Tải bản đầy đủ (.docx) (34 trang)

Báo cáo đồ án phương thức tấn công mạng DDOS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (908.65 KB, 34 trang )

ĐẠI HỌC ĐÀ NẴNG

KHOA KHOA HỌC MÁY TÍNH

ĐỒ ÁN CƠ SỞ 4
ĐỀ TÀI: TÌM HIỂU CƠ CHẾ VÀ MƠ PHỎNG
CƠNG CỤ TẤN CÔNG DOS/DDOS

Giảng viên hướng dẫn

: TS. DƯƠNG HỮU ÁI

Sinh viên thực hiện

: PHÙNG MINH HIẾU
TRƯƠNG THANH HOÀI
: 18IT5

Lớp

Đà Nẵng, tháng 12 năm 2020

MSSV:18IT273
MSSV:18IT274


ĐẠI HỌC ĐÀ NẴNG

KHOA KHOA HỌC MÁY TÍNH

ĐỒ ÁN CƠ SỞ 4


ĐỀ TÀI: TÌM HIỂU CƠ CHẾ VÀ MƠ PHỎNG
CƠNG CỤ TẤN CÔNG DOS/DDOS


MỞ ĐẦU
Tấn công từ chối dịch vụ DDOS là cơn “ác mộng” dài tập thường kỳ của các tổ chức,
doanh nghiệp không kể lớn hay nhỏ. Đáng buồn là hiện vẫn chưa có giải pháp ngăn chặn
triệt để đối với kiểu tấn cơng khó chịu này, chúng ta chỉ có thể hạn chế phần nào thiệt hại
hay giảm bớt cường độ tấn công mà thôi. Tấn công DDOS thường được thực hiện bởi
hackers có tổ chức nhằm khủng bố khơng gian mạng, kiếm lợi nhuận hoặc đôi khi để cho
vui.
Trong năm 2020 khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến
để đảm bảo an toàn cho học sinh trong đại dịch COVID-19 thì các tổ chức giáo dục đã trở
thành mục tiêu chính cho các cuộc tấn cơng từ chối dịch vụ (DDOS). Nhóm nghiên cứu của
Kaspersky đã phân tích và so sánh các cuộc tấn công DDOS ảnh hưởng đến giáo dục trong
tổng số các cuộc tấn công DDOS được Hệ thống DDOS Interlligence của Kaspersky phát
hiện trong Quý I năm 2019 và Quý I năm 2020. Theo đó, số lượng các cuộc tấn công DDOS
ảnh hưởng đến giáo dục tăng 550% trong tháng 1/2020 so với cùng kỳ năm 2019. Các nhà
nghiên cứu cũng cảnh báo các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền
tảng học tập trực tuyến như Blackboard, Zoom, Google Classroom, Cousera, edX và Google
Meet.
Ghi nhận từ hệ thống của Trung tâm Giám sát an tồn khơng gian mạng quốc gia
(NCSC) thuộc Bộ Thơng tin và Truyền thông cho thấy, trong tháng 12/2020, tổng số cuộc
tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố là 315 cuộc.
Trước tình hình đó nhóm chúng em quyết định tìm hiểu cơ chế tấn cơng, mơ phỏng
lại q trình tấn cơng từ chối dịch vụ DDOS qua đó có thể đưa ra được các giải pháp ngăn
chặn hoặc giảm thiểu tác hại mà nó gây ra./.
Nhóm thực hiện



LỜI CẢM ƠN
Lời đầu tiên, chúng em xin cảm ơn các thầy cơ tại Khoa Khoa học máy tính - Đại học
công nghệ thông tin và truyền thông Việt - Hàn đã giảng dạy, truyền đạt cho chúng em
những kiến thức nền tảng cơ bản, những kinh nghiệm thực tế, định hướng giúp đỡ chúng
em trong quá trình học tập nghiên cứu tìm hiểu đề tài.
Chúng em xin cảm ơn thầy Dương Hữu Ái đã trực tiếp hướng dẫn, thầy Nguyễn Anh
Tuấn trực tiếp giảng dạy mơn Lập trình mạng. Đã cung cấp kiến thức nền tảng các giao thức
mạng, giải đáp các vướng mắc và đưa ra những lời khuyên, định hướng phát triển trong quá
trình thực hiện triển khai đề tài.
Trong quá trình thực hiện đề tài chúng em đã cố gắng hoàn thành trong phạm vi kiến
thức mình tích lũy và học tập được, tuy nhiên để hiểu hết được các kiến thức đó chúng em
cần phải nổ lực hơn nữa, dành nhiều thời gian nghiên cứu và cố gắng hơn. Trong quá trình
làm đề tài vì kiến thức và kinh nghiệm cịn ít nên chắc chắn khơng tránh khỏi những lỗi
thiếu sót. Vì vậy chúng em rất mong nhận được sự góp ý chỉ bảo nhiều hơn từ phía các thầy,
cơ để chúng em có thể phát triển hơn nữa đề tài của mình, làm chủ kiến thức. Một lần nữa
chúng em xin chân thành cảm ơn./.
Nhóm thực hiện


