Nền công nghiệp CNTT đang trải qua sự gia tăng không ngừng của các cuộc tấn công DDoS trong những năm qua. Nó không những gây thiệt hại to lớn về kinh tế mà còn cả thương hiệu. Vậy DDoS là gì? Nó hoạt động như thế nào?
Nội dung
Phản ứng và giảm thiểu DDoS
Chuẩn bị tốt, phản ứng nhanh là những yếu tố quan trọng khi đối mặt với tấn công DDoS. Biết được những gì cần tìm hiểu và nơi tìm thông tin sẽ giúp ta giảm thiểu được thiệt hại của DDoS
Cảnh giác với kẻ thù
Hãy luôn cảnh giác với những dấu hiệu cảnh báo tấn công DDoS sau:
- Khách hàng báo cáo dịch vụ bị chậm hoặc không khả dụng.
- Nhân viên sử dụng cùng một kết nối nhưng cũng có vấn đề về tốc độ.
- Nhiều request đến từ cùng một địa chỉ IP trong một khoảng thời gian ngắn.
- Dù đang không thực hiện bảo trì nhưng vẫn bị lỗi 503 service unavailable.
- Ping request đến tài nguyên bị timeout do TTL timeout.
- Log báo cáo sự tăng đột biện trong lưu lượng.
Theo dõi các lưu lượng – Các ứng dụng theo dõi lưu lượng
Sau đây là một số ứng dụng cho phép theo dõi lưu lượng phổ biến. Dựa vào đây, ta có thể nhanh chóng phát hiện ra các lưu lượng bất thường. Từ đó tránh được những cuộc tấn công DDoS.
| Công cụ | Mô tả |
| ntop | Cung cấp lưu lượng mạng chi tiết cùng với thống kê sử dụng. |
| WireShark | Ứng dụng capture các packet tiêu chuẩn |
| Capinfos | In ra các file thống kê từ pcap file |
| Snort | Hệ thống phát hiện xâm nhập mã nguồn mở (IDS) |
| Cisco IOS Netflow | Tương tự như ntop |
| Endpoint Protection | Phần mềm gồm những sản phẩm như: Tanium, Symantec, Sophos… |
| Spreadsheet | Các bảng tính được cung cấp bởi IDS và SIEM (Security Information and Event Management) |
| SIEM | Các sản phẩm: AlienVault, Splunk Enterprise Security, RSA NetWitness |
| Các nhà cung cấp bảo mật bên thứ ba | Nhiều nhà cung cấp cho phép theo dõi và quản lý lưu lượng. Nhằm tránh được tấn công DDoS |
Thông thường, các chuyên gia IT sẽ dành thời gian để tìm ra nguồn gốc của các lưu lượng giả mạo. Các phần mềm hỗ trợ phổ biến gồm:
Cách giảm thiểu và phòng chống DDoS là gì?
Các chiến thuật sau đây có thể được sử dụng để giảm thiểu và bảo vệ server khỏi DDoS:
| Cấu hình mạng | Mô phỏng |
| Kiểm tra cách mạng được cấu hình có thể tìm ra được các điểm yếu trước khi bị khai thác. Giao thức Border Gateway (BGP) cũng có thể giúp định tuyến lại lưu lượng mạng. Quá trình tái cấu hình có thể được thực hiện thủ công hoặc tự động bằng AI. | Có thể thực hiện các mô phỏng về tấn công DDoS. Khi đó các nhân viên CNTT có thể thực hành kỹ năng phản ứng cũng như các kỹ thuật thực tế của mình. |
| Training | Nâng cao nhận thức |
| Mỗi nhân viên nên được đào tạo bài bản để nhanh chóng nhận ra dấu hiệu tấn công DDoS. | Mỗi cá nhân, đặc biệt là lãnh đạo, cần nâng cao nhận thức bản thân về an ninh mạng (cybersecurity). Từ đó có thể chuẩn bị và phân bổ các nguồn lực cần thiết cho phòng chống DDoS. |
Cách ngăn chặn một cuộc tấn công DDoS là gì?
