[2025] DoS, DDoS là gì? | Dấu hiệu, Xử lý & Phòng chống DDoS

DDOS là gì? Tấn công DDOS là một vấn đề cực kỳ nghiêm trọng, gây ảnh hưởng không chỉ đến hoạt động của các website mà còn tác động tiêu cực đến doanh nghiệp về mặt kinh doanh, lợi nhuận và danh tiếng. Do đó, việc chống lại tấn công DDOS là một chủ đề được rất nhiều người dùng và doanh nghiệp quan tâm. Bài viết sau đây của VinaHost sẽ giúp bạn hiểu rõ về DDOS cũng như cách phòng chống DDOS hiệu quả!

1. Tổng quan kiến thức về DDoS và DoS

1.1. DoS là gì?

DoS (Denial of Service) là viết tắt của tấn công từ chối dịch vụ. Đây là một dạng tấn công mạng nhằm làm cho một hệ thống, máy chủ hoặc dịch vụ trở nên quá tải và không thể hoạt động bình thường, khiến người dùng thật không thể truy cập được.

1.2. DDoS là gì?

DDoS (Distributed Denial of Service) là viết tắt của tấn công từ chối dịch vụ phân tán. Đây là một hình thức nâng cấp của DoS, trong đó kẻ tấn công sử dụng nhiều thiết bị khác nhau (thường là các máy tính bị nhiễm mã độc tạo thành mạng botnet) để tấn công đồng loạt vào một hệ thống mục tiêu.

Mục tiêu của cuộc tấn công này là làm sập hoặc ngừng hoạt động máy tính hoặc máy chủ, gây gián đoạn dịch vụ. Sau khi chiếm quyền kiểm soát máy tính, kẻ tấn công sẽ tận dụng để gửi dữ liệu xấu hoặc yêu cầu đến các thiết bị khác thông qua trang web hoặc địa chỉ email.

• DDoS web là gì? Tấn công DDoS nhằm vào website là một hình thức tấn công mạng mà mục tiêu chính là làm cho website trở nên không khả dụng đối với người dùng hợp lệ bằng cách tạo ra một lượng lớn yêu cầu truy cập đồng thời từ nhiều nguồn khác nhau. Khi một website bị tấn công DDoS, nó sẽ phải đối mặt với một lượng lớn yêu cầu truy cập, gây quá tải hệ thống và làm cho website trở nên chậm chạp hoặc không thể truy cập được.
• Dấu hiệu của Server bị DDoS là gì? Có một số dấu hiệu cho thấy một server đang bị tấn công DDoS như Giảm hiệu suất; Tăng lưu lượng mạng; Giảm khả năng sử dụng tài nguyên, Sự thay đổi trong hành vi truy cập với một lượng lớn yêu cầu truy cập giả mạo hoặc không hợp lệ; Quá tải hệ thống và làm cho server không thể xử lý được yêu cầu từ người dùng hợp lệ; Sự xuất hiện của IP đáng ngờ…
• DrDoS là gì? DrDoS (Distributed Reflection Denial of Service) là một hình thức tấn công mạng DDoS (Distributed Denial of Service) mà kẻ tấn công sử dụng các máy chủ hoặc thiết bị không an toàn để gửi yêu cầu giả mạo đến các máy chủ phản hồi hoặc dịch vụ trung gian có khả năng phản ánh lại yêu cầu (ví dụ: DNS, NTP, SNMP). Kỹ thuật này cho phép kẻ tấn công tăng gấp đôi hoặc nhân lên quy mô cuộc tấn công bằng cách sử dụng tính chất phản xạ của các máy chủ phản hồi để gửi lưu lượng truy cập lớn đến mục tiêu. Điều này có thể gây quá tải hệ thống mục tiêu và làm cho dịch vụ trở nên không khả dụng cho người dùng hợp lệ.

1.3. Sự khác nhau giữa DoS và DDoS

Có sự khác biệt quan trọng giữa cuộc tấn công DoS và DDoS. Trong cuộc tấn công DoS, kẻ tấn công sử dụng một kết nối Internet đơn để tận dụng lỗ hổng phần mềm hoặc gửi yêu cầu giả tạo, thường dẫn đến hiện tượng Flooding (tràn ngập) nhằm tiêu tốn tài nguyên của máy chủ như RAM và CPU.

Trái lại, cuộc tấn công DDoS gây hại cho nhiều thiết bị kết nối chung trên cùng một kết nối Internet. Với sự tham gia của nhiều người dùng và thiết bị, khó để chống lại cuộc tấn công này do khối lượng thiết bị liên quan rất lớn. Khác với DoS chỉ tấn công một nguồn duy nhất, cuộc tấn công DDoS nhắm vào cơ sở hạ tầng mạng để làm quá tải bằng lưu lượng truy cập khổng lồ.

Các cuộc tấn công DDoS cũng khác nhau về cách thức thực hiện. Nói chung, cuộc tấn công DoS thường được thực hiện bằng cách sử dụng các tập lệnh tự tạo hoặc công cụ DoS (ví dụ: Low Orbit Ion Canon).

Trong khi đó, cuộc tấn công DDoS thường được khởi động từ botnet – một mạng lưới lớn các thiết bị kết nối (ví dụ: điện thoại di động, PC hoặc bộ định tuyến) bị nhiễm phần mềm độc hại, cho phép kẻ tấn công điều khiển từ xa.

Dưới đây là bảng so sánh các tiêu chí khác nhau giữa cuộc tấn công DoS và DDoS:

2. Cách thức hoạt động của cuộc tấn công DDoS

Quy trình thường chia làm 3 bước chính:

• Bước 1- Tạo botnet: Kẻ tấn công phát tán malware, chiếm quyền điều khiển hàng ngàn (thậm chí hàng triệu) thiết bị (máy tính, camera, router, IoT…). Những thiết bị này trở thành “bot” hay “zombie”, được điều khiển tập trung thông qua máy chủ command‑and‑control (C&C)
• Bước 2 – Phát lệnh tấn công: Kẻ tấn công ra lệnh cho botnet cùng lúc gửi một lượng lớn lưu lượng đến mục tiêu (HTTP/SYN/UDP requests…)
• Bước 3 – Tấn công gây quá tải: Lưu lượng dồn dập uống cạn băng thông, CPU/RAM máy chủ hoặc làm nghẽn các thiết bị mạng trung gian (tường lửa, load balancer…), khiến dịch vụ gián đoạn hoặc không truy cập được .

