Phòng chống DDoS như thế nào cho hiệu quả? | Vietnix

Phòng chống DDoS như thế nào cho hiệu quả?

20/04/2021

Trong bối cảnh dịch bệnh COVID-19, các cuộc tấn công DDoS ngày càng nổ ra nhiều hơn. Chúng có thể gây thiệt hại to lớn về thương hiệu lẫn tiền bạc. Vậy phải phòng chống DDoS như thế nào cho hiệu quả nhất?

Cụ thể, các cuộc tấn công DDoS (Tấn công từ chối dịch vụ) có thể gây thiệt hại đến 100.000 USD mỗi giờ (theo Cloudflare). Từ đó kéo theo sự xuống dốc của nhiều yếu tố. Từ uy tín, thương hiệu, doanh thu đến số lượng khách hàng. Vì vậy, luôn đáng để đầu tư vào các nguồn lực ngăn chặn tấn công DDoS. Hoặc ít nhất là làm giảm thiểu nguy cơ trở thành mục tiêu. Đặc biệt là trong bối cảnh COVID-19, khi mà phần lớn các hoạt động (như thương mại) đã chuyển sang online. Vậy ta phải phòng chống DDoS như thế nào? Sau đây là 6 cách phòng chống DDoS hiệu quả nhất 2021.

Tấn công DDoS

Tấn công DDoS là gì?

Một cuộc tấn công DDoS với quy mô tầm trung thường liên quan đến việc bắn phá một địa chỉ IP với lượng lớn các truy cập. Nếu địa chỉ IP hướng đến một server web, các lưu lượng thông thường khác sẽ không thể truy cập vào trang web này. Nói cách khác, trang web khi ấy sẽ không còn khả dụng nữa. Ngoài ra, còn có một loại tấn công DDoS gọi là flood. Trong đó, một nhóm các máy chủ bị quá tải bởi các request cần xử lý. Chúng thường được tạo ra với số lượng lớn, bởi các script chạy trên các máy bị xâm nhập (botnet). Từ đó, các tài nguyên của server nạn nhân sẽ bị cạn kiệt nhanh chóng.

Vì sao các cuộc tấn công DDoS khó ngăn chặn?

Đầu tiên, rõ ràng là việc ngăn chặn DDoS sẽ khó khăn hơn nếu các nguồn lưu lượng được phân tán ở khắp nơi trên thế giới, thay vì tập trung tại một địa chỉ IP duy nhất. Một lý do khác cản trở việc phòng chống DDoS là hiện nay, nhiều cuộc tấn công có mô hình “khuếch đại”. Tức là, chúng gửi các packet nhỏ đến các server bị xâm nhập trên khắp thế giới. Sau đó, phản hồi lại bằng cách gửi các gói lớn hơn đến server đó. Một ví dụ điển hình của cách tấn công này là tấn công khuếch đại DNS. Trong đó, một request tương đương 60 byte DNS có thể dẫn đến 4000 byte respond được gửi đến nạn nhân – lớn hơn đến 70 lần!

Hay gần đây hơn, các hacker đã khai thác một tính năng của server, gọi là memcache. Từ đó bắt đầu các cuộc tấn công khuếch đại memcache. Ở đó, 15 byte request có thể tương ứng với 750kb respond – gấp đến 50.000 lần. Và cuộc tấn công lớn nhất từ trước đến nay, nhằm vào GitHub, đã đạt đỉnh điểm ở 1.35 Tbps dữ liệu đánh vào server của GitHub.

Có thể thể, lợi ích to lớn của các cuộc tấn công này là chỉ cần một lượng băng thông hạn chế tùy ý. Từ đó triển khai các cuộc tấn công lớn hơn rất nhiều so với việc tấn công trực tiếp. Vì vậy, câu trả lời cho phòng chống DDoS như thế nào sẽ được cho thấy ngay sau đây.

6 cách phòng chống DDoS hiệu quả

1. Mua thêm băng thông

Trong các cách phòng chống DDoS, cách cơ bản nhất chính là cải thiện cơ sở hạ tầng lưu trữ VPS. Hãy luôn đảm bảo có đủ băng thông để xử lý các cuộc tấn công. Vì chúng gây ra bởi lượng lớn các lưu lượng truy cập vào server.

Trước đây, việc phòng chống DDoS cơ bản thường xoanh quanh việc tăng thêm băng thông hiện tại. Tuy nhiên, các cuộc tấn công khuếch đại đang ngày càng phổ biến. Nên phương pháp này không thật sự thiết thực nữa. Thay vào đó, việc có băng thông lớn chỉ đơn thuần là một rào cản mà các hacker phải vượt qua mà thôi. Nhưng dù sao, đây vẫn là cách cơ bản nhất để phòng chống DDoS.

