Về mặt bề ngoài, kỹ sư mạng chỉ là những "nhân viên kỹ thuật" xây dựng, tối ưu hóa và khắc phục sự cố mạng, nhưng trên thực tế, chúng ta là "tuyến phòng thủ đầu tiên" trong an ninh mạng. Một báo cáo của CrowdStrike năm 2024 cho thấy các cuộc tấn công mạng toàn cầu đã tăng 30%, với các công ty Trung Quốc chịu tổn thất hơn 50 tỷ nhân dân tệ do các vấn đề an ninh mạng. Khách hàng không quan tâm bạn là chuyên gia vận hành hay chuyên gia bảo mật; khi xảy ra sự cố mạng, kỹ sư là người đầu tiên phải chịu trách nhiệm. Chưa kể đến việc ứng dụng rộng rãi trí tuệ nhân tạo (AI), mạng 5G và mạng đám mây, khiến các phương pháp tấn công của tin tặc ngày càng tinh vi. Có một bài đăng phổ biến trên Zhihu ở Trung Quốc: "Kỹ sư mạng không học bảo mật đang tự cắt đứt đường thoát của chính mình!" Câu nói này, dù khắc nghiệt, nhưng vẫn đúng.
Trong bài viết này, tôi sẽ phân tích chi tiết tám cuộc tấn công mạng phổ biến, từ nguyên tắc và các trường hợp nghiên cứu đến các chiến lược phòng thủ, sao cho càng thực tế càng tốt. Cho dù bạn là người mới hay một chuyên gia dày dạn kinh nghiệm đang muốn nâng cao kỹ năng, kiến thức này sẽ giúp bạn kiểm soát tốt hơn các dự án của mình. Bắt đầu nào!
Cuộc tấn công DDoS số 1
Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) làm quá tải các máy chủ hoặc mạng mục tiêu bằng lượng lớn lưu lượng truy cập giả mạo, khiến chúng không thể truy cập được đối với người dùng hợp pháp. Các kỹ thuật phổ biến bao gồm tấn công SYN flooding và UDP flooding. Năm 2024, một báo cáo của Cloudflare cho thấy các cuộc tấn công DDoS chiếm 40% tổng số các cuộc tấn công mạng.
Vào năm 2022, một nền tảng thương mại điện tử đã bị tấn công DDoS trước ngày lễ Độc thân, với lưu lượng truy cập cao điểm đạt 1Tbps, khiến trang web bị sập trong hai giờ và gây thiệt hại hàng chục triệu nhân dân tệ. Một người bạn của tôi phụ trách ứng phó khẩn cấp và gần như phát điên vì áp lực.
Làm thế nào để ngăn ngừa điều đó?
○Vệ sinh bằng dòng chảy:Triển khai các dịch vụ CDN hoặc bảo vệ DDoS (bạn có thể cần Mylinking™ Inline Bypass Tap/Switch) để lọc lưu lượng truy cập độc hại.
○Khả năng dự phòng băng thông:Hãy dành riêng 20%-30% băng thông để đối phó với sự tăng đột biến lưu lượng truy cập.
○Hệ thống cảnh báo giám sát:Sử dụng các công cụ (bạn có thể cần Mylinking™ Network Packet Broker) để giám sát lưu lượng truy cập theo thời gian thực và cảnh báo về bất kỳ sự bất thường nào.
○Kế hoạch khẩn cấpPhối hợp với các nhà cung cấp dịch vụ Internet (ISP) để nhanh chóng chuyển đổi đường truyền hoặc chặn các nguồn tấn công.
Số 2. Tấn công SQL Injection
Tin tặc chèn mã SQL độc hại vào các trường nhập liệu hoặc URL trên trang web để đánh cắp thông tin cơ sở dữ liệu hoặc gây hư hại hệ thống. Năm 2023, một báo cáo của OWASP cho biết tấn công chèn mã SQL vẫn là một trong ba hình thức tấn công mạng phổ biến nhất.
Trang web của một doanh nghiệp vừa và nhỏ đã bị tin tặc tấn công bằng cách chèn câu lệnh "1=1", dễ dàng lấy được mật khẩu của quản trị viên, vì trang web không lọc dữ liệu đầu vào của người dùng. Sau đó, người ta phát hiện ra rằng nhóm phát triển hoàn toàn không triển khai việc xác thực dữ liệu đầu vào.
Làm thế nào để ngăn ngừa điều đó?
