Tấn công Ddos Slowloris là gì?
Tấn công DDoS Slowloris là một kiểu tấn công mạng nhắm vào máy chủ web bằng cách mở nhiều kết nối và giữ chúng mở càng lâu càng tốt. Ngay lúc đó, sẽ khiến máy chủ bị quá tải và không thể xử lý các yêu cầu từ người dùng hợp lệ, dẫn đến tình trạng ngừng hoạt động. Slowloris lợi dụng cách gửi các yêu cầu HTTP không hoàn chỉnh, khiến máy chủ phải chờ và giữ kết nối, mà không cần tốn nhiều băng thông như các cuộc tấn công khác.
Tấn công Ddos Slowloris khác gì so với tấn công Ddos truyền thống?
Tấn công DDoS Slowloris khác với tấn công DDoS truyền thống ở một số điểm sau đây:
Tiêu chí | DDoS truyền thống | Ddos Slowloris |
Phương thức tấn công | Gửi một lượng lớn yêu cầu HTTP để làm quá tải máy chủ. | Mở nhiều kết nối và giữ chúng mở bằng yêu cầu HTTP không hoàn chỉnh. |
Tài nguyên sử dụng | Cần nhiều băng thông và tài nguyên để gửi yêu cầu. | Sử dụng ít băng thông, chỉ cần gửi một số ít yêu cầu với tần suất thấp. |
Phát hiện | Dễ phát hiện qua lượng băng thông và số lượng yêu cầu cao. | Khó phát hiện vì gửi yêu cầu chậm và duy trì kết nối mở. |
Ảnh hưởng tới máy chủ | Làm ngừng hoạt động máy chủ ngay lập tức. | Từ từ làm tê liệt máy chủ, làm máy chủ không thể xử lý yêu cầu hợp lệ khác. |
Như vậy, ta có thể thấy tấn công Ddos Slowloris so với Ddos truyền thống sẽ nguy hiểm và tinh vi hơn rất nhiều. Tấn công DDoS truyền thống làm ngừng hoạt động máy chủ ngay lập tức do quá tải băng thông, trong khi tấn công Slowloris từ từ làm tê liệt máy chủ từ từ bằng cách giữ nhiều kết nối mở, làm giảm khả năng xử lý yêu cầu hợp lệ.
Xem thêm >>> HTTP flood là gì? Cách Hạn Chế Tấn Công HTTP flood Hiệu Quả
Tấn công Ddos Slowloris hoạt động như thế nào?
Tấn công DDoS Slowloris hoạt động theo cách thức như sau:
- Kẻ tấn công gửi yêu cầu HTTP: Kẻ tấn công sử dụng máy tính hoặc mạng botnet (nhiều máy tính bị kiểm soát) để gửi yêu cầu đến máy chủ web. Nhưng thay vì gửi yêu cầu hoàn chỉnh, chúng chỉ gửi một phần nhỏ và không bao giờ hoàn tất yêu cầu.
- Máy chủ đợi hoàn thành yêu cầu: Máy chủ nghĩ rằng yêu cầu chưa xong nên sẽ giữ kết nối đó mở và chờ thêm dữ liệu từ phía kẻ tấn công. Nó sẽ giữ kết nối này mà không thể đóng ngay.
- Kẻ tấn công gửi thêm yêu cầu nhỏ giọt: Kẻ tấn công tiếp tục gửi các phần nhỏ của yêu cầu theo từng khoảng thời gian, giữ cho kết nối luôn mở và khiến máy chủ liên tục chờ đợi.
- Máy chủ quá tải: Cuối cùng, máy chủ bị mở quá nhiều kết nối mà không xử lý xong yêu cầu nào, dẫn đến tình trạng không thể xử lý các yêu cầu từ người dùng thật sự và làm cho trang web chậm hoặc ngừng hoạt động hoàn toàn.
Bạn có thể hiểu đơn giản: Kẻ tấn công cứ làm cho máy chủ “chờ đợi mãi” mà không bao giờ hoàn tất công việc, khiến máy chủ quá tải và không thể phục vụ người dùng thật.
Xem thêm >>> Low and Slow là gì? Cách Hoạt Động và Ngăn Chặn Attack Hiệu Quả
Làm thế nào để ngăn chặn tấn công Ddos Slowloris?
Để ngăn chặn tấn công DDoS Slowloris, bạn có thể áp dụng các biện pháp dưới đây:
- Giới hạn số lượng kết nối từ một IP: Cấu hình máy chủ để giới hạn số lượng kết nối mà một địa chỉ IP có thể mở cùng lúc, để ngăn việc một IP duy trì quá nhiều kết nối chưa hoàn tất, gây quá tải máy chủ.
- Thiết lập thời gian chờ kết nối: Giới hạn thời gian mà một kết nối có thể duy trì mà không truyền dữ liệu. Nếu một kết nối kéo dài quá lâu mà không có hoạt động, máy chủ sẽ tự động ngắt kết nối.
- Tăng tốc độ truyền tối thiểu: Tăng giới hạn tốc độ truyền dữ liệu tối thiểu để buộc các kết nối phải gửi và nhận dữ liệu nhanh chóng, từ đó ngăn chặn những kết nối kéo dài quá lâu với tốc độ thấp.
- Sử dụng tường lửa ứng dụng web (WAF): Triển khai tường lửa ứng dụng web có thể giúp phát hiện và chặn các yêu cầu bất thường từ các cuộc tấn công Slowloris.
- Sử dụng bộ cân bằng tải: Cấu hình bộ cân bằng tải để phân phối lưu lượng truy cập đều trên các máy chủ, giúp giảm tải cho máy chủ mục tiêu.
- Giới hạn tỷ lệ (Rate-limiting): Giới hạn số lượng yêu cầu mà một IP có thể gửi trong một khoảng thời gian nhất định, giúp giảm bớt lưu lượng truy cập bất thường từ một nguồn đơn lẻ.
- Dịch vụ đám mây giảm thiểu DDoS: Triển khai các dịch vụ đám mây có khả năng chống DDoS để bảo vệ hệ thống khỏi các cuộc tấn công Slowloris.
Lời kết
Trên đây là toàn bộ thông tin về sự nguy hiểm của cuộc tấn công Ddos Slowloris, LANIT hy vọng những gì chúng tôi cung cấp sẽ thực sự hữu ích đối với các bạn. Việc hiểu rõ cách thức hoạt động của Slowloris giúp bạn có thể áp dụng các biện pháp phòng chống hiệu quả, bảo vệ hệ thống và đảm bảo sự ổn định cho các dịch vụ trực tuyến.