5 Mẹo chống Tấn công từ chối dịch vụ (DDoS)
Những cuộc tấn công từ chối dịch vụ (DDoS) đang ngày càng trở nên lớn và phức tạp hơn. Vậy bạn đã chuẩn bị những gì để đối mặt với chúng?
Hãy tưởng tượng, dịp Giáng sinh, mùa mua sắm lớn nhất của năm, khi bạn có hàng ngàn khách hàng tiềm năng. Và đột nhiên website của bạn biến mất khỏi internet, toàn bộ đơn hàng đều bị hủy. Thật là kinh khủng!
Nếu điều này xảy ra, có lẽ bạn đã trở thành một nạn nhân của một cuộc tấn công từ chối dịch vụ (Distributed Denial of Service)
Một cuộc tấn công từ chối dịch vụ, về cơ bản là “dội bom” một địa chỉ IP bởi một lưu lượng dữ liệu cực kỳ lớn. Nếu địa chỉ IP trỏ đến server của một trang web thì website đó có thể bị quá tải. Những lượt truy cập thực tế đến website sẽ bị chặn đứng, website sẽ sập, không ai có thể tiếp cận đến website, dịch vụ bị từ chối. Chấm hết.
Đối với những cuộc tấn công từ chối dịch vụ, nguyên tắc cơ bản vẫn tương tự nhau tuy nhiên những truy cập độc hại có thể tạo ra từ rất nhiều nguồn khác nhau, mặc dù xuất phát chỉ từ một điểm duy nhất. Nhưng trên thực tế, lượng truy cập ảo trong một cuộc tấn công DDoS có thể được tạo ra từ khắp nơi trên thế giới, do vậy DDoS khó bị ngăn chặn hơn là những cuộc tấn công chỉ xuất phát từ một địa chỉ IP duy nhất.
Những cuộc tấn công DDoS đang trở nên lớn hơn và tồi tệ hơn:
Những cuộc tấn công DDoS đang dần trở thành một vấn đề leo thang đáng quan tâm. Dựa trên Báo cáo toàn cầu hàng quý về tấn công từ chối dịch vụ do tổ chức Prolexic soạn thảo, chỉ trong vòng 12 tháng, số cuộc tấn công đã tăng thêm đến 22%.
Những cuộc tấn công cũng kéo dài lâu hơn, 21%, từ 28,5 tiếng đồng hồ lên đến 34,5 tiếng đồng hồ. Mật độ tấn công cũng dày hơn, đi kèm theo đó là mức băng thông tấn công tăng nhanh một cách chóng mặt, tới 691%, từ 6,1Gbps đến 48,25Gbps. Mức băng thông bị chiếm dụng trong một cuộc tấn công DDoS hồi tháng ba năm ngoái nhắm vào tổ chức chống thư rác Spamhaus được cho là đã chiếm đến 300Gbps.
Những nghiên cứu từ Arbor Networks và Akamai Technologies đã tìm ra sự tương đồng giữa số lượng và tần suất tấn công của DDoS.
“Xét về mặt chi phí, hàng rào để tiếp cận và thực hiện những cuộc tấn công DDoS đang gần như bị xóa bỏ” – dẫn lời Tim Pat Dufficy, giám đốc điều hành ServerSpace, công ty chuyên về hosting và là nhà cung cấp dịch vụ Internet. “Điều đó có nghĩa mọi người đều có thể tạo ra một cuộc tấn công, và bất kỳ ai cũng có thể trở thành nạn nhân. Một trong số những khách hàng của chúng tôi là một công ty rất nhỏ cung cấp dịch vụ đào tạo cho ngành xây dựng, vậy mà họ cũng bị tấn công trong hai tuần liền”
Trước đây, rất khó đến thực hiện một cuộc tấn công DDoS, nhưng giờ đây thủ phạm có thể thuê hàng chục, hàng trăm thậm, chí hàng ngàn zombie với chi phí rất thấp và sử dụng những zombies này để thực hiện cuộc tấn công. Và ngày nay, khi internet phát triển, máy tính cá nhân tại nhà hoặc văn phòng làm việc càng có nhiều nguy cơ bị sử dụng nhằm tăng đột biết lưu lượng kết nối internet.
Đồng thời, có rất nhiều phương tiện được đóng gói sẵn hoặc tích hợp sẵn trên nền tảng web như Low Orbit lon Cannon hay RussKill, và thậm chí những người có kiên thức cơ bản cũng có thể sử dụng được.
Vậy thì bạn có thể làm gì để tự bảo vệ mình trước những cuộc tấn công DDoS?
Nhận diện sớm một cuộc tấn công DDoS.
Nếu bạn đang sở hữu và vận hành máy chủ, bạn cần có đủ kiến thức để nhận ra khi nào bạn bị tấn công. Bởi vì càng phát hiện ra nguồn gốc của cuộc tấn công sớm, bạn càng có thể chuẩn bị tốt hơn để xử lý chúng.