3. Nguyên nhân dẫn đến cuộc tấn công DDos

Có nhiều nguyên nhân khác nhau dẫn đến xảy ra cuộc tấn công DDoS như:

• Lợi ích kinh tế: Một số cuộc tấn công DDoS được thực hiện với mục đích lợi ích kinh tế. Kẻ tấn công có thể tiến hành tấn công để gây gián đoạn hoạt động của một doanh nghiệp hoặc tổ chức cạnh tranh, làm hỏng hình ảnh thương hiệu hoặc tạo ra sự lo lắng trong cộng đồng đối tác và khách hàng. Điều này có thể dẫn đến việc mất doanh thu và thiệt hại kinh tế nghiêm trọng.
• Trả thù hoặc gây phiền nhiễu: DdoS có thể được thực hiện với mục đích trả thù hoặc phiền nhiễu. Kẻ tấn công có thể muốn trả đũa cho một tổ chức, cá nhân hoặc cộng đồng vì lý do cá nhân, chính trị hoặc tâm lý. Điều này thường dẫn đến sự gián đoạn và khó khăn trong hoạt động hàng ngày của mục tiêu.
• Sự tranh cãi và chống đối: Một số cuộc tấn công DDoS được thực hiện trong bối cảnh tranh cãi và chống đối chính trị, xã hội hoặc tôn giáo. Kẻ tấn công có thể muốn gây ảnh hưởng đến các trang web, dịch vụ hoặc tổ chức liên quan đến các vấn đề nhạy cảm hoặc gây tranh cãi.
• Giải trí hoặc danh tiếng: Một số kẻ tấn công thực hiện các cuộc tấn công DDoS chỉ để trò chơi, tạo sự chú ý cho bản thân hoặc khẳng định khả năng kỹ thuật của mình. Điều này thường xảy ra trong cộng đồng hacker hoặc trong những nhóm tấn công chuyên nghiệp có mục tiêu giải trí hoặc tạo danh tiếng.
• Sử dụng làm lá chắn (đánh lạc hướng): Trong một số trường hợp, tấn công DDoS có thể được sử dụng làm lá chắn để che đậy hoạt động xâm nhập hoặc tấn công khác nhằm vào mục tiêu cụ thể. Bằng cách tạo ra một cuộc tấn công DDoS với lưu lượng truy cập lớn và tạo sự xáo trộn trong hệ thống mạng, kẻ tấn công có thể lợi dụng điều này để thực hiện các hoạt động độc hại khác mà không bị phát hiện.
• Cạnh tranh hoặc hành vi không công bằng: Một số tấn công DDoS được thực hiện với mục đích cạnh tranh hoặc gian lận. Kẻ tấn công có thể muốn làm hỏng hoạt động của đối thủ cạnh tranh hoặc làm giảm khả năng cạnh tranh trực tuyến của họ bằng cách tấn công vào hệ thống của họ.
• Sự khủng bố và hoạt động phi pháp: Trong một số trường hợp, tấn công DDoS được sử dụng như một công cụ cho các hoạt động khủng bố hoặc phi pháp. Kẻ tấn công có thể muốn tạo sự hỗn loạn, gây sự sợ hãi và tạo ra tác động tiêu cực lên cộng đồng hoặc quốc gia.

Sử dụng botnet và các nguồn tấn công phân tán: Một yếu tố quan trọng trong cuộc tấn công DDoS là sử dụng botnet – một mạng lưới các thiết bị kết nối như máy tính, điện thoại di động hoặc thiết bị IoT bị nhiễm malware và được điều khiển từ xa bởi kẻ tấn công. Bằng cách sử dụng botnet, kẻ tấn công có khả năng tăng cường lưu lượng truy cập và khó bị phát hiện.

4. Hậu quả của việc bị tấn công DoS và DDos

Tác hại của cuộc tấn công DDoS là vô cùng nghiêm trọng và đã gây ra những hậu quả đáng kể. Dưới đây là những tác động chủ yếu của tấn công DDoS:

• Gián đoạn hoạt động hệ thống và máy chủ: Cuộc tấn công DDoS khiến hệ thống và máy chủ bị quá tải, gây ra sự cố và làm người dùng không thể truy cập được. Điều này ảnh hưởng đến sự liên tục và khả năng hoạt động của các dịch vụ trực tuyến và ứng dụng.
• Thiệt hại về doanh thu và chi phí khắc phục: Các doanh nghiệp và tổ chức bị tấn công DDoS đối mặt với mất mát doanh thu nghiêm trọng do gián đoạn cung cấp sản phẩm, dịch vụ cho khách hàng. Hơn nữa, phải chi trả chi phí để khắc phục và tăng cường hệ thống để đối phó với tấn công trong tương lai.
• Gián đoạn và giảm hiệu suất công việc: Khi một hệ thống bị tấn công DDoS, sự gián đoạn trong kết nối mạng và mất mát dịch vụ làm giảm hiệu suất công việc của người dùng. Điều này có thể gây ra sự tắc nghẽn trong quy trình làm việc và ảnh hưởng tiêu cực đến năng suất và hiệu quả của tổ chức.
• Mất uy tín và khách hàng: Khi một trang web hoặc dịch vụ trực tuyến không thể truy cập do tấn công DDoS, nó dẫn đến mất uy tín và sự tin tưởng của khách hàng. Không chỉ mất đi doanh thu ngắn hạn, mà còn có thể dẫn đến mất đi khách hàng lâu dài và phá hủy hình ảnh thương hiệu.
• Thất thoát tài chính và dữ liệu quan trọng: Một số cuộc tấn công DDoS được thực hiện với mục đích lợi ích tài chính hoặc truy cập vào dữ liệu quan trọng của tổ chức. Kẻ tấn công có thể tận dụng sự lơ là trong quá trình xâm nhập để lấy cắp thông tin nhạy cảm hoặc thậm chí tống tiền.

5. Tổng hợp các hình thức tấn công từ chối dịch vụ (DDos) phổ biến

5.1. Tấn công SYN Flood

Mô tả: Tấn công SYN Flood khai thác lỗ hổng trong quá trình bắt tay ba bước (three-way handshake) của giao thức TCP. Kẻ tấn công gửi một lượng lớn các gói tin SYN đến máy chủ đích mà không hoàn tất quá trình bắt tay (không gửi ACK cuối cùng).

