Theo thống kê của Digital Forensic, có đến 650.000 điện thoại di động thực hiện 4,5 triệu kết nối cùng lúc để thực hiện tấn công từ chối dịch vụ. Link tham khảo tại đây

Với sự phổ biến của các thiết bị cầm tay và sức mạnh của chúng ngày càng được nâng cấp thì việc thực hiện một số chức năng của máy tính là hoàn toàn dễ dàng.

Ví dụ: Cài python lên android, cài python trên tablet, cài python trên iphone....

Tải ứng dụng ddos và thực hiện lệnh có thể nói là 1 nốt nhạc.

Ngoài ra, các đối tượng tấn công mạng có thể sử dụng các nền tảng web để thực hiện botnet, stresser để triệt hạ website đối thủ hay phá phách thể hiện sự bá đạo của mình.

Việc phòng chống ddos cũng không khó khăn nhưng cũng không phải dễ dàng vì nạn nhân luôn là người ở thế bị động. Vì việc dùng tường lửa để phòng thủ hay bảo vệ website thì không phải ai cũng quan tâm, đến lúc bị mới lo vá

Sau đây firewall.wiki sẽ thống kê một số hình thức ddos mà chúng tôi thu thập được để các bạn có cái nhìn tổng quan. Rảnh rổi mình lại viết vài bài để chia sẻ để anh em có đam mê đọc.

Theo Cloudflare tổ chức cung cấp dịch vụ DNS và tường lửa có trụ sở tại Mỹ. 

Họ đã thống kê và trình bày rõ một số hình thức ddos mà attracker tấn công vào mục tiêu 

Tấn công DoS và DDoS là gì?

Các cuộc tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS) là những nỗ lực độc hại nhằm phá vỡ hoạt động bình thường của một máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách áp đảo nó bằng một lượng lớn lưu lượng truy cập Internet.

Các cuộc tấn công DoS thực hiện sự gián đoạn này bằng cách gửi lưu lượng độc hại từ một máy duy nhất - thường là một máy tính. Chúng có thể rất đơn giản; một cuộc tấn công lũ lụt ping cơ bản có thể được thực hiện bằng cách gửi nhiều yêu cầu ICMP (ping) đến một máy chủ được nhắm mục tiêu hơn là nó có thể xử lý và phản hồi một cách hiệu quả.

Trong khi đó, các cuộc tấn công DDoS sử dụng nhiều máy để gửi lưu lượng độc hại đến mục tiêu của chúng. Thông thường, những máy này là một phần của mạng botnet - một tập hợp các máy tính hoặc thiết bị khác đã bị nhiễm phần mềm độc hại và do đó có thể bị điều khiển từ xa bởi một kẻ tấn công cá nhân. Trong các trường hợp khác, nhiều kẻ tấn công riêng lẻ khởi động các cuộc tấn công DDoS bằng cách làm việc cùng nhau để gửi lưu lượng truy cập từ các máy tính cá nhân của họ.

Các cuộc tấn công DDoS ngày càng phổ biến và gây hại trong Internet hiện đại vì hai lý do. Đầu tiên, các công cụ bảo mật hiện đại đã phát triển để ngăn chặn một số cuộc tấn công DoS thông thường. Thứ hai, các công cụ tấn công DDoS đã trở nên tương đối rẻ và dễ vận hành.

Các công cụ tấn công DoS / DDoS được phân loại như thế nào?

Một số công cụ tồn tại có thể được điều chỉnh để khởi chạy các cuộc tấn công DoS / DDoS hoặc được thiết kế rõ ràng cho mục đích đó. Loại trước đây thường là “ tác nhân gây căng thẳng” - các công cụ với mục đích đã nêu là giúp các nhà nghiên cứu bảo mật và kỹ sư mạng thực hiện các bài kiểm tra căng thẳng đối với mạng của chính họ, nhưng cũng có thể được sử dụng để thực hiện các cuộc tấn công thực sự.

