras Jha, Josiah White, and Dalton Norman pleaded guilty to crimes related to the Mirai botnet. [45] By assisting the government in other investigations, they were sentenced to probation and community service without |
2016 | Exploitation of the TR-069 protocol, used by modems for remote management. Malicious files sent caused a mass reboot of millions of devices in Europe | Exploitation of the TR-069 (CWMP) protocol, sending malicious SOAP payloads [2]. | Daniel Kaye (“SpiderMan”), British hacker hired to attack a Liberian telecom company. He ended up shutting down the entire internet in Liberia. |
2018 | GitHub suffered one of the largest DDoS attacks in history at the time, with peaks of 1.3 Tbps, exploiting open memcached servers on the internet. | Memcached amplification [3] (reflection and amplification via UDP) | Not attributed to a specific group; likely operators of rented botnets (DDoS-for-hire) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2023 | Discovery and exploitation of the HTTP/2 Rapid Reset Attack [4], in which multiple connections are opened and quickly canceled, overloading modern web servers | HTTP/2 protocol, exploitation of the pipelining mechanism and stream reset | The attack was claimed by the pro-Russia hacker activist group NoName05617 |
2025 | The social network X (formerly Twitter) was the target of a massive DDoS attack, which sought to draw political attention and cause media chaos | Botnets distributed across cloud servers + coordination on Telegram, using modern L3/L4/L7 flooding [5] techniques | Dark Storm Team, a pro-Palestinian hacker activist group. |
Lưu ý: Những tuyên bố nhận trách nhiệm về các cuộc tấn công thực hiện bởi nhóm hackeractivist không đủ để chứng minh họ là tác giả. Quan trọng là có một thị trường dịch vụ thuê DDoS và các nhóm khác nhau — dù có hoặc không có động cơ chính trị — đang cạnh tranh để thu hút sự chú ý của truyền thông, người ủng hộ và doanh thu.
Tại sao chống lại DoS là một thách thức lớn
Chống lại các cuộc tấn công DoS và DDoS là một trong những thách thức lớn nhất trong bảo mật kỹ thuật số hiện đại. Những lý do này bao gồm từ các hạn chế kỹ thuật đến các yếu tố kinh tế và xã hội. Trong số những khó khăn chính có:
Khả năng mở rộng của cuộc tấn công
Các nhà cung cấp điện toán đám mây có thể tiếp nhận hàng triệu kết nối đồng thời mà không làm dịch vụ của họ bị gián đoạn. Tuy nhiên, mỗi yêu cầu bổ sung được xử lý đều tạo ra chi phí — và những chi phí này được chuyển sang công ty mục tiêu. Do đó, một cuộc tấn công theo dung lượng không chỉ làm dịch vụ bị gián đoạn mà còn gây ra tổn thất kinh tế lớn, biến DDoS thành một vũ khí tài chính.
Khó theo dõi
Một kỹ thuật kinh điển được sử dụng trong các cuộc tấn công là giả mạo IP. Trong kỹ thuật này, kẻ tấn công giả mạo địa chỉ IP nguồn trong các gói tin gửi đi, khiến chúng có vẻ như xuất phát từ nơi khác. Kết hợp với việc sử dụng các máy chủ trung gian (handlers) và mạng phân tán, điều này khiến việc xác định tác giả thật sự của cuộc tấn công trở nên khó khăn. Kết quả là, thường thì cuộc điều tra chỉ theo dõi được các máy điều khiển — những máy bị chiếm quyền để tạo thành botnet — chứ không phải kẻ tấn công thực sự điều phối DDoS.
Sự tương đồng giữa lưu lượng hợp pháp và phi hợp pháp
Phân biệt người dùng thực với bot là một trong những khía cạnh phức tạp nhất của phòng chống DDoS. Điều này là do kẻ tấn công không gửi các gói tin “lạ” hoặc dễ nhận biết, mà mô phỏng các yêu cầu hoàn toàn hợp lệ, sử dụng cùng giao thức (HTTP/HTTPS, DNS), cổng và định dạng dữ liệu như truy cập hợp pháp. Thường thì các gói tin có tiêu đề chính xác, token hợp lệ và thậm chí tuân theo các mẫu duyệt web điển hình của người dùng.
Ví dụ, trong các cuộc tấn công lớp 7, một yêu cầu GET hoặc POST đơn giản do bot thực hiện hoàn toàn giống với một người dùng thực hiện. Ngoài ra, một số nhóm áp dụng kỹ thuật máy học để phân tích lưu lượng thực và tạo ra các mẫu mô phỏng — tái tạo nhịp độ truy cập, thời điểm cao điểm và thậm chí tương tác API. Do đó, về cơ bản, lưu lượng tấn công thường không thể phân biệt với lưu lượng hợp pháp, đến từ nhiều nguồn khác nhau, có mẫu tương tự người dùng hợp pháp, chỉ khác biệt rõ ràng về quy mô — tức là số lượng yêu cầu mỗi giây.