Cơ chế hoạt động:

• Khi máy chủ nhận được gói SYN, nó sẽ cấp phát tài nguyên (bộ nhớ, CPU) để chờ đợi gói ACK.
• Do không có gói ACK nào được gửi lại, các kết nối nửa mở này sẽ tích tụ, làm cạn kiệt tài nguyên của máy chủ.
• Khi tài nguyên cạn kiệt, máy chủ không thể xử lý các yêu cầu hợp lệ từ người dùng, dẫn đến từ chối dịch vụ.

Đặc điểm: Thường tấn công lớp 4 (Transport Layer).

5.2. Tấn công UDP Flood

Mô tả: Tấn công UDP Flood là hình thức tấn công DDoS gửi một lượng lớn các gói tin UDP (User Datagram Protocol) đến các cổng ngẫu nhiên hoặc cụ thể trên máy chủ đích.

Cơ chế hoạt động:

• Khi máy chủ nhận được một gói UDP đến một cổng mà không có ứng dụng nào lắng nghe, nó sẽ phản hồi bằng một gói tin ICMP “Destination Unreachable” (đích không thể truy cập).
• Nếu lượng gói UDP đến quá lớn, máy chủ sẽ phải tiêu tốn tài nguyên đáng kể để tạo và gửi các gói tin ICMP phản hồi.
• Điều này làm quá tải tài nguyên mạng và máy chủ, dẫn đến từ chối dịch vụ.

Đặc điểm: Thường tấn công lớp 4 (Transport Layer).

5.3. Tấn công HTTP Flood

Mô tả: Tấn công HTTP Flood là một cuộc tấn công lớp ứng dụng (Application Layer – Lớp 7) nhằm vào các máy chủ web, sử dụng các yêu cầu HTTP GET hoặc POST hợp lệ nhưng với số lượng cực lớn để làm quá tải máy chủ.

Cơ chế hoạt động:

• Kẻ tấn công gửi một lượng lớn các yêu cầu HTTP đến máy chủ web. Các yêu cầu này có thể trông giống như các yêu cầu hợp lệ từ trình duyệt web.
• Máy chủ phải xử lý từng yêu cầu này, bao gồm việc cấp phát tài nguyên CPU, bộ nhớ, và băng thông để tạo phản hồi.
• Khi số lượng yêu cầu vượt quá khả năng xử lý của máy chủ, nó sẽ trở nên chậm chạp hoặc không thể phản hồi các yêu cầu hợp lệ khác.

Đặc điểm: Thường tấn công lớp 7 (Application Layer). Khó phân biệt với lưu lượng truy cập hợp lệ.

5.4. Tấn công Ping of Death

Mô tả: Tấn công Ping of Death lợi dụng giới hạn kích thước gói tin IP. Kẻ tấn công gửi một gói tin ICMP echo request (ping) có kích thước lớn hơn mức cho phép (thường là 65.535 byte) đến máy chủ đích.

Cơ chế hoạt động:

• Mặc dù các gói tin IP được phân mảnh để truyền qua mạng, khi các mảnh này được tập hợp lại tại đích, tổng kích thước của gói tin vượt quá kích thước tối đa cho phép.
• Điều này có thể gây ra tràn bộ đệm (buffer overflow) hoặc lỗi hệ thống trên một số hệ điều hành hoặc thiết bị mạng cũ, dẫn đến sự cố máy chủ hoặc khởi động lại.

Đặc điểm: Là một hình thức tấn công cũ, hầu hết các hệ thống hiện đại đã được vá lỗi này.

5.5. Tấn công Smurf Attack

Mô tả: Tấn công Smurf Attack sử dụng kỹ thuật IP Broadcasting và gói tin ICMP để khuếch đại lưu lượng tấn công.

Cơ chế hoạt động:

• Kẻ tấn công gửi một gói tin ICMP echo request giả mạo (spoofed source IP) đến địa chỉ broadcast của một mạng lớn. Địa chỉ nguồn giả mạo là địa chỉ IP của nạn nhân.
• Tất cả các máy tính trong mạng broadcast đó sẽ nhận được gói tin và phản hồi bằng gói tin ICMP echo reply đến địa chỉ IP của nạn nhân.
• Kết quả là, nạn nhân bị tràn ngập bởi một lượng lớn gói tin echo reply từ nhiều máy tính, gây ra từ chối dịch vụ.

Đặc điểm: Phụ thuộc vào các mạng có bật tính năng IP Broadcasting và không lọc gói tin broadcast. Các router hiện đại thường đã vô hiệu hóa tính năng này theo mặc định.

5.6. Tấn công Fraggle Attack

Mô tả: Tấn công Fraggle Attack tương tự như Smurf Attack nhưng sử dụng gói tin UDP thay vì ICMP.

Cơ chế hoạt động:

• Kẻ tấn công gửi gói tin UDP giả mạo (spoofed source IP của nạn nhân) đến các cổng dịch vụ như chargen hoặc echo trên một mạng lớn thông qua địa chỉ broadcast.
• Các máy tính trong mạng đó sẽ phản hồi lại bằng gói tin UDP đến địa chỉ IP của nạn nhân, gây ra tình trạng tràn ngập.

Đặc điểm: Cũng giống như Smurf Attack, các router hiện đại thường đã giảm thiểu rủi ro của tấn công này bằng cách vô hiệu hóa tính năng phản hồi broadcast.

5.7. Tấn công Slowloris

Mô tả: Tấn công Slowloris là một cuộc tấn công lớp ứng dụng (Lớp 7) nhằm mục tiêu duy trì các kết nối HTTP đến máy chủ web càng lâu càng tốt, làm cạn kiệt tài nguyên của máy chủ.

Cơ chế hoạt động:

• Kẻ tấn công gửi các yêu cầu HTTP partial hợp lệ (chưa hoàn chỉnh) đến máy chủ.
• Sau đó, nó tiếp tục gửi các header HTTP riêng lẻ, ngắt quãng để giữ cho kết nối mở và ngăn máy chủ đóng kết nối do hết thời gian chờ.
• Mỗi kết nối mở sẽ tiêu tốn một tài nguyên nhất định trên máy chủ. Khi số lượng kết nối nửa mở này đạt đến giới hạn, máy chủ không thể chấp nhận các kết nối mới từ người dùng hợp lệ, dẫn đến từ chối dịch vụ.

Đặc điểm: Rất hiệu quả với ít tài nguyên tấn công, khó phát hiện vì lưu lượng truy cập trông có vẻ hợp lệ.