NHẬN XÉT
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………

…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
Giảng viên hướng dẫn

TS. Dương Hữu Ái


MỤC LỤC
Trang


DANH MỤC HÌNH


Phần 1 Giới thiệu
1.1 Tổng quan an toàn mạng và tấn công mạng
1.1.1 Nguy cơ đe dọa an ninh, an tồn thơng tin
Trong thời đại cơng nghệ, thơng tin cá nhân và cơ sở dữ liệu ngày càng khó bảo đảm
an tồn do sự xâm nhập của các hình thức tấn cơng mạng khác nhau. Trong đó có thể kể đến
như truy cập trái phép, tấn công từ chối dịch vụ dẫn đến nguy cơ để lộ thông tin, gây hậu quả
nghiệm trọng cho hệ thống hoặc thất thoát tài sản.
Nguy cơ mất an tồn thơng tin do nhiều ngun nhân, đối tượng tấn công đa dạng…
Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những thông tin thuộc lĩnh vực
kinh tế, an ninh, quốc phịng… Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn những

truy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền thông.
Theo số liệu thống kê về hiện trạng bảo mật mới nhất cơng bố của Symantec, Việt
Nam đứng thứ 11 trên tồn cầu về các hoạt động đe dọa tấn công mạng. Những xu hướng đe
dọa bảo mật ngày càng gia tăng nổi bật hiện nay mà các tổ chức tại Việt Nam cần quan tâm
là: tấn cơng có chủ đích cao cấp, các mối đe dọa trên thiết bị di động, những vụ tấn công độc
hại và mất cắp dữ liệu. Thực tế, nguy cơ mất an ninh an toàn mạng máy tính cịn có thể phát
sinh ngay từ bên trong. Nguy cơ mất an ninh từ bên trong xảy ra thường lớn hơn nhiều,
nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm được điểm yếu
của hệ thống hay vơ tình tạo cơ hội cho những đối tượng khác xâm nhập hệ thống.
Sự phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuận
lợi cho mọi mặt của đời sống xã hội, bên cạnh những thuận lợi, thì nguy cơ về mất an tồn,
bảo mật thơng tin dữ liệu cũng tăng lên. Hệ thống máy tính ln bị đe dọa bởi các nguy cơ
mất an tồn. Chính vì thế chúng ta phải có các biện pháp bảo vệ hệ thống tránh khỏi các
nguy cơ đó.

1.1.2 Những vấn đề cần để đảm bảo an ninh và an toàn mạng
Vấn đề đầu tiên phải nói đến là dữ liệu, những thơng tin lưu trữ trên hệ thống máy
tính cần được bảo vệ do các u cầu về tính bảo mật, tính tồn vẹn hay tính kịp thời. Thơng
thường u cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên
mạng. Tuy nhiên, ngay cả khi những thơng tin khơng bí mật, thì u cầu về tính tồn vẹn


cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và
thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thơng tin đó.
Vấn đề thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được
hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dị tìm mật khẩu để
tấn cơng vào hệ thống mạng.
Vấn đề thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong
tổ chức là điều khơng tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của tổ chức rất nhiều.


1.1.3 Đối tượng tấn công mạng
Là đối tượng sử dụng kỹ thuật về mạng để dị tìm các lỗ hổng bảo mật trên hệ thống
để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp.
Các đối tượng tấn công mạng:
Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu
hoặc khai thác các điểm yếu của hệ thống.
Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng…
Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin.

1.1.3 Các lỗ hổng trong bảo mật và phương thức tấn cơng mạng
-

Các loại lỗ hổng bảo mật: Có thể phân theo 3 cấp độ
Lỗ hổng loại A: Cảnh báo nguy hiểm cho phép người ngồi hệ thống có thể truy cập

hợp pháp vào hệ thống dẫn đến phá hủy hệ thống. Những lỗ hổng này có sẵn trên phần mềm
mà người quản trị không nhận biết.
Lỗ hổng loại B: Mức độ nguy hiểm trung bình thường có trong các ứng dụng trên hệ
thống. Lỗ hổng này cho phép người dùng nội bộ có thể chiếm được quyền cao hơn hay truy
cập không hợp pháp.
Lỗ hổng loại C: Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ,
ngưng trệ gián đoạn hệ thống không phá hỏng dữ liệu hoặc đoạt được quyền truy cập.
-

Các hình thức tấn công mạng phổ biến 2020
SQL Injection Attack: Cuộc tấn công SQL injection đã trở thành một vấn đề phổ

biến đối với các trang web dựa trên cơ sở dữ liệu. Các cuộc tấn công này xảy ra khi một truy
vấn SQL được thực thi bởi tội phạm mạng và được cấp cho cơ sở dữ liệu, được chuyển từ



máy khách đến máy chủ thông qua dữ liệu đầu vào. Lệnh SQL được đưa vào đầu vào mặt
phẳng dữ liệu, thường thay vì mật khẩu hoặc thơng tin đăng nhập. Điều này cho phép tội
phạm mạng chạy các lệnh SQL được xác định trước của riêng chúng.
Khi một cuộc tấn công SQL injection thành công, thông tin nhạy cảm có thể bị đọc, bị
đánh cắp, sửa đổi, chèn, cập nhật hoặc xóa. Những kẻ tấn cơng mạng cũng có thể thực thi
các quy trình quản trị, như tắt máy, trên cơ sở dữ liệu; khôi phục nội dung từ bất kỳ tệp nhất
định nào; và thậm chí ra lệnh cho hệ điều hành.
Phishing và Spear Phishing Attacks: Một cuộc tấn cơng lừa đảo địi hỏi tội phạm
mạng gửi các email có vẻ là từ các nguồn đáng tin cậy. Mục đích của kiểu tấn cơng này là
lấy thơng tin nhạy cảm của một người hoặc tác động họ làm điều gì đó. Chẳng hạn, nó có thể
có một tệp đính kèm tải phần mềm độc hại xuống thiết bị khi được mở. Ngồi ra, nó có thể
cung cấp một liên kết đến một trang web giả mạo để thuyết phục ai đó cung cấp thơng tin
của họ hoặc lừa họ tải xuống phần mềm độc hại.
Spear phishing được nhắm mục tiêu nhiều hơn. Những cuộc tấn công này yêu cầu
những kẻ tấn công tiến hành nghiên cứu các mục tiêu của chúng, để chúng có thể tạo ra một
email cá nhân và phù hợp. Điều này làm cho việc chống lừa đảo bằng giáo rất khó chống
lại . Ví dụ: trường “từ” trong email có thể là giả mạo, khiến người nhận tin rằng thư là từ
một người nào đó mà họ biết; hoặc email có thể giả mạo là từ chủ nhân của một người, yêu
cầu cấp tiền. Một kỹ thuật lừa đảo phổ biến khác là sao chép một trang web hợp pháp, do đó
lừa một người nhập thông tin đăng nhập hoặc thông tin cá nhân của họ.
Phần mềm độc hại: Là phần mềm không mong muốn được cài đặt trên hệ thống
hoặc thiết bị của bạn mà bạn không biết hoặc không cho phép. Phần mềm độc hại thường
xâm nhập vào hệ thống bằng cách gắn chính nó vào mã xác thực và lan truyền. Nó có thể ẩn
trong các ứng dụng hoặc tự nhân bản qua internet (hệ thống hoặc trình lây nhiễm bản ghi
khởi động, virus macro, trình lây nhiễm tệp, trojan, virus ẩn, bom logic, ransomware, phần
mềm gián điệp, phần mềm quảng cáo, ...).
Botnet: Mạng botnet bao gồm các máy tính hoặc thiết bị cá nhân hợp tác để đạt được
một nhiệm vụ cụ thể . Gọi nó là “botnet” vì các chương trình này, cịn được gọi là bot hoặc
rơ bốt, tồn tại trên một mạng thiết bị. Botnet được tội phạm mạng sử dụng để thúc đẩy một