Để sẵn sàng cho tình huống này, hãy tự làm quen với lưu lượng trang web đặc thù của riêng bạn; càng hiểu rõ tình trạng lưu lượng hàng ngày của bạn như thế nào, bạn sẽ càng dễ dàng nhận ra những sự thay đổi bất ngờ. Hầu hết các cuộc tấn công DDoS bắt đầu một cách đột ngột. Và bạn phải chắc chắn rằng mình đủ kinh nghiệm để nhận ra sự khác nhau giữa lượng người dùng thật đăng nhập đột biến vào hệ thống, hay đó chính là một cuộc tấn công từ chối dịch vụ.
Đồng thời, bạn cũng nên chỉ định một nhân viên chuyên trách việc kiểm soát DDoS để luôn sẵn sàng trong mọi tình huống bất ngờ nhất.
Hãy luôn dự phòng
Cho dù bạn chỉ sử dụng một lượng băng thông giới hạn, bạn vẫn nên có một phần dự phòng ở máy chủ web của bạn. Với việc chuẩn bị này, bạn sẽ xử lý được những trường hợp lượng truy cập tăng đột biến (có thể là do hiệu quả của các chiến dịch quảng cáo, một chương trình khuyến mãi hoặc thậm chí là công ty của bạn được nhắc đến trên các phương tiện truyền thông)
Thậm chí nếu bạn dự phòng khoảng 100% hoặc đôi khi tới 500%, bạn vẫn không thể nào thoát khỏi một đợt tấn công DDoS. Nhưng bù lại, bạn có thể có vài phút để bình tĩnh xử lý vấn đề trước khi mọi tài nguyên hệ thống bị quá tải.
Bảo vệ từ vành ngoài (nếu bạn đang trực tiếp quản trị một máy chủ riêng)
Có một số phương pháp tính toán mang tính kỹ thuật có thể sử dụng để xoa dịu bớt mức ảnh hưởng của cuộc tấn công, đặc biệt trong những phút đầu tiên, một số bước thực ra rất đơn giản. Ví dụ như, bạn có thể:
- Giới hạn tốc độ router của bạn để giúp website không bị quá tải.
- Thiết đặt những bộ lọc để router ngăn chặn những gói dữ liệu không an toàn ngay từ đầu.
- Giới hạn những phiên (session) kết nối một cách dày hơn (timeout half-open connections more aggressively)
Nhưng thực tế, mặc dù những bước phòng ngừa này có hiệu quả trong quá khứ, những cuộc tấn công DDoS ngày nay đã trở nên quá lớn để những giải pháp trên có hiệu quả. Và một lần nữa, hãy nhớ rằng những thủ thuật này chỉ có thể giúp bạn có thêm vài phút hi vọng trước khi cuộc tấn công leo thang đến đỉnh điểm.
Liên hệ nhà cung cấp dịch vụ internet hoặc nhà cung cấp dịch vụ hosting
Bước tiếp theo, hãy liên hệ nhà cung cấp dịch vụ Internet (ISP) hay nhà cung cấp dịch vụ hosting nếu bạn có một server riêng, thông báo với họ rằng bạn đang bị tấn công và cần đến sự trợ giúp. Việc này là khẩn cấp, hãy liên hệ ngay với họ khi bạn phát hiện sự tấn công. Tùy thuộc vào độ mạnh của cuộc tấn công, họ có thể kịp thời phát hiện và ngăn chặn, hoặc tệ hơn, họ sẽ đành phải bó tay chứng kiến cuộc tấn công hủy hoại chính mình.
Bạn cũng có thể có khả năng chống cự cuộc tấn công lâu hơn một chút nếu máy chủ website của bạn được đặt tại một trung tâm dữ liệu, thay vì tự quản lý nó. Đơn giản bởi vì tại đây, ít nhất là băng thông của họ lớn hơn của bạn rất nhiều, bên cạnh đó, đội ngũ nhân viên ở trung tâm dữ liệu cũng có nhiều kinh nghiệm hơn trong việc xử lý các cuộc tấn công. Đặt máy chủ tại một trung tâm dữ liệu cũng giúp những cuộc tấn công DDoS không tiếp cận được đến mạng nội bộ của doanh nghiệp bạn, ít nhất phần đó sẽ không bị ảnh hưởng, bao gồm email hay các loại dịch vụ khác.
