Báo cáo bài tập lớn học phần an toàn và bảo mật hệ thông thông tin Đề tài các dạng tấn công dos và ddos

Các hình thức tấn công DoS phổ biếncác cuộc tấn công DoS, trong đó kẻ tấn công gửi một lượng lớn yêu cầu vào hệ thống mục tiêu, khiến hệ thống không thể xử lý và dẫn đến tình trạng ngừng

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

BÁO CÁO BÀI TẬP LỚN HỌC PHẦN: An toàn và bảo mật hệ thông thông tin

MÃ HỌC PHẦN: INT1303

ĐỀ TÀI: Các dạng tấn công DoS và DDoS

B18DCCN540-Nguyễn Đức Toàn

Tên nhóm: 09 Tên lớp: D22-009

Giảng viên hướng dẫn: Quản Trọng Thế

HÀ NỘI 2025

PHÂN CÔNG NHIỆM VỤ NHÓM THỰC HIỆN

Thời hạn hoàn thành

Mức hoàn thành CV

Kỹ năng giao tiếp

Kỹ năng hợp tác

Kỹ năng lãnh đạo

MỞ ĐẦU

1 Lý do chọn đề tài

Trong thời đại công nghệ số phát triển mạnh mẽ như hiện nay, hạ tầng mạng và các dịch vụ trực tuyến trở thành yếu tố cốt lõi đối với hoạt động của các cá nhân, tổ chức và doanh nghiệp Tuy nhiên, song song với sự phát triển ấy

là sự gia tăng không ngừng của các mối đe dọa an ninh mạng, đặc biệt là các cuộc tấn công từ chối dịch vụ (DoS – Denial of Service) và tấn công từ chối dịch

vụ phân tán (DDoS – Distributed Denial of Service).

Các hình thức tấn công DoS/DDoS tuy không quá phức tạp về mặt kỹ thuật, nhưng lại gây ra thiệt hại nghiêm trọng, khiến các hệ thống mạng bị tê liệt, dịch vụ ngừng hoạt động, ảnh hưởng đến doanh thu, uy tín và dữ liệu người dùng Các cuộc tấn công này ngày càng tinh vi hơn với sự hỗ trợ của các botnet lớn, các kỹ thuật phản xạ (amplification) và che giấu nguồn gốc tấn công, khiến cho việc phòng chống trở nên khó khăn và tốn kém.

Xuất phát từ tính thực tiễn và cấp thiết đó, nhóm chúng tôi chọn đề tài

“Tìm hiểu về các dạng tấn công DoS/DDoS và demo một công cụ tấn công”

nhằm phân tích sâu về các kỹ thuật tấn công, phân loại, cách thức hoạt động, công cụ được sử dụng cũng như các biện pháp phòng chống hiệu quả Đồng thời, thông qua việc mô phỏng một công cụ tấn công DoS/DDoS trong môi trường an toàn, chúng tôi mong muốn giúp người đọc hiểu rõ bản chất vấn đề và nâng cao nhận thức về an toàn mạng.

2 Mục tiêu của đề tài

 Trình bày khái niệm, lịch sử và các loại hình tấn công DoS và DDoS phổ biến.

 Phân tích cơ chế hoạt động của từng dạng tấn công, đặc biệt ở các tầng mạng (OSI).

 Tìm hiểu và phân tích một số công cụ tấn công phổ biến trong thực tế.

 Triển khai demo công cụ tấn công DoS/DDoS trong môi trường giả lập.

 Đề xuất các biện pháp phòng chống và phát hiện tấn công hiệu quả.

3 Phạm vi nghiên cứu

Mặc dù tấn công DoS không gây mất mát dữ liệu trực tiếp như các tấn công khác (ví dụ như tấn công mã độc), nhưng nó có thể gây ra nhiều thiệt hại nghiêm trọng về mặt tài chính và uy tín cho các tổ chức Một dịch vụ không thể truy cập sẽ làm gián đoạn hoạt động của doanh nghiệp, khiến khách hàng không thể sử dụng dịch vụ, từ đó ảnh hưởng đến doanh thu và sự tin tưởng của khách hàng.

Tóm lại, tấn công DoS là một mối đe dọa lớn đối với bất kỳ hệ thống mạng nào, từ các dịch vụ web cho đến các cơ sở hạ tầng quan trọng Các tổ chức

và doanh nghiệp cần có biện pháp bảo vệ hiệu quả để tránh rủi ro này.

2 Khái niệm về DDoS (Distributed Denial of Service)

Khái niệm về DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service -

DDoS) là một dạng tấn công mạng mạnh mẽ và phức tạp hơn nhiều so với Denial of Service (DoS) Trong tấn công DDoS, kẻ tấn công không chỉ sử dụng

một nguồn duy nhất để gửi yêu cầu tấn công, mà thay vào đó, nó thực hiện tấn công đồng thời từ hàng ngàn, thậm chí hàng triệu, máy tính và thiết bị kết nối mạng bị nhiễm mã độc, tạo thành một mạng lưới botnet Mỗi máy trong botnet

có thể gửi các yêu cầu hoặc gói dữ liệu đến hệ thống mục tiêu, làm tắc nghẽn tài nguyên của hệ thống và gây gián đoạn dịch vụ Mục tiêu chính của DDoS là làm cho dịch vụ không thể truy cập được đối với người dùng hợp pháp bằng cách làm quá tải hệ thống mục tiêu.

Cách thức hoạt động của DDoS

Các cuộc tấn công DDoS thường được thực hiện qua ba giai đoạn chính:

1 Lây nhiễm và xây dựng botnet: Kẻ tấn công phát tán mã độc qua các lỗ

hổng bảo mật hoặc phần mềm độc hại, khiến các máy tính hoặc thiết bị kết nối vào mạng bị nhiễm, tạo thành một mạng lưới botnet Các máy tính này có thể là các máy tính cá nhân, server, thiết bị IoT (Internet of

Things), hay bất kỳ thiết bị nào có kết nối mạng.

2 Điều khiển botnet để tấn công: Sau khi xây dựng được botnet, kẻ tấn

công điều khiển các thiết bị này để gửi yêu cầu tấn công tới hệ thống mục tiêu Từng bot trong mạng botnet sẽ gửi yêu cầu đến hệ thống mục tiêu, tạo thành một lượng lưu lượng mạng cực kỳ lớn và liên tục, vượt qua khả năng xử lý của hệ thống mục tiêu.

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL)

1.2 Load Balancer và Reverse Proxy

1.3 Giới hạn kết nối/sessions

1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata)

2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection)

2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris

Cấu hình và sử dụng Slowloris

Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris:

Tại sao Slowloris hiệu quả?

Tấn công kéo dài và bền bỉ:

Giới hạn của Slowloris:

Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80

PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

1 Tóm tắt các nội dung chính 80

2 Bài học rút ra 81

3 Hướng nghiên cứu/giải pháp tương lai 82

PHẦN PHỤ LỤC 82

1 Ảnh minh họa mô hình

2 Kết quả lệnh demo

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85

DANH MỤC CÁC BẢNG BIỂU 85

Các hình thức tấn công DoS phổ biến

các cuộc tấn công DoS, trong đó kẻ tấn công gửi một lượng lớn yêu cầu vào hệ thống mục tiêu, khiến hệ thống không thể xử lý và dẫn đến tình trạng ngừng hoạt động.

DoS khai thác các lỗ hổng phần mềm hoặc phần cứng để làm hệ thống bị lỗi và không thể tiếp nhận yêu cầu hợp lệ Ví dụ, tấn công buffer overflow

có thể khiến ứng dụng hoặc hệ điều hành gặp lỗi, ngừng hoạt động hoặc thậm chí là treo hệ thống.

của giao thức mạng hoặc các ứng dụng (ví dụ HTTP, DNS, hoặc SMTP)

để gửi yêu cầu tính toán phức tạp, khiến hệ thống phải xử lý và tiêu tốn tài nguyên tính toán.