5.8. Tấn công NTP Amplification

Mô tả: Tấn công NTP Amplification là một dạng tấn công khuếch đại (amplification attack) sử dụng các máy chủ NTP (Network Time Protocol) công khai để tạo ra một lượng lớn lưu lượng tấn công nhắm vào nạn nhân.

Cơ chế hoạt động:

• Kẻ tấn công gửi một yêu cầu NTP nhỏ (ví dụ: monlist) đến một máy chủ NTP công khai, giả mạo địa chỉ IP nguồn là của nạn nhân.
• Máy chủ NTP phản hồi yêu cầu này bằng một lượng dữ liệu lớn hơn nhiều (có thể gấp hàng trăm đến hàng nghìn lần) so với yêu cầu ban đầu.
• Tất cả các phản hồi này đều được gửi đến nạn nhân, làm quá tải băng thông mạng của họ.

Đặc điểm: Hiệu suất khuếch đại cao, khó theo dõi nguồn gốc thực sự của kẻ tấn công do IP spoofing.

5.9. Tấn công HTTP GET

Mô tả: Đây là một hình thức con của tấn công HTTP Flood, trong đó kẻ tấn công chỉ sử dụng các yêu cầu HTTP GET.

Cơ chế hoạt động:

• Kẻ tấn công gửi một lượng lớn các yêu cầu HTTP GET đến máy chủ web. Các yêu cầu này có thể là đến các trang tĩnh, hình ảnh, hoặc các API đơn giản.
• Mặc dù các yêu cầu GET thường ít tốn kém hơn POST về mặt xử lý dữ liệu gửi đi, nhưng với số lượng cực lớn, chúng vẫn có thể làm cạn kiệt tài nguyên của máy chủ (CPU, bộ nhớ, băng thông).

Đặc điểm: Đơn giản, dễ thực hiện, khó phân biệt với lưu lượng truy cập hợp lệ.

5.10. Tấn công Advanced persistent Dos (APDos)

Mô tả: APDoS là một loại tấn công DDoS phức tạp và kéo dài, kết hợp nhiều kỹ thuật tấn công khác nhau ở nhiều lớp mạng và ứng dụng, thường được thực hiện bởi các nhóm tấn công có nguồn lực lớn.

Cơ chế hoạt động:

• Không chỉ là một cuộc tấn công đơn lẻ, APDoS liên tục thay đổi chiến thuật, sử dụng đồng thời hoặc tuần tự các cuộc tấn công lớp mạng (SYN Flood, UDP Flood) và lớp ứng dụng (HTTP Flood, Slowloris).
• Kẻ tấn công có thể thay đổi địa chỉ IP nguồn, cổng, loại gói tin, và mục tiêu tấn công để tránh bị phát hiện và chặn.
• Mục tiêu không chỉ là làm từ chối dịch vụ mà còn có thể là đánh lạc hướng để thực hiện các cuộc tấn công khác như xâm nhập dữ liệu.

Đặc điểm: Khó phòng thủ, đòi hỏi giải pháp bảo mật đa lớp và phản ứng nhanh.

Xem thêm: Rootkit là gì? | Phân loại & Cách hoạt động của Rootkit

5.11. Tấn công Application Level Attack

Mô tả: Tấn công lớp ứng dụng là một loại tấn công DDoS tập trung vào các điểm yếu hoặc lỗ hổng trong các ứng dụng cụ thể (ví dụ: máy chủ web, cơ sở dữ liệu, CMS) thay vì tấn công toàn bộ mạng hoặc hệ thống.

Cơ chế hoạt động:

• Những cuộc tấn công này thường đòi hỏi ít băng thông hơn so với các cuộc tấn công lớp mạng nhưng có thể gây thiệt hại lớn hơn vì chúng nhắm vào các tài nguyên cụ thể của ứng dụng.
• Ví dụ:
  • HTTP Flood: Đã mô tả ở 5.3.
  • Slowloris: Đã mô tả ở 5.7.
  • Tấn công SQL Injection (khi được dùng để làm quá tải DB): Gửi các truy vấn SQL phức tạp hoặc không hợp lệ để làm cạn kiệt tài nguyên cơ sở dữ liệu.
  • Tấn công vào API: Làm quá tải các API cụ thể bằng một lượng lớn yêu cầu.
  • Tấn công vào các chức năng tìm kiếm/đăng nhập: Gửi một lượng lớn yêu cầu tìm kiếm hoặc đăng nhập giả mạo để làm quá tải máy chủ.

Đặc điểm: Khó phân biệt với lưu lượng truy cập hợp lệ, yêu cầu phân tích hành vi người dùng và ứng dụng.

5.12. Tấn công Zero-day DDos Attack

Mô tả: Tấn công Zero-day DDoS Attack khai thác một lỗ hổng bảo mật chưa được biết đến công khai hoặc chưa có bản vá (zero-day vulnerability) để thực hiện tấn công từ chối dịch vụ.

Cơ chế hoạt động:

• Kẻ tấn công phát hiện một lỗ hổng trong phần mềm, giao thức, hoặc thiết bị mạng mà nhà cung cấp hoặc cộng đồng bảo mật chưa biết.
• Sau đó, chúng sử dụng lỗ hổng này để tạo ra một cuộc tấn công DDoS mới hoặc khai thác một cách bất ngờ để làm tê liệt dịch vụ.
• Vì lỗ hổng là “zero-day”, không có sẵn các biện pháp phòng thủ hoặc chữ ký tấn công để chống lại nó.

Đặc điểm: Cực kỳ nguy hiểm và khó chống lại vì không có thông tin về lỗ hổng và cách thức tấn công trước đó. Yêu cầu phản ứng nhanh và phân tích chuyên sâu.

Bảng so sánh các hình thức tấn công từ chối dịch vụ (DDos)

6. Dấu hiệu nhận biết của cuộc tấn công DDoS

Phát hiện cuộc tấn công DDoS là một nhiệm vụ khó khăn nhất là không có cảnh báo trước vì hacker có thể gửi cảnh báo hoặc không.

Đầu tiên, bạn có thể nhận ra đó là một cuộc tấn công DDoS mà chỉ cho rằng máy tính của mình chạy chậm. Tuy nhiên sau đó bạn đã kiểm tra và phát hiện lưu lượng truy cập mạng lớn với tài nguyên đã sử dụng đến mức tối đa.

