Kỹ sư mạng, bề ngoài chỉ là "lao động kỹ thuật" xây dựng, tối ưu hóa và khắc phục sự cố mạng, nhưng thực chất, chúng tôi là "tuyến phòng thủ đầu tiên" trong an ninh mạng. Một báo cáo năm 2024 của CrowdStrike cho thấy các cuộc tấn công mạng toàn cầu đã tăng 30%, khiến các công ty Trung Quốc chịu thiệt hại hơn 50 tỷ nhân dân tệ do các vấn đề an ninh mạng. Khách hàng không quan tâm bạn là chuyên gia vận hành hay bảo mật; khi sự cố mạng xảy ra, kỹ sư là người đầu tiên phải chịu trách nhiệm. Chưa kể đến việc AI, 5G và mạng đám mây được áp dụng rộng rãi, khiến các phương thức tấn công của tin tặc ngày càng tinh vi. Có một bài đăng phổ biến trên Zhihu ở Trung Quốc: "Kỹ sư mạng không học về bảo mật đang tự cắt đứt đường thoát của chính mình!" Câu nói này, tuy gay gắt, nhưng lại đúng.
Trong bài viết này, tôi sẽ cung cấp phân tích chi tiết về tám cuộc tấn công mạng phổ biến, từ nguyên lý, nghiên cứu điển hình đến chiến lược phòng thủ, đảm bảo tính thực tế nhất có thể. Dù bạn là người mới hay người dày dạn kinh nghiệm đang muốn nâng cao kỹ năng, kiến thức này sẽ giúp bạn kiểm soát tốt hơn các dự án của mình. Hãy bắt đầu thôi!
Cuộc tấn công DDoS số 1
Các cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS) làm quá tải máy chủ hoặc mạng mục tiêu bằng một lượng lớn lưu lượng giả mạo, khiến người dùng hợp pháp không thể truy cập. Các kỹ thuật phổ biến bao gồm tấn công tràn ngập SYN và tràn ngập UDP. Năm 2024, một báo cáo của Cloudflare cho thấy các cuộc tấn công DDoS chiếm 40% tổng số các cuộc tấn công mạng.
Năm 2022, một nền tảng thương mại điện tử đã bị tấn công DDoS ngay trước Ngày lễ Độc thân, với lưu lượng truy cập cao điểm lên tới 1Tbps, khiến trang web bị sập trong hai giờ và gây thiệt hại hàng chục triệu nhân dân tệ. Một người bạn của tôi phụ trách ứng phó khẩn cấp đã gần như phát điên vì áp lực.
Làm thế nào để ngăn ngừa?
○Làm sạch dòng chảy:Triển khai dịch vụ bảo vệ CDN hoặc DDoS (như Alibaba Cloud Shield) để lọc lưu lượng truy cập độc hại.
○Dự phòng băng thông:Dành riêng 20%-30% băng thông để ứng phó với tình trạng lưu lượng truy cập tăng đột ngột.
○Giám sát báo động:Sử dụng các công cụ (như Zabbix) để theo dõi lưu lượng truy cập theo thời gian thực và cảnh báo về bất kỳ điều bất thường nào.
○Kế hoạch khẩn cấp: Hợp tác với các ISP để nhanh chóng chuyển đổi đường truyền hoặc chặn các nguồn tấn công.
Số 2: Tiêm SQL
Tin tặc chèn mã SQL độc hại vào các trường nhập liệu hoặc URL của trang web để đánh cắp thông tin cơ sở dữ liệu hoặc làm hỏng hệ thống. Năm 2023, một báo cáo của OWASP cho biết SQL injection vẫn là một trong ba cuộc tấn công web phổ biến nhất.
Trang web của một doanh nghiệp vừa và nhỏ đã bị tin tặc xâm nhập bằng cách chèn câu lệnh "1=1", dễ dàng lấy được mật khẩu của quản trị viên vì trang web không lọc được dữ liệu đầu vào của người dùng. Sau đó, người ta phát hiện ra rằng nhóm phát triển đã không triển khai tính năng xác thực đầu vào.
Làm thế nào để ngăn ngừa?
○Truy vấn có tham số:Các nhà phát triển phần mềm nên sử dụng các câu lệnh đã chuẩn bị để tránh việc nối trực tiếp SQL.