Điểm chung của tấn công DoS

Một đặc điểm quan trọng của tấn công DoS là các cuộc tấn công này thường được thực hiện từ một nguồn duy nhất (single source), tức là chỉ có một máy tính hoặc một địa chỉ IP gửi yêu cầu tấn công tới mục tiêu Chính vì vậy, các cuộc tấn công này dễ dàng bị phát hiện và ngăn chặn hơn so với tấn công phân tán (DDoS), nơi các cuộc tấn công đến từ nhiều nguồn khác nhau và khó xác định nguồn gốc thực sự của cuộc tấn công.

Mức độ rủi ro và khả năng phát hiện

so với các cuộc tấn công DDoS (Distributed Denial of Service), vì nó chỉ diễn ra từ một nguồn tấn công duy nhất Tuy nhiên, mặc dù có thể phát hiện sớm, DoS vẫn có thể gây ra thiệt hại đáng kể trong một số tình

huống, đặc biệt là nếu hệ thống mục tiêu không có biện pháp bảo vệ hợp lý.

tường lửa (firewall), hệ thống phát hiện xâm nhập (IDS), và các dịch vụ bảo mật mạng có thể giúp phát hiện và ngăn chặn các yêu cầu tấn công Việc xác định và phân biệt lưu lượng hợp lệ với lưu lượng tấn công sẽ giúp bảo vệ hệ thống khỏi các cuộc tấn công DoS hiệu quả hơn.

Tác động của DoS

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL)

1.2 Load Balancer và Reverse Proxy

1.3 Giới hạn kết nối/sessions

1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata)

2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection)

2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris

Cấu hình và sử dụng Slowloris

Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris:

Tại sao Slowloris hiệu quả?

Tấn công kéo dài và bền bỉ:

Giới hạn của Slowloris:

Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80

PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

1 Tóm tắt các nội dung chính 80

2 Bài học rút ra 81

3 Hướng nghiên cứu/giải pháp tương lai 82

PHẦN PHỤ LỤC 82

1 Ảnh minh họa mô hình

2 Kết quả lệnh demo

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85

DANH MỤC CÁC BẢNG BIỂU 85

PHẦN I – GIỚI THIỆU

1 Khái niệm về DoS (Denial of Service)

Khái niệm về DoS (Denial of Service)

Tấn công từ chối dịch vụ (Denial of Service - DoS) là một hình thức tấn

công mạng mà kẻ tấn công nhằm làm gián đoạn hoặc tê liệt dịch vụ của một hệ thống, máy chủ, hoặc ứng dụng, khiến cho các người dùng hợp pháp không thể truy cập hoặc sử dụng tài nguyên mạng mà họ cần Mục đích chính của tấn công DoS là gây ra tình trạng "không thể truy cập" hoặc "ngừng hoạt động" cho hệ thống mà không làm tổn hại đến dữ liệu Các cuộc tấn công này có thể thực hiện dưới nhiều hình thức khác nhau, nhưng chung quy lại, chúng đều tập trung vào việc tiêu hao tài nguyên hệ thống của mục tiêu hoặc làm tràn ngập hệ thống với các yêu cầu giả mạo.

Cách thức hoạt động của tấn công DoS

Trong một cuộc tấn công DoS, kẻ tấn công thường lợi dụng một hoặc nhiều điểm yếu của hệ thống mục tiêu Tấn công DoS có thể được thực hiện thông qua việc gửi một số lượng lớn yêu cầu hoặc dữ liệu tới hệ thống mục tiêu, gây quá tải tài nguyên của hệ thống, làm cho hệ thống không thể xử lý các yêu cầu hợp

lệ Các cuộc tấn công này có thể bao gồm các hành vi như:

1 Tiêu hao băng thông mạng: Kẻ tấn công gửi các yêu cầu hoặc gói tin với

mục đích chiếm dụng băng thông của hệ thống mục tiêu Khi băng thông của hệ thống bị chiếm dụng hết, người dùng hợp pháp sẽ không thể truy cập dịch vụ.

2 Tiêu hao tài nguyên hệ thống (CPU, RAM, ổ đĩa): Các cuộc tấn công

có thể khiến máy chủ hoặc hệ thống mục tiêu bị sử dụng hết tài nguyên tính toán, gây ra sự trì trệ hoặc ngừng hoạt động Ví dụ, kẻ tấn công có thể gửi các yêu cầu phức tạp hoặc yêu cầu tính toán tốn tài nguyên để tiêu tốn CPU hoặc RAM.

3 Tiêu hao tài nguyên phần mềm (thread, session, port): Các tấn công

cũng có thể nhằm vào việc làm tê liệt các kết nối mạng, tiêu tốn tài

nguyên phần mềm của hệ thống như số lượng kết nối (threads), phiên làm việc (sessions) hoặc các cổng mạng (ports).

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL)

1.2 Load Balancer và Reverse Proxy

1.3 Giới hạn kết nối/sessions

1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata)

2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection)

2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris

Cấu hình và sử dụng Slowloris

Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris:

Tại sao Slowloris hiệu quả?

Tấn công kéo dài và bền bỉ:

Giới hạn của Slowloris:

Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80

PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

1 Tóm tắt các nội dung chính 80

2 Bài học rút ra 81

3 Hướng nghiên cứu/giải pháp tương lai 82

PHẦN PHỤ LỤC 82

1 Ảnh minh họa mô hình

2 Kết quả lệnh demo

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85

DANH MỤC CÁC BẢNG BIỂU 85

Các hình thức tấn công DoS phổ biến

các cuộc tấn công DoS, trong đó kẻ tấn công gửi một lượng lớn yêu cầu vào hệ thống mục tiêu, khiến hệ thống không thể xử lý và dẫn đến tình trạng ngừng hoạt động.

DoS khai thác các lỗ hổng phần mềm hoặc phần cứng để làm hệ thống bị lỗi và không thể tiếp nhận yêu cầu hợp lệ Ví dụ, tấn công buffer overflow

có thể khiến ứng dụng hoặc hệ điều hành gặp lỗi, ngừng hoạt động hoặc thậm chí là treo hệ thống.

của giao thức mạng hoặc các ứng dụng (ví dụ HTTP, DNS, hoặc SMTP)

để gửi yêu cầu tính toán phức tạp, khiến hệ thống phải xử lý và tiêu tốn tài nguyên tính toán.

Điểm chung của tấn công DoS

Một đặc điểm quan trọng của tấn công DoS là các cuộc tấn công này thường được thực hiện từ một nguồn duy nhất (single source), tức là chỉ có một máy tính hoặc một địa chỉ IP gửi yêu cầu tấn công tới mục tiêu Chính vì vậy, các cuộc tấn công này dễ dàng bị phát hiện và ngăn chặn hơn so với tấn công phân tán (DDoS), nơi các cuộc tấn công đến từ nhiều nguồn khác nhau và khó xác định nguồn gốc thực sự của cuộc tấn công.

Mức độ rủi ro và khả năng phát hiện

so với các cuộc tấn công DDoS (Distributed Denial of Service), vì nó chỉ diễn ra từ một nguồn tấn công duy nhất Tuy nhiên, mặc dù có thể phát hiện sớm, DoS vẫn có thể gây ra thiệt hại đáng kể trong một số tình

huống, đặc biệt là nếu hệ thống mục tiêu không có biện pháp bảo vệ hợp lý.

tường lửa (firewall), hệ thống phát hiện xâm nhập (IDS), và các dịch vụ bảo mật mạng có thể giúp phát hiện và ngăn chặn các yêu cầu tấn công Việc xác định và phân biệt lưu lượng hợp lệ với lưu lượng tấn công sẽ giúp bảo vệ hệ thống khỏi các cuộc tấn công DoS hiệu quả hơn.

