Website của bất cứ tổ chức cá nhân nào cũng có thể là mục tiêu b?
?? DDoS, từ blog cá nhân đến web bán hàng, tin tức. Vậy làm thế nào để chống DDoS cho website hiệu quả với những người không chuyên?
Tấn công từ chối dịch vụ (DDoS) là phương thức tấn công đơn giản và phổ biến nhất trên thế giới. Dù nó không gây ra nguy hại đến dữ liệu của tổ chức, cá nhân nhưng DDoS lại khiến website bị gián đoạn gây khó khăn cho người sử dụng.
Điều đáng buồn là các nhà quản trị website của Việt Nam vẫn chưa quan tâm đúng mức và đầy đủ về DDoS mà phó mặc cho nhà cung cấp dịch vụ Internet (ISP) hoặc đối tác cung cấp cơ sở hạ tầng (data center). Thật vậy, năm 2019, thống kê của CyStack cho thấy Việt Nam đứng thứ 11 trong số 15 quốc gia bị tấn công website nhiều nhất thế giới với 9.370 vụ.
DDoS là hình thức tấn công gửi nhiều kết nối đến máy chủ
Đến cuối tháng 7 vừa qua, Công ty Chứng khoán VPS bị tin tặc tiến hành hai đợt tấn công DDoS liên tiếp dẫn tới tắc nghẽn hệ thống, khách hàng không thể đăng nhập được.
Tin vui là hiện có rất nhiều phương thức tấn công DDoS khác nhau nhưng chỉ tập trung vào việc làm nghẽn băng thông, cạn kiệt tài nguyên hoặc khai thác vào các lỗ hổng chưa đ?
?ợc vá.
Tuy nhiên lại chỉ có một số cách rất cơ bản để chống DDoS như cài đặt tường lửa, kiểm soát nhật ký hoạt động của website, triển khai khóa địa lý, giới hạn truy cập đến từ một số quốc gia, cài đặt trình quét bảo mật phần mềm độc hại. Dưới đây là một số giải pháp nâng cao để chống DDoS:
CDN Dilution (CDN Phân tải)
Mạng lưới phân tải nội dung (Content Delivery Network - CDN) là một hệ thốn
g toàn cầu rộng lớn gồm nhiều máy chủ con đ?
?ợc liên kết và đặt ở nhiều vị trí địa lý khác nhau, cung cấp nội dung website nhanh chóng bằng cách sao chép hoặc lưu trữ nội dung trên nhiều máy chủ con. Và người dùng sẽ lấy dữ liệu từ máy chủ con gần nhất chứ không phải máy chủ gốc.
CDN có khả năng kết nối các máy chủ với quy mô phân phối lưu lượng truy cập khổng lồ. Với lượng băng thông rộng lớn, CDN Dilution có thể giải quyết hiệu quả các cuộc tấn công DDoS 3 lớp, 4 lớp hoặc các cuộc tấn công DDoS tràn truy cập.
CDN giúp phân tải tài nguyên để hạn chế DDoS.
Các máy chủ con hoạt động như một cổng phân phối dữ liệu đến các ứng dụng website một cách nhanh nhất. Tất cả yêu cầu truy cập website sẽ đ?
?ợc xử lý thông qua các máy chủ con này, những truy cập bất hợp pháp sẽ đ?
?ợc lọc và loại bỏ t
rước khi gửi đến máy chủ gốc.
Tuy nhiên, CDN chỉ áp dụng đ?
?ợc với các trình ứng dụng website, trường hợp đang sử dụng giao thức TCP/UDP đã đăng ký độc quyền, CDN sẽ không thể giúp đ?
?ợc gì cho hệ thống của tổ chức, cá nhân.
TCP/UDP Proxy (máy chủ proxy)
Nếu trang web của tổ chức cá nhân đang chạy các tầng ứng dụng TCP/UDP liên quan đến các dịch vụ game, các giao thức truy cập máy chủ từ xa (SSH) hay hệ thống giao thức nhận và truyền tải dữ liệu trong email của người dùng (SMTP)… thì mọi truy cập sẽ đ?
?ợc hiển thị thông qua các cổng mở (port).
Điều này có nghĩa là, tin tặc có thể tận dụng các kẽ hở này để thực hiện việc tấn công, bằng cách sử dụng một lượng lớn truy cập xuất phát từ khắp nơi trên toàn thế giới để truy cập vào website cùng lúc với người dùng hợp pháp.
TCP/UDP Proxy hoạt động như một bộ lọc truy cập độc hại
Vậy làm thế nào để ngăn chặn kiểu tấn công này? Bởi người quản trị web không thể chặn hết IP chỉ vì chúng đáng ngờ. Để giải quyết vấn đề này, một máy chủ proxy TCP/UDP đ?
?ợc tạo ra, có chức năng tương tự CDN Dilution như đã nói ở trên.
Trong đó, các gói (packets) sẽ đ?
?ợc gửi tới proxy đảo ngược, từ đó lọc ra những lưu lượng độc hại. Tuy nhiên, nh?
?ợc điểm của phương pháp này là người quản trị không thể biết đ?
?ợc IP thật của người dùng, do đó dễ bị chặn nhầm còn hơn bỏ sót.
Clean Pipe (đường truyền sạch)
Đây là phương thức giảm thiểu tấn công DDoS đ?
?ợc triển khai phổ biến hơn cả so với hai phương pháp còn lại. Về cách thức thực hiện, tất cả lưu lượng truy cập đến đều sẽ đ?
?ợc chuyển hướng tới ‘trung tâm làm sạch’ hay còn gọi là ‘trung tâm thanh lọc’ (scrubbing center). Tại đây, những truy cập bất hợp pháp sẽ đ?
?ợc xác định và loại bỏ, chỉ cho phép những lưu lượng hợp pháp truy cập đến máy chủ cuối cùng.
Clean Pipe cũng giúp lọc truy cập xấu độc
Với sự gia tăng của các cuộc tấn công DDoS, trong quá khứ nhiều nhà cung cấp dịch vụ Internet (ISP) cung cấp các dịch vụ giúp hạn chế và phòng chống DDoS gọi là Clean Pipe (đường truyền sạch). Các tổ chức bảo mật này sẽ xử lý các cuộc tấn công DDoS bằng việc định tuyến hố đen (blackholing) và chuyển tất cả truy cập kể cả hợp lệ vào đó.
Tuy nhiên, Clean Pipe không có khả năng xử lý đ?
?ợc cốt lõi vấn đề về bảo mật website, do thiếu tính năng quản lý bảo mật và vì thế, nó không thể ngăn chặn đ?
?ợc các cuộc tấn tấn công DDoS với quy mô cực lớn và chuyên nghiệp từ các tổ chức tin tặc quốc tế.
Mỗi phương phá
p nói trên đều có những ưu nh?
?ợc điểm riêng, có những tùy chọn trả phí hoặc miễn phí đ?
?ợc cung cấp bởi các công ty an ninh mạng. Tất nhiên, không có phương pháp nào giúp chống tấn công DDoS một cách toàn diện. Người quản trị web cần tự đánh giá nhu cầu, khả năng chi trả để sử dụng dịch vụ bảo vệ website tương ứng, tránh tình trạng ‘mất bò mới lo làm chuồng’.
Phương Nguyễn
Một số giải pháp chống DDoS cho doanh nghiệp vừa và nhỏ
Các cuộc tấn công nhắm vào các doanh nghiệp vừa và nhỏ của Việt Nam có xu hướng giảm trong năm 2020, nhưng không vì thế mà các chủ doanh nghiệp có thể chủ quan lơ là.
Nguồn bài viết : UG Thể Thao