loạt các cuộc tấn cơng mạng. Chúng có thể giúp kẻ tấn cơng mạng tạo điều kiện cho một


cuộc tấn công từ chối dịch vụ, chẳng hạn như tấn công làm ngập trang web với lưu lượng
truy cập được thiết kế để đưa nó vào ngoại tuyến. Các cuộc tấn cơng như vậy có thể khiến
doanh nghiệp thiệt hại hàng triệu đô la, tiền phạt và khách hàng.
Botnet cũng được sử dụng để đánh cắp mật khẩu và thông tin nhạy cảm , phát tán thư
rác và phát tán vi rút. Botnet là công cụ phổ biến cho tội phạm mạng vì chúng rẻ và hiệu quả
. Để bảo vệ doanh nghiệp của bạn khỏi các mạng botnet, bạn nên sử dụng một giải pháp bảo
mật CNTT toàn diện.
Các cuộc tấn công tạo kịch bản trang web: Các cuộc tấn cơng tập lệnh trên nhiều
trang web, cịn được gọi là các cuộc tấn công XSS, sử dụng tài nguyên web của bên thứ ba
để thực thi các tập lệnh trong chương trình có thể tập lệnh hoặc trình duyệt web của một
người. Các cuộc tấn công XSS liên quan đến việc kẻ tấn công đưa một tải trọng bị nhiễm
JavaScript độc hại vào cơ sở dữ liệu của trang web. Nếu nạn nhân dự định truy cập một
trang trên trang web này, trang đó sẽ được truyền tải trọng như một phần của nội dung
HTML. Điều này sau đó được truyền đến trình duyệt của nạn nhân dự định, trình duyệt này
sẽ kích hoạt tập lệnh.
Các cuộc tấn cơng DOS/DDOS: Ở đây chúng ta sẽ tìm hiểu chi tiết về cơ chế tấn
công và mô phỏng cuộc tấn công DOS/DDOS

1.2 Giới thiệu cách thức tấn công DOS/DDOS
1.2.1 Các khái niệm trong tấn công DOS/DDOS
DOS (Denial Of Service): Dịch ra tiếng Việt là từ chối dịch vụ. Tấn công từ chối dịch
vụ DOS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng, khiến người dùng khác
không thể truy cập vào máy chủ của mạng đó. Kẻ tấn công thực hiện điều này bằng cách gửi
ồ ạt các u cầu hoặc gửi thơng tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng
mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể
truy cập dịch vụ, tài nguyên họ mong đợi. Mục đích cuối cùng là làm cho server không thể
đáp ứng được các yêu cầu sử dụng dịch vụ từ các client.

Nạn nhân của tấn công DOS thường là máy chủ web của các tổ chức cao cấp như
ngân hàng, doanh nghiệp thương mại, tổ chức giáo dục, công ty truyền thông, các trang báo,
mạng xã hội...


Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi
một u cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu
nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều yêu cầu đến máy
chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ”
vì nó làm cho bạn khơng thể truy cập đến trang đó.
Kẻ tấn cơng có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản
email của bạn. Dù bạn có một tài khoản email của trường, của cơng ty hay dùng dịch vụ
miễn phí như Gmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi
nhiều email đến tài khoản của bạn, kẻ tấn cơng có thể làm đầy hòm thư đến và ngăn chặn
bạn nhận được các mail khác.
DDOS (Distributed Denial Of Service): Nghĩa tiếng Việt là từ chối dịch vụ phân tán.
Tấn công DDOS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với
các yêu cầu được gửi đến từ nhiều nguồn.
Khi DDOS, kẻ tấn cơng có thể sử dụng máy tính của bạn để tấn cơng vào các máy
tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự khơng hiểu biết, kẻ
này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của
bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ email nào đó.
Đây là kiểu tấn cơng phân tán vì kẻ tấn cơng sử dụng nhiều máy tính, bao gồm có cả máy
tính của bạn để thực hiện tấn công DOS.
Mặc dù DDOS cung cấp một chế độ tấn cơng ít phức tạp hơn các dạng tấn công mạng
khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn.

1.2.2 Phân loại tấn cơng DOS/DDOS
Có ba loại tấn công cơ bản:
Volume based attacks: Loại tấn công sử dụng lưu lượng truy cập cao để làm ngập

băng thông mạng.
Protocol attacks: Loại tấn công tập trung vào việc khai thác nguồn tài nguyên máy
chủ.
Application attacks: Tấn công nhắm vào các ứng dụng web và được coi là một loại
tấn công tinh vi và nghiêm trọng nhất.