Tác động của DoS

MỤC LỤC

MỞ ĐẦU 5

1 Lý do chọn đề tài

2 Mục tiêu của đề tài

3 Phạm vi nghiên cứu

4 Phương pháp thực hiện

Mục lục 7

PHẦN I – GIỚI THIỆU 10

1 Khái niệm về DoS (Denial of Service) 10

Khái niệm về DoS (Denial of Service)

Cách thức hoạt động của tấn công DoS

Các hình thức tấn công DoS phổ biến

Điểm chung của tấn công DoS

Mức độ rủi ro và khả năng phát hiện

Tác động của DoS

2 Khái niệm về DDoS (Distributed Denial of Service) 12

Khái niệm về DDoS (Distributed Denial of Service)

Cách thức hoạt động của DDoS

Đặc điểm của tấn công DDoS

Phân loại các cuộc tấn công DDoS

Tác động của DDoS

3 Lịch sử phát triển và các vụ tấn công nổi bật 15

Lịch sử phát triển và các vụ tấn công nổi bật

Một số mốc lịch sử đáng chú ý trong sự phát triển của DDoS

Sự phát triển của DDoS và mối đe dọa ngày càng tăng

4 Mục tiêu và tác động của DoS/DDoS đến hệ thống 17

PHẦN II – PHÂN LOẠI CÁC DẠNG TẤN CÔNG DoS/DDoS 18

1 Phân loại theo cách thức tấn công 18

1.2 Tấn công khai thác lỗi phần mềm (Application Vulnerability Exploits)

2 Phân loại theo tầng OSI 22

2.1 Tầng Mạng (Network Layer)

Tóm tắt tác động của các tấn công tại tầng mạng:

2.2 Tầng Giao Vận (Transport Layer)

Mặc dù tấn công DoS không gây mất mát dữ liệu trực tiếp như các tấn công khác (ví dụ như tấn công mã độc), nhưng nó có thể gây ra nhiều thiệt hại nghiêm trọng về mặt tài chính và uy tín cho các tổ chức Một dịch vụ không thể truy cập sẽ làm gián đoạn hoạt động của doanh nghiệp, khiến khách hàng không thể sử dụng dịch vụ, từ đó ảnh hưởng đến doanh thu và sự tin tưởng của khách hàng.

Tóm lại, tấn công DoS là một mối đe dọa lớn đối với bất kỳ hệ thống mạng nào, từ các dịch vụ web cho đến các cơ sở hạ tầng quan trọng Các tổ chức

và doanh nghiệp cần có biện pháp bảo vệ hiệu quả để tránh rủi ro này.

2 Khái niệm về DDoS (Distributed Denial of Service)

Khái niệm về DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service -

DDoS) là một dạng tấn công mạng mạnh mẽ và phức tạp hơn nhiều so với Denial of Service (DoS) Trong tấn công DDoS, kẻ tấn công không chỉ sử dụng

một nguồn duy nhất để gửi yêu cầu tấn công, mà thay vào đó, nó thực hiện tấn công đồng thời từ hàng ngàn, thậm chí hàng triệu, máy tính và thiết bị kết nối mạng bị nhiễm mã độc, tạo thành một mạng lưới botnet Mỗi máy trong botnet

có thể gửi các yêu cầu hoặc gói dữ liệu đến hệ thống mục tiêu, làm tắc nghẽn tài nguyên của hệ thống và gây gián đoạn dịch vụ Mục tiêu chính của DDoS là làm cho dịch vụ không thể truy cập được đối với người dùng hợp pháp bằng cách làm quá tải hệ thống mục tiêu.

Cách thức hoạt động của DDoS

Các cuộc tấn công DDoS thường được thực hiện qua ba giai đoạn chính:

1 Lây nhiễm và xây dựng botnet: Kẻ tấn công phát tán mã độc qua các lỗ

hổng bảo mật hoặc phần mềm độc hại, khiến các máy tính hoặc thiết bị kết nối vào mạng bị nhiễm, tạo thành một mạng lưới botnet Các máy tính này có thể là các máy tính cá nhân, server, thiết bị IoT (Internet of

Things), hay bất kỳ thiết bị nào có kết nối mạng.

2 Điều khiển botnet để tấn công: Sau khi xây dựng được botnet, kẻ tấn

công điều khiển các thiết bị này để gửi yêu cầu tấn công tới hệ thống mục tiêu Từng bot trong mạng botnet sẽ gửi yêu cầu đến hệ thống mục tiêu, tạo thành một lượng lưu lượng mạng cực kỳ lớn và liên tục, vượt qua khả năng xử lý của hệ thống mục tiêu.

MỤC LỤC

MỞ ĐẦU 5

1 Lý do chọn đề tài

2 Mục tiêu của đề tài

3 Phạm vi nghiên cứu

4 Phương pháp thực hiện

Mục lục 7

PHẦN I – GIỚI THIỆU 10

1 Khái niệm về DoS (Denial of Service) 10

Khái niệm về DoS (Denial of Service)

Cách thức hoạt động của tấn công DoS

Các hình thức tấn công DoS phổ biến

Điểm chung của tấn công DoS

Mức độ rủi ro và khả năng phát hiện

Tác động của DoS

2 Khái niệm về DDoS (Distributed Denial of Service) 12

Khái niệm về DDoS (Distributed Denial of Service)

Cách thức hoạt động của DDoS

Đặc điểm của tấn công DDoS

Phân loại các cuộc tấn công DDoS

Tác động của DDoS

3 Lịch sử phát triển và các vụ tấn công nổi bật 15

Lịch sử phát triển và các vụ tấn công nổi bật

Một số mốc lịch sử đáng chú ý trong sự phát triển của DDoS

Sự phát triển của DDoS và mối đe dọa ngày càng tăng

4 Mục tiêu và tác động của DoS/DDoS đến hệ thống 17

PHẦN II – PHÂN LOẠI CÁC DẠNG TẤN CÔNG DoS/DDoS 18

1 Phân loại theo cách thức tấn công 18

1.2 Tấn công khai thác lỗi phần mềm (Application Vulnerability Exploits)

2 Phân loại theo tầng OSI 22

2.1 Tầng Mạng (Network Layer)

Tóm tắt tác động của các tấn công tại tầng mạng:

2.2 Tầng Giao Vận (Transport Layer)

 Đề tài tập trung chủ yếu vào các dạng tấn công DoS và DDoS trên môi trường mạng TCP/IP.

 Demo được thực hiện trong môi trường giả lập an toàn (máy ảo, mạng nội bộ).

 Không thực hiện tấn công thật lên các hệ thống ngoài phạm vi kiểm soát.

4 Phương pháp thực hiện

học, bài viết học thuật và báo cáo kỹ thuật từ các tổ chức bảo mật uy tín như OWASP, Cloudflare, Kaspersky, v.v.

môi trường máy ảo để quan sát hành vi và đánh giá hiệu quả.

cụ và biện pháp phòng chống để rút ra nhận xét tổng quát.

Mặc dù tấn công DoS không gây mất mát dữ liệu trực tiếp như các tấn công khác (ví dụ như tấn công mã độc), nhưng nó có thể gây ra nhiều thiệt hại nghiêm trọng về mặt tài chính và uy tín cho các tổ chức Một dịch vụ không thể truy cập sẽ làm gián đoạn hoạt động của doanh nghiệp, khiến khách hàng không thể sử dụng dịch vụ, từ đó ảnh hưởng đến doanh thu và sự tin tưởng của khách hàng.

Tóm lại, tấn công DoS là một mối đe dọa lớn đối với bất kỳ hệ thống mạng nào, từ các dịch vụ web cho đến các cơ sở hạ tầng quan trọng Các tổ chức

và doanh nghiệp cần có biện pháp bảo vệ hiệu quả để tránh rủi ro này.

