Mô hình OSI là gì? Tìm hiểu về 7 tầng OSI
Mô hình OSI đóng vai trò cốt lõi trong việc xây dựng các tiêu chuẩn cho hệ thống mạng hiện đại, trở thành chuẩn mực tham chiếu trong lĩnh vực công nghệ mạng ngày nay. Hãy cùng VPSTTT tìm hiểu sâu hơn về mô hình OSI cũng như tầm quan trọng của mô hình này đối với doanh nghiệp thông qua bài viết sau đây để biết thêm chi tiết.
Mô hình OSI là gì?
Mô hình kết nối hệ thống mở (OSI) là một mô hình khái niệm do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) xây dựng, cho phép các hệ thống truyền thông đa dạng giao tiếp với nhau bằng các giao thức chuẩn . Nói một cách đơn giản, OSI cung cấp một tiêu chuẩn cho các hệ thống máy tính khác nhau có thể giao tiếp với nhau.
Mô hình OSI có thể được xem như một ngôn ngữ chung cho mạng máy tính. Nó dựa trên khái niệm chia một hệ thống truyền thông thành bảy lớp trừu tượng, mỗi lớp được chồng lên lớp trước đó.
Mỗi lớp của mô hình OSI xử lý một công việc cụ thể và giao tiếp với các lớp bên trên và bên dưới. Các cuộc tấn công DDoS nhắm vào các lớp cụ thể của kết nối mạng; các cuộc tấn công lớp ứng dụng nhắm vào lớp 7 và các cuộc tấn công lớp giao thức nhắm vào lớp 3 và 4.
Ở dưới cùng của mô hình là lớp vật lý (lớp 1), hay các xung điện truyền tải các bit thông tin qua cáp, bộ định tuyến , bộ chuyển mạch và mạng WiFi tạo nên cơ sở hạ tầng Internet. Ở trên cùng, tại lớp 7, là các giao thức và dịch vụ mà các ứng dụng sử dụng để hoạt động. Ở giữa là các chức năng và giao thức khác nhau mà dữ liệu đi qua trong quá trình truyền thông mạng.
Tầm quan trọng của mô hình OSI
Mặc dù Internet hiện đại không còn tuân thủ nghiêm ngặt theo mô hình OSI mà thay vào đó áp dụng linh hoạt bộ giao thức Internet, nhưng OSI vẫn là **công cụ không thể thiếu** trong việc chẩn đoán và khắc phục sự cố mạng. Cho dù đó là một người dùng không thể kết nối Wi-Fi hay một trang web bị sập với hàng nghìn người truy cập, **việc xác định được sự cố nằm ở tầng nào trong mô hình OSI sẽ giúp rút gọn thời gian xử lý và tránh các thao tác không cần thiết.**
Không chỉ có giá trị trong troubleshooting, mô hình OSI còn mang lại nhiều lợi ích rõ rệt cho doanh nghiệp và kỹ sư mạng:
- Hỗ trợ hiểu rõ hệ thống phức tạp: Mô hình OSI chia hệ thống mạng thành 7 lớp dựa trên chức năng, giúp dễ dàng tổ chức, quản lý và phân tích các kiến trúc mạng hiện đại.
- Thúc đẩy nghiên cứu và phát triển: OSI định nghĩa rõ vai trò từng lớp, từ đó giúp các kỹ sư xác định nhiệm vụ, thiết kế và mở rộng mạng dễ dàng hơn theo chuẩn thống nhất.
- Đảm bảo tính chuẩn hóa linh hoạt: Thay vì đóng khung vào một giao thức cụ thể, OSI cho phép lựa chọn linh hoạt các công nghệ trong từng lớp mà vẫn đảm bảo khả năng tương tác xuyên hệ thống.
Tìm hiểu về 7 tầng OSI
Mô hình OSI chia quá trình truyền thông thành 7 tầng, mỗi tầng đều có chức năng và nhiệm vụ riêng, tương tác với nhau để đảm bảo việc truyền dữ liệu hiệu quả. Dưới đây, chúng tôi sẽ mô tả ngắn gọn từng lớp.