1.2.3 Sự khác biệt giữa DOS và DDOS
Tấn công DOS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy cập đến máy
tính của nạn nhân và đánh "sập" nó. Tấn cơng DOS là một cuộc tấn cơng trực tuyến được sử
dụng để làm cho trang web không khả dụng với người dùng, khi được thực hiện trên một
trang web. Cuộc tấn công này làm cho máy chủ của một trang web được kết nối với Internet
"sập" bằng cách gửi một lượng lớn lưu lượng truy cập đến nó.
Cịn trong cuộc tấn cơng DDOS, các cuộc tấn cơng được thực hiện từ nhiều địa điểm
khác nhau bằng cách sử dụng nhiều hệ thống.
Điểm khác biệt trong các cuộc tấn công như sau:
DOS
Chỉ một hệ thống nhắm mục tiêu vào hệ
thống nạn nhân.
PC bị nhắm mục tiêu được load từ gói dữ
liệu gửi từ một vị trí duy nhất.
Tấn cơng DOS chậm hơn so với DDOS.
Có thể bị chặn dễ dàng vì chỉ sử dụng một
hệ thống.

DDOS
Nhiều hệ thống tấn công hệ thống nạn nhân.
Nhiều hệ thống tấn công hệ thống nạn nhân.

Tấn công DDOS nhanh hơn tấn công DOS.

Rất khó để ngăn chặn cuộc tấn cơng này vì
nhiều thiết bị đang gửi gói tin và tấn cơng
từ nhiều vị trí.
Trong cuộc tấn cơng DOS, chỉ một thiết bị Trong cuộc tấn công DDOS, nhiều bot được
duy nhất được sử dụng với các công cụ tấn sử dụng để tấn công cùng một lúc.
công DOS.
Các cuộc tấn công DOS rất dễ theo dõi.
Các cuộc tấn cơng DDOS rất khó theo dõi.
Lưu lượng truy cập trong cuộc tấn công Các cuộc tấn cơng DDOS cho phép kẻ tấn
DOS ít hơn so với DDOS.
công gửi một lượng lớn lưu lượng truy cập
đến mạng nạn nhân.
Các loại hình tấn cơng DOS
Các loại hình tấn cơng DDOS
1. Tấn cơng tràn bộ đệm
1. Tấn công Volumetric
2. Tấn công Ping of Death hoặc ICMP flood 2. Tấn công Fragmentation Attack
3. Tấn công Teardrop Attack
3. Application Layer Attack


1.2.4 Các loại hình tấn cơng DOS/DDOS phổ biến
SYN Flood: Khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba
chiều. Máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu "bắt tay". Máy chủ
nhận tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau đó đóng kết
nối. Tuy nhiên, trong một SYN Flood, tin nhắn giả mạo được gửi đi và kết nối khơng đóng
dẫn đến dịch vụ sập.
UDP Flood: User Datagram Protocol (UDP) là một giao thức mạng không session
( không cần thiết lập kết nối). Một UDP Flood nhắm đến các cổng ngẫu nhiên trên máy tính
hoặc mạng với các gói tin UDP. Máy chủ kiểm tra ứng dụng tại các cổng đó nhưng khơng

tìm thấy ứng dụng nào.
HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác
bởi một hacker. Nó sử dụng ít băng thơng hơn các loại tấn cơng khác nhưng nó có thể buộc
máy chủ sử dụng các nguồn lực tối đa.
Ping of Death: Điều khiển các giao thức IP bằng cách gửi những đoạn mã độc đến
một hệ thống. Đây là loại DDOS phổ biến cách đây hai thập kỷ nhưng đã không còn hiệu
quả vào thời điểm hiện tại.
Smurf Attack: Khai thác giao thức Internet (IP) và ICMP (Internet Control Message
Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf. Nó giả mạo một địa chỉ
IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định.
Fraggle Attack: Sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của
router. Nó giống như một cuộc tấn công Smurf, sử dụng UDP nhiều hơn là ICMP.
Slowloris: Cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấn công
và các mục tiêu trên máy chủ web. Khi đã kết nối với mục tiêu mong muốn, Slowloris giữ
liên kết đó mở càng lâu càng tốt với HTTP tràn ngập. Kiểu tấn công này đã được sử dụng
trong một số DDOSing kiểu hacktivist (tấn cơng vì mục tiêu chính trị) cao cấp, bao gồm
cuộc bầu cử tổng thống Iran năm 2009. Việc giảm thiểu ảnh hưởng với loại hình tấn cơng
này là rất khó khăn.
Application Layer Attacks: Khai thác lỗ hổng trong các ứng dụng. Mục tiêu của loại
tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm yếu được
biết đến.


NTP Amplification: Khai thác các máy chủ NTP (Network Time Protocol), một giao
thức được sử dụng để đồng bộ thời gian mạng, làm tràn ngập lưu lượng UDP. Đây là
reflection attack bị khuếch đại. Trong reflection attack bất kỳ nào đều sẽ có phản hồi từ máy
chủ đến IP giả mạo, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ khơng cịn tương xứng với
u cầu ban đầu. Vì sử dụng băng thơng lớn khi bị DDOS nên loại tấn cơng này có tính phá
hoại và volumne cao.
Advanced Persistent DOS (APDOS): Là một loại tấn công được sử dụng bởi hacker