Một số chuyên biệt và chỉ tập trung vào một lớp cụ thể của mô hình OSI , trong khi những lớp khác được thiết kế để cho phép nhiều vectơ tấn công. Các loại công cụ tấn công bao gồm:

Các công cụ tấn công chậm và thấp

Như tên của nó, các loại công cụ tấn công này sử dụng một khối lượng dữ liệu thấp và hoạt động rất chậm . Được thiết kế để gửi một lượng nhỏ dữ liệu qua nhiều kết nối nhằm giữ cho các cổng trên máy chủ được nhắm mục tiêu mở càng lâu càng tốt, các công cụ này tiếp tục chiếm tài nguyên của máy chủ cho đến khi nó không thể duy trì các kết nối bổ sung. Đặc biệt, các cuộc tấn công thấp và chậm đôi khi có thể có hiệu quả ngay cả khi không sử dụng hệ thống phân tán như botnet và thường được sử dụng bởi một máy duy nhất.

Công cụ tấn công lớp ứng dụng (L7)

Các công cụ này nhắm mục tiêu đến lớp 7 của mô hình OSI , nơi các yêu cầu dựa trên Internet như HTTP xảy ra. Sử dụng cuộc tấn công tràn ngập HTTP để áp đảo mục tiêu với các yêu cầu HTTP GET và POST, tác nhân độc hại có thể khởi chạy lưu lượng tấn công khó phân biệt với các yêu cầu bình thường do khách truy cập thực tế thực hiện.

Công cụ tấn công lớp giao thức và vận chuyển (L3 / L4)

Đi sâu hơn xuống ngăn xếp giao thức, các công cụ này sử dụng các giao thức như UDP để gửi khối lượng lớn lưu lượng truy cập đến một máy chủ được nhắm mục tiêu, chẳng hạn như trong một đợt lũ UDP . Mặc dù thường không hiệu quả riêng lẻ, các cuộc tấn công này thường được tìm thấy dưới dạng các cuộc tấn công DDoS trong đó lợi ích của các máy tấn công bổ sung làm tăng hiệu ứng.

Các công cụ tấn công DoS / DDoS thường được sử dụng là gì?

Một số công cụ thường được sử dụng bao gồm:

LOIC

LOIC là một ứng dụng kiểm tra căng thẳng mã nguồn mở. Nó cho phép cả tấn công lớp giao thức TCP và UDP được thực hiện bằng giao diện WYSIWYG thân thiện với người dùng. Do sự phổ biến của công cụ gốc, các dẫn xuất đã được tạo ra cho phép thực hiện các cuộc tấn công bằng trình duyệt web.

HOIC

Công cụ tấn công này được tạo ra để thay thế LOIC bằng cách mở rộng khả năng của nó và thêm các tùy chỉnh. Sử dụng giao thức HTTP, HOIC có thể khởi động các cuộc tấn công có chủ đích rất khó giảm thiểu. Phần mềm được thiết kế để có tối thiểu 50 người làm việc cùng nhau trong nỗ lực tấn công phối hợp.

Slowloris

Slowloris là một ứng dụng được thiết kế để kích động một cuộc tấn công thấp và chậm vào một máy chủ được nhắm mục tiêu. Nó cần một lượng tài nguyên tương đối hạn chế để tạo ra hiệu ứng gây hại.

RUDY (RU-Dead-Yet)

RUDY là một công cụ tấn công chậm và thấp khác được thiết kế để cho phép người dùng dễ dàng thực hiện các cuộc tấn công bằng giao diện trỏ và nhấp đơn giản. Bằng cách mở nhiều yêu cầu HTTP POST và sau đó giữ các kết nối đó mở càng lâu càng tốt, cuộc tấn công nhằm mục đích từ từ áp đảo máy chủ được nhắm mục tiêu.

Làm cách nào để chống lại các công cụ DoS / DDoS?

Vì các cuộc tấn công DoS và DDoS có nhiều hình thức khác nhau nên việc giảm thiểu chúng đòi hỏi nhiều chiến thuật khác nhau. Các chiến thuật phổ biến để ngăn chặn các cuộc tấn công DDoS bao gồm:

• Giới hạn tỷ lệ: Giới hạn số lượng yêu cầu mà máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định
• Tường lửa ứng dụng web: Công cụ lọc lưu lượng truy cập web dựa trên một loạt các quy tắc
• Khuếch tán mạng Anycast: Đặt một mạng đám mây lớn, phân tán giữa máy chủ và lưu lượng truy cập đến, cung cấp tài nguyên tính toán bổ sung để đáp ứng các yêu cầu.