- Đây là tầng trên cùng của mô hình OSI, đảm bảo kết nối giữa người dùng và hệ thống.
- Tầng này được sử dụng bởi các phần mềm như:
- Trình duyệt web
- Ứng dụng email
- Các chức năng chính:
- Hỗ trợ các yêu cầu mạng của ứng dụng
- Xác định tính khả dụng của tài nguyên
- Đồng bộ hóa giao tiếp giữa hệ thống và người dùng
- Quản lý xác thực, quyền riêng tư và chất lượng dịch vụ
- Quản lý cú pháp dữ liệu và ràng buộc ở cấp độ ứng dụng
- Các giao thức lớp ứng dụng phổ biến:
- FTP (File Transfer Protocol) – Giao thức truyền tệp
- SMTP (Simple Mail Transfer Protocol) – Giao thức gửi thư điện tử
- DNS (Domain Name System) – Hệ thống phân giải tên miền
- Dữ liệu được truyền qua mạng dưới dạng các gói mã hóa. Tầng trình bày chịu trách nhiệm biến dữ liệu đó thành định dạng hữu ích cho tầng ứng dụng.
- Các chức năng chính của tầng trình bày:
- Chuyển đổi dữ liệu giữa các định dạng khác nhau
- Bản dịch mã ký tự giữa các hệ thống khác nhau
- Nén dữ liệu để giảm kích thước truyền tải
- Mã hóa và giải mã để bảo mật thông tin
- Ví dụ thực tiễn: Khi gửi văn bản, các ký tự được chuyển đổi thông qua các bảng mã như:
- ASCII – Mã Tiêu chuẩn Hoa Kỳ cho Trao đổi Thông tin
- EBCDIC – Mã Trao đổi Thập phân Mã hóa Nhị phân Mở rộng
- Toàn bộ quá trình sẽ được mã hóa, nén và truyền đi. Ở đầu nhận, quá trình được đảo ngược lại để tái hiện đúng dữ liệu gốc.
- Lớp này của mô hình OSI liên quan đến việc quản lý các liên kết phiên giữa các thiết bị mạng có điểm bắt đầu và kết thúc cụ thể.
- Các chức năng thiết yếu:
- Thiết lập liên kết để bắt đầu phiên
- Xác thực người gửi và người nhận
- Ủy quyền giao tiếp giữa các thiết bị và ứng dụng
- Duy trì và chấm dứt kết nối phiên
- Thông tin nổi bật:
- Một loại phiên phổ biến là khi người dùng truy cập và duyệt một trang web trong một khoảng thời gian cụ thể.
- Đồng bộ hóa: Các điểm kiểm tra trong suốt phiên đảm bảo luồng dữ liệu được phối hợp, không gián đoạn hoặc mất dữ liệu.
- Các giao thức lớp phiên phổ biến:
- RPC (Remote Procedure Call)
- PPTP (Point-to-Point Tunneling Protocol)
- SCP (Session Control Protocol)
- SDP (Session Description Protocol)
- Tầng này xử lý việc gửi và phân phối dữ liệu đầy đủ, đáng tin cậy từ thiết bị này sang thiết bị khác thông qua mạng hoặc giữa các mạng.
- Các giao thức phổ biến:
- TCP (Transmission Control Protocol): Truyền dữ liệu hướng kết nối, đảm bảo toàn vẹn và thứ tự dữ liệu.
- UDP (User Datagram Protocol): Truyền dữ liệu không kết nối, nhanh nhưng không đảm bảo toàn vẹn.
- Một số chức năng thiết yếu của tầng vận chuyển:
- Kiểm soát lỗi, luồng và tắc nghẽn: Theo dõi các gói dữ liệu, kiểm tra lỗi/trùng lặp và gửi lại nếu cần.
- Địa chỉ điểm dịch vụ (Service Port): Sử dụng số cổng (port number) để xác định ứng dụng nhận dữ liệu đúng.
