Các nhà cung cấp luôn là đơn vị chịu nhiều cuộc tấn công mạng nhất. Có những cuộc tấn công nhằm vào chính ISP, cũng có những cuộc tấn công nhằm vào khách hàng.
Hiện nay, có rất nhiều hình thức tấn công mạng: DOS, DDOS, SYN FLOOD, MAC FLOOD... Đứng trên góc độ quản trị mạng, các hình thức tấn công sẽ chia làm 2 loại thường gặp nhất:
Tấn công vào băng thông: Hacker sẽ đẩy luồng băng thông cực lớn làm nghẽn băng thông của nạn nhân, khiến mọi truy cập tới nạn nhân bị gián đoạn.
Hình 2.4 Tấn công vào băng thông (nguồn: VDC Online)
Hình 2.4 là một ví dụ về một cuộc tấn công DDOS sử dụng cơ chế tràn băng thông. Dữ liệu được lấy trong báo cáo mạng tháng 7 của VDC Online. Biểu đồ cho thấy, luồng dữ liệu tấn công đi theo hướng Output – đi ra khỏi cổng thiết bị. Khi chưa có tấn công, băng thông output rất bé, xấp xỉ 0. Thời điểm bắt đầu tấn công, băng thông output tăng đột biến lên khoảng 1Gbps và không tăng nữa. Sở dĩ băng thông đạt ngưỡng 1Gbps vì đây chính là dung lượng của kênh truyền. Kênh truyền của nạn nhân khi đó đã đạt ngưỡng và nghẽn, dẫn tới mọi kết nối tới server bị DDOS sẽ gián đoạn.
Tấn công vào khả năng xử lý của thiết bị: Hacker sẽ liên tục đẩy số lượng request cực lớn làm vượt ngưỡng khả năng xử lý của thiết bị, khiến thiết bị không thể xử lý thêm bất cứ request nào, qua đó làm gián đoạn dịch vụ của nạn nhân.
Hình 2.5 là một ví dụ về một cuộc tấn công DDOS sử dụng cơ chế làm vượt ngưỡng CPU. Dữ liệu được lấy trong báo cáo mạng tháng 7 của VDC Online. Biểu đồ cho thấy, CPU của thiết bị khi chưa có tấn công đang ở mức 50%. Các đỉnh (peak) khi này chỉ là các thời điểm CPU tăng nhẹ vì phải xử lý nhiều tác vụ và giảm ngay trong thời gian ngắn. Thời điểm bắt đầu tấn công, CPU tăng vọt lên 100%, thậm chí đồ thị còn thể hiện CPU đạt tới 120%. Sở dĩ CPU vượt lên 120% là do cơ chế tính toán của công cụ, mặt khác còn phụ thuộc khả năng ép xung nhịp của CPU. Khi CPU đạt 100%, thiết bị không có khả năng xử lý thêm bất cứ gói tin nào nữa, dẫn tới mọi kết nối tới server bị DDOS sẽ gián đoạn.
Quản trị mạng sẽ dựa vào các thông tin cảnh báo từ hệ thống giám sát để phát hiện tấn công. Sau đó, tùy vào loại hình tấn công để đưa ra phương án xử lý.