Thường thì các máy chủ của website bị tấn công DDoS sẽ có những dấu hiệu như mạng internet vẫn ổn định và bạn có thể truy cập vào các trang web khác một cách bình thường, nhưng mạng của bạn hoặc mạng hệ thống đang truy cập vào website bị chậm bất thường.

Bạn cũng có thể kiểm tra xem hộp thư email của bạn có nhận được nhiều thư rác hay không. Ngoài ra, việc không thể truy cập được vào một trang bất kỳ hoặc toàn bộ website cũng có thể là dấu hiệu của cuộc tấn công DDoS.

7. Hướng dẫn cách phòng chống cuộc tấn công DDoS hiệu quả

7.1. Sử dụng dịch vụ Hosting, Cloud Server chất lượng

VinaHost mang đến dịch vụ Hosting và Cloud Server chất lượng vượt trội, đảm bảo hiệu suất và ổn định tối đa cho mọi nhu cầu. Chúng tôi đầu tư vào hạ tầng mạnh mẽ với máy chủ cấu hình cao, sử dụng ổ cứng SSD/NVMe và công nghệ ảo hóa KVM/OpenStack, mang lại tốc độ vượt trội và khả năng mở rộng linh hoạt. Với cam kết Uptime lên đến 99.9% cùng hệ thống chống DDoS chuyên nghiệp, VinaHost giúp doanh nghiệp duy trì hoạt động liên tục và an toàn. Đội ngũ hỗ trợ kỹ thuật 24/7/365 luôn sẵn sàng giải quyết mọi vấn đề, giúp bạn an tâm phát triển.

Lựa chọn dịch vụ Hosting giá rẻ, Hosting NVMe, Business Hosting, WordPress Hosting hoặc Cloud Server giá rẻ chất lượng có thể giúp tăng cường khả năng chịu tải và chống chịu cuộc tấn công DDoS.

7.2. Theo dõi lưu lượng truy cập vào website

Khi phát hiện một cuộc tấn công DDoS đang diễn ra, chúng ta có thể thực hiện ngay các biện pháp nhằm bảo vệ cơ sở hạ tầng hệ thống. Một trong những biện pháp đó là sử dụng “định truyền rỗng” để ngăn chặn các gói dữ liệu độc hại tiếp cận máy chủ. Điều này giúp giảm và chuyển hướng yêu cầu tấn công Flooding thông qua sự điều chỉnh của botnet.

Ngoài ra, trong một số trường hợp, lưu lượng truy cập có thể được chuyển đến một bộ lọc. Bộ lọc này sẽ tiến hành sắp xếp yêu cầu hợp pháp và loại bỏ yêu cầu độc hại. Tuy nhiên, trong các cuộc tấn công quy mô lớn, các biện pháp bảo vệ sử dụng băng thông có thể bị quá tải.

7.3. Tạo định tuyến lỗ đen (Blackhole)

Trong trường hợp bị tấn công DDoS, cả lưu lượng mạng hợp pháp và độc hại sẽ được chuyển vào một định tuyến hố đen, nơi chúng sẽ bị loại bỏ khỏi mạng. Điều này có thể được thực hiện bằng cách đưa lưu lượng truy cập của website vào một “lỗ đen” khi dịch vụ của nó bị tấn công. Đây được xem là tuyến phòng thủ đầu tiên cho hệ thống.

Trong quá trình lọc lỗ đen, không có tiêu chí cụ thể, cả lưu lượng mạng hợp pháp và độc hại có thể bị loại bỏ. Đây là một phương pháp phổ biến được sử dụng bởi các tổ chức để ngăn chặn cuộc tấn công.

Tuy nhiên, nếu không được sử dụng đúng cách, phương pháp này có thể gây gián đoạn nguồn lưu lượng truy cập và cho phép kẻ tấn công sử dụng IP giả mạo và thực hiện các cuộc tấn công.

7.4. Sử dụng tường lửa ứng dụng Website (WAF)

Sử dụng tường lửa để ngăn chặn cuộc tấn công là một phương pháp phổ biến. Bằng cách chèn SQL hoặc làm giả các yêu cầu trên các trang web khác nhau, kẻ tấn công cố gắng kh exploit các lỗ hổng trong ứng dụng mà bạn đang sử dụng.

Tường lửa ứng dụng web tối ưu cũng có khả năng xác định các kết nối không hoàn chỉnh và loại bỏ chúng khỏi hệ thống khi chúng đạt đến ngưỡng nhất định. Bên cạnh đó, việc sử dụng bộ định tuyến cũng có thể giới hạn tốc độ khi máy chủ gặp tình trạng quá tải.

Ngoài ra, bạn cũng có thể đối phó với các yêu cầu bất hợp pháp bằng cách áp dụng các biện pháp giảm thiểu. Ví dụ, bạn có thể giả mạo lưu lượng truy cập từ các địa chỉ IP đáng ngờ hoặc chặn lưu lượng truy cập từ các địa chỉ IP không đáng tin cậy.

Tổng quát, việc thực hiện các biện pháp ngăn chặn này sẽ giúp giảm thiểu tác động của cuộc tấn công khi nó xảy ra và đồng thời hỗ trợ trong việc nghiên cứu các mô hình lưu lượng truy cập, từ đó tạo ra các biện pháp bảo vệ tùy chỉnh.

Xem thêm: IDS là gì? | So sánh giữa IDS, IPS và tường lửa

7.5. Chuẩn bị thêm băng thông dự phòng

Để đối phó với các cuộc tấn công DDoS và tăng cường khả năng chống chịu của hệ thống, một giải pháp phổ biến là chuẩn bị băng thông dự phòng. Nguyên tắc cơ bản là cung cấp thêm khả năng truyền tải dữ liệu để đối phó với các đợt tăng đột biến lưu lượng truy cập bất ngờ.

Cung cấp băng thông thêm nhằm mục đích dự phòng sẽ giảm thiểu ảnh hưởng của cuộc tấn công DDoS, và tăng thêm gian cần thiết để xử lý. Điều này tạo cơ hội cho nhóm quản trị mạng để phân tích, xác định nguồn gốc và triển khai các biện pháp bảo vệ hiệu quả hơn.

Tuy nhiên, cần lưu ý rằng giải pháp này có thể gây tốn kém vì một phần lớn băng thông được dành riêng sẽ không được sử dụng. Hơn nữa, các cuộc tấn công ngày càng lớn và phức tạp hơn, không có lượng băng thông nào có thể duy trì một cuộc tấn công với tốc độ 1 TBps mà không làm giảm tác động của DDoS.