Mở rộng bề mặt tấn công
Trong bối cảnh hiện tại, sự phụ thuộc vào nhiều nhà cung cấp đám mây, sự bùng nổ thiết bị IoT chưa được vá lỗi bảo mật, và sự phát triển mạnh mẽ của các API bên thứ ba tạo ra nhiều lỗ hổng hơn. Nguyên nhân API là rất quan trọng: do giao tiếp là giữa máy với máy, việc phân biệt lưu lượng hợp pháp và lưu lượng độc hại đặc biệt khó khăn. Kẻ tấn công có thể mô phỏng các yêu cầu chính xác, với biến số và token hợp lệ, nhưng vẫn dùng chúng ở quy mô lớn để làm cạn kiệt tài nguyên hệ thống.
Cạnh tranh giữa các hacker
Việc xác định tác giả các cuộc tấn công DDoS hiếm khi rõ ràng. Các nhóm có thể tuyên bố nhận trách nhiệm về các cuộc tấn công mà thực tế không thực hiện tuyên bố đó, chỉ với mục đích nâng cao danh tiếng. Vì các cuộc tấn công được phối hợp ẩn danh, thường trên các kênh như Telegram, “quyền tác giả” không đồng nghĩa với “sự thật”. Hơn nữa, vì botnet buộc tội chủ sở hữu các máy điều khiển, việc xác định chính xác kẻ tấn công hoặc nhóm chịu trách nhiệm càng trở nên không chắc chắn hơn.
Phần kết luận
Các cuộc tấn công DoS và DDoS đã phát triển cùng với chính internet. Mặc dù ban đầu chỉ là các cuộc tấn công quá tải cơ bản, ngày nay chúng kết hợp quy mô toàn cầu, tự động hóa và trí tuệ nhân tạo, trở nên tinh vi và dai dẳng hơn.
Sự dân chủ hóa tội phạm mạng, hiện được tiếp thị công khai trên các kênh Telegram, với các gói dịch vụ DDoS, thanh toán bằng tiền điện tử, và thậm chí các mô hình ngôn ngữ lớn (LLM) được huấn luyện để hỗ trợ trong tạo phần mềm độc hại như FraudGPT và WormGPT, đã hạ thấp rào cản tham gia cho các cuộc tấn công DDoS.
Như Báo cáo Mối đe dọa Radware cho thấy [7], các cuộc tấn công DDoS trên web đã tăng 550% từ 2023 đến 2024, trong khi các cuộc tấn công DDoS mạng tăng 120%. Chúng ta cũng đang chứng kiến sự mở rộng bề mặt tấn công cùng với sự phát triển của thị trường đám mây, và triển vọng tương lai vẫn như 30 năm trước: khi các tính năng mới xuất hiện, các lỗ hổng mới cũng phát sinh, sẽ bị khai thác, sau đó được khắc phục, rồi lại bị khai thác trở lại trong vòng quay không ngừng của cuộc chiến về bảo mật kỹ thuật số.
Cuối cùng, DDoS không chỉ là một vấn đề kỹ thuật — nó như tấm gương phản chiếu internet: mở, mạnh mẽ và mỏng manh, nhắc nhở chúng ta rằng khả năng phục hồi phải phát triển nhanh như các mối đe dọa.
Tài liệu tham khảo
-
Phatbot - Science Direct
-
Mirai botnet là gì? - Malwarebytes
-
Cách hoạt động của TR-069 - Made4it
-
7 lỗ hổng SOAP hàng đầu - Brightsec
-
Tấn công Memcached DDoS - Cloudflare
-
Tấn công Rapid Reset DDoS - Cloudfare
-
Lớp 3, 4 và 7 là gì? - Prophaze
Tấn công DDoS: Câu hỏi thường gặp
Tấn công DoS làm máy chủ hoặc mạng bằng lưu lượng truy cập tràn quá mức để làm quá tải tài nguyên của nó. Mục tiêu là làm cho trang web, dịch vụ hoặc ứng dụng tạm thời không khả dụng đối với người dùng thực bằng cách làm cạn kiệt băng thông hoặc dung lượng hệ thống.
Tấn công DoS xuất phát từ một nguồn duy nhất, trong khi tấn công DDoS (tấn công từ chối dịch vụ phân tán) sử dụng hàng trăm hoặc hàng nghìn thiết bị bị nhiễm trên toàn thế giới. Các cuộc tấn công DDoS khó truy vết và phòng chống hơn vì chúng xuất hiện dưới dạng lưu lượng truy cập hợp pháp từ nhiều thiết bị cuối.
VPN che giấu địa chỉ IP thực của bạn, khiến kẻ tấn công khó nhắm mục tiêu trực tiếp vào thiết bị của bạn hơn. Các VPN phi tập trung như NymVPN cung cấp khả năng bảo vệ mạnh mẽ hơn bằng cách định tuyến dữ liệu qua mixnet, do đó kẻ tấn công thậm chí không thể xác định hoặc theo dõi nguồn kết nối của bạn.
Hãy ngắt kết nối ngay lập tức, khởi động lại bộ định tuyến và liên hệ với nhà cung cấp dịch vụ Internet hoặc nhà cung cấp dịch vụ hosting của bạn. Việc chuyển đổi mạng hoặc sử dụng VPN có thể giúp che giấu địa chỉ IP mới của bạn. Đối với các tổ chức, việc triển khai các công cụ chống tấn công DDoS và định tuyến phi tập trung có thể giảm thiểu các cuộc tấn công trong tương lai.