6 mẹo để chống lại các cuộc tấn công DDoS

Tấn công từ chối dịch vụ phân tán (tấn công DDoS) có thể gây ra hậu quả nghiêm trong cho bất kỳ doanh nghiệp nào. Vậy làm thế nào để có thể ngăn chặn một cuộc tấn công DDoS?

Tấn công DDoS là gì?

Nếu bạn đang trong mùa cao điểm, nhưng số lượng đơn đặt hàng lại giảm đột biến hoặc website đột nhiên biến mất trên Internet, bạn có thể đã trở thành nạn nhân của một cuộc tấn công từ chối dịch vụ phân tán (tấn công DDoS).

Trong một cuộc tấn công từ chối dịch vụ cơ bản, kẻ tấn công sẽ gửi một số lượng lớn dữ liệu hay yêu cầu tới mạng hay máy chủ website mục tiêu. Máy chủ web chỉ có thể xử lý một số yêu cầu cùng một lúc, nếu một kẻ tấn công gửi quá nhiều yêu cầu sẽ làm cho máy chủ bị quá tải, nó sẽ không thể xử lý các yêu cầu khác của những người dùng hợp lệ. Website trở nên không khả dụng, dịch vụ bị từ chối.

Tấn công từ chối dịch vụ phân tán là một loại tấn công từ chối dịch vụ đặc biệt. Nguyên tắc là như nhau, nhưng với DDoS, kẻ tấn công sẽ sử dụng một lượng truy cập lớn xuất phát từ khắp nơi trên toàn thế giới – mặc dù chúng đều được điều khiển từ một điểm trung tâm, làm cho việc ngăn chặn cuộc tấn công này trở nên khó khăn hơn so với khi chúng chỉ có nguồn gốc từ một địa chỉ IP duy nhất. Kẻ tấn công và người dùng thực cùng cố gắng truy cập vào website. Chúng ta không thể chặn một IP nào đó chỉ vì chúng đáng nghi.

Theo nghiên cứu được công bố bởi Akamai vào cuối năm 2017, các cuộc tấn công DDoS đang ngày càng trở nên phổ biến. Báo cáo này cho biết tổng số các cuộc tấn công DDoS đã tăng 180% so với cùng kỳ năm trước.

Tạo ra một cuộc tấn công DDoS đã từng là một kỹ thuật khó, nhưng giờ đây kẻ tấn công đã có thể thuê botnet với hàng chục, thậm chí hàng trăm ngàn máy bị nhiễm mã độc hoặc các máy “zombie” với chi phí tương đối thấp, sau đó sử dụng chúng để khởi động cuộc tấn công. Với sự phát triện mạnh mẽ của Internet, máy tính cá nhân hoặc máy tính văn phòng đều có thể trở thành “zombie”, được sử dụng để làm quá tải băng thông kết nối Internet của mục tiêu

Ngoài ra phải kể đến các bộ công cụ DDoS có sẵn như Low Orbit Ion Cannon và RussKill,  bất kỳ ai cũng có thể sử dụng chúng, dù chỉ có một chút kiến thức về DDos.

Vậy làm thế nào để có thể ngăn chặn một cuộc tấn công DDoS?

Xác định sớm cuộc tấn công DDoS

Nếu bạn đang sử dụng máy chủ riêng, bạn cần có khả năng xác định được khi nào bạn đang bị tấn công. Vì bạn càng phát hiện sớm rằng – các vấn đề đang xảy ra với website là do một cuộc tấn công DDoS, bạn càng có nhiều cơ hội giải quyết chúng.

Để có thể làm được điều này, bạn nên nghiên cứu hồ sơ lưu lượng truy cập website của mình; khi bạn càng hiểu rõ về lưu lượng truy cập thông thường của website, bạn càng dễ phát hiện nguy cơ ngay khi có sự thay đổi. Hầu hết các cuộc tấn công DDoS đều bắt đầu bằng sự gia tăng đột biến về lưu lượng truy cập và hồ sơ này rất hữu ích trong việc phân biệt giữa sự gia tăng bất ngờ của khách truy cập hợp pháp với sự gia tăng lưu lượng là khởi đầu của một cuộc tấn công DDoS.

Bạn cũng nên chọn ra một nhân viên chịu trách nhiệm chính về các hành động phòng chống DDoS để đảm bảo có biện pháp phản ứng kịp thời khi chẳng may bị tấn công.

Băng thông dự phòng

Bạn nên sử dụng băng thông rộng hơn mức bạn cần cho máy chủ web. Bằng cách đó, bạn có thể đáp ứng các đột biến bất ngờ trong lưu lượng truy cập – có thể là kết quả của một chiến dịch quảng cáo, một chương trình khuyến mãi đặc biệt mà công ty bạn đang sử dụng hay do tên công ty của bạn được đề cập trên các phương tiện truyền thông.

Dù bạn có sử dụng băng thông rộng gấp 100% hay thậm chí 500% so với nhu cầu thực tế cũng không chắc chắn sẽ ngăn chặn được một cuộc tấn công DDoS nhưng nó có thể cho bạn thêm vài phút để hành động trước khi máy chủ bị quá tải.