2 Khái niệm về DDoS (Distributed Denial of Service)

Khái niệm về DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service -

DDoS) là một dạng tấn công mạng mạnh mẽ và phức tạp hơn nhiều so với Denial of Service (DoS) Trong tấn công DDoS, kẻ tấn công không chỉ sử dụng

một nguồn duy nhất để gửi yêu cầu tấn công, mà thay vào đó, nó thực hiện tấn công đồng thời từ hàng ngàn, thậm chí hàng triệu, máy tính và thiết bị kết nối mạng bị nhiễm mã độc, tạo thành một mạng lưới botnet Mỗi máy trong botnet

có thể gửi các yêu cầu hoặc gói dữ liệu đến hệ thống mục tiêu, làm tắc nghẽn tài nguyên của hệ thống và gây gián đoạn dịch vụ Mục tiêu chính của DDoS là làm cho dịch vụ không thể truy cập được đối với người dùng hợp pháp bằng cách làm quá tải hệ thống mục tiêu.

Cách thức hoạt động của DDoS

Các cuộc tấn công DDoS thường được thực hiện qua ba giai đoạn chính:

1 Lây nhiễm và xây dựng botnet: Kẻ tấn công phát tán mã độc qua các lỗ

hổng bảo mật hoặc phần mềm độc hại, khiến các máy tính hoặc thiết bị kết nối vào mạng bị nhiễm, tạo thành một mạng lưới botnet Các máy tính này có thể là các máy tính cá nhân, server, thiết bị IoT (Internet of

Things), hay bất kỳ thiết bị nào có kết nối mạng.

2 Điều khiển botnet để tấn công: Sau khi xây dựng được botnet, kẻ tấn

công điều khiển các thiết bị này để gửi yêu cầu tấn công tới hệ thống mục tiêu Từng bot trong mạng botnet sẽ gửi yêu cầu đến hệ thống mục tiêu, tạo thành một lượng lưu lượng mạng cực kỳ lớn và liên tục, vượt qua khả năng xử lý của hệ thống mục tiêu.

Mặc dù tấn công DoS không gây mất mát dữ liệu trực tiếp như các tấn công khác (ví dụ như tấn công mã độc), nhưng nó có thể gây ra nhiều thiệt hại nghiêm trọng về mặt tài chính và uy tín cho các tổ chức Một dịch vụ không thể truy cập sẽ làm gián đoạn hoạt động của doanh nghiệp, khiến khách hàng không thể sử dụng dịch vụ, từ đó ảnh hưởng đến doanh thu và sự tin tưởng của khách hàng.

Tóm lại, tấn công DoS là một mối đe dọa lớn đối với bất kỳ hệ thống mạng nào, từ các dịch vụ web cho đến các cơ sở hạ tầng quan trọng Các tổ chức

và doanh nghiệp cần có biện pháp bảo vệ hiệu quả để tránh rủi ro này.

2 Khái niệm về DDoS (Distributed Denial of Service)

Khái niệm về DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service -

DDoS) là một dạng tấn công mạng mạnh mẽ và phức tạp hơn nhiều so với Denial of Service (DoS) Trong tấn công DDoS, kẻ tấn công không chỉ sử dụng

một nguồn duy nhất để gửi yêu cầu tấn công, mà thay vào đó, nó thực hiện tấn công đồng thời từ hàng ngàn, thậm chí hàng triệu, máy tính và thiết bị kết nối mạng bị nhiễm mã độc, tạo thành một mạng lưới botnet Mỗi máy trong botnet

có thể gửi các yêu cầu hoặc gói dữ liệu đến hệ thống mục tiêu, làm tắc nghẽn tài nguyên của hệ thống và gây gián đoạn dịch vụ Mục tiêu chính của DDoS là làm cho dịch vụ không thể truy cập được đối với người dùng hợp pháp bằng cách làm quá tải hệ thống mục tiêu.

Cách thức hoạt động của DDoS

Các cuộc tấn công DDoS thường được thực hiện qua ba giai đoạn chính:

1 Lây nhiễm và xây dựng botnet: Kẻ tấn công phát tán mã độc qua các lỗ

hổng bảo mật hoặc phần mềm độc hại, khiến các máy tính hoặc thiết bị kết nối vào mạng bị nhiễm, tạo thành một mạng lưới botnet Các máy tính này có thể là các máy tính cá nhân, server, thiết bị IoT (Internet of

Things), hay bất kỳ thiết bị nào có kết nối mạng.

2 Điều khiển botnet để tấn công: Sau khi xây dựng được botnet, kẻ tấn

công điều khiển các thiết bị này để gửi yêu cầu tấn công tới hệ thống mục tiêu Từng bot trong mạng botnet sẽ gửi yêu cầu đến hệ thống mục tiêu, tạo thành một lượng lưu lượng mạng cực kỳ lớn và liên tục, vượt qua khả năng xử lý của hệ thống mục tiêu.

Tóm tắt tác động của các tấn công tại tầng giao vận:

2.3 Tầng Ứng dụng (Application Layer)

Tóm tắt tác động của các tấn công tại tầng ứng dụng:

2.4 Tấn công phản xạ (Reflection Attacks)

Tóm tắt tác động của tấn công phản xạ:

2.5 Botnet-based DDoS

PHẦN III – MÔ HÌNH HOẠT ĐỘNG CỦA TẤN CÔNG DDoS 32

1 Mô hình 3 tầng: Attacker → Botnet → Victim 32

1.1 Attacker (Kẻ tấn công chính)

1.2 Botnet (Mạng lưới thiết bị bị điều khiển)

1.3 Victim (Nạn nhân)

2 Phân tích luồng dữ liệu trong các dạng tấn công 37

2.1 Direct Attack (Tấn công trực tiếp)

2.2 Reflection Attack (Tấn công phản xạ)

2.3 Application-layer Flood (Tấn công tầng ứng dụng)

3 Kỹ thuật ẩn danh IP, phân tán và mã hóa 42

3.1 Kỹ thuật ẩn danh địa chỉ IP

3.2 Phân tán toàn cầu

3.3 Mã hóa dữ liệu điều khiển

PHẦN IV – HẬU QUẢ VÀ ẢNH HƯỞNG 48

1 Thiệt hại tài chính 48

1.1 Mất doanh thu

1.2 Chi phí khắc phục và phòng chống

1.3 Tiền phạt và bồi thường

2 Ngừng dịch vụ (Downtime) 52

3 Ảnh hưởng đến uy tín doanh nghiệp 54

3.1 Mất lòng tin từ khách hàng

4 Thách thức trong khắc phục 55

4.1 Khó xác định nguồn gốc

4.2 Phân biệt truy cập thật – giả

Khó khăn trong phát hiện và phòng ngừa

4.3 Tấn công lặp lại, biến thể

4.4 Gánh nặng cho đội ngũ kỹ thuật

PHẦN V – PHƯƠNG PHÁP PHÒNG CHỐNG VÀ PHÁT HIỆN 61

1 Phòng chống 61

MỤC LỤC

MỞ ĐẦU 5

1 Lý do chọn đề tài

2 Mục tiêu của đề tài

3 Phạm vi nghiên cứu

4 Phương pháp thực hiện

Mục lục 7

PHẦN I – GIỚI THIỆU 10

1 Khái niệm về DoS (Denial of Service) 10

Khái niệm về DoS (Denial of Service)

Cách thức hoạt động của tấn công DoS

Các hình thức tấn công DoS phổ biến

Điểm chung của tấn công DoS

Mức độ rủi ro và khả năng phát hiện

Tác động của DoS

2 Khái niệm về DDoS (Distributed Denial of Service) 12

Khái niệm về DDoS (Distributed Denial of Service)