Tóm lại, việc tăng cường khả năng băng thông dự phòng là một biện pháp quan trọng để đối phó với cuộc tấn công DDoS, mặc dù nó cần được áp dụng cùng với các biện pháp bảo vệ khác để đảm bảo hiệu quả và tối ưu hóa sự sử dụng tài nguyên mạng.

7.6. Giới hạn số lượng truy cập

Việc giới hạn số lượng truy cập có thể là một biện pháp hiệu quả để đối phó với cuộc tấn công DDoS. Bạn có thể xác định các tiêu chí để hạn chế lưu lượng truy cập đến hệ thống của mình. Ví dụ, bạn có thể thiết lập một ngưỡng tối đa cho số lượng yêu cầu kết nối đến một thời điểm nhất định.

Bằng cách thực hiện giới hạn số lượng truy cập, bạn có thể loại bỏ hoặc giảm thiểu lưu lượng truy cập không mong muốn từ các kết nối không hợp lệ hoặc bất thường. Điều này giúp giảm bớt tải lên hệ thống và tăng khả năng chống chịu cuộc tấn công.

Tuy nhiên, cần lưu ý rằng việc giới hạn số lượng truy cập có thể ảnh hưởng đến người dùng hợp pháp nếu không được cân nhắc kỹ. Do đó, việc thiết lập một cấu hình chính xác và tùy chỉnh cho giới hạn truy cập là quan trọng để đảm bảo rằng lưu lượng truy cập hợp pháp không bị gián đoạn.

Qua đó, việc áp dụng phương pháp giới hạn số lượng truy cập sẽ là một phần quan trọng trong việc tăng cường khả năng chống lại các DDoS attack và bảo vệ hệ thống network của bạn.

7.7. Sử dụng phương pháp Anycast Network Diffusion

Áp dụng phương pháp Anycast Network Diffusion giúp phân tán lưu lượng truy cập đến từ nguồn vào nhiều điểm cuối mạng. Bằng cách sử dụng các điểm đích phân tán, tấn công DDoS không thể tập trung vào một điểm duy nhất, từ đó giảm hiệu quả cuộc tấn công và duy trì khả năng truy cập cho người dùng hợp pháp.

Phương pháp này yêu cầu sự hỗ trợ từ các nhà cung cấp mạng và đòi hỏi cấu hình và triển khai phức tạp.

8. Hướng dẫn cách giải quyết khi bị tấn công DDoS hiệu quả

8.1. Liên hệ với nhà cung cấp Internet (ISP)

Trong trường hợp mạng gặp vấn đề, ví dụ như không thể truy cập vào trang web, việc liên hệ với nhà cung cấp dịch vụ Internet là bước đầu tiên cần thực hiện.

ISP có các chuyên gia mạng và lập trình viên có chuyên môn cao, giúp phân tích tình huống, xác định điểm tấn công và hướng dẫn các biện pháp giải quyết phù hợp.

8.2. Liên hệ với nhà cung cấp hosting

Nhà cung cấp dịch vụ lưu trữ (hosting) là người cung cấp và quản lý máy chủ, do đó, khi gặp vấn đề liên quan đến máy chủ, bạn có thể liên hệ với họ. Khi biết rằng máy chủ đang bị tấn công, họ có thể tạo ra một “lỗ đen” (black hole) để hấp thụ lưu lượng truy cập cho đến khi cuộc tấn công tự ngừng.

Trong thời gian này, không có yêu cầu truy cập nào, bất kể hợp pháp hay không, sẽ được chuyển tiếp, đồng thời bảo vệ máy chủ của các khách hàng khác không bị ảnh hưởng. Sau đó, họ sẽ định tuyến lại lưu lượng truy cập, lọc lại và cho phép các yêu cầu hợp pháp hoạt động bình thường.

8.3. Liên hệ với đội ngũ chuyên gia VinaHost

Trong trường hợp trang web hoặc ứng dụng của bạn đang bị tấn công DDoS ở mức độ nghiêm trọng và các phương pháp trên không đủ để giải quyết, bạn có thể nhờ đến sự hỗ trợ từ các chuyên gia tại VinaHost.

VinaHost có các máy chủ mạnh mẽ để điều hướng lưu lượng truy cập và loại bỏ lưu lượng truy cập không hợp pháp. Chúng tôi sẵn sàng hỗ trợ bạn trong việc đối phó với tấn công DDoS và đảm bảo hoạt động bình thường của trang web hoặc ứng dụng.

VinaHost hiện cung cấp dịch vụ quản trị server trọn gói, bao gồm các biện pháp bảo mật, WAF, tường lửa, anti DDOS hiệu quả với chi phí chỉ từ 1,000,000 vnđ/tháng.

ĐĂNG KÝ DỊCH VỤ QUẢN TRỊ MÁY CHỦ – ANTI DDOS TRỌN GÓI

Quý khách hàng có thể liên hệ để được tư vấn:

• Email: cskh@vinahost.vn
• Hotline: 1900 6046 (ấn phím 1)
• Livechat: https://livechat.vinahost.vn/chat.php

9. Một số lỗ hổng sẽ bị lợi dụng để tấn công DDos

9.1. Lỗ hổng Monoculture

Trong môi trường kinh tế, thuật ngữ “monoculture” được sử dụng để chỉ việc quan tâm đến những gì mang lại giá trị. Trên thực tế, chúng ta thường tự động hóa và sao chép các hệ thống.

Trong thời đại của đám mây và ảo hóa, các bộ phận công nghệ thông tin thường chỉ tạo ra một lần và triển khai nhiều lần. Điều này dẫn đến tình trạng monoculture, khi hàng chục hoặc hàng trăm phiên bản giống nhau tồn tại.

Do đó, các hacker tập trung tấn công vào các tình huống như vậy. Họ có thể khai thác các lỗ hổng nhỏ để gây ra thiệt hại lớn. Một phần mềm độc hại nhỏ cũng đủ để tấn công vào nhiều hệ thống lớn.

9.2. Lỗ hổng Technical debt

Khi triển khai các giải pháp kinh doanh mới, các công ty thường bỏ qua một số bước quan trọng. Đây có thể là phần mềm, triển khai đám mây hoặc máy chủ web mới. Ngành công nghiệp công nghệ thông tin đã xác định các bước quan trọng mà tổ chức cần tuân theo để tạo ra phần mềm và dịch vụ an toàn. Tuy nhiên, các tổ chức thường bỏ qua những bước quan trọng nhất để tiết kiệm thời gian và tiền bạc.