Nếu cuộc tấn công đủ lớn, điều đầu tiên các nhà cung cấp dịch vụ thường làm sẽ là cô lập đường truyền đến website của bạn (null route), điều này sẽ giúp những gói dữ liệu độc hại nhắm đến website của bạn sẽ bị chặn lại trước khi chúng đến được đích. Nội bất xuất, ngoại bất nhập (giống như việc ga-rô khi bị rắn độc cắn)
“một công ty cung cấp dịch vụ lưu trữ không thể nào cho phép cuộc tấn công can thiệp được vào hệ thống của họ, bởi vì chúng sẽ ngốn lượng băng thông kinh khủng và sẽ ảnh hưởng tiêu cực đến những khách hàng khác, do vậy điều đầu tiên, bất đắc dĩ chúng tôi phải làm là giấu website của bạn đi một lúc” – Liam Enticknap, kỹ sư vận hành mạng tại công ty PEER 1 cho biết.
Tim Pat Dufficy, giám đốc điều hành của công ty ServerSpace cũng đồng tình với điều đó. “điều đầu tiên chúng tôi phải làm khi thấy khách hàng bị tấn công là đăng nhập vào bộ định tuyến của bạn và chặn toàn bộ kết nối đến mạng của bạn”, “sẽ mất khoảng hai phút để chúng tôi thực hiện giao thức cô lập (BGP-border gateway protocol), sau đó thì mọi truy cập sẽ đều bị chặn.”
Nếu mọi thứ suôn sẻ và cuộc tấn công qua đi, bạn sẽ cần phải đưa website của mình trở lại internet. Nhà cung cấp dịch vụ của bạn sẽ chuyển hưởng website đến một “bộ lọc”, tại đây những gói dữ liệu độc hại sẽ bị loại bỏ, sau đó những gói dữ liệu an toàn sẽ được gửi đến máy chủ. “Chúng tôi có kinh nghiệm và những công cụ chuyên dụng để nhận biết sự thay đổi lượng truy cập đên website của bạn và định vị các gói dữ liệu độc hại” – Enticknap giải thích.
Enticknap cho biết, PEER 1 có khả năng tiếp nhận, lọc và lưu chuyển một lượng truy cập rất lớn – ước chừng 20Gbps. Tuy nhiên với những cuộc tấn công có tầm cỡ như cuộc tấn công mà Spamhaus đã phải gánh chịu, có thể tất cả những nỗ lực bảo vệ cũng trở nên vô dụng.
(Spamhaus là tổ chức phi lợi nhuân, có nhiệm vụ chịu trách nhiệm duy trì danh sách blacklist các máy chủ đang gửi thư spam trên toàn cầu. Cuối tháng 3/2013. Spamhaus đã phải hứng chịu một cuộc tấn công DDoS được cho là lớn nhất lịch sử với lưu lượng hơn 300Gbps, tương đương 37Gb/s. Theo một số chuyên gia cho biết, với lưu lượng lớn nhu vậy, cuộc tấn công có thể đánh sập mạng internet của một vài quốc gia)
Lên một kế hoạch phòng chống DDoS sẵn với nhà cung câp dịch vụ của bạn là một điều nên làm. Với kế hoạch này, bạn có thể ngăn chặn hoặc giảm nhẹ cuộc tấn công, hay ít nhất là liên lạc với một chuyên gia một cách nhanh chóng nhất.
Liên hệ một chuyên gia xử lý DDoS
Với những cuộc tấn công khổng lồ, có lẽ cách tốt nhất là hãy tìm một công ty xử lý tấn công DDoS. Những tổ chức này có cơ sở hạ tầng và kỹ thuật rất lớn, bao gồm cả hệ thống lọc dữ liệu, họ có thể giúp cho website của bạn online. Bạn có thể làm việc với họ trực tiếp, hoặc nhà cung cấp dịch vụ của bạn cũng có quan hệ đối tác với những công ty này để xử lý những cuộc tấn công lớn.
“Nếu khách hàng cần xử lý những cuộc tấn công DDoS, chúng tôi sẽ chuyển hướng truy cập vào website của họ cho Black Lotus (công ty xử lý DDoS) – Dufficy cho biết. “chúng tôi thực hiện điều này chỉ trong vòng vài phút với BGP (Border Gateway Protocal)”
Tất nhiên, dịch vụ xử lý DDoS không miễn phí, do vậy bạn nên cân nhắc thật kỹ lưỡng giữa việc đảm bảo website của bạn vẫn hoạt động bình thường hay hứng chịu cuộc tấn công và chờ cơn bão lắng xuống. Đăng ký dịch vụ phòng chống DDoS có thể tốn vài trăm đô la một tháng. Nhưng nó cũng như bảo hiểm vậy, bạn mua khi chưa cần đến nó; nếu bạn đợi đến khi cần, bạn sẽ phải chi trả hơn rất nhiều và chờ rất lâu để những nỗ lực phòng chống, bảo vệ trở nên có hiệu quả.
--
Nguồn: http://www.esecurityplanet.com/network-security/5-tips-for-fighting-ddos-attacks.html
Dịch: MarCom