với mong muốn gây ra những thiệt hại nghiêm trọng. Nó sử dụng nhiều kiểu tấn cơng được
đề cập trước đó HTTP Flood, SYN Flood, v.v...) và thường nhắm tấn công theo kiểu gửi
hàng triệu yêu cầu/giây. Các cuộc tấn cơng của APDOS có thể kéo dài hàng tuần, phụ thuộc
vào khả năng của hacker để chuyển đổi các chiến thuật bất cứ lúc nào và tạo ra sự đa dạng
để tránh các bảo vệ an ninh.
Zero-day DDOS Attacks: Là tên được đặt cho các phương pháp tấn công DDOS
mới, khai thác các lỗ hổng chưa được vá.
HTTP GET: Là một kiểu tấn công lớp ứng dụng (Application Layer attack), quy mô
nhỏ hơn và được nhắm tới những mục tiêu hơn. Application Level Attacks khai thác lỗ hổng
trong các ứng dụng. Mục tiêu của loại tấn công này khơng phải là tồn bộ máy chủ, mà là
các ứng dụng với những điểm yếu được biết đến.
Kiểu tấn công này sẽ nhắm vào Lớp thứ 7 trong mơ hình OSI. Đây là lớp có lưu
lượng mạng cao nhất, thay vì hướng vào lớp thứ 3 thường được chọn làm mục tiêu trong các
cuộc tấn công Bulk Volumetric. HTTP GET khai thác quy trình trình của một trình duyệt
web hoặc ứng dụng HTTP nào đó và yêu cầu một ứng dụng hoặc máy chủ cho mỗi yêu cầu
HTTP, đó là GET hoặc POST.
HTTP Flood: Gần giống như các yêu cầu GET hoặc POST hợp pháp được khai thác
bởi một hacker. Nó sử dụng ít băng thơng hơn các loại tấn cơng khác nhưng nó có thể buộc
máy chủ sử dụng các nguồn lực tối đa. Rất khó để chống lại kiểu tấn cơng này vì chúng sử
dụng các u cầu URL tiêu chuẩn, thay vì các tập lệnh bị hỏng hoặc khối lượng lớn.

1.2.5 Tác hại của tấn công DOS/DDOS đối với hệ thống mạng
1. Cuộc tấn công DDOS vào Google năm 2017


Đội ngũ Google Cloud team mới đây đã tiết lộ những thơng tin chính thức đầu tiên
về một cuộc tấn cơng DDOS lớn chưa từng có, nhắm mục tiêu trực tiếp đến các dịch vụ của
Google và diễn ra trong khoảng thời gian tháng 9 năm 2017. Cuộc tấn công DDOS này có
độ lớn ước tính lên tới 2,54 Tbps, khiến nó trở thành cuộc tấn cơng DDOS đáng sợ nhất từng
được ghi nhận trong lịch sử phát triển internet cho đến thời điểm hiện tại.

2. Cuộc tấn công DDOS vào AWS năm 2020
Amazon Web Services (AWS), dịch vụ điện toán đám mây lớn nhất thế giới hiện tại,
đã bị tấn công DDOS vào tháng 02/2020. Đây là cuộc tấn công DDOS nghiêm trọng nhất
trong lịch sử và nhắm vào một khách hàng của AWS.
Dựa vào kỹ thuật CLDAP, kẻ tấn công đã khuếch đại lượng dữ liệu được gửi tới địa
chỉ IP của nạn nhân lên từ 56 tới 70 lần. Cuộc tấn công kéo dài trong 3 ngày và lúc đỉnh
điểm lưu lượng tấn công đạt 2.3 Tbps, một con số khủng khiếp.
May mắn là Amazon đã có những biện pháp ngăn chặn để giảm thiểu thiệt hại tới
mức thấp nhất. Tuy nhiên, quy mô của cuộc tấn cơng có thể khiến các khách hàng suy nghĩ
lại về việc chọn lựa AWS ảnh hưởng tới doanh thu của Amazon sau này.
3. Cuộc tấn công DDOS nhắm vào GitHub năm 2018
Vào ngày 28/02/2018, GitHub, một nền tảng dành cho các nhà phát triển phần mềm,
đã bị tấn công DDOS với tốc độ lên tới 1.35 Tbps, kéo dài trong khoảng 20 phút. Theo
GitHub, lưu lượng truy cập bắt nguồn từ hơn 1 nghìn hệ thống tự động (ASNs) khác nhau
trên hàng chục nghìn endpoint đơn lẻ.
Cuộc tấn cơng vào GitHub đáng chú ý vì có quy mơ lớn và được dàn dựng bằng cách
khai thác một lệnh tiêu chuẩn của Memcached, hệ thống caching cơ sở dữ liệu được dùng
cho việc tăng tốc trang web và mạng. Kỹ thuật tấn cơng DDOS dựa trên Memcached đặc
biệt hiệu quả vì khả năng khuếch đại lưu lượng truy cập đáng kinh ngạc, lên tới 51.000 lần.
4. Cuộc tấn công DDOS nhắm OVH năm 2016
Cuộc tấn công của Mirai nhắm vào OVH, một trong những nhà cung cấp dịch vụ lưu
trữ lớn nhất châu Âu. OVH lưu trữ khoảng 18 triệu ứng dụng cho hơn 1 triệu khách hàng.
Cuộc tấn công này nhắm vào một khách hàng của OVH, được thực hiện bởi khoảng 145.000
botnet và tạo ra lưu lượng truy cập 1.1Tbps, kéo dài trong 7 ngày.


Botnet Mirai là một bước tiến quan trọng về sức mạnh của một cuộc tấn công DDOS.
Quy mô và độ phức tạp của mạng Mirai chưa từng xuất hiện trước đây. Độ lớn và mục tiêu
của Mirai cũng khác hẳn so với các cuộc tấn cơng DDOS trước đó.
5. Tấn công DDOS vào Dyn năm 2016

Ngày 21/10/2016, một nhà cung cấp dịch vụ tên miền (DNS) lớn, đã bị tấn công bởi
một trận "lũ lụt" lưu lượng truy cập lên tới 1 Tbps, kỷ lục mới cho một cuộc tấn cơng
DDOS..
Những cơn "sóng thần" lưu lượng truy cập đã đánh sập các dịch vụ của Dyn, khiến
một số trang web nổi tiếng như GitHub, HBO, Twitter, Reddit, PayPal, Netflix và Airbnb
không thể truy cập được. Một phần của cuộc tấn công bao gồm hàng triệu IP riêng rẽ được
liên kết với mạng botnet Mirai. Việc giảm thiểu thiệt hại trở nên khó khăn hơn bởi Mirai hỗ
trợ các cuộc tấn cơng phức tạp, đa vector.