Hiển nhiên rằng các cuộc tấn công DDoS sẽ gây ra những thiệt hại nặng nề nếu không được xác định và xử lý kịp thời. Ta có thể sử dụng các bước cơ bản sau để bảo vệ tổ chức của mình:
- Phát hiện: Phát hiện sớm là rất quan trọng để bảo vệ chống lại tấn công DDoS. Luôn tìm kiếm các dấu hiệu cảnh báo mục tiêu đã được đề cập ở trên.
- Phân tán: Tiếp theo, nên phân tán các lưu lượng để nó không ảnh hưởng đến những tài nguyên quan trọng. Ta có thể gửi các lưu lượng DDoS vào một trung tâm “thanh lọc” (scrubbing center) khác.
- Lọc: Các quá trình sàng lọc sẽ giúp giảm được những lưu lượng không mong muốn. Việc này có thể được thực hiện bằng cách cài đặt các rule hợp lý trên các thiết bị mạng.
- Phân tích: Biết được nguồn gốc của các cuộc tấn công DDoS là một điều quan trọng. Có được kiến thức phân tích tốt có thể giúp ta phát triển các giao thức để chủ động chống lại các cuộc tấn công trong tương lai.
Các công cụ giảm thiểu tấn công DDoS là gì?
Với sự phát triển nhanh chóng của DDoS trong những năm gần đây, có nhiều công cụ đã được phát triển nhằm giảm thiểu thiệt hại do các cuộc tấn công này gây ra.
- Scrubbing center: Các trung tâm này sẽ lọc ra các lưu lượng hợp lệ và định tuyến nó đến một vị trí khác. Trung tâm này sẽ làm sạch các dữ liệu, chỉ cho phép những lưu lượng đã được lọc đến các điểm đích.
- Scrubber: Cung cấp dịch vụ giảm thiểu DDoS cho các tổ chức. Các nhà cung cấp nổi tiếng gồm có: Akamai, Radware, CloudFlare…
| Nhà cung cấp dịch vụ | Dịch vụ |
| AWS Shield | Bảo vệ tấn công layer 3 và layer 4 |
| Neustar DDoS Protection | Cung cấp giải pháp dựa trên cloud, tại chỗ và hybrid DDoS protection |
| Cloudflare DDoS Protection | Bảo vệ tấn công layer 3, 4 và 7 |
| Akamai | Bảo vệ khỏi tấn công volumetric. Sở hữu nhiều trang khắp thế giới, giúp phát hiện và lọc lưu lượng nhanh chóng |
| AppTrana | Tập trung vào Layer 7, bên cạnh các lưu lượng layer 3 và 4 |
| Alibaba DDoS | Chuyên biệt cho việc giảm thiểu tấn công volumetric |
Lời cuối
Trong phần cuối của bài viết, cũng như là của cả series Cẩm nang về DDoS, chúng tôi sẽ điểm qua một số điều nên và không nên làm khi phải đối đầu với các cuộc tấn công DDoS:
- Cần nhanh chóng tập hợp các chuyên gia IT của tổ chức để kịp thời ứng phó với các cuộc tấn công. Bên cạnh đó, thường xuyên nâng cao nhận thức về tấn công DDoS, phát triển các kế hoạch hiệu quả để quản lý sản phẩm và ứng dụng.
- Không nên cố gắng giải quyết vấn đề một mình, không đùn đẩy trách nhiểm. Đồng thời cần cập nhật báo cáo dữ liệu thường xuyên, ít nhất 6 tháng 1 lần.
Thông tin thêm: Một số thuật ngữ về DDoS
- ACK: Acknowledgement packet – Gói xác nhận
- DNS: Domain Name System – Hệ thống tên miền
- HTTP: Hyper Text Transfer Protocol – Giao thức truyền siêu văn bản
- ICMP: Internet Control Message Protocol – Giao thức thông báo kiểm soát internet
- OSI/RM: Open Systems Interconnection/Reference Model – Mô hình tham chiếu/kết nối hệ thống mở
- SYN: Synchronize packet – Gói đồng bộ hóa
- SYN flood: Hacker thao túng TCP để tạo ra một cuộc tấn công DDoS
- TCP: Transmission control protocol
- UDP: User Datagram Protocol
Theo CompTIA.