Cách thức hoạt động của DDoS

Đặc điểm của tấn công DDoS

Phân loại các cuộc tấn công DDoS

Tác động của DDoS

3 Lịch sử phát triển và các vụ tấn công nổi bật 15

Lịch sử phát triển và các vụ tấn công nổi bật

Một số mốc lịch sử đáng chú ý trong sự phát triển của DDoS

Sự phát triển của DDoS và mối đe dọa ngày càng tăng

4 Mục tiêu và tác động của DoS/DDoS đến hệ thống 17

PHẦN II – PHÂN LOẠI CÁC DẠNG TẤN CÔNG DoS/DDoS 18

1 Phân loại theo cách thức tấn công 18

1.2 Tấn công khai thác lỗi phần mềm (Application Vulnerability Exploits)

2 Phân loại theo tầng OSI 22

2.1 Tầng Mạng (Network Layer)

Tóm tắt tác động của các tấn công tại tầng mạng:

2.2 Tầng Giao Vận (Transport Layer)

PHẦN I – GIỚI THIỆU

1 Khái niệm về DoS (Denial of Service)

Khái niệm về DoS (Denial of Service)

Tấn công từ chối dịch vụ (Denial of Service - DoS) là một hình thức tấn

công mạng mà kẻ tấn công nhằm làm gián đoạn hoặc tê liệt dịch vụ của một hệ thống, máy chủ, hoặc ứng dụng, khiến cho các người dùng hợp pháp không thể truy cập hoặc sử dụng tài nguyên mạng mà họ cần Mục đích chính của tấn công DoS là gây ra tình trạng "không thể truy cập" hoặc "ngừng hoạt động" cho hệ thống mà không làm tổn hại đến dữ liệu Các cuộc tấn công này có thể thực hiện dưới nhiều hình thức khác nhau, nhưng chung quy lại, chúng đều tập trung vào việc tiêu hao tài nguyên hệ thống của mục tiêu hoặc làm tràn ngập hệ thống với các yêu cầu giả mạo.

Cách thức hoạt động của tấn công DoS

Trong một cuộc tấn công DoS, kẻ tấn công thường lợi dụng một hoặc nhiều điểm yếu của hệ thống mục tiêu Tấn công DoS có thể được thực hiện thông qua việc gửi một số lượng lớn yêu cầu hoặc dữ liệu tới hệ thống mục tiêu, gây quá tải tài nguyên của hệ thống, làm cho hệ thống không thể xử lý các yêu cầu hợp

lệ Các cuộc tấn công này có thể bao gồm các hành vi như:

1 Tiêu hao băng thông mạng: Kẻ tấn công gửi các yêu cầu hoặc gói tin với

mục đích chiếm dụng băng thông của hệ thống mục tiêu Khi băng thông của hệ thống bị chiếm dụng hết, người dùng hợp pháp sẽ không thể truy cập dịch vụ.

2 Tiêu hao tài nguyên hệ thống (CPU, RAM, ổ đĩa): Các cuộc tấn công

có thể khiến máy chủ hoặc hệ thống mục tiêu bị sử dụng hết tài nguyên tính toán, gây ra sự trì trệ hoặc ngừng hoạt động Ví dụ, kẻ tấn công có thể gửi các yêu cầu phức tạp hoặc yêu cầu tính toán tốn tài nguyên để tiêu tốn CPU hoặc RAM.

3 Tiêu hao tài nguyên phần mềm (thread, session, port): Các tấn công

cũng có thể nhằm vào việc làm tê liệt các kết nối mạng, tiêu tốn tài

nguyên phần mềm của hệ thống như số lượng kết nối (threads), phiên làm việc (sessions) hoặc các cổng mạng (ports).

PHẦN I – GIỚI THIỆU

1 Khái niệm về DoS (Denial of Service)

Khái niệm về DoS (Denial of Service)

Tấn công từ chối dịch vụ (Denial of Service - DoS) là một hình thức tấn

công mạng mà kẻ tấn công nhằm làm gián đoạn hoặc tê liệt dịch vụ của một hệ thống, máy chủ, hoặc ứng dụng, khiến cho các người dùng hợp pháp không thể truy cập hoặc sử dụng tài nguyên mạng mà họ cần Mục đích chính của tấn công DoS là gây ra tình trạng "không thể truy cập" hoặc "ngừng hoạt động" cho hệ thống mà không làm tổn hại đến dữ liệu Các cuộc tấn công này có thể thực hiện dưới nhiều hình thức khác nhau, nhưng chung quy lại, chúng đều tập trung vào việc tiêu hao tài nguyên hệ thống của mục tiêu hoặc làm tràn ngập hệ thống với các yêu cầu giả mạo.

Cách thức hoạt động của tấn công DoS

Trong một cuộc tấn công DoS, kẻ tấn công thường lợi dụng một hoặc nhiều điểm yếu của hệ thống mục tiêu Tấn công DoS có thể được thực hiện thông qua việc gửi một số lượng lớn yêu cầu hoặc dữ liệu tới hệ thống mục tiêu, gây quá tải tài nguyên của hệ thống, làm cho hệ thống không thể xử lý các yêu cầu hợp

lệ Các cuộc tấn công này có thể bao gồm các hành vi như:

1 Tiêu hao băng thông mạng: Kẻ tấn công gửi các yêu cầu hoặc gói tin với

mục đích chiếm dụng băng thông của hệ thống mục tiêu Khi băng thông của hệ thống bị chiếm dụng hết, người dùng hợp pháp sẽ không thể truy cập dịch vụ.

2 Tiêu hao tài nguyên hệ thống (CPU, RAM, ổ đĩa): Các cuộc tấn công

có thể khiến máy chủ hoặc hệ thống mục tiêu bị sử dụng hết tài nguyên tính toán, gây ra sự trì trệ hoặc ngừng hoạt động Ví dụ, kẻ tấn công có thể gửi các yêu cầu phức tạp hoặc yêu cầu tính toán tốn tài nguyên để tiêu tốn CPU hoặc RAM.

3 Tiêu hao tài nguyên phần mềm (thread, session, port): Các tấn công

cũng có thể nhằm vào việc làm tê liệt các kết nối mạng, tiêu tốn tài

nguyên phần mềm của hệ thống như số lượng kết nối (threads), phiên làm việc (sessions) hoặc các cổng mạng (ports).

MỤC LỤC

MỞ ĐẦU 5

1 Lý do chọn đề tài

2 Mục tiêu của đề tài

3 Phạm vi nghiên cứu

4 Phương pháp thực hiện

Mục lục 7

PHẦN I – GIỚI THIỆU 10

1 Khái niệm về DoS (Denial of Service) 10

Khái niệm về DoS (Denial of Service)

Cách thức hoạt động của tấn công DoS

Các hình thức tấn công DoS phổ biến

Điểm chung của tấn công DoS

Mức độ rủi ro và khả năng phát hiện

Tác động của DoS

2 Khái niệm về DDoS (Distributed Denial of Service) 12

Khái niệm về DDoS (Distributed Denial of Service)

Cách thức hoạt động của DDoS

Đặc điểm của tấn công DDoS

Phân loại các cuộc tấn công DDoS

Tác động của DDoS

3 Lịch sử phát triển và các vụ tấn công nổi bật 15

Lịch sử phát triển và các vụ tấn công nổi bật

Một số mốc lịch sử đáng chú ý trong sự phát triển của DDoS

Sự phát triển của DDoS và mối đe dọa ngày càng tăng

4 Mục tiêu và tác động của DoS/DDoS đến hệ thống 17

PHẦN II – PHÂN LOẠI CÁC DẠNG TẤN CÔNG DoS/DDoS 18

1 Phân loại theo cách thức tấn công 18

1.2 Tấn công khai thác lỗi phần mềm (Application Vulnerability Exploits)

2 Phân loại theo tầng OSI 22

2.1 Tầng Mạng (Network Layer)

Tóm tắt tác động của các tấn công tại tầng mạng:

2.2 Tầng Giao Vận (Transport Layer)

 Đề tài tập trung chủ yếu vào các dạng tấn công DoS và DDoS trên môi trường mạng TCP/IP.

 Demo được thực hiện trong môi trường giả lập an toàn (máy ảo, mạng nội bộ).

 Không thực hiện tấn công thật lên các hệ thống ngoài phạm vi kiểm soát.