1.2.6 Vị trí nghiên cứu trong đề tài đối với mơ hình mạng
Mơ hình tham chiếu (OSI) là một mơ hình lý thuyết do tổ chức tiêu chuẩn hóa Quốc
tế tạo ra, cho phép các hệ thống truyền thông đa dạng giao tiếp bằng cách sử dụng các giao
thức chuẩn. OSI cung cấp một tiêu chuẩn cho các hệ thống máy tính khác nhau có thể giao
tiếp với nhau. Mơ hình OSI có thể được xem như một ngơn ngữ chung cho mạng máy tính.
Nó dựa trên khái niệm chia nhỏ hệ thống liên lạc thành bảy lớp trừu tượng, mỗi lớp xếp
chồng lên nhau. Mỗi lớp của mơ hình OSI xử lý một cơng việc cụ thể và giao tiếp với các
lớp trên và dưới chính nó.
Mặc dù Internet hiện đại khơng tn thủ nghiêm ngặt mơ hình OSI (nó tn theo bộ
giao thức Internet đơn giản hơn), mơ hình OSI vẫn rất hữu ích để khắc phục sự cố mạng.
Cho dù đó là một người khơng thể đưa máy tính xách tay của họ lên Internet, hay một trang
web đang ngừng hoạt động đối với hàng nghìn người dùng, mơ hình OSI có thể giúp khắc
phục sự cố và cô lập nguồn gốc của sự cố. Nếu vấn đề có thể được thu hẹp trong một lớp cụ
thể của mơ hình, thì có thể tránh được nhiều công việc không cần thiết.
Các cuộc tấn công DDOS nhắm vào các lớp cụ thể của kết nối mạng; tấn công lớp
ứng dụng nhắm vào lớp 7 và lớp giao thức tấn công nhắm vào lớp 3 và 4.
Trong đề tài này chúng em tập trung tìm hiểu và nghiên cứu cơ chế loại hình tấn cơng
SYN Flood và UDP Flood.


1.3 Cấu trúc đồ án

Nội dung chính của đồ án được giới hạn trong khoảng từ trang 08 đến trang 32
(không kể phần phụ lục), yêu cầu đánh máy vi tính 01 mặt, khổ giấy A4, phơng chữ Times
New Roman.
Kết cấu quyển đồ án được trình bày theo 04 phần chính:
- Mở đầu
- Lời cảm ơn
- Mục lục





Phần 1 Giới thiệu
Phần 2 Cơ sỡ lý thuyết
Phần 3 Giải quyết vấn đề
Phần 4 Kết quả thực hiện

- Phụ lục
- Danh mục tài liệu tham khảo


Phần 2 Cơ sở lý thuyết
2.1 Các giao thức IP, TCP, UDP
Giao thức IP (Internet Protocol)
IP Là một giao thức, hoặc một tập hợp các quy tắc, để định tuyến và định địa chỉ các
gói dữ liệu để chúng có thể di chuyển qua các mạng và đến đúng đích. Dữ liệu truyền qua
Internet được chia thành các phần nhỏ hơn, được gọi là các gói. Thơng tin IP được đính kèm
trong mỗi gói và thơng tin này giúp các bộ định tuyến gửi gói đến đúng nơi. Mọi thiết bị
hoặc miền kết nối với Internet đều được gán một địa chỉ IP và khi các gói được chuyển
hướng đến địa chỉ IP gắn liền với chúng, dữ liệu sẽ đến nơi cần thiết.

Khi các gói đến đích, chúng được xử lý khác nhau tùy thuộc vào giao thức truyền tải
nào được sử dụng kết hợp với IP. Các giao thức truyền tải phổ biến nhất là TCP và UDP.
Địa chỉ IP là số nhận dạng duy nhất được gán cho thiết bị hoặc miền kết nối với
Internet. Mỗi địa chỉ IP là một chuỗi các ký tự, chẳng hạn như '192.168.1.1'. Thơng qua trình
phân giải DNS , dịch tên miền có thể đọc được của con người thành địa chỉ IP, người dùng
có thể truy cập các trang web mà không cần ghi nhớ chuỗi ký tự phức tạp này. Mỗi gói IP sẽ
chứa cả địa chỉ IP của thiết bị hoặc miền gửi gói và địa chỉ IP của người nhận dự định, giống
như cách bao gồm cả địa chỉ đích và địa chỉ trả về trên một mẩu thư.

Hình 1 Internet Protocol
IP là một giao thức khơng có kết nối, có nghĩa là mỗi đơn vị dữ liệu được định địa chỉ
và định tuyến riêng từ thiết bị nguồn đến thiết bị đích, và đích khơng gửi xác nhận trở lại
nguồn. TCP được sử dụng cùng với IP để duy trì kết nối giữa người gửi và đích và đảm bảo
trật tự gói tin.


Giao thức điều khiển truyền TCP (Transmission Control Protocol)
Là một giao thức truyền tải, có nghĩa là nó chỉ định cách dữ liệu được gửi và nhận.
Tiêu đề TCP được bao gồm trong phần dữ liệu của mỗi gói sử dụng TCP / IP . Trước khi
truyền dữ liệu, TCP sẽ mở một kết nối với người nhận. TCP đảm bảo rằng tất cả các gói sẽ
đến theo thứ tự khi q trình truyền bắt đầu. Thơng qua TCP, người nhận sẽ xác nhận đã
nhận từng gói dữ liệu đến. Các gói bị thiếu sẽ được gửi lại nếu khơng nhận được.