Bạn có thể thực hiện một số biện pháp kỹ thuật để giảm nhẹ tác động của cuộc tấn công – đặc biệt là trong những phút đầu tiên như:

•     Giới hạn router để ngăn chặn máy chủ web bị quá tải
•     Thêm các bộ lọc để router loại bỏ gói tin giả mạo từ các nguồn tấn công rõ ràng
•     Giảm thời gian chờ nhận gói tin xác thực làm tăng khả năng kết nối
•     Loại bỏ các gói tin giả mạo hoặc bị hỏng
•     Đặt các ngưỡng giảm lũy kế SYN, ICMP và UDP thấp hơn

Mặc dù các bước trên đã có hiệu quả trong quá khứ nhưng lại không có tác động đáng kể đến các cuộc tấn công DDoS hiện tại do quy mô của chúng quá lớn. Điều duy nhất bạn có thể hy vọng là các bước này sẽ giúp bạn có thêm một ít thời gian trước khi cuộc tấn công DDoS ập đến.

Liên hệ với nhà cung cấp dịch vụ Internet hoặc Hosting

Bước tiếp theo là liên hệ với nhà cung cấp dịch vụ Internet (hoặc nhà cung cấp hosting nếu bạn không lưu trữ máy chủ web riêng), thông báo với họ bạn đang bị tấn công và yêu cầu sự trợ giúp. Luôn lưu giữ liên lạc của họ cho các trường hợp khẩn cấp. Tùy thuộc vào sức mạnh của cuộc tấn công, họ có thể đã phát hiện hoặc cũng có thể bắt đầu bị quá tải bởi cuộc tấn công

So với việc sử dụng máy chủ web riêng, bạn sẽ có cơ hội loại bỏ một cuộc tấn công DDoS cao hơn nếu máy chủ web nằm trong một trung tâm lưu trữ. Đó là bởi các trung tâm này có băng thông và các bộ định tuyến công suất cao hơn so với công ty của bạn và nhân viên của họ sẽ có nhiều kinh nghiệm hơn khi đối phó với các cuộc tấn công. Khi đặt máy chủ web tại một công ty hosting, lưu lượng DDoS sẽ nhằm vào máy chủ web của công ty họ và rời khỏi mạng LAN của công ty bạn, do đó, ít nhất một phần trong công việc kinh doanh – bao gồm email và có thể cả các dịch vụ thoại qua IP – có thể hoạt động bình thường trong cuộc tấn công đó.

Với một cuộc tấn công DDoS đủ lớn, điều đầu tiên mà một công ty lưu trữ hoặc ISP có thể làm là “vô hiệu hóa router” của lưu lượng truy cập vào website – kết quả là các gói tin dành cho máy chủ Web  sẽ bị loại bỏ trước khi chúng đến.

Nếu bạn chỉ dừng ở bước này, cuộc tấn công DDos đã thành công. Chúng chỉ thất bại khi website của bạn hoạt động bình thường trở lại. Để làm được điều đó, ISP hoặc công ty lưu trữ có thể chuyển hướng lưu lượng truy cập tới “máy lọc”, nơi các gói dữ liệu độc hại sẽ bị xóa trước khi các gói tin hợp lệ được gửi tới máy chủ Web.

Hãy tạo lập một kế hoạch DDoS hợp lý với ISP hoặc công ty lưu trữ có thể giảm tác hại của cuộc tấn công này tới mức tối thiểu.

Liên hệ với các chuyên gia DDoS

Đối với các cuộc tấn công lớn, có lẽ cơ hội tốt nhất để website trở lại trực tuyến là sử dụng một công ty chuyên về giảm thiểu DDoS. Các tổ chức này có cơ sở hạ tầng quy mô lớn và sử dụng nhiều công nghệ khác nhau, bao gồm cả việc dọn dẹp dữ liệu, để giúp giữ cho trang web của bạn luôn trực tuyến. Khi xảy ra một cuộc tấn công lớn, bạn có thể liên hệ trực tiếp với một công ty giảm thiểu DDoS, hoặc thông qua công ty lưu trữ/nhà cung cấp dịch vụ để thỏa thuận hợp tác với các đơn vị đó.

Các dịch vụ giảm thiểu DDoS không được miễn phí, vì vậy nó phụ thuộc vào việc bạn có muốn trả tiền để ở lại trực tuyến và chờ đợi cuộc tấn công DDoS bị giảm bớt trước khi tiếp tục kinh doanh hay không. Đăng ký dịch vụ giảm thiểu DDoS liên tục có thể tốn vài trăm đô la một tháng. Bạn cũng có thể đợi đến khi bị tấn công mới sử dụng dịch vụ này, tuy nhiên, bạn có thể phải trả nhiều tiền hơn và chờ đợi lâu hơn trước khi dịch vụ bắt đầu.

Tạo một Playbook DDoS

Cách tốt nhất để đảm bảo rằng tổ chức của bạn phản ứng một cách nhanh chóng và hiệu quả nhất có thể trước một cuộc tấn công DDoS là tạo ra một sổ playbook, trong đó có các tài liệu cụ thể về từng bước của quá trình phản ứng khi cuộc tấn công được phát hiện.

Điều này bao gồm các hành động được nêu ở trên, với tên liên lạc và số điện thoại của tất cả những người cần có mặt trong hoạt động. Các công ty giảm thiểu DDoS có thể trợ giúp cho việc này bằng cách chạy một cuộc tấn công DDoS mô phỏng, cho phép bạn phát triển và tinh chỉnh quy trình của công ty một cách  nhanh chóng để phản ứng lại một cuộc tấn công thực sự.

Một phần quan trọng không nên bỏ qua trong kế hoạch phản ứng với một cuộc tấn công DDoS là bạn sẽ giao tiếp với khách hàng như thế nào. Các cuộc tấn công DDoS có thể kéo dài đến 24 giờ, và giao tiếp tốt có thể đảm bảo giảm thiểu chi phí cho doanh nghiệp trong khi bị tấn công.