DDoS (distributed denial of service) - tấn công từ chối dịch vụ phân tán là giải pháp đáng tin cậy để đảm bảo một dịch vụ được lưu trữ (chẳng hạn như một trang web hoặc một số dịch vụ như PlayStation Network) không thể “nhìn thấy ánh sáng” rong một khoảng thời gian nhất định.
Vấn đề thảo luận về DDoS
Internet là mạng lưới khổng lồ kết nối trong một không gian khổng lồ. Có hàng tỷ tỷ gói nhỏ đang di chuyển với tốc độ ánh sáng ở khắp mọi nơi trên toàn thế giới. Để hiểu được hoạt động bên trong và sự mất phương hướng của nó, Internet được chia thành các nhóm, và các nhóm này sẽ lại được chia thành các nhóm nhỏ khác, … .
Điều này khiến cho cuộc thảo luận về bảo vệ khỏi cuộc tấn công DDoS có một chút phức tạp hơn. Cách mà một máy tính cá nhân tự bảo vệ mình khỏi DDoS cũng tương tự và chỉ hơi khác một chút so với cách bảo vệ mà trung tâm dữ liệu của một công ty trị giá hàng triệu đô la áp dụng.
Và chúng ta không đề cập đến các nhà cung cấp dịch vụ Internet (ISP) ở đây. Có rất nhiều cách để phân loại bảo vệ khỏi cuộc tấn công DDoS vì có thể phân loại các thành phần khác nhau tạo nên Internet với hàng tỷ kết nối, các cụm, trao đổi lục địa và các mạng con của Internet.
Với tất cả những gì được đề cập ở trên, chúng ta hãy thử cách tiếp cận “phẫu thuật” chạm vào tất cả các chi tiết có liên quan và các chi tiết quan trọng của vấn đề.
Nguyên tắc phía sau cách thức bảo vệ khỏi cuộc tấn công DDoS
Nếu đang đọc bài viết này và bạn không có một chút kiến thức nào về cách thức hoạt động của DDoS, lời khuyên cho bạn là nên tìm hiểu và tham khảo thêm các thông tin trên mạng để không bị “bỡ ngỡ”.
Có 2 điều mà bạn có thể làm với một gói tin đi vào (incoming packet): bạn có thể bỏ qua hoặc chuyển hướng nó. Bạn không thể ngăn gói tin này được gửi đến vì bạn không có quyền kiểm soát nguồn gốc của gói. Nó đã ở đây rồi và phần mềm của bạn muốn biết phải làm gì với nó.
Đó là một sự thật mà tất cả chúng ta tuân theo, và nó bao gồm các ISP kết nối chúng ta với Internet. Đó là lý do tại sao có rất nhiều cuộc tấn công DDoS thành công: vì bạn không thể kiểm soát hành vi của nguồn, nguồn có thể gửi cho bạn các gói tin đủ để áp đảo kết nối của bạn.
Bạn nào nghiên cứu về mạng có thể theo dõi bài viết: tìm hiểu tấn công từ chối dịch vụ DoS ở đây
Cách thức hoạt động của phần mềm và bộ định tuyến - router (Home System)
Nếu chạy Firewall (tường lửa) trên máy tính hoặc bộ định tuyến (router), bạn thường bị mắc kẹt theo một nguyên tắc cơ bản: nếu lưu lượng truy cập DDoS được thêm vào, phần mềm sẽ liệt kê các IP đang có lưu lượng bất hợp pháp.
Nó thực hiện điều này bằng cách nhận thấy khi có một thứ gì đó gửi cho bạn một loạt dữ liệu rác hoặc các yêu cầu kết nối ở một tần số không tự nhiên, chẳng hạn như lớn hơn 50 lần/giây. Sau đó, nó chặn tất cả các giao dịch đến từ nguồn đó.
Bằng cách chặn các giao dịch đến, máy tính của bạn không cần tốn nhiều tài nguyên để biên dịch dữ liệu bên trong. Thông điệp chỉ không được gửi đến đích của nó. Nếu bạn bị chặn bởi Firewall (tường lửa) của máy tính và cố gắng kết nối với nó, bạn sẽ phải chờ một khoảng thời gian để kết nối vì bất cứ thứ gì mà bạn gửi sẽ bị bỏ qua.
Đây là một giải pháp tuyệt vời để chống lại các cuộc tấn công từ chối dịch vụ (DoS) vì kẻ tấn công sẽ nhìn thấy thời gian chờ kết nối mỗi lần họ kiểm tra xem công việc của mình có tiến triển gì hay không. Với cuộc tấn công từ chối dịch vụ phân tán, có thể áp dụng giải pháp này vì tất cả các dữ liệu đến từ các địa chỉ IP tấn công sẽ bị bỏ qua.
Một số vấn đề khác
Trong thế giới Internet, không có gì gọi là “passive blocking”. Bạn cần tài nguyên ngay cả khi bỏ qua một gói tin đang đến gần. Nếu đang sử dụng phần mềm, điểm tấn công dừng lại ở máy tính của bạn nhưng vẫn đi qua bộ định tuyến (router) như “một viên đạn giấy”. Điều đó có nghĩa là bộ định tuyến của bạn đang làm việc không biết mệt mỏi để định tuyến tất cả các gói tin bất hợp pháp theo hướng của bạn.
Nếu đang sử dụng Firewall (tường lửa) của Router, mọi thứ sẽ dừng ở đó. Nhưng điều đó vẫn có nghĩa là bộ định tuyến của bạn đang quét mã nguồn của mỗi gói và sau đó lặp lại danh sách các địa chỉ IP bị chặn để xem liệu địa chỉ IP đó nên bỏ qua hay cho phép thông qua.