Hình 2 Giao thức truyền TCP

Mối quan hệ TCP / IP tương tự như việc gửi cho ai đó một thông điệp được viết trên
một câu đố qua thư. Thông điệp được viết ra và câu đố được chia thành nhiều mảnh. Sau đó,
mỗi mảnh có thể di chuyển qua một tuyến đường bưu chính khác nhau, một số mất nhiều
thời gian hơn các tuyến khác. Khi các mảnh ghép đến nơi sau khi đi qua các con đường khác
nhau của chúng, các mảnh ghép có thể khơng theo thứ tự. Giao thức Internet đảm bảo các

mảnh đến địa chỉ đích của chúng. Giao thức TCP có thể được coi là người lắp ghép câu đố ở
phía bên kia, người sắp xếp các mảnh ghép lại với nhau theo đúng thứ tự, yêu cầu gửi lại các
mảnh còn thiếu và cho người gửi biết câu đố đã được nhận. TCP duy trì kết nối với người
gửi từ trước khi mảnh ghép đầu tiên được gửi đến sau khi mảnh ghép cuối cùng được gửi đi.


Ví dụ: Khi một email được gửi qua TCP, một kết nối được thiết lập và bắt tay 3 bước
được thực hiện. Đầu tiên, nguồn gửi một gói SYN “yêu cầu ban đầu” đến máy chủ đích để
bắt đầu đối thoại. Sau đó, máy chủ đích sẽ gửi một gói SYN-ACK để đồng ý với quá trình.
Cuối cùng, nguồn gửi một gói ACK đến đích để xác nhận q trình, sau đó nội dung thơng
báo có thể được gửi đi. Thơng điệp email cuối cùng được chia thành các gói trước khi mỗi
gói được gửi ra Internet, nơi nó đi qua một loạt các cổng trước khi đến thiết bị đích nơi
nhóm gói được TCP tập hợp lại thành nội dung ban đầu của email.
Giao thức UDP (User Datagram)
UDP là một phương pháp chuẩn hóa để truyền dữ liệu giữa hai máy tính trong một
mạng. So với các giao thức khác, UDP thực hiện quá trình này theo cách đơn giản: nó gửi
các gói (đơn vị truyền dữ liệu) trực tiếp đến máy tính mục tiêu mà khơng cần thiết lập kết
nối trước, cho biết thứ tự của các gói nói trên hoặc kiểm tra xem chúng có đến như dự định
hay khơng (Các gói UDP được gọi là 'datagram').

Hình 3 Giao thức truyền UDP

Vì UDP khơng u cầu “Hand shake”- (yêu cầu bắt tay) hoặc kiểm tra xem dữ liệu có
đến đúng cách hay khơng, nó có thể truyền dữ liệu nhanh hơn nhiều so với TCP. Tuy nhiên,
tốc độ này tạo ra sự đánh đổi. Nếu một sơ đồ UDP bị mất trong q trình truyền tải, nó sẽ


khơng được gửi lại. Do đó, các ứng dụng sử dụng UDP phải có khả năng chịu được lỗi, mất
mát và trùng lặp.
Về mặt kỹ thuật, việc mất gói như vậy không phải là một lỗ hổng trong UDP , đó là

do cách xây dựng Internet. Hầu hết các bộ định tuyến mạng khơng thực hiện việc sắp xếp
gói và xác nhận đến theo thiết kế, vì làm như vậy sẽ yêu cầu một lượng bộ nhớ bổ sung khó
khả thi.

2.2 Cơ chế hoạt động hình thức tấn cơng SYN Flood
Trong điều kiện bình thường: Kết nối TCP thể hiện ba quá trình riêng biệt để tạo
kết nối. Đầu tiên, máy khách gửi một gói SYN đến máy chủ để bắt đầu kết nối. Sau đó, máy
chủ sẽ phản hồi gói tin ban đầu đó bằng gói SYN/ACK, để xác nhận giao tiếp. Cuối cùng,
máy khách trả về một gói ACK để xác nhận việc nhận gói từ máy chủ. Sau khi hồn thành
chuỗi gửi và nhận gói tin này, kết nối TCP sẽ mở và có thể gửi và nhận dữ liệu.
Để tạo từ chối dịch vụ: Kẻ tấn cơng khai thác bước sau khi nhận được gói SYN ban
đầu, máy chủ sẽ phản hồi lại bằng một hoặc nhiều gói SYN /ACK và đợi bước cuối cùng
trong quá trình bắt tay. Đây là cách nó hoạt động:
Kẻ tấn cơng gửi một lượng lớn gói SYN đến máy chủ được nhắm mục tiêu, thường là
các địa chỉ IP giả mạo. Sau đó, máy chủ sẽ trả lời từng yêu cầu kết nối và để lại một cổng
mở sẵn sàng nhận phản hồi. Trong khi máy chủ đợi gói ACK cuối cùng, gói này khơng bao
giờ đến, kẻ tấn cơng tiếp tục gửi thêm gói SYN. Sự xuất hiện của mỗi gói SYN mới khiến
máy chủ tạm thời duy trì kết nối cổng mở mới trong một khoảng thời gian nhất định và khi
tất cả các cổng có sẵn đã được sử dụng, máy chủ khơng thể hoạt động bình thường.
Trong mạng, khi một máy chủ đang mở một kết nối nhưng máy ở phía bên kia của kết
nối thì không, kết nối được coi là nửa mở. Trong kiểu tấn công DDOS này, máy chủ được
nhắm mục tiêu liên tục để lại các kết nối đang mở và chờ mỗi kết nối hết thời gian chờ trước
khi các cổng hoạt động trở lại. Kiểu tấn cơng này có thể được coi là “tấn công nửa mở”.