4 Phương pháp thực hiện

học, bài viết học thuật và báo cáo kỹ thuật từ các tổ chức bảo mật uy tín như OWASP, Cloudflare, Kaspersky, v.v.

môi trường máy ảo để quan sát hành vi và đánh giá hiệu quả.

cụ và biện pháp phòng chống để rút ra nhận xét tổng quát.

Các hình thức tấn công DoS phổ biến

các cuộc tấn công DoS, trong đó kẻ tấn công gửi một lượng lớn yêu cầu vào hệ thống mục tiêu, khiến hệ thống không thể xử lý và dẫn đến tình trạng ngừng hoạt động.

DoS khai thác các lỗ hổng phần mềm hoặc phần cứng để làm hệ thống bị lỗi và không thể tiếp nhận yêu cầu hợp lệ Ví dụ, tấn công buffer overflow

có thể khiến ứng dụng hoặc hệ điều hành gặp lỗi, ngừng hoạt động hoặc thậm chí là treo hệ thống.

của giao thức mạng hoặc các ứng dụng (ví dụ HTTP, DNS, hoặc SMTP)

để gửi yêu cầu tính toán phức tạp, khiến hệ thống phải xử lý và tiêu tốn tài nguyên tính toán.

Điểm chung của tấn công DoS

Một đặc điểm quan trọng của tấn công DoS là các cuộc tấn công này thường được thực hiện từ một nguồn duy nhất (single source), tức là chỉ có một máy tính hoặc một địa chỉ IP gửi yêu cầu tấn công tới mục tiêu Chính vì vậy, các cuộc tấn công này dễ dàng bị phát hiện và ngăn chặn hơn so với tấn công phân tán (DDoS), nơi các cuộc tấn công đến từ nhiều nguồn khác nhau và khó xác định nguồn gốc thực sự của cuộc tấn công.

Mức độ rủi ro và khả năng phát hiện

so với các cuộc tấn công DDoS (Distributed Denial of Service), vì nó chỉ diễn ra từ một nguồn tấn công duy nhất Tuy nhiên, mặc dù có thể phát hiện sớm, DoS vẫn có thể gây ra thiệt hại đáng kể trong một số tình

huống, đặc biệt là nếu hệ thống mục tiêu không có biện pháp bảo vệ hợp lý.

tường lửa (firewall), hệ thống phát hiện xâm nhập (IDS), và các dịch vụ bảo mật mạng có thể giúp phát hiện và ngăn chặn các yêu cầu tấn công Việc xác định và phân biệt lưu lượng hợp lệ với lưu lượng tấn công sẽ giúp bảo vệ hệ thống khỏi các cuộc tấn công DoS hiệu quả hơn.

Tác động của DoS

1 Khái niệm về DoS (Denial of Service) 10

Khái niệm về DoS (Denial of Service) Cách thức hoạt động của tấn công DoS Các hình thức tấn công DoS phổ biến Điểm chung của tấn công DoS Mức độ rủi ro và khả năng phát hiện Tác động của DoS

2 Khái niệm về DDoS (Distributed Denial of Service) 12

Khái niệm về DDoS (Distributed Denial of Service) Cách thức hoạt động của DDoS Đặc điểm của tấn công DDoS Phân loại các cuộc tấn công DDoS Tác động của DDoS

3 Lịch sử phát triển và các vụ tấn công nổi bật 15

Lịch sử phát triển và các vụ tấn công nổi bật Một số mốc lịch sử đáng chú ý trong sự phát triển của DDoS

Sự phát triển của DDoS và mối đe dọa ngày càng tăng

4 Mục tiêu và tác động của DoS/DDoS đến hệ thống 17PHẦN II – PHÂN LOẠI CÁC DẠNG TẤN CÔNG DoS/DDoS 18

1 Phân loại theo cách thức tấn công 18

1.2 Tấn công khai thác lỗi phần mềm (Application Vulnerability Exploits)

2 Phân loại theo tầng OSI 22

2.1 Tầng Mạng (Network Layer) Tóm tắt tác động của các tấn công tại tầng mạng: 2.2 Tầng Giao Vận (Transport Layer)

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL) 1.2 Load Balancer và Reverse Proxy 1.3 Giới hạn kết nối/sessions 1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata) 2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection) 2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris Cấu hình và sử dụng Slowloris Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris: Tại sao Slowloris hiệu quả? Tấn công kéo dài và bền bỉ: Giới hạn của Slowloris: Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85DANH MỤC CÁC BẢNG BIỂU 85

PHẦN I – GIỚI THIỆU

1 Khái niệm về DoS (Denial of Service)

Khái niệm về DoS (Denial of Service)

Tấn công từ chối dịch vụ (Denial of Service - DoS) là một hình thức tấn

công mạng mà kẻ tấn công nhằm làm gián đoạn hoặc tê liệt dịch vụ của một hệ thống, máy chủ, hoặc ứng dụng, khiến cho các người dùng hợp pháp không thể truy cập hoặc sử dụng tài nguyên mạng mà họ cần Mục đích chính của tấn công DoS là gây ra tình trạng "không thể truy cập" hoặc "ngừng hoạt động" cho hệ thống mà không làm tổn hại đến dữ liệu Các cuộc tấn công này có thể thực hiện dưới nhiều hình thức khác nhau, nhưng chung quy lại, chúng đều tập trung vào việc tiêu hao tài nguyên hệ thống của mục tiêu hoặc làm tràn ngập hệ thống với các yêu cầu giả mạo.

Cách thức hoạt động của tấn công DoS

Trong một cuộc tấn công DoS, kẻ tấn công thường lợi dụng một hoặc nhiều điểm yếu của hệ thống mục tiêu Tấn công DoS có thể được thực hiện thông qua việc gửi một số lượng lớn yêu cầu hoặc dữ liệu tới hệ thống mục tiêu, gây quá tải tài nguyên của hệ thống, làm cho hệ thống không thể xử lý các yêu cầu hợp

lệ Các cuộc tấn công này có thể bao gồm các hành vi như:

1 Tiêu hao băng thông mạng: Kẻ tấn công gửi các yêu cầu hoặc gói tin với

mục đích chiếm dụng băng thông của hệ thống mục tiêu Khi băng thông của hệ thống bị chiếm dụng hết, người dùng hợp pháp sẽ không thể truy cập dịch vụ.

2 Tiêu hao tài nguyên hệ thống (CPU, RAM, ổ đĩa): Các cuộc tấn công

có thể khiến máy chủ hoặc hệ thống mục tiêu bị sử dụng hết tài nguyên tính toán, gây ra sự trì trệ hoặc ngừng hoạt động Ví dụ, kẻ tấn công có thể gửi các yêu cầu phức tạp hoặc yêu cầu tính toán tốn tài nguyên để tiêu tốn CPU hoặc RAM.

3 Tiêu hao tài nguyên phần mềm (thread, session, port): Các tấn công

cũng có thể nhằm vào việc làm tê liệt các kết nối mạng, tiêu tốn tài

nguyên phần mềm của hệ thống như số lượng kết nối (threads), phiên làm việc (sessions) hoặc các cổng mạng (ports).

Các hình thức tấn công DoS phổ biến

các cuộc tấn công DoS, trong đó kẻ tấn công gửi một lượng lớn yêu cầu vào hệ thống mục tiêu, khiến hệ thống không thể xử lý và dẫn đến tình trạng ngừng hoạt động.

DoS khai thác các lỗ hổng phần mềm hoặc phần cứng để làm hệ thống bị lỗi và không thể tiếp nhận yêu cầu hợp lệ Ví dụ, tấn công buffer overflow

có thể khiến ứng dụng hoặc hệ điều hành gặp lỗi, ngừng hoạt động hoặc thậm chí là treo hệ thống.

của giao thức mạng hoặc các ứng dụng (ví dụ HTTP, DNS, hoặc SMTP)

để gửi yêu cầu tính toán phức tạp, khiến hệ thống phải xử lý và tiêu tốn tài nguyên tính toán.