○Bộ phận WAF:Tường lửa ứng dụng web (như ModSecurity) có thể chặn các yêu cầu độc hại.
○Kiểm toán thường xuyên:Sử dụng các công cụ (như SQLMap) để quét lỗ hổng và sao lưu cơ sở dữ liệu trước khi vá lỗi.
○Kiểm soát truy cập:Người dùng cơ sở dữ liệu chỉ nên được cấp những quyền tối thiểu để tránh mất quyền kiểm soát hoàn toàn.
Tấn công Cross-site Scripting (XSS) số 3
Tấn công cross-site scripting (XSS) đánh cắp cookie người dùng, ID phiên và các tập lệnh độc hại khác bằng cách chèn chúng vào các trang web. Chúng được phân loại thành các loại tấn công phản chiếu, tấn công lưu trữ và tấn công dựa trên DOM. Năm 2024, XSS chiếm 25% tổng số các cuộc tấn công web.
Một diễn đàn đã không lọc được bình luận của người dùng, tạo điều kiện cho tin tặc chèn mã độc và đánh cắp thông tin đăng nhập của hàng ngàn người dùng. Tôi đã chứng kiến trường hợp khách hàng bị tống tiền 500.000 nhân dân tệ vì lý do này.
Làm thế nào để ngăn ngừa?
○Lọc đầu vào: Thoát khỏi dữ liệu đầu vào của người dùng (chẳng hạn như mã hóa HTML).
○Chiến lược CSP:Bật chính sách bảo mật nội dung để hạn chế nguồn tập lệnh.
○Bảo vệ trình duyệt:Đặt tiêu đề HTTP (như X-XSS-Protection) để chặn các tập lệnh độc hại.
○Quét công cụ:Sử dụng Burp Suite để thường xuyên kiểm tra lỗ hổng XSS.
Số 4 Bẻ khóa mật khẩu
Tin tặc lấy được mật khẩu người dùng hoặc quản trị viên thông qua các cuộc tấn công dò mật khẩu, tấn công từ điển hoặc kỹ thuật xã hội. Một báo cáo năm 2023 của Verizon chỉ ra rằng 80% các vụ xâm nhập mạng có liên quan đến mật khẩu yếu.
Bộ định tuyến của một công ty, sử dụng mật khẩu mặc định "admin", đã dễ dàng bị tin tặc xâm nhập và cài đặt một cửa hậu. Kỹ sư liên quan sau đó đã bị sa thải, và người quản lý cũng phải chịu trách nhiệm.
Làm thế nào để ngăn ngừa?
○Mật khẩu phức tạp:Bắt buộc phải có 12 ký tự trở lên, bao gồm cả chữ hoa và chữ thường, số và ký hiệu.
○Xác thực đa yếu tố:Bật MFA (như mã xác minh SMS) trên các thiết bị quan trọng.
○Quản lý mật khẩu:Sử dụng các công cụ (như LastPass) để quản lý tập trung và thay đổi chúng thường xuyên.
○Giới hạn số lần thử:Địa chỉ IP sẽ bị khóa sau ba lần đăng nhập không thành công để ngăn chặn các cuộc tấn công bằng vũ lực.
Tấn công trung gian số 5 (MITM)
Tin tặc can thiệp vào quá trình giao tiếp giữa người dùng và máy chủ, chặn hoặc giả mạo dữ liệu. Điều này thường xảy ra trong Wi-Fi công cộng hoặc giao tiếp không được mã hóa. Năm 2024, các cuộc tấn công MITM chiếm 20% hoạt động đánh hơi mạng.
Mạng Wi-Fi của một quán cà phê đã bị tin tặc xâm nhập, khiến người dùng mất hàng chục nghìn đô la khi dữ liệu của họ bị đánh cắp khi đang đăng nhập vào trang web của ngân hàng. Các kỹ sư sau đó phát hiện ra rằng HTTPS không được áp dụng.
Làm thế nào để ngăn ngừa?
○Buộc sử dụng HTTPS:Trang web và API được mã hóa bằng TLS và HTTP bị vô hiệu hóa.
○Xác minh chứng chỉ:Sử dụng HPKP hoặc CAA để đảm bảo chứng chỉ đáng tin cậy.