2. Phân tán cơ sở hạ tầng

Để gây khó khăn cho các hacker khi tấn công DDoS, hãy đảm bảo các server được phân bổ trên nhiều trung tâm dữ liệu. Phân tán các server về mặt địa lý sẽ phần nào giúp cho các server không bị ảnh hưởng đồng thời bởi tấn công DDoS. Tất nhiên các trung tâm này phải có hệ thống load balance tốt nhằm phân tán được các lưu lượng giữa chúng. Thậm chí, sẽ tốt hơn nếu các trung tâm này nằm ở nhiều quốc gia hoặc khu vực khác nhau.

Để chiến lược này phát huy được hiệu quả, cần đảm bảo các trung tâm dữ liệu được kết nối với các mạng khác nhau. Ngoài ra, không được có hiện tượng nghẽn cổ chai giữa các mạng này.

3. Cấu hình phần cứng mạng

Có một số cách cấu hình đơn giản mà ta có thể thực hiện để phòng chống DDoS. Lấy ví dụ như: cấu hình tường lửa, router để giảm các packet ICMP đến. Hoặc có thể chặn phản hồi DNS từ bên ngoài mạng (bằng cách chặn UDP cổng 53). Từ đó có thể phần nào ngăn chặn các cuộc tấn công dựa trên DNS hay ping.

4. Triển khai các phần cứng Anti-DDoS và module phần mềm

Để phòng chống DDoS, các server nên được trang bị tường lửa mạng và tường lửa ứng dụng web chuyên dụng. Đồng thời, bộ load balance cũng nên được sử dụng. Nhiều nhà cung cấp phần cứng hiện nay có bao gồm dịch vụ bảo vệ phần mềm khỏi DDoS. Cụ thể là bằng cách theo dõi số lượng kết nối không đẩy đủ tồn tại. Sau đó xóa chúng khi đạt đến ngưỡng nhất định. Như vậy các phần mềm có thể tránh được tấn công DDoS flood SYN.

Ngoài ra, các module phần mềm cụ thể cũng có thể được thêm vào một số phần mềm server web. Ví dụ như Apache 2.2.15 có một moduel mod_reqtimeout để bảo vệ khỏi các cuộc tấn công ở lớp ứng dụng. Phổ biến là tấn công Sloworis. Ở đó, kết nối với server web được giữ lâu nhất có thể bằng cách gửi liên tục các request để server không thể nhận thêm kết nối mới.

Bên cạnh đó, công ty cung cấp giải pháp công nghệ Vientix cũng cung cấp dịch vụ phòng chống DDoS bằng tường lửa vô cùng hiệu quả. Chi tiết về dịch vụ có thể được xem tại đây.

Phòng chống DDoS như thế nào
Phòng chống DDoS toàn diện với tường lửa Vietnix

5. Triển khai thiết bị bảo vệ khỏi DDoS

Hiện nay có nhiều nhà cung cấp bảo mật gồm các thiết bị trước tường lửa mạng. Chúng được thiết kế để chặn tấn công DDoS trước khi chúng có hiệu lực. Các nhà cung cấp tiêu biểu gồm: NetScout Arbor, Fortinet, Check Point, Radware…

Kỹ thuật này được thực hiện bằng cách mang theo dáng điệu hành vi lưu lượng truy cập. Sau đó, chặn các lưu lượng bất thường và chặn các lưu lượng trên những địa chỉ đã biết.

Tuy nhiên, điểm yếu chính của phương pháp này là bản thân các thiết bị bị giới hạn bởi lượng băng thông. Các thiết bị cao cấp có thể kiểm tra lưu lượng truy cập lên đến 80 Gbps hoặc hơn. Nhưng các cuộc tấn công DDoS hiện nay có thể có cường độ lớn hơn rất nhiều.

6. Chủ động bảo vệ server DNS

Một cách hiệu quả nữa để phòng chống DDoS là đặt các server DNS ở các trung tâm dữ liệu khác nhau. Đồng thời ở sau các bộ load balance cũng là một ý hay. Hơn nữa, một giải pháp tốt hơn là chuyển sang các nhà cung cấp DNS dựa trên cloud. Từ đó có thể có băng thông cao hơn và nhiều có mặt ở nhiều điểm hơn trên các trung tâm dữ liệu.

Theo eSecurity Planet.

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments