Du Le Van Ky

DDoS là gì? Hướng dẫn cơ bản giúp bạn bảo vệ hệ thống

5 min read

Trong thế giới internet hiện đại, DDoS (Distributed Denial-of-Service) hay Tấn công Từ chối Dịch vụ Phân tán là một trong những mối đe dọa phổ biến và nguy hiểm nhất đối với các trang web và máy chủ.

1. Tấn công DDoS là gì?

Tấn công DDoS là hành vi làm gián đoạn dịch vụ bằng cách gửi lượng lớn lưu lượng từ nhiều nguồn khác nhau. Mục tiêu thường là máy chủ, trang web hoặc mạng. Kẻ tấn công dùng nhiều thiết bị bị nhiễm mã độc để tạo ra lưu lượng giả. Những thiết bị này được gọi là bot và hợp thành một botnet.

Hãy tưởng tượng: Bạn hãy nghĩ về một con đường cao tốc dẫn đến một cửa hàng. Tấn công DDoS giống như việc ai đó cố tình lái hàng nghìn chiếc xe ô tô ra chặn kín con đường đó. Kết quả là những khách hàng thực sự muốn đến mua hàng sẽ không thể đi vào được vì đường đã bị tắc nghẽn hoàn toàn.

2. Cơ chế hoạt động

  • Kẻ tấn công chiếm quyền điều khiển nhiều thiết bị Internet (máy tính, thiết bị IoT…) thông qua malware, biến chúng thành “bot” (zombie).
  • Tập hợp thành “botnet” – mạng lưới các thiết bị bị chiếm quyền.
  • Khi tấn công diễn ra: mỗi bot gửi yêu cầu tới địa chỉ IP mục tiêu, gây quá tải cho máy chủ hoặc mạng của mục tiêu → dịch vụ bị gián đoạn.
  • Khó khăn trong việc phòng: vì lưu lượng tấn công có thể tới từ rất nhiều thiết bị “hợp lệ” (không dễ phân biệt) nên việc nhận biết traffic xấu – traffic thật là một thách thức.

2. Các loại tấn công DDoS phổ biến

Theo phân loại của Cloudflare, có ba nhóm chính:

  • Tấn công tầng ứng dụng (Application layer, Layer 7)
    • Nhắm vào tầng tạo và phân phối trang web, nơi mỗi HTTP request nhỏ trên client có thể tạo ra công việc lớn phía server (ví dụ chạy truy vấn DB, tải nhiều file).
    • Ví dụ: HTTP flood – nhiều yêu cầu GET/POST từ các bot tới URL của máy chủ (giống như việc hàng trăm người cùng lúc bước vào một quán cà phê và yêu cầu nhân viên pha chế làm những món đồ uống phức tạp nhất, khiến nhân viên không thể phục vụ khách hàng khác).
    • Khó phòng hơn vì rất giống lưu lượng truy cập hợp lệ.
  • Tấn công giao thức (Protocol attacks, Layer 3 & 4)
    • Nhắm vào các thành phần như TCP/IP, firewall, load‑balancer bằng cách làm cạn kiệt trạng thái kết nối hoặc các bộ nhớ trung gian.
    • Ví dụ: SYN flood – gửi hàng loạt gói TCP SYN giả, máy chủ phản hồi nhưng handshake không hoàn thành, dẫn tới “chết” vì đợi (giống như việc một nhóm người gọi điện đến tổng đài đặt hàng, nhưng khi nhân viên nhấc máy thì họ lại im lặng không nói gì, giữ máy bận khiến người khác không thể gọi vào).
  • Tấn công băng thông (Volumetric attacks)
    • Mục tiêu: tạo tắc nghẽn bằng cách sử dụng hết băng thông giữa mục tiêu và Internet rộng hơn. Có thể thông qua botnet lớn hoặc kỹ thuật khuếch đại (amplification).
    • Ví dụ: DNS amplification – gửi yêu cầu tới máy chủ DNS mở với nguồn giả mạo là IP mục tiêu, máy chủ DNS gửi phản hồi lớn tới mục tiêu (giống như việc ai đó gọi đồ ăn giao đến nhà bạn (nạn nhân) từ hàng trăm nhà hàng khác nhau cùng một lúc, dù bạn không hề đặt. Cổng nhà bạn sẽ bị chặn kín bởi các shipper).

3. Nhận biết và dấu hiệu

Khi trang web hoặc dịch vụ trở nên chậm hoặc không thể truy cập—đó có thể do DDoS, nhưng cũng có thể do lưu lượng hợp lệ tăng đột biến, vì vậy cần phân tích thêm.
Các dấu hiệu bao gồm:

  • Lượng lớn traffic từ cùng một IP hoặc dải IP.
  • Traffic bất thường từ nhiều user có cùng đặc điểm (thiết bị, trình duyệt, vùng địa lý).
  • Sự tăng đột ngột các yêu cầu tới một trang/endpoint cụ thể.
  • Các mẫu traffic lạ như: tăng đột biến vào giờ không bình thường, hoặc đều đặn theo chu kỳ kỳ quặc.

4. Các biện pháp phòng chống

Mối quan tâm lớn nhất khi giảm thiểu DDoS là phân biệt được đâu là lưu lượng tấn công và đâu là khách truy cập bình thường.

Các phương pháp truyền thống như “Blackhole routing” (định tuyến hố đen – chuyển hướng tất cả lưu lượng truy cập vào hư không) sẽ chặn cả kẻ tấn công lẫn khách hàng thật, đây không phải là giải pháp lý tưởng.

Các giải pháp hiện đại bao gồm:

  • Tường lửa ứng dụng web (WAF): Giúp lọc và chặn các yêu cầu độc hại ở lớp ứng dụng dựa trên các quy tắc bảo mật.
  • Giới hạn tốc độ (Rate Limiting): Hạn chế số lượng yêu cầu mà một máy chủ chấp nhận trong một khoảng thời gian nhất định.
  • Mạng Anycast: Đây là giải pháp mạnh mẽ nhất (như Cloudflare sử dụng). Thay vì một máy chủ chịu trận, lưu lượng tấn công sẽ được phân tán ra mạng lưới các máy chủ trên toàn cầu. Hệ thống sẽ “hấp thụ” và lọc bỏ lưu lượng xấu tại biên (edge) trước khi nó kịp đến máy chủ gốc của bạn.hòng chống hiệu quả đòi hỏi một giải pháp nhiều lớp vì attacker có thể dùng nhiều vector khác nhau cùng lúc.

5. Kết Luận

Tóm lại, DDoS là một nỗ lực làm tê liệt hệ thống bằng số lượng lớn truy cập giả mạo. Hiểu rõ loại hình tấn công là bước đầu tiên để xây dựng hệ thống phòng thủ vững chắc.

Avatar photo
Du Le Van Ky
«
»

4 yếu tố quan trọng khi testing blockchain

Avatar photo Trang Khuat Thi
Dec 1, 2025 4 min read

[Kubernetes Series] Cài đặt Kubernetes Cluster Local trên Ubuntu…

Avatar photo Thien Nguyen Thai
Dec 1, 2025 3 min read

[Kubernetes Series] Part 1: Kubernetes là gì?

Avatar photo Thien Nguyen Thai
Dec 1, 2025 2 min read

Leave a Reply

Your email address will not be published. Required fields are marked *