- Phân đoạn và lắp ráp lại: Chia dữ liệu thành từng phần nhỏ và tái tạo lại đầy đủ tại thiết bị đích.
- Tầng thứ ba của mô hình OSI tổ chức và truyền dữ liệu giữa nhiều mạng. Phần cứng tầng mạng bao gồm các tuyến đường, bộ định tuyến cầu nối, bộ chuyển mạch lớp 3 và các giao thức như IPv4, IPv6.
- Chức năng chính của tầng mạng:
- Định tuyến dữ liệu qua đường dẫn vật lý ngắn nhất hoặc nhanh nhất, xử lý tắc nghẽn, lỗi liên kết và ưu tiên dịch vụ.
- Xử lý địa chỉ logic để phân biệt mạng nguồn và mạng đích.
- Chia nhỏ dữ liệu thành các gói tin để gửi đi, sau đó lắp ráp lại tại đích.
- Chịu trách nhiệm định tuyến và chuyển tiếp dữ liệu giữa các mạng khác nhau.
- Đảm bảo dữ liệu đi qua các mạng khác nhau bằng cách sử dụng địa chỉ IP để xác định thiết bị.
- Các giao thức phổ biến: IP (Internet Protocol), ICMP (giao thức kiểm tra lỗi và kết nối - ví dụ: ping).
- Tầng thứ hai của mô hình OSI mô tả việc truyền dữ liệu giữa các thiết bị mạng. Dữ liệu được chia thành các khung (frame), bao gồm các mẫu bit hoặc mã đặc biệt để xác định điểm bắt đầu và kết thúc.
- Dữ liệu di chuyển thông qua các thiết bị chuyển mạch (switch), định tuyến qua tầng vật lý từ vị trí này đến vị trí khác.
- Hai lớp con của tầng liên kết dữ liệu:
- Lớp LLC (Logical Link Control): Quản lý luồng và kiểm soát lỗi nhằm đảm bảo dữ liệu chính xác.
- Lớp MAC (Media Access Control): Quản lý quyền truy cập vào môi trường truyền thông và điều phối luồng dữ liệu.
- Chức năng chính: đóng gói khung dữ liệu, kiểm soát lỗi, kiểm soát truy cập phương tiện, và địa chỉ hóa vật lý (MAC).
- Tầng đầu tiên của mô hình OSI mô tả các kết nối vật lý giữa các thiết bị trong mạng. Dữ liệu tín hiệu điện, quang hoặc điện từ được truyền từ thiết bị này sang thiết bị khác thông qua cơ sở hạ tầng vật lý.
- Hệ thống: Thiết bị điện, cơ khí và vật lý
- Thông số kỹ thuật: Kích thước cáp, tần số tín hiệu, điện áp
-
Cấu hình mạng:
- Mạng bus – thiết bị xếp thẳng hàng
- Mạng hình sao – có thiết bị trung tâm
- Mạng vòng – nối thành vòng
- Mạng lưới – kết nối đan xen
-
Chế độ giao tiếp:
- Đơn công (Simplex)
- Bán song công (Half-duplex)
- Song công toàn phần (Full-duplex)
- Hiệu suất truyền dữ liệu: tốc độ bit, đồng bộ hóa bit
- Điều chế & chuyển mạch: kết nối với phương tiện truyền
- Giao thức phổ biến: Wi-Fi, Ethernet
- Phần cứng: ăng-ten, modem, cáp, bộ lặp, bộ chia, v.v.
Mô hình OSI chia mạng thành 7 lớp, mỗi lớp đảm nhiệm một vai trò riêng biệt và liên kết chặt chẽ với nhau. Chính sự phân tầng này đã vô tình tạo ra các “cửa ngách” để các cuộc tấn công DDoS len lỏi và phá hoại hệ thống.
Các lớp thấp như Layer 3 và 4 thường bị nhắm đến bởi những đợt tấn công băng thông lớn: UDP Flood, TCP SYN Flood, ICMP, v.v… Dễ phát hiện – nhưng cũng dễ gây nghẽn toàn mạng nếu không có hạ tầng đủ mạnh.