○Truy vấn tham số:Các nhà phát triển backend nên sử dụng các câu lệnh chuẩn bị sẵn để tránh việc nối trực tiếp các câu lệnh SQL.
○Bộ phận WAF:Tường lửa ứng dụng web (như ModSecurity) có thể chặn các yêu cầu độc hại.
○Kiểm toán định kỳ:Hãy sử dụng các công cụ (như SQLMap) để quét tìm lỗ hổng bảo mật và sao lưu cơ sở dữ liệu trước khi vá lỗi.
○Kiểm soát truy cập:Người dùng cơ sở dữ liệu chỉ nên được cấp các quyền tối thiểu để tránh mất hoàn toàn quyền kiểm soát.
Số 3. Tấn công kịch bản chéo trang (XSS)
Tấn công kịch bản chéo trang (XSS) đánh cắp cookie người dùng, ID phiên và các kịch bản độc hại khác bằng cách chèn chúng vào các trang web. Chúng được phân loại thành các cuộc tấn công phản xạ, lưu trữ và dựa trên DOM. Năm 2024, XSS chiếm 25% tổng số các cuộc tấn công web.
Một diễn đàn đã không lọc được bình luận của người dùng, tạo điều kiện cho tin tặc chèn mã độc và đánh cắp thông tin đăng nhập của hàng nghìn người dùng. Tôi đã từng chứng kiến trường hợp khách hàng bị tống tiền tới 500.000 nhân dân tệ vì chuyện này.
Làm thế nào để ngăn ngừa điều đó?
○Lọc đầu vào: Mã hóa dữ liệu nhập từ người dùng (ví dụ như mã hóa HTML).
○Chiến lược CSP:Kích hoạt các chính sách bảo mật nội dung để hạn chế nguồn tập lệnh.
○Bảo vệ trình duyệt:Thiết lập các tiêu đề HTTP (chẳng hạn như X-XSS-Protection) để chặn các tập lệnh độc hại.
○Quét công cụ:Hãy sử dụng Burp Suite để thường xuyên kiểm tra các lỗ hổng XSS.
Số 4. Bẻ khóa mật khẩu
Tin tặc đánh cắp mật khẩu người dùng hoặc quản trị viên thông qua các cuộc tấn công vét cạn, tấn công từ điển hoặc kỹ thuật xã hội. Một báo cáo của Verizon năm 2023 cho thấy 80% các vụ xâm nhập mạng có liên quan đến mật khẩu yếu.
Bộ định tuyến của công ty, sử dụng mật khẩu mặc định "admin", đã dễ dàng bị tin tặc xâm nhập và cài đặt cửa hậu. Kỹ sư liên quan sau đó đã bị sa thải, và người quản lý cũng phải chịu trách nhiệm.
Làm thế nào để ngăn ngừa điều đó?
○Mật khẩu phức tạp:Nhập từ 12 ký tự trở lên, bao gồm cả chữ hoa, chữ thường, số và ký hiệu.
○Xác thực đa yếu tố:Kích hoạt xác thực đa yếu tố (MFA, chẳng hạn như mã xác minh SMS) trên các thiết bị quan trọng.
○Quản lý mật khẩu:Hãy sử dụng các công cụ (như LastPass) để quản lý tập trung và thay đổi chúng thường xuyên.
○Giới hạn số lần thử:Địa chỉ IP sẽ bị khóa sau ba lần đăng nhập không thành công để ngăn chặn các cuộc tấn công vét cạn mật khẩu.
Số 5: Tấn công người trung gian (MITM)
Tin tặc can thiệp vào giữa người dùng và máy chủ, chặn bắt hoặc làm sai lệch dữ liệu. Điều này thường xảy ra trên mạng Wi-Fi công cộng hoặc trong các giao tiếp không được mã hóa. Năm 2024, các cuộc tấn công MITM chiếm 20% tổng số vụ nghe lén mạng.
Mạng Wi-Fi của một quán cà phê đã bị tin tặc xâm nhập, dẫn đến việc người dùng mất hàng chục nghìn đô la khi dữ liệu của họ bị đánh cắp trong lúc đăng nhập vào trang web của ngân hàng. Các kỹ sư sau đó phát hiện ra rằng HTTPS không được thực thi.
Làm thế nào để ngăn ngừa điều đó?
○Buộc sử dụng HTTPS:Trang web và API được mã hóa bằng TLS, và giao thức HTTP đã bị vô hiệu hóa.
○Xác minh chứng chỉ:Hãy sử dụng HPKP hoặc CAA để đảm bảo chứng chỉ đáng tin cậy.