Hình 4 Cơ chế tấn cơng SYN-Flood
SYN Flood có thể xảy ra theo ba cách khác nhau
Tấn công trực tiếp: Một cuộc tấn công SYN mà địa chỉ IP không bị giả mạo được
gọi là một cuộc tấn công trực tiếp. Trong cuộc tấn cơng này, kẻ tấn cơng hồn tồn khơng
che địa chỉ IP của họ. Do kẻ tấn cơng sử dụng một thiết bị nguồn duy nhất có địa chỉ IP thực

để tạo ra cuộc tấn công, kẻ tấn công rất dễ bị phát hiện và giảm thiểu. Để tạo ra trạng thái
nửa mở trên máy được nhắm mục tiêu, tin tặc ngăn không cho máy của họ phản hồi các gói
SYN-ACK của máy chủ. Điều này thường đạt được bằng cách sử dụng tường lửa với các
quy tắc ngăn các gói gửi đi là gói SYN hoặc bằng cách lọc ra bất kỳ gói SYN-ACK nào đến
trước khi chúng đến được máy của người dùng bị nhiễm mã độc. Trong thực tế, phương
pháp này hiếm khi được sử dụng (nếu có), vì việc giảm thiểu khá đơn giản - chỉ cần chặn địa
chỉ IP của mỗi hệ thống độc hại. Nếu kẻ tấn công đang sử dụng một mạng botnet chẳng hạn
như botnet Mirai, chúng sẽ không quan tâm đến việc che giấu IP của thiết bị bị nhiễm.


Tấn cơng giả mạo: Người dùng độc hại cũng có thể giả mạo địa chỉ IP trên mỗi gói
SYN mà họ gửi để ngăn cản các nỗ lực giảm thiểu và khiến danh tính của họ khó bị phát
hiện hơn. Mặc dù các gói tin có thể bị giả mạo, nhưng các gói tin đó có thể được truy ngược
trở lại nguồn của chúng. Thật khó để làm cơng việc này nhưng không phải là không thể, đặc
biệt nếu các nhà cung cấp dịch vụ Internet (ISP) sẵn sàng giúp đỡ.
Tấn công phân tán (DDOS): Nếu một cuộc tấn công được tạo ra bằng mạng botnet
thì khả năng theo dõi cuộc tấn cơng trở lại nguồn của nó là thấp. Đối với một mức độ xáo
trộn bổ sung, kẻ tấn cơng có thể có mỗi thiết bị phân tán cũng giả mạo địa chỉ IP mà từ đó nó
gửi các gói tin. Nếu kẻ tấn cơng đang sử dụng một mạng botnet chẳng hạn như botnet Mirai,
chúng thường sẽ không quan tâm đến việc che giấu IP của thiết bị bị nhiễm. Bằng cách sử
dụng cuộc tấn công SYN Flood, một kẻ xấu có thể cố gắng tạo từ chối dịch vụ trong một
thiết bị hoặc dịch vụ mục tiêu có lưu lượng truy cập ít hơn đáng kể so với các cuộc tấn cơng
DDOS khác. Thay vì các cuộc tấn cơng theo khối lượng, nhằm làm bão hịa cơ sở hạ tầng
mạng xung quanh mục tiêu, các cuộc tấn cơng SYN chỉ cần lớn hơn lượng tồn đọng có sẵn
trong hệ điều hành của mục tiêu. Nếu kẻ tấn cơng có thể xác định kích thước của tồn đọng
và mỗi kết nối sẽ được mở trong bao lâu trước khi hết thời gian, kẻ tấn cơng có thể nhắm
mục tiêu các thơng số chính xác cần thiết để vơ hiệu hóa hệ thống, do đó giảm tổng lưu
lượng xuống mức tối thiểu cần thiết để tạo từ chối dịch vụ

2.3 Cơ chế hoạt động của hình thức tấn cơng UDP Flood

UDP Flood hoạt động chủ yếu bằng cách khai thác các bước mà máy chủ thực hiện
khi nó phản hồi một gói UDP được gửi đến một trong các cổng của nó.Trong điều kiện bình
thường, khi máy chủ nhận được gói UDP tại một cổng cụ thể, nó sẽ trải qua hai bước để
phản hồi:
B1: Trước tiên, máy chủ sẽ kiểm tra xem có chương trình nào đang chạy hiện đang
lắng nghe các yêu cầu tại cổng được chỉ định hay khơng.
B2: Nếu khơng có chương trình nào đang nhận gói tại cổng đó, máy chủ sẽ phản hồi
bằng gói ICMP (ping) để thơng báo cho người gửi rằng khơng thể truy cập được đích.
Khi mỗi gói UDP mới được máy chủ nhận, nó sẽ trải qua các bước để xử lý yêu cầu,
sử dụng tài nguyên máy chủ trong q trình này. Khi các gói UDP được truyền đi, mỗi gói sẽ


bao gồm địa chỉ IP của thiết bị nguồn. Trong kiểu tấn công DDOS này , kẻ tấn công thường
sẽ khơng sử dụng địa chỉ IP thực của chính chúng mà thay vào đó sẽ giả mạo địa chỉ IP
nguồn của các gói UDP, cản trở vị trí thực của kẻ tấn cơng bị lộ và có khả năng bão hịa với
các gói phản hồi từ mục tiêu. người phục vụ.
Do máy chủ được nhắm mục tiêu sử dụng tài nguyên để kiểm tra và sau đó trả lời
từng gói UDP đã nhận, tài nguyên của mục tiêu có thể nhanh chóng cạn kiệt khi nhận được
một lượng lớn gói UDP, dẫn đến việc từ chối dịch vụ đối với lưu lượng bình thường.

Hình 5 Cơ chế tấn cơng UDP Flood

Ví dụ: Có thể hiểu cơ chế tấn cơng UDP- Flood theo kiểu định tuyến cuộc gọi của lễ
tân khách sạn. Đầu tiên, lễ tân nhận được một cuộc điện thoại mà người gọi yêu cầu được
kết nối với một vị khách trong phịng cụ thể. Sau đó, lễ tân cần xem qua danh sách tất cả các
phòng để đảm bảo rằng khách có sẵn trong phịng và sẵn sàng nhận cuộc gọi. Khi lễ tân
nhận ra rằng khách không nhận cuộc gọi nào, họ phải nhấc điện thoại lên và nói với người
gọi rằng khách sẽ khơng nhận cuộc gọi. Nếu đột nhiên tất cả các đường dây điện thoại sáng
lên đồng thời với các yêu cầu tương tự thì họ sẽ nhanh chóng trở nên q tải.



×