Đặc biệt nguy hiểm là Layer 7 – lớp ứng dụng. Đây là nơi tiếp nhận trực tiếp các request từ người dùng, xử lý logic, phiên truy cập và nội dung động. Kẻ tấn công lợi dụng điều này để tạo ra các đợt DDoS có vẻ “hợp lệ”, nhưng lại khiến máy chủ xử lý kiệt quệ.
Tấn công Layer 7 không ồn ào – nhưng có thể kéo sập toàn bộ website chỉ bằng vài nghìn request/giây.
Tại sao việc ngăn chặn các cuộc tấn công DDoS ở tầng ứng dụng lại khó khăn?
Tấn công tầng ứng dụng, hay tấn công DDoS tầng 7 (L7) là một loại hành vi độc hại được thiết kế để nhắm vào tầng “trên cùng” trong mô hình OSI , nơi diễn ra các yêu cầu internet phổ biến như HTTP GET và HTTP POST. Các cuộc tấn công tầng 7 này, trái ngược với các cuộc tấn công tầng mạng như khuếch đại DNS , đặc biệt hiệu quả do chúng tiêu tốn tài nguyên máy chủ bên cạnh tài nguyên mạng.
Việc phân biệt giữa lưu lượng tấn công và lưu lượng bình thường rất khó khăn, đặc biệt là trong trường hợp tấn công tầng ứng dụng, chẳng hạn như botnet thực hiện tấn công HTTP Flood vào máy chủ của nạn nhân. Vì mỗi bot trong botnet đều thực hiện các yêu cầu mạng có vẻ hợp pháp, nên lưu lượng không bị giả mạo và có thể xuất hiện “bình thường” ngay từ đầu.
Ngay cả khi không đăng nhập, nhiều khi máy chủ nhận được yêu cầu từ máy khách phải thực hiện truy vấn cơ sở dữ liệu hoặc các lệnh gọi API khác để tạo ra trang web. Khi sự chênh lệch này tăng lên do nhiều thiết bị nhắm mục tiêu vào một thuộc tính web duy nhất, chẳng hạn như trong một cuộc tấn công botnet , hậu quả có thể làm quá tải máy chủ mục tiêu, dẫn đến từ chối dịch vụ đối với lưu lượng truy cập hợp lệ. Trong nhiều trường hợp, chỉ cần nhắm mục tiêu API bằng một cuộc tấn công L7 là đủ để khiến dịch vụ ngừng hoạt động.
VPSTTT – Tường thành số của bạn trước mọi đợt DDoS.
Khi sử dụng dịch vụ tại VPSTTT, bạn được bảo vệ bởi hệ thống chống DDoS độc lập, thông minh và cực kỳ hiệu quả – có khả năng ngăn chặn toàn diện mọi hình thức tấn công DDoS từ Layer 3, Layer 4 đến Layer 7, bao gồm cả botnet, HTTP Flood và các truy cập ảo tự động.
Hệ thống của chúng tôi liên tục học và phân tích hành vi truy cập, đưa ra phản ứng ngay lập tức khi phát hiện tấn công – đảm bảo không làm gián đoạn người dùng thật.
Chống DDoS không chỉ là tính năng – là cam kết từ VPSTTT.
Các cuộc tấn công ở tầng ứng dụng diễn ra như thế nào?
Hiệu quả cơ bản của hầu hết các cuộc tấn công DDoS xuất phát từ sự chênh lệch giữa lượng tài nguyên cần thiết để phát động một cuộc tấn công so với lượng tài nguyên cần thiết để hấp thụ hoặc giảm thiểu cuộc tấn công đó. Mặc dù điều này vẫn đúng với các cuộc tấn công L7, nhưng hiệu quả tác động đến cả máy chủ mục tiêu và mạng lưới đòi hỏi ít băng thông hơn để đạt được cùng một hiệu ứng phá hoại; một cuộc tấn công ở tầng ứng dụng gây ra nhiều thiệt hại hơn với tổng băng thông ít hơn.