○Bảo vệ VPN:Các hoạt động nhạy cảm nên sử dụng VPN để mã hóa lưu lượng truy cập.
○Bảo vệ ARP:Theo dõi bảng ARP để ngăn chặn tấn công giả mạo ARP.
Số 6: Tấn công lừa đảo
Tin tặc sử dụng email, trang web hoặc tin nhắn văn bản giả mạo để lừa người dùng tiết lộ thông tin hoặc nhấp vào các liên kết độc hại. Năm 2023, các cuộc tấn công lừa đảo chiếm 35% tổng số sự cố an ninh mạng.
Một nhân viên của một công ty nhận được email từ người tự xưng là sếp của mình, yêu cầu chuyển tiền, và cuối cùng đã mất hàng triệu đô la. Sau đó, người ta phát hiện ra rằng tên miền email là giả mạo; nhân viên đó đã không xác minh tên miền.
Làm thế nào để ngăn ngừa điều đó?
○Đào tạo nhân viên:Thường xuyên tổ chức các buổi đào tạo nâng cao nhận thức về an ninh mạng để hướng dẫn cách nhận biết email lừa đảo.
○Lọc email:Triển khai cổng chống lừa đảo trực tuyến (chẳng hạn như Barracuda).
○Xác minh tên miền:Kiểm tra tên miền của người gửi và bật chính sách DMARC.
○Xác nhận kép:Các hoạt động nhạy cảm yêu cầu xác minh qua điện thoại hoặc trực tiếp.
Phần mềm tống tiền số 7
Phần mềm tống tiền mã hóa dữ liệu của nạn nhân và đòi tiền chuộc để giải mã. Một báo cáo của Sophos năm 2024 cho thấy 50% doanh nghiệp trên toàn thế giới đã từng bị tấn công bằng phần mềm tống tiền.
Hệ thống mạng của một bệnh viện đã bị phần mềm tống tiền LockBit tấn công, gây tê liệt hệ thống và tạm dừng các ca phẫu thuật. Các kỹ sư đã mất một tuần để khôi phục dữ liệu, chịu tổn thất đáng kể.
Làm thế nào để ngăn ngừa điều đó?
○Sao lưu thường xuyên:Sao lưu dữ liệu quan trọng tại địa điểm khác và kiểm tra quy trình phục hồi.
○Quản lý bản vá:Cập nhật hệ thống và phần mềm kịp thời để khắc phục các lỗ hổng bảo mật.
○Giám sát hành vi:Sử dụng các công cụ EDR (như CrowdStrike) để phát hiện hành vi bất thường.
○Mạng lưới cách ly:Phân vùng các hệ thống nhạy cảm để ngăn chặn sự lây lan của virus.
Số 8. Tấn công Zero-day
Các cuộc tấn công zero-day khai thác các lỗ hổng phần mềm chưa được tiết lộ, khiến chúng cực kỳ khó ngăn chặn. Năm 2023, Google báo cáo phát hiện 20 lỗ hổng zero-day có rủi ro cao, nhiều trong số đó được sử dụng cho các cuộc tấn công chuỗi cung ứng.
Một công ty sử dụng phần mềm SolarWinds đã bị tấn công bởi một lỗ hổng bảo mật chưa được vá (zero-day vulnerability), ảnh hưởng đến toàn bộ chuỗi cung ứng của họ. Các kỹ sư hoàn toàn bất lực và chỉ có thể chờ bản vá lỗi.
Làm thế nào để ngăn ngừa điều đó?
○Phát hiện xâm nhập:Triển khai hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) (như Snort) để giám sát lưu lượng truy cập bất thường.
○Phân tích trong môi trường thử nghiệm:Sử dụng môi trường thử nghiệm (sandbox) để cô lập các tập tin đáng ngờ và phân tích hành vi của chúng.
○Thông tin tình báo về mối đe dọa:Hãy đăng ký các dịch vụ (như FireEye) để nhận thông tin mới nhất về các lỗ hổng bảo mật.
○Nguyên tắc quyền lợi tối thiểu:Hạn chế quyền truy cập phần mềm để giảm thiểu bề mặt tấn công.
Các thành viên mạng lưới thân mến, các bạn đã gặp phải những loại tấn công nào? Và các bạn đã xử lý chúng như thế nào? Hãy cùng nhau thảo luận và hợp tác để làm cho mạng lưới của chúng ta mạnh mẽ hơn nữa!
Thời gian đăng bài: 05/11/2025
