Các biện pháp phòng chống tấn công DDOs

tấn công ddos

Ddos có tên đầy đủ là Distributed Denial Of Service – là một biến thể của loại tấn công DOS. Đây là một hình thức tấn công từ chối dịch vụ phân tán, nó làm cho người bị tấn công không thể sử dụng một dịch vụ nào đó, nó có thể khiến bạn không thể kết nối với một dịch vụ internet, hoặc nó có thể làm ngưng hoạt động của một chiếc máy tính, một mạng lan nội bộ hoặc thậm chí là cả một hệ thống mạng.

tấn công ddos

Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình thức này đó là nó được phân tán từ nhiều dải IP khác nhau, chính vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được. Tìm hiểu các biện pháp phòng chống tấn công DDoS sẽ giúp Doanh nghiệp chủ động được các hoạt động xử lý, giảm thiểu tối đa thiệt hại.

  1. Dựa trên vị trí triển khai

Các biện pháp phòng chống tấn công DDoS được phân loại dựa trên vị trí cài đặt và tiếp tục được chia nhỏ thành 3 dạng con

_  Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công. Phương pháp này nhằm hạn chế các mạng người dùng tham gia

tấn công DDoS. Một số biện pháp cụ thể bao gồm:

+ Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng;

+ Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận.

_ Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thốngđích. Các biện pháp cụ thể có thể gồm:

+ Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo.

+  Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh

dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đường dẫn,…

_  Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển

khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại.

  1. Dựa trên giao thức mạng

Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng

_  Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:

+ Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.

+ SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.

+ Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.

_  Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:

+ Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.

+ Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.

+ Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.

+ Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs

riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.

+ Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác

nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho

máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu

quả.

+ Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã

xác lập trước.

_ Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:

+ Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.

+ Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.

+ Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.

  1. Dựa trên thời điểm hành động

Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DDoS

thành 3 dạng theo 3 thời điểm [5]:

_ Trước khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này

được triển khai nhằm ngăn chặn tấn công xảy ra. Một phần lớn các biện pháp thuộc dạng này bao

gồm việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm

thiểu khả năng bị tin tặc khai thác phục vụ tấn công.

_ Trong khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này

tập trung phát hiện và ngăn chặn tấn công. Tưởng lửa và các hệ thống IDS/IPS thuộc nhóm này.

_ Sau khi xảy ra tấn công: Gồm các biện pháp được triển khai để lần vết và truy tìm nguồn gốc của tấn công DDoS

Tìm hiểu thêm về Phương pháp bảo vệ DDoS tốt nhất, Phương pháp ngăn chặn tấn công DDoS TẠI ĐÂY.