Để tìm hiểu lý do, hãy cùng xem xét sự khác biệt về mức tiêu thụ tài nguyên tương đối giữa máy khách đưa ra yêu cầu và máy chủ phản hồi yêu cầu. Khi người dùng gửi yêu cầu đăng nhập vào tài khoản trực tuyến như tài khoản Gmail, lượng dữ liệu và tài nguyên mà máy tính của người dùng phải sử dụng là rất nhỏ và không tương xứng với lượng tài nguyên tiêu thụ trong quá trình kiểm tra thông tin đăng nhập, tải dữ liệu người dùng liên quan từ cơ sở dữ liệu, rồi gửi lại phản hồi chứa trang web được yêu cầu.
Bộ định tuyến sử dụng giao thức nào?
Bộ định tuyến mạng sử dụng một số giao thức nhất định để tìm ra đường dẫn mạng hiệu quả nhất đến các bộ định tuyến khác. Các giao thức này không được sử dụng để truyền dữ liệu người dùng. Các giao thức định tuyến mạng quan trọng bao gồm:
BGP: Giao thức Cổng Biên giới (BGP) là một giao thức lớp ứng dụng mà mạng sử dụng để phát sóng địa chỉ IP mà chúng kiểm soát. Thông tin này cho phép các bộ định tuyến quyết định các gói dữ liệu nên đi qua mạng nào trên đường đến đích.
EIGRP: Giao thức Định tuyến Cổng Nội bộ Nâng cao (EIGRP) xác định khoảng cách giữa các bộ định tuyến. EIGRP tự động cập nhật bản ghi các tuyến đường tốt nhất của mỗi bộ định tuyến (gọi là bảng định tuyến) và phát các bản cập nhật đó đến các bộ định tuyến khác trong mạng.
OSPF: Giao thức Open Shortest Path First (OSPF) tính toán các tuyến mạng hiệu quả nhất dựa trên nhiều yếu tố, bao gồm khoảng cách và băng thông.
RIP: Giao thức thông tin định tuyến (RIP) là một giao thức định tuyến cũ hơn, xác định khoảng cách giữa các bộ định tuyến. RIP là giao thức lớp ứng dụng.
Mô hình linh hoạt cùng khả năng hỗ trợ nhanh chóng từ VPSTTT đã giúp chúng tôi triển khai hệ thống Cloud VPS tại nhiều địa điểm chỉ trong vài phút.
Nhờ đó, chúng tôi có thể mở rộng hoạt động kinh doanh một cách nhanh chóng và hiệu quả hơn bao giờ hết.
Hạ tầng ổn định, bảo mật cao, và đội ngũ kỹ thuật luôn đồng hành – đó là lý do chúng tôi chọn VPSTTT là đối tác lâu dài.
Hiệu suất cao, giá tiết kiệm
Hạ tầng Cloud VPS mạnh mẽ với CPU AMD/Intel thế hệ mới, kết hợp ổ cứng NVMe siêu tốc mang lại hiệu suất xử lý đáng kinh ngạc cho mọi nhu cầu: từ website, ứng dụng, đến các hệ thống backend chuyên sâu. Giá chỉ từ 70,125 VNĐ/mo
Tùy chọn cài đặt nhanh chóng các hệ điều hành phổ biến như Ubuntu, CentOS, AlmaLinux, Debian, Windows, phù hợp với mọi nhu cầu từ lập trình viên đến doanh nghiệp.
Không cần di chuyển dữ liệu – bạn có thể nâng CPU, RAM, dung lượng linh hoạt bất kỳ lúc nào để đáp ứng tốc độ tăng trưởng của dự án.
Dữ liệu được sao lưu tự động hàng ngày và bảo vệ khỏi các cuộc tấn công mạng nhờ hệ thống firewall tích hợp – đảm bảo an toàn và yên tâm tuyệt đối.
