Low and Slow là gì?
Low and Slow là một dạng tấn công DoS hoặc DDoS được thiết kế để gửi một lưu lượng truy cập hoặc các yêu cầu HTTP có vẻ hợp lệ với tốc độ rất chậm nhắm vào tài nguyên ứng dụng hoặc máy chủ. Các cuộc tấn công dạng Low and Slow có tốc độ chậm, tốn ít băng thông và có thể được khởi chạy từ một máy tính duy nhất hoặc một mạng bot. Lưu lượng truy cập từ tấn công Low and Slow rất khó bị phát hiện và khó phân biệt với lưu lượng thông thường.
Các loại tấn công Low and Slow phổ biến
Low and Slow hiện thường có 3 loại phổ biến đó là Slowloris, Sockstress và Rudy. Cụ thể:
Slowloris: Một cuộc tấn công Slowloris kết nối đến một máy chủ, và sẽ từ từ gửi các tiêu đề HTTP một phần khiến máy chủ giữ kết nối mở khi chờ phần tiêu đề còn lại. Bằng cách sử dụng số lượng kết nối tối đa có sẵn trên máy chủ, các cuộc tấn công Slowloris sẽ làm cạn kiệt tài nguyên máy chủ và khiến cho máy chủ bị quá tải, không thể phản hồi yêu cầu từ người dùng hợp lệ.
Sockstress: Cuộc tấn công Sockstress khai thác lỗ hổng trong bắt tay ba chiều TCP/IP để tạo ra kết nối không xác định.
RUDY: Dạng tấn công này sẽ tạo ra các yêu cầu HTTP POST để điền vào các form. Vì các yêu cầu độc hại không cho biết lượng dữ liệu mong đợi và sẽ gửi dữ liệu rất chậm, khiến máy chủ phải giữ kết nối trong thời gian dài để xử lý.
Slow Read: Tấn công Slow Read nhắm vào cách máy chủ xử lý yêu cầu đọc dữ liệu từ các kết nối khách. Nó thiết lập một kết nối với máy chủ và yêu cầu đọc dữ liệu rất chậm, khiến máy chủ phải giữ kết nối trong thời gian dài gây tiêu tốn tài nguyên.
Cách thức hoạt động của tấn công Low and Slow
Các cuộc tấn công Low and Slow hoạt động bằng cách khai thác cơ chế quản lý kết nối và tài nguyên của máy chủ /ứng dụng. Thay vì gửi lượng lớn trong một khoảng thời gian ngắn như các cuộc tấn công khác, tấn công Low and Slow nhắm vào việc giữ máy chủ kết nối trong thời gian dài với một lượng dữ liệu nhỏ, gây tiêu tốn tài nguyên.
Các yêu cầu được gửi một cách chậm rãi và không hoàn chỉnh, buộc máy chủ phải giữ kết nối mở trong thời gian dài. Chúng tận dụng số lượng kết nối hoặc tài nguyên máy chủ có thể quản lý cùng lúc được, dẫn đến tài nguyên máy chủ nhanh chóng bị cạn kiệt.
Do lưu lượng dữ liệu thấp, không có sự đột biến về lưu lượng kết nối nên các cuộc tấn công Low and Slow tấy khó phát hiện bởi các hệ thống giám sát tiêu chuẩn.
Cách giảm thiểu các cuộc tấn công Low and Slow
Để ngăn chặn các cuộc tấn công Low and Slow hiệu quả, doanh nghiệp và nhóm CNTT cần triển khai các biện pháp bảo mật nhiều lớp.
- Phân tích các mẫu lưu lượng truy cập thông thường và liên tục theo dõi hành vi lưu lượng truy cập theo thời gian thực. Để kịp thời phát hiện bất thường của một cuộc tấn công Low and Slow
- Giám sát tài nguyên máy chủ như CPU, RAM, trạng thái ứng dụng,….để kịp thời phát hiện bất thường
- Nâng cấp tính khả dụng của máy chủ và thêm nhiều kết nối hơn khiến tấn công Low and Slow không làm cạn tài nguyên máy chủ
- Bảo vệ hệ thống máy chủ dựa trên Proxy ngược để giảm thiểu tấn công trước khi nó đến máy chủ gốc
- Triển khai hệ thống giảm thiểu DDoS thông minh IDMS được thiết kế trong Datacenter để chạy các ứng dụng chính bạn muốn bảo vệ.
- Ngoài ra, kết hợp các biện pháp chống DDoS khác nhau như tường lửa ứng dụng web để phát hiện và giảm thiểu các cuộc tấn công.
Kết luận
Trên đây là thông tin chi tiết về một dạng tấn công DoS, DDoS – Low and Slow và cách ngăn chặn các cuộc tấn công này một cách hiệu quả. Đội ngũ an ninh mạng cần cảnh giác và theo dõi lưu lượng truy cập bất thường kết hợp với các biện pháp bảo mật khác để giảm thiểu tác động của tấn công Low and Slow.
Cảm ơn bạn đọc đã theo dõi bài viết của chúng tôi!