○Bảo vệ VPN:Các hoạt động nhạy cảm nên sử dụng VPN để mã hóa lưu lượng.
○Bảo vệ ARP:Theo dõi bảng ARP để ngăn chặn tình trạng giả mạo ARP.
Tấn công lừa đảo số 6
Tin tặc sử dụng email, trang web hoặc tin nhắn văn bản giả mạo để lừa người dùng tiết lộ thông tin hoặc nhấp vào các liên kết độc hại. Năm 2023, các cuộc tấn công lừa đảo chiếm 35% các sự cố an ninh mạng.
Một nhân viên của một công ty nhận được email từ một người tự xưng là sếp của mình, yêu cầu chuyển tiền và cuối cùng mất hàng triệu đô la. Sau đó, người ta phát hiện ra rằng tên miền email là giả mạo; nhân viên đó đã không xác minh.
Làm thế nào để ngăn ngừa?
○Đào tạo nhân viên:Thường xuyên tiến hành đào tạo nâng cao nhận thức về an ninh mạng để hướng dẫn cách nhận biết email lừa đảo.
○Lọc email:Triển khai cổng chống lừa đảo (như Barracuda).
○Xác minh tên miền:Kiểm tra tên miền của người gửi và kích hoạt chính sách DMARC.
○Xác nhận kép:Các hoạt động nhạy cảm cần được xác minh qua điện thoại hoặc trực tiếp.
Phần mềm tống tiền số 7
Ransomware mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để giải mã. Một báo cáo năm 2024 của Sophos chỉ ra rằng 50% doanh nghiệp trên toàn thế giới đã từng bị tấn công ransomware.
Mạng lưới của một bệnh viện đã bị mã độc tống tiền LockBit xâm nhập, khiến hệ thống tê liệt và các ca phẫu thuật phải tạm dừng. Các kỹ sư đã mất một tuần để khôi phục dữ liệu, gây ra thiệt hại đáng kể.
Làm thế nào để ngăn ngừa?
○Sao lưu thường xuyên:Sao lưu dữ liệu quan trọng ngoài cơ sở dữ liệu và thử nghiệm quy trình phục hồi.
○Quản lý bản vá:Cập nhật hệ thống và phần mềm kịp thời để vá lỗ hổng.
○Giám sát hành vi:Sử dụng các công cụ EDR (như CrowdStrike) để phát hiện hành vi bất thường.
○Mạng lưới cách ly:Phân đoạn các hệ thống nhạy cảm để ngăn chặn sự lây lan của vi-rút.
Cuộc tấn công Zero-day số 8
Các cuộc tấn công zero-day khai thác các lỗ hổng phần mềm chưa được tiết lộ, khiến việc ngăn chặn chúng trở nên cực kỳ khó khăn. Năm 2023, Google báo cáo đã phát hiện 20 lỗ hổng zero-day có nguy cơ cao, nhiều lỗ hổng trong số đó được sử dụng cho các cuộc tấn công chuỗi cung ứng.
Một công ty sử dụng phần mềm SolarWinds đã bị tấn công bởi lỗ hổng zero-day, ảnh hưởng đến toàn bộ chuỗi cung ứng. Các kỹ sư bất lực và chỉ có thể chờ bản vá.
Làm thế nào để ngăn ngừa?
○Phát hiện xâm nhập:Triển khai IDS/IPS (như Snort) để theo dõi lưu lượng truy cập bất thường.
○Phân tích hộp cát:Sử dụng hộp cát để cô lập các tệp đáng ngờ và phân tích hành vi của chúng.
○Thông tin tình báo về mối đe dọa:Đăng ký dịch vụ (như FireEye) để nhận thông tin lỗ hổng bảo mật mới nhất.
○Quyền hạn tối thiểu:Hạn chế quyền truy cập phần mềm để giảm nguy cơ tấn công.
Các thành viên mạng lưới thân mến, bạn đã gặp phải những loại tấn công nào? Và bạn đã xử lý chúng như thế nào? Chúng ta hãy cùng nhau thảo luận và cùng nhau xây dựng mạng lưới vững mạnh hơn nữa!
Thời gian đăng: 05-11-2025