Điểm chung của tấn công DoS

Một đặc điểm quan trọng của tấn công DoS là các cuộc tấn công này thường được thực hiện từ một nguồn duy nhất (single source), tức là chỉ có một máy tính hoặc một địa chỉ IP gửi yêu cầu tấn công tới mục tiêu Chính vì vậy, các cuộc tấn công này dễ dàng bị phát hiện và ngăn chặn hơn so với tấn công phân tán (DDoS), nơi các cuộc tấn công đến từ nhiều nguồn khác nhau và khó xác định nguồn gốc thực sự của cuộc tấn công.

Mức độ rủi ro và khả năng phát hiện

so với các cuộc tấn công DDoS (Distributed Denial of Service), vì nó chỉ diễn ra từ một nguồn tấn công duy nhất Tuy nhiên, mặc dù có thể phát hiện sớm, DoS vẫn có thể gây ra thiệt hại đáng kể trong một số tình

huống, đặc biệt là nếu hệ thống mục tiêu không có biện pháp bảo vệ hợp lý.

tường lửa (firewall), hệ thống phát hiện xâm nhập (IDS), và các dịch vụ bảo mật mạng có thể giúp phát hiện và ngăn chặn các yêu cầu tấn công Việc xác định và phân biệt lưu lượng hợp lệ với lưu lượng tấn công sẽ giúp bảo vệ hệ thống khỏi các cuộc tấn công DoS hiệu quả hơn.

Tác động của DoS

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL) 1.2 Load Balancer và Reverse Proxy 1.3 Giới hạn kết nối/sessions 1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata) 2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection) 2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris Cấu hình và sử dụng Slowloris Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris: Tại sao Slowloris hiệu quả? Tấn công kéo dài và bền bỉ: Giới hạn của Slowloris: Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85DANH MỤC CÁC BẢNG BIỂU 85

Mặc dù tấn công DoS không gây mất mát dữ liệu trực tiếp như các tấn công khác (ví dụ như tấn công mã độc), nhưng nó có thể gây ra nhiều thiệt hại nghiêm trọng về mặt tài chính và uy tín cho các tổ chức Một dịch vụ không thể truy cập sẽ làm gián đoạn hoạt động của doanh nghiệp, khiến khách hàng không thể sử dụng dịch vụ, từ đó ảnh hưởng đến doanh thu và sự tin tưởng của khách hàng.

Tóm lại, tấn công DoS là một mối đe dọa lớn đối với bất kỳ hệ thống mạng nào, từ các dịch vụ web cho đến các cơ sở hạ tầng quan trọng Các tổ chức

và doanh nghiệp cần có biện pháp bảo vệ hiệu quả để tránh rủi ro này.

2 Khái niệm về DDoS (Distributed Denial of Service)

Khái niệm về DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service -

DDoS) là một dạng tấn công mạng mạnh mẽ và phức tạp hơn nhiều so với Denial of Service (DoS) Trong tấn công DDoS, kẻ tấn công không chỉ sử dụng

một nguồn duy nhất để gửi yêu cầu tấn công, mà thay vào đó, nó thực hiện tấn công đồng thời từ hàng ngàn, thậm chí hàng triệu, máy tính và thiết bị kết nối mạng bị nhiễm mã độc, tạo thành một mạng lưới botnet Mỗi máy trong botnet

có thể gửi các yêu cầu hoặc gói dữ liệu đến hệ thống mục tiêu, làm tắc nghẽn tài nguyên của hệ thống và gây gián đoạn dịch vụ Mục tiêu chính của DDoS là làm cho dịch vụ không thể truy cập được đối với người dùng hợp pháp bằng cách làm quá tải hệ thống mục tiêu.

Cách thức hoạt động của DDoS

Các cuộc tấn công DDoS thường được thực hiện qua ba giai đoạn chính:

1 Lây nhiễm và xây dựng botnet: Kẻ tấn công phát tán mã độc qua các lỗ

hổng bảo mật hoặc phần mềm độc hại, khiến các máy tính hoặc thiết bị kết nối vào mạng bị nhiễm, tạo thành một mạng lưới botnet Các máy tính này có thể là các máy tính cá nhân, server, thiết bị IoT (Internet of

Things), hay bất kỳ thiết bị nào có kết nối mạng.

2 Điều khiển botnet để tấn công: Sau khi xây dựng được botnet, kẻ tấn

công điều khiển các thiết bị này để gửi yêu cầu tấn công tới hệ thống mục tiêu Từng bot trong mạng botnet sẽ gửi yêu cầu đến hệ thống mục tiêu, tạo thành một lượng lưu lượng mạng cực kỳ lớn và liên tục, vượt qua khả năng xử lý của hệ thống mục tiêu.

Tóm tắt tác động của các tấn công tại tầng giao vận: 2.3 Tầng Ứng dụng (Application Layer) Tóm tắt tác động của các tấn công tại tầng ứng dụng: 2.4 Tấn công phản xạ (Reflection Attacks) Tóm tắt tác động của tấn công phản xạ: 2.5 Botnet-based DDoS

PHẦN III – MÔ HÌNH HOẠT ĐỘNG CỦA TẤN CÔNG DDoS 32

1 Mô hình 3 tầng: Attacker → Botnet → Victim 32

1.1 Attacker (Kẻ tấn công chính) 1.2 Botnet (Mạng lưới thiết bị bị điều khiển) 1.3 Victim (Nạn nhân)

2 Phân tích luồng dữ liệu trong các dạng tấn công 37

2.1 Direct Attack (Tấn công trực tiếp) 2.2 Reflection Attack (Tấn công phản xạ) 2.3 Application-layer Flood (Tấn công tầng ứng dụng)

3 Kỹ thuật ẩn danh IP, phân tán và mã hóa 42

3.1 Kỹ thuật ẩn danh địa chỉ IP 3.2 Phân tán toàn cầu 3.3 Mã hóa dữ liệu điều khiển

PHẦN IV – HẬU QUẢ VÀ ẢNH HƯỞNG 48

1 Thiệt hại tài chính 48

1.1 Mất doanh thu 1.2 Chi phí khắc phục và phòng chống 1.3 Tiền phạt và bồi thường

PHẦN V – PHƯƠNG PHÁP PHÒNG CHỐNG VÀ PHÁT HIỆN 61

1 Phòng chống 61

Tóm tắt tác động của các tấn công tại tầng giao vận: 2.3 Tầng Ứng dụng (Application Layer) Tóm tắt tác động của các tấn công tại tầng ứng dụng: 2.4 Tấn công phản xạ (Reflection Attacks) Tóm tắt tác động của tấn công phản xạ: 2.5 Botnet-based DDoS

PHẦN III – MÔ HÌNH HOẠT ĐỘNG CỦA TẤN CÔNG DDoS 32

1 Mô hình 3 tầng: Attacker → Botnet → Victim 32

1.1 Attacker (Kẻ tấn công chính) 1.2 Botnet (Mạng lưới thiết bị bị điều khiển) 1.3 Victim (Nạn nhân)

2 Phân tích luồng dữ liệu trong các dạng tấn công 37

2.1 Direct Attack (Tấn công trực tiếp) 2.2 Reflection Attack (Tấn công phản xạ) 2.3 Application-layer Flood (Tấn công tầng ứng dụng)

3 Kỹ thuật ẩn danh IP, phân tán và mã hóa 42

3.1 Kỹ thuật ẩn danh địa chỉ IP 3.2 Phân tán toàn cầu 3.3 Mã hóa dữ liệu điều khiển

PHẦN IV – HẬU QUẢ VÀ ẢNH HƯỞNG 48

1 Thiệt hại tài chính 48

1.1 Mất doanh thu 1.2 Chi phí khắc phục và phòng chống 1.3 Tiền phạt và bồi thường

PHẦN V – PHƯƠNG PHÁP PHÒNG CHỐNG VÀ PHÁT HIỆN 61

1 Phòng chống 61

Mặc dù tấn công DoS không gây mất mát dữ liệu trực tiếp như các tấn công khác (ví dụ như tấn công mã độc), nhưng nó có thể gây ra nhiều thiệt hại nghiêm trọng về mặt tài chính và uy tín cho các tổ chức Một dịch vụ không thể truy cập sẽ làm gián đoạn hoạt động của doanh nghiệp, khiến khách hàng không thể sử dụng dịch vụ, từ đó ảnh hưởng đến doanh thu và sự tin tưởng của khách hàng.

