Cách thức phòng chống một cuộc tấn công DDoS

Sau khi đã có cái nhìn sơ lược về tấn công từ chối dịch vụ DDoS và các hậu quả, câu hỏi tất yếu sẽ là: “Làm sao để phòng chống một cuộc tấn công DDoS?”
Có nhiều cách để giảm nhẹ ảnh hưởng của một cuộc tấn công DDoS đến mức gần như là vô hại. Tuy nhiên, trước khi đi tới những giải pháp, hãy thử nhìn qua một lượt các dạng tấn công từ chối dịch vụ DDoS. Qua đó, các bạn mới có thể chọn lựa giải pháp phù hợp nhất đối với từng trường hợp.

Các dạng tấn công từ chối dịch vụ DDoS

Có 2 hình thức tấn công DDoS chính: Gây nghẽn băng thông và Gây cạn tài nguyên. Có rất nhiều kỹ thuật tấn công DDoS nhưng trong khuôn khổ bài viết này chúng tôi chỉ liệt kê 10 loại nổi bật nhất.

1. Gây nghẽn mạng (UDP flood và ping flood)

• Mục tiêu: gây quá tải hệ thống mạng bằng lượng truy cập lớn từ nhiều nguồn để chặn các lượt truy cập thực của người dùng
• Phương thức: Gây “ngập lụt” đối tượng bằng các gói UDP và ICMP
• Phòng tránh: Tăng băng thông, sử dụng các hệ thống cân bằng tải, chuyển hướng cuộc tấn công, dùng cơ chế chống mạo danh IP hoặc chuyển lượng truy cập sang một nhà cung cấp dịch vụ chống DDoS.

2. Tấn công chuyển hướng

• Mục tiêu: Gây tốn tài nguyên bằng cách giả mạo IP nguồn để các máy chủ mục tiêu phản hồi về máy chủ nạn nhân, từ đó tạo ra các cuộc tấn công với quy mô lớn, đặc biệt là các hệ thống có khả năng khuếch đại.
• Phương thức: gửi IP mạo danh đến nhiều máy tính để nhận lại lượng phản hồi về địa chỉ đích giả mạo được định sẵn. Khi đó nạn nhân cũng sẽ không biết được nguồn thực sự tấn công mình.

3. Tấn công Smurf và Fraggle:

• Mục tiêu: lợi dụng địa chỉ phát đi của router để làm mạng lưới ngừng hoạt động
• Phương thức: gửi lưu lượng truy cập ICMP mạo danh đến địa chỉ phát đi từ router hoặc gửi lưu lượng truy cập UDP mạo danh đến địa chỉ phát đi từ router
• Phòng tránh: Thiết lập lại router để đảm bảo không ai có thể lợi dụng tính năng phát đi IP của thiết bị

4. Tấn công SYN flood (TCP):

• Mục tiêu: gây cạn tài nguyên máy chủ và chặn việc nhận các yêu cầu kết nối mới
• Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP: Gửi đi yêu cầu SYN đến máy chủ và được phản hồi bằng một gói SYN-ACK, tuy nhiên không gửi lại gói ACK khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói ACK gửi về.
• Phòng tránh: sử dụng bộ lọc, tăng backlog, giảm SYN-RECEIVED Timer, SYN caching, tường lửa,…

5. (HTTP) flood (Web Spidering):

• Mục tiêu: gây cạn tài nguyên máy chủ
• Phương thức: dùng bộ quét web spider để quét các website
• Phòng tránh: Chỉ cho phép các bot được tin cậy như của Google quét trang

6. Tấn công PUSH và ACK:

• Mục tiêu: gây cạn tài nguyên máy chủ
• Phương thức: giống với tấn công SYN flood nhưng sẽ gửi đi các gói TCP bằng cách thiết lập bit PUSH và ACK về giá trị bằng 1. Khi số lượng gói TPC với bit PUSH và ACK vượt quá buffer của đối tượng, máy tính đó sẽ crash.
• Phòng tránh: tương tự như tấn công SYN flood

7. Tấn công tại chỗ:

• Mục tiêu: crash hệ thống
• Phương thức: các gói IP được tạo sao cho địa chỉ nguồn và số cổng nguồn chính là địa chỉ đích và số cổng đich, khiến cho đối tượng tự phản hồi lại chính gói của mình

8. Tấn công khuếch đại DNS:

• Mục tiêu: làm quá tải đối tượng bằng phản hồi từ các bộ giải mã DNS.
• Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu đển nhiều bộ giải mã DNS. Các bộ giả mã hồi đáp về IP của máy bị tấn công với kích thước gói dữ liệu có thể lớn hơn kích thước của yêu cầu tới 50 lần.
• Phòng tránh: các kỹ thuật chống mạo danh, hệ thống cân bằng tải và chuyển hướng lưu lượng về các máy chủ khác

9. Tấn công lớp thứ 7:

• Mục tiêu: nhắm vào 1 tính năng cụ thể của 1 ứng dụng web
• Phương thức: Một ví dụ là khi các máy chủ website liên tục mở các thread mới cho mỗi yêu cầu kết nối và mỗi kết nối mới lại gây tiêu tốn tài nguyên máy chủ. Đến một thời điểm nào đó, máy chủ sẽ không còn có thể nhận kết nối mới và bắt đầu từ chối dịch vụ đối với người truy cập.
• Phòng tránh: Tăng dung lượng, sử dụng các giải pháp điện toán đám mây, tối ưu hiệu năng của máy chủ web và dùng front-end proxy

10. Tấn công nhiều hướng:

Cách tấn công này đơn giản là kết hợp nhiều dạng DDoS lại với nhau để làm cho quá trình ngăn chặn trở nên khó khăn hơn

Cách phòng chống một cuộc tấn công DDoS

Rõ ràng rằng có rất nhiều loại tấn công DDoS. Điều bạn không biết chính là: cũng có rất nhiều cách phòng chống một cuộc tấn công DDoS mà bạn có thể tự trang bị cho bản thân.

1. Nếu bạn có thể xác định địa chỉ IP của các máy tính thực hiện tấn công: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa của bạn để chặn những IP này; thậm chí chặn hoàn toàn IP từ một quốc gia nếu cần thiết
2. Giám sát lưu lượng truy cập của bạn: Bằng cách này, bạn có thể phát hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng để kiểm thử năng lực của mạng lưới trước khi tấn công thật sự
3. Mua thêm băng thông, thiết lập nhiều server hơn và dùng các giải pháp cân bằng tải tốt
4. Tối ưu webserver để có thể tiếp nhận nhiều người truy cập hơn
5. Thiết lập các tính năng chống mạo danh IP trong tường lửa của bạn
6. Thuê một dịch vụ chống DDoS để bảo vệ website cho bạn; hoặc một chuyên gia về DDoS
7. Chặn ICMP của router

Nhiều giải pháp bên trên không thể thực hiện mà không có một dịch vụ tường lửa được thiết lập sẵn để bảo vệ và sàng lọc lượng truy cập không mong muốn trong một cuộc tấn công DDoS. CyStack Platform với tính năng Protecting là lựa chọn của chúng tôi: với $20/tháng, bạn có thể bảo vệ website của bạn khỏi DDoS mà không cần thiết lập phức tạp.

CyStack