Phòng ngừa tấn công DDOs sao cho hiệu quả

1051
16-03-2018
Phòng ngừa tấn công DDOs sao cho hiệu quả

DDOs là tên viết tắt của Distributed Denial Of Service, thường gọi là tấn công từ chối dịch vụ (tấn công DDOs) – một biến thể của loại tấn công DOS, cũng chính là cơn ác mộng kinh khủng nhất của các tổ chức. Đây là một hình thức tấn công từ chối dịch vụ phân tán, nó làm cho tuy cập của người dùng đến máy chủ bị ngắt quãng, chập chờn, thậm chí dừng lại. 

Vừa mới 1' trước, tất cả mọi thứ đều hoạt động bình thường, nhưng chỉ một chốc lát sau đó, cơ sở hạ tầng của bạn bị ảnh hưởng bởi "sóng thần" traffic giả mạo từ Internet. Tất cả hoạt động trực tuyến sẽ bị tê liệt và bạn sẽ bất lực nếu không chuẩn bị cho các cuộc tấn công này từ trước sẽ được Bizfly Cloud chia sẻ ngay tại bài viết dưới đây. 

1. Dựa trên vị trí triển khai

Các biện pháp phòng chống tấn công DDoS được phân loại dựa trên vị trí cài đặt. Các biện pháp này lại được chia nhỏ thành ba nhánh nhỏ sau:

- Các biện pháp được triển khai ở nguồn tấn công: 

  • Vị trí triển khai: gần nguồn của tấn công. 
  • Mục đích: hạn chế các mạng người dùng tham gia tấn công DDoS. 

Một số biện pháp cụ thể bao gồm: Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng - Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận.

- Các biện pháp được triển khai ở đích tấn công:

  • Vị trí triển khai: gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích. 

Các biện pháp cụ thể có thể gồm: 

  • Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo
  • Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. 

Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đường dẫn,…

- Các biện pháp triển khai ở mạng đích tấn công: 

  • Vị trí triển khai: các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại.

2. Dựa trên giao thức mạng

Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng

- Phòng chống tấn công DDoS ở tầng IP, bao gồm:

  • Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.
  • SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.
  • Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.

- Phòng chống tấn công DDoS ở tầng TCP, bao gồm:

Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.

Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.

Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.

Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs

riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.

Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác

nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho

máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu

quả.

Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã

xác lập trước.

- Phòng chống tấn công DDoS ở tầng ứng dụng, bao gồm:

Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.

Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.

Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.

3. Dựa trên thời điểm hành động

Các biện pháp phòng chống tấn công DDoS được phân chia thành 3 dạng theo 3 thời điểm như sau:

- Trước khi xảy ra tấn công: 

  • Mục đích: nhằm ngăn chặn tấn công xảy ra. 
  • Bao gồm: việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị tin tặc khai thác phục vụ tấn công.

- Trong khi xảy ra tấn công: 

  • Mục đích: tập trung phát hiện và ngăn chặn tấn công. Trong nhóm này có Tường lửa và các hệ thống IDS/IPS.

- Sau khi xảy ra tấn công: 

Bao gồm các biện pháp được triển khai để lần vết và truy tìm nguồn gốc của tấn công DDoS.

Chúc các bạn áp dụng thành công các biện pháp phòng chống DDOs!

Theo Bizfly Cloud chia sẻ

>>> Xem thêm: Tấn công DDoS lớn nhất (1.35 Tbs) Lượt truy cập Website của Github

Bizfly Anti DDOS - Giải pháp chống tấn công từ chối dịch vụ vượt trội cho ứng dụng và website thuộc hệ sinh thái điện toán đám mây Bizfly Cloud. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm lâu năm làm việc trong các công nghệ khác nhau như cloud, mobile, web… Bizfly Cloud có đủ khả năng để hỗ trợ đưa ra những giải pháp và công nghệ toàn diện giúp doanh nghiệp bảo mật và an toàn.

Để được tư vấn vui lòng liên hệ: (024) 7302 8888-(028) 7302 8888


SHARE