Tóm lại, tấn công DoS là một mối đe dọa lớn đối với bất kỳ hệ thống mạng nào, từ các dịch vụ web cho đến các cơ sở hạ tầng quan trọng Các tổ chức

và doanh nghiệp cần có biện pháp bảo vệ hiệu quả để tránh rủi ro này.

2 Khái niệm về DDoS (Distributed Denial of Service)

Khái niệm về DDoS (Distributed Denial of Service)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service -

DDoS) là một dạng tấn công mạng mạnh mẽ và phức tạp hơn nhiều so với Denial of Service (DoS) Trong tấn công DDoS, kẻ tấn công không chỉ sử dụng

một nguồn duy nhất để gửi yêu cầu tấn công, mà thay vào đó, nó thực hiện tấn công đồng thời từ hàng ngàn, thậm chí hàng triệu, máy tính và thiết bị kết nối mạng bị nhiễm mã độc, tạo thành một mạng lưới botnet Mỗi máy trong botnet

có thể gửi các yêu cầu hoặc gói dữ liệu đến hệ thống mục tiêu, làm tắc nghẽn tài nguyên của hệ thống và gây gián đoạn dịch vụ Mục tiêu chính của DDoS là làm cho dịch vụ không thể truy cập được đối với người dùng hợp pháp bằng cách làm quá tải hệ thống mục tiêu.

Cách thức hoạt động của DDoS

Các cuộc tấn công DDoS thường được thực hiện qua ba giai đoạn chính:

1 Lây nhiễm và xây dựng botnet: Kẻ tấn công phát tán mã độc qua các lỗ

hổng bảo mật hoặc phần mềm độc hại, khiến các máy tính hoặc thiết bị kết nối vào mạng bị nhiễm, tạo thành một mạng lưới botnet Các máy tính này có thể là các máy tính cá nhân, server, thiết bị IoT (Internet of

Things), hay bất kỳ thiết bị nào có kết nối mạng.

2 Điều khiển botnet để tấn công: Sau khi xây dựng được botnet, kẻ tấn

công điều khiển các thiết bị này để gửi yêu cầu tấn công tới hệ thống mục tiêu Từng bot trong mạng botnet sẽ gửi yêu cầu đến hệ thống mục tiêu, tạo thành một lượng lưu lượng mạng cực kỳ lớn và liên tục, vượt qua khả năng xử lý của hệ thống mục tiêu.

Tóm tắt tác động của các tấn công tại tầng giao vận: 2.3 Tầng Ứng dụng (Application Layer) Tóm tắt tác động của các tấn công tại tầng ứng dụng: 2.4 Tấn công phản xạ (Reflection Attacks) Tóm tắt tác động của tấn công phản xạ: 2.5 Botnet-based DDoS

PHẦN III – MÔ HÌNH HOẠT ĐỘNG CỦA TẤN CÔNG DDoS 32

1 Mô hình 3 tầng: Attacker → Botnet → Victim 32

1.1 Attacker (Kẻ tấn công chính) 1.2 Botnet (Mạng lưới thiết bị bị điều khiển) 1.3 Victim (Nạn nhân)

2 Phân tích luồng dữ liệu trong các dạng tấn công 37

2.1 Direct Attack (Tấn công trực tiếp) 2.2 Reflection Attack (Tấn công phản xạ) 2.3 Application-layer Flood (Tấn công tầng ứng dụng)

3 Kỹ thuật ẩn danh IP, phân tán và mã hóa 42

3.1 Kỹ thuật ẩn danh địa chỉ IP 3.2 Phân tán toàn cầu 3.3 Mã hóa dữ liệu điều khiển

PHẦN IV – HẬU QUẢ VÀ ẢNH HƯỞNG 48

1 Thiệt hại tài chính 48

1.1 Mất doanh thu 1.2 Chi phí khắc phục và phòng chống 1.3 Tiền phạt và bồi thường

PHẦN V – PHƯƠNG PHÁP PHÒNG CHỐNG VÀ PHÁT HIỆN 61

1 Phòng chống 61

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL) 1.2 Load Balancer và Reverse Proxy 1.3 Giới hạn kết nối/sessions 1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata) 2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection) 2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris Cấu hình và sử dụng Slowloris Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris: Tại sao Slowloris hiệu quả? Tấn công kéo dài và bền bỉ: Giới hạn của Slowloris: Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85DANH MỤC CÁC BẢNG BIỂU 85

 Đề tài tập trung chủ yếu vào các dạng tấn công DoS và DDoS trên môi trường mạng TCP/IP.

 Demo được thực hiện trong môi trường giả lập an toàn (máy ảo, mạng nội bộ).

 Không thực hiện tấn công thật lên các hệ thống ngoài phạm vi kiểm soát.

4 Phương pháp thực hiện

học, bài viết học thuật và báo cáo kỹ thuật từ các tổ chức bảo mật uy tín như OWASP, Cloudflare, Kaspersky, v.v.

môi trường máy ảo để quan sát hành vi và đánh giá hiệu quả.

cụ và biện pháp phòng chống để rút ra nhận xét tổng quát.

1.1 Cấu hình hệ thống mạng và tường lửa (Firewall/ACL) 1.2 Load Balancer và Reverse Proxy 1.3 Giới hạn kết nối/sessions 1.4 Sử dụng dịch vụ CDN (Cloudflare, Akamai, v.v.)

2 Phát hiện 67

2.1 IDS/IPS – Hệ thống phát hiện/xử lý xâm nhập (Snort, Suricata) 2.2 Giám sát lưu lượng bất thường (Traffic Anomaly Detection) 2.3 Ứng dụng AI/ML trong phát hiện DDoS

PHẦN VI – CÔNG CỤ TẤN CÔNG DoS/DDoS VÀ DEMO 74

1 Lựa chọn công cụ demo 74

Cài đặt Slowloris Cấu hình và sử dụng Slowloris Lưu ý quan trọng

2 Mô tả công cụ 75

Quá trình tấn công của Slowloris: Tại sao Slowloris hiệu quả? Tấn công kéo dài và bền bỉ: Giới hạn của Slowloris: Mục tiêu tấn công của Slowloris:

Hệ điều hành hỗ trợ Slowloris:

3 Chuẩn bị môi trường demo 78

4 Thực hiện demo 79

5 Lưu ý đạo đức 80PHẦN VII – KẾT LUẬN & ĐỀ XUẤT 80

3 Script cấu hình, công cụ

4 Tài liệu tham khảo

DANH MỤC CÁC HÌNH VẼ 85DANH MỤC CÁC BẢNG BIỂU 85

 Đề tài tập trung chủ yếu vào các dạng tấn công DoS và DDoS trên môi trường mạng TCP/IP.

 Demo được thực hiện trong môi trường giả lập an toàn (máy ảo, mạng nội bộ).

 Không thực hiện tấn công thật lên các hệ thống ngoài phạm vi kiểm soát.

4 Phương pháp thực hiện

học, bài viết học thuật và báo cáo kỹ thuật từ các tổ chức bảo mật uy tín như OWASP, Cloudflare, Kaspersky, v.v.

môi trường máy ảo để quan sát hành vi và đánh giá hiệu quả.

cụ và biện pháp phòng chống để rút ra nhận xét tổng quát.