Mỗi lần như vậy, tổ chức tích lũy một khoản “nợ kỹ thuật”. Nếu không trả lại khoản nợ đó bằng cách sửa chữa phần mềm, cấu hình hoặc cải thiện bảo mật dịch vụ quan trọng, tổ chức sẽ phải đối mặt với hậu quả. Khi đó, họ trở thành mục tiêu của các cuộc tấn công mạng.

Ví dụ về nợ kỹ thuật có thể thấy trong các thiết bị IoT. Các thiết bị này thường được trang bị khả năng kết nối mạnh mẽ, nhưng lại không có mật khẩu mặc định. Do đó, hacker có thể dễ dàng sử dụng các thiết bị này vào botnet. Những người phải trả nợ kỹ thuật này thường là người dùng của các doanh nghiệp đó.

9.3. Lỗ hổng Độ phức tạp (Complexity)

Các hệ thống có độ phức tạp cao thường khó quản lý và theo dõi, đặc biệt là khi chúng được tạo ra một cách vội vã và thiếu cẩn thận. Một sự tinh vi đúng đắn là cần thiết, nhưng khi chúng ta xây dựng nhiều hệ thống liên kết với nhau, độ phức tạp này có thể làm mất quyền kiểm soát thông tin của chúng ta. Lỗi xảy ra thường xuyên và có thể dẫn đến các lỗi phần mềm. Khi những phần mềm này kết nối với các đám mây khác, các lỗi sẽ lan rộng ra quy mô lớn hơn.

Sự phức tạp trong hệ thống tạo điều kiện thuận lợi cho các hacker tấn công. Họ có thể tận dụng các lỗ hổng và sự không rõ ràng trong cấu trúc để xâm nhập và gây hủy hoại. Điều này đặc biệt nguy hiểm khi các hệ thống quan trọng, chẳng hạn như hạ tầng mạng hay dịch vụ quan trọng của doanh nghiệp, trở nên không thể sử dụng được.

Để đối phó với lỗ hổng này, các tổ chức cần đảm bảo rằng hệ thống của họ được thiết kế đơn giản, dễ quản lý và có kiến trúc rõ ràng. Đồng thời, việc thực hiện kiểm tra bảo mật định kỳ và cập nhật các biện pháp bảo mật mới nhất cũng rất quan trọng để giảm thiểu nguy cơ tấn công DDoS.

Xem thêm: Bytefence Anti-Malware là gì? Hướng dẫn cách xoá chi tiết

10. Một số câu hỏi thường gặp về DDos là gì?

10.1. Những website nào dễ bị tấn công DDos nhất?

Các website phụ thuộc nhiều vào việc truyền tải dữ liệu lớn, có lượng truy cập cao và không có biện pháp bảo vệ đủ mạnh thường dễ bị tấn công DDoS. Đây có thể là các website thương mại điện tử, ngân hàng trực tuyến, trang tin tức phổ biến, hay dịch vụ trực tuyến quan trọng.

10.2. Tường lửa liệu có thể ngăn cản được cuộc tấn công từ chối dịch vụ (DDoS) không?

Mặc dù tường lửa có thể giúp chặn một số lượng yêu cầu truy cập đến một website, nhưng trong trường hợp tấn công DDoS, số lượng yêu cầu lớn đến từ nhiều nguồn khác nhau, điều này vượt quá khả năng của tường lửa. Vì vậy, tường lửa không đủ để ngăn cản một cuộc tấn công DDoS mạnh mẽ.

10.3. Cuộc tấn công từ chối dịch vụ (DDoS) kéo dài trong bao lâu?

Thời gian kéo dài của một cuộc tấn công DDoS có thể khác nhau và phụ thuộc vào nhiều yếu tố, bao gồm cường độ tấn công, kiểu tấn công, và biện pháp bảo vệ hiện có của website. Một cuộc tấn công DDoS có thể kéo dài từ vài phút đến vài giờ, thậm chí cả ngày hoặc nhiều ngày nếu không có biện pháp ngăn chặn và phục hồi phù hợp được triển khai.

Xem thêm: Worm là gì? | So sánh giữa Worm máy tính & Virus máy tính

10.4. Các công cụ nào được sử dụng để tấn công DDoS?

Dưới đây là những công cụ thường được sử dụng:

Công cụ tấn công lớp mạng (Volumetric & Protocol Attacks)

Những công cụ này thường nhắm vào lớp 3 (Network) và lớp 4 (Transport) của mô hình OSI, gây tắc nghẽn băng thông hoặc cạn kiệt tài nguyên kết nối.

• LOIC (Low Orbit Ion Cannon): Công cụ DDoS miễn phí, phổ biến, dễ sử dụng với giao diện đồ họa. LOIC có khả năng thực hiện các cuộc tấn công SYN Flood, UDP Flood, và HTTP Flood.
• HOIC (High Orbit Ion Cannon): Là phiên bản nâng cấp của LOIC, HOIC có thể thực hiện các cuộc tấn công phức tạp hơn với nhiều luồng và tùy chỉnh yêu cầu HTTP/HTTPS.
• Hping3: Một công cụ tạo gói tin mạnh mẽ, thường được dùng để kiểm tra tường lửa, quét cổng và thực hiện các cuộc tấn công DoS/DDoS như SYN Flood bằng cách tạo gói TCP/IP tùy chỉnh.
• Xoic: Một công cụ tấn công DDoS đơn giản khác, thường nhắm vào các trang web nhỏ.
• DDOSIM (DDoS Simulator): Công cụ mô phỏng DDoS, chủ yếu dùng để kiểm tra khả năng chịu tải của trang web và mạng, không phải để tấn công thật. Nó có thể mô phỏng các cuộc tấn công HTTP GET/POST Flood.

Công cụ tấn công lớp ứng dụng (Application Layer Attacks)

Các công cụ này tập trung vào lớp 7 (Application) của mô hình OSI, nhằm làm quá tải tài nguyên của ứng dụng hoặc máy chủ web.

