DDOs là tên viết tắt của Distributed Denial Of Service, thường gọi là tấn công từ chối dịch vụ (tấn công DDOs) – một biến thể của loại tấn công DOS, cũng chính là cơn ác mộng kinh khủng nhất của các tổ chức. Đây là một hình thức tấn công từ chối dịch vụ phân tán, nó làm cho tuy cập của người dùng đến máy chủ bị ngắt quãng, chập chờn, thậm chí dừng lại. Vừa mới 1′ trước, tất cả mọi thứ đều hoạt động bình thường, nhưng chỉ một chốc lát sau đó, cơ sở hạ tầng của bạn bị ảnh hưởng bởi “sóng thần” traffic giả mạo từ Internet. Tất cả hoạt động trực tuyến sẽ bị tê liệt và bạn sẽ bất lực nếu không chuẩn bị cho các cuộc tấn công này từ trước.
Tấn công DDOS được phân tán từ nhiều dải IP khách nhau, vì vậy chúng mạnh hơn tấn công DOS rất nhiều, do đó sẽ rất khó phát hiện để có thể ngăn chặn cuộc tấn công DDOs này. Doanh nghiệp hãy chủ động các hoạt động dành cho việc xử lí, từ đó giảm thiểu những thiệt hại từ cuộc tấn công bằng những giải pháp phòng ngừa được nêu ra sau đây.
1. Dựa trên vị trí triển khai
Các biện pháp phòng chống tấn công DDoS được phân loại dựa trên vị trí cài đặt. Các biện pháp này lại được chia nhỏ thành ba nhánh nhỏ sau:
– Các biện pháp được triển khai ở nguồn tấn công:
Vị trí triển khai: gần nguồn của tấn công.
Mục đích: hạn chế các mạng người dùng tham gia tấn công DDoS.
Một số biện pháp cụ thể bao gồm: Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng – Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận.
– Các biện pháp được triển khai ở đích tấn công:
Vị trí triển khai: gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích.
Các biện pháp cụ thể có thể gồm:
Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo
Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công.
Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đường dẫn,…
– Các biện pháp triển khai ở mạng đích tấn công:
Vị trí triển khai: các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại.
2. Dựa trên giao thức mạng
Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng
– Phòng chống tấn công DDoS ở tầng IP, bao gồm:
Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.
SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.
Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.
– Phòng chống tấn công DDoS ở tầng TCP, bao gồm:
Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.
Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.
Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.
Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs
riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.
Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác
nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho
máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu
quả.
Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã
xác lập trước.
– Phòng chống tấn công DDoS ở tầng ứng dụng, bao gồm:
Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.
Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.
Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.
3. Dựa trên thời điểm hành động
Các biện pháp phòng chống tấn công DDoS được phân chia thành 3 dạng theo 3 thời điểm như sau:
– Trước khi xảy ra tấn công:
Mục đích: nhằm ngăn chặn tấn công xảy ra.
Bao gồm: việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị tin tặc khai thác phục vụ tấn công.
– Trong khi xảy ra tấn công:
Mục đích: tập trung phát hiện và ngăn chặn tấn công. Trong nhóm này có Tường lửa và các hệ thống IDS/IPS.
– Sau khi xảy ra tấn công:
Bao gồm các biện pháp được triển khai để lần vết và truy tìm nguồn gốc của tấn công DDoS.
Chúc các bạn áp dụng thành công các biện pháp phòng chống DDOs!