• Slowloris: Công cụ này thực hiện tấn công “tốc độ chậm” bằng cách giữ các kết nối HTTP/HTTPS mở càng lâu càng tốt, làm cạn kiệt số lượng kết nối tối đa của máy chủ.
• Tor’s Hammer: Một công cụ tấn công “tốc độ chậm” khác, sử dụng mạng Tor để ẩn danh và tấn công máy chủ web bằng các yêu cầu HTTP ủy quyền.
• HULK (HTTP Unbearable Load King): Được tạo ra cho nghiên cứu, HULK có thể tạo lưu lượng HTTP bất thường để làm quá tải máy chủ web.

Công cụ dựa trên Botnet

Trong nhiều trường hợp, kẻ tấn công sử dụng hoặc thuê botnet. Đây là một mạng lưới các máy tính bị lây nhiễm phần mềm độc hại (bot) và được kẻ tấn công điều khiển từ xa. Các bot này đồng loạt thực hiện tấn công DDoS, khiến việc chặn và truy vết trở nên cực kỳ khó khăn.

Lưu ý quan trọng: Việc sử dụng các công cụ này để tấn công các hệ thống mà bạn không được phép là bất hợp pháp và có thể dẫn đến hậu quả pháp lý nghiêm trọng

10.5. Những lỗ hỏng nào dễ bị lợi dụng để tấn công DDoS?

Các cuộc tấn công DDoS khai thác nhiều lỗ hổng trong hệ thống và giao thức mạng. Ví dụ như:

• Lỗ hổng giao thức:
  • TCP (SYN Flood): Kẻ tấn công gửi yêu cầu kết nối nhưng không hoàn tất, làm máy chủ cạn kiệt tài nguyên chờ.
  • UDP (UDP Flood): Giao thức không cần xác nhận cho phép gửi lượng lớn gói tin, làm quá tải hệ thống.
  • Giao thức khuếch đại (NTP, DNS, SSDP…): Tận dụng các dịch vụ hợp pháp để biến một yêu cầu nhỏ thành một phản hồi khổng lồ nhắm vào nạn nhân.
• Lỗ hổng ứng dụng (Lớp 7):
  • Tài nguyên ứng dụng bị giới hạn (HTTP Flood, Slowloris): Gửi quá nhiều yêu cầu HTTP hoặc giữ kết nối mở lâu, làm cạn kiệt khả năng xử lý của máy chủ web/ứng dụng.
  • Logic ứng dụng yếu: Các chức năng yêu cầu nhiều tài nguyên (tìm kiếm phức tạp, truy vấn nặng) dễ bị lợi dụng để làm sập ứng dụng.
• Lỗ hổng hạ tầng và thiết bị:
  • Thiết bị cũ/chưa vá: Router, switch, tường lửa cũ có thể chứa lỗ hổng đã biết, bị lợi dụng để điều khiển hoặc quá tải.
  • IP Broadcasting bật: Cho phép các cuộc tấn công khuếch đại như Smurf Attack, biến nhiều thiết bị thành vũ khí chống lại nạn nhân.
• Lỗ hổng hệ thống chung:
  • Zero-day: Những lỗ hổng chưa được biết hoặc chưa có bản vá, cho phép kẻ tấn công thực hiện các cuộc tấn công bất ngờ.

10.6. Những thuật ngữ nào liên quan đến tấn công DDoS?

Dưới đây là các thuật ngữ chính giúp bạn hiểu về tấn công DDoS:

• DDoS (Distributed Denial of Service): Tấn công từ chối dịch vụ phân tán, sử dụng nhiều nguồn để làm quá tải dịch vụ.
• DoS (Denial of Service): Tấn công từ chối dịch vụ, tương tự DDoS nhưng chỉ từ một nguồn duy nhất.
• Botnet: Mạng lưới các máy tính bị nhiễm độc (gọi là bot hoặc zombie) được kẻ tấn công điều khiển từ xa để thực hiện DDoS.
• Command and Control (C2): Máy chủ mà kẻ tấn công dùng để ra lệnh cho botnet.
• Traffic Flood: Làm ngập mạng/máy chủ bằng lượng lớn lưu lượng truy cập.
• Bandwidth Exhaustion: Cạn kiệt băng thông mạng.
• Resource Exhaustion: Cạn kiệt tài nguyên máy chủ (CPU, RAM, kết nối).
• Amplification Attack: Tấn công khuếch đại, biến yêu cầu nhỏ thành phản hồi lớn nhắm vào nạn nhân (ví dụ: qua NTP, DNS).
• Spoofed IP Address: Địa chỉ IP giả mạo, dùng để ẩn danh kẻ tấn công.
• Target: Mục tiêu bị tấn công.
• Mitigation: Các biện pháp phòng chống DDoS.
• Scrubbing Center: Trung tâm lọc bỏ lưu lượng DDoS.
• WAF (Web Application Firewall): Tường lửa bảo vệ ứng dụng web khỏi một số loại DDoS lớp ứng dụng.
• CDN (Content Delivery Network): Mạng phân phối nội dung, giúp giảm tải và hấp thụ một phần DDoS.
• Rate Limiting: Giới hạn tốc độ yêu cầu để ngăn chặn tấn công.
• Zero-day Attack: Tấn công DDoS khai thác lỗ hổng chưa được biết hoặc chưa có bản vá.
• Layer 3/4 Attack: Tấn công nhắm vào lớp mạng (băng thông, giao thức).
• Layer 7 Attack: Tấn công nhắm vào lớp ứng dụng (máy chủ web, ứng dụng).

11. Tổng kết

Tấn công DoS, DDoS không chỉ để tác động xấu đến hệ thống website mà còn gây ảnh hưởng đến hoạt động kinh doanh và uy tín của doanh nghiệp. Hy vọng bài viết trên của VinaHost đã giúp bạn trả lời được câu hỏi “DDoS là gì?”, “Tấn công DDoS gọi là gì?” cũng như nhận diện được dấu hiệu của một cuộc tấn công DDOS và triển khai các biện pháp phòng chống kịp thời. Đừng quên ghé thăm Blog của VinaHost để xem thêm nhiều bài biết hữu ích nữa nhé!

Xem thêm một số bài viết khác:

XSS là gì? Cách kiểm tra và ngăn chặn XSS

Trojan là gì? | Dấu hiệu & Ngăn chặn Virus Trojan

SQL Injection là gì? Phòng ngừa, ngăn chặn SQL Injection

Phishing là gì? | 10 Loại tấn công Phishing [Nguy Hiểm]

Svchost.exe là gì? Cách kiểm tra & xử lý virus Svchost.exe