Thử tưởng tượng bộ định tuyến của bạn phải làm những gì mỗi giây. Bộ định tuyến của bạn có một lượng nguồn xử lý hữu hạn. Khi đạt đến giới hạn đó, nó sẽ gặp phải sự cố khi ưu tiên lưu lượng truy cập hợp pháp, bất kể cách thức nâng cao mà nó sử dụng là gì.
Chúng ta sẽ gạt tất cả những điều này sang một bên để thảo luận về vấn đề khác. Giả sử bạn có một bộ định tuyến “ma thuật” với một lượng nguồn xử lý vô hạn, ISP của bạn vẫn cung cấp cho bạn một lượng băng thông hữu hạn. Khi đã đạt đến giới hạn băng thông, bạn sẽ phải “vật lộn” để hoàn thành, thậm chí là cả những tác vụ đơn giản nhất trên Web.
Vì vậy, giải pháp tối ưu cho DDoS là có một lượng nguồn xử lý vô hạn và một lượng băng thông vô hạn.
Các công ty lớn xử lý tải của họ như thế nào?
Các công ty xử lý DDoS: họ sử dụng cơ sở hạ tầng hiện có của mình để chống lại bất kỳ mối đe dọa nào đến với họ. Thông thường, điều này được thực hiện thông qua cân bằng tải (load balancer), mạng phân phối nội dung (CDN) hoặc kết hợp cả hai. Các trang web nhỏ hơn và các dịch vụ có thể thuê bên ngoài của các bên thứ ba nếu họ không có vốn để duy trì một loạt các máy chủ.
Với CDN, nội dung của một trang web được sao chép vào mạng lưới rộng lớn các máy chủ được phân phối trên nhiều khu vực vị trí địa lý. Điều này làm cho trang web được load nhanh chóng khi bạn kết nối với trang web đó, cho dù bạn ở bất kỳ khu vực nào trên thế giới.
Cân bằng tải thực hiện điều này bằng cách phân phối lại dữ liệu và phân mục nó trong các máy chủ khác nhau, ưu tiên lưu lượng theo loại máy chủ phù hợp nhất cho công việc. Các máy chủ có băng thông thấp với ổ cứng lớn có thể xử lý một lượng lớn các file nhỏ. Máy chủ với kết nối băng thông lớn có thể xử lý việc truyền
Cách thức hoạt động để bảo vệ khỏi cuộc tấn công DDoS như thế nào?
Nếu một cuộc tấn công nằm trên một máy chủ, cân bằng tải có thể theo dõi DDoS và cho phép nó tiếp tục tấn công máy chủ đó trong khi chuyển hướng tất cả lưu lượng truy cập hợp pháp đến nơi khác trên mạng.
Ý tưởng ở đây là sử dụng một mạng lưới phân tán, phân bổ các nguồn tài nguyên ở những vị trí cần thiết để trang web hoặc dịch vụ có thể tiếp tục chạy trong khi cuộc tấn công nhắm vào một "con mồi".
Bởi vì mạng bị phân tán, nó sẽ mang lại một lợi thế đáng kể so với Firewall (tường lửa) đơn giản và bảo vệ bất kỳ bộ định tuyến nào có thể cung cấp. Vấn đề ở đây là bạn phải có nhiều tiền để bắt đầu hoạt động của mình. Trong khi họ đang phát triển, các công ty có thể dựa vào các nhà cung cấp chuyên biệt lớn hơn để cung cấp cho họ mức độ bảo vệ mà họ cần.
Cách mà các công ty lớn cung cấp cho người dùng kết nối Internet tự bảo vệ mình
Ở phần này chúng ta sẽ tìm hiểu về cách mà các công ty lớn cung cấp cho người dùng kết nối Internet tự bảo vệ mình khỏi rơi vào vực thẳm tối tăm. Vấn đề này khá phức tạp.
Các nhà cung cấp dịch vụ Internet (ISP) có những các cách riêng biệt để xử lý sự biến động lưu lượng truy cập. Hầu hết các cuộc tấn công DDoS chỉ đăng ký trên radar của họ vì họ có quyền truy cập với lượng băng thông gần như không giới hạn. Lưu lượng truy cập hàng ngày vào lúc 7-11 PM (hay còn được gọi là Internet Rush Hour) đạt đến mức vượt xa băng thông mà bạn nhận được trung bình từ luồng DDoS.
Tất nhiên, vì đây là Internet chúng ta đang nói đến, có cả trường hợp mà lưu lượng truy cập trở thành một cái gì đó nhiều hơn một điểm trên radar.
Những vụ tấn công xảy ra “như một cơn gió” và cố gắng áp đảo cơ sở hạ tầng của các ISP (nhà cung cấp dịch vụ Internet) nhỏ hơn. Khi nhà cung cấp của bạn đưa ra giải pháp của mình, sử dụng các công cụ để chống lại mối đe dọa này. Dưới đây là những điểm phổ biến nhất:
- Remote Hole Black Hole: Nghe có vẻ giống như một cái gì đó trong bộ phim khoa học viễn tưởng, nhưng RTBH là một điều thực tế của Cisco. Có rất nhiều cách để làm điều này, nhưng đây là cách nhanh nhất: một ISP sẽ liên lạc với mạng tấn công đến từ đâu và nói với nó để chặn tất cả lưu lượng truy cập đi theo hướng của nó. Chặn lưu lượng truy cập ra đơn giản và dễ dàng hơn chặn các gói tin đến (incoming packet). Chắc chắn mọi thứ từ ISP (nhà cung cấp dịch vụ Internet) đích sẽ xuất hiện ngoại tuyến với những người kết nối từ nguồn của cuộc tấn công, nhưng nó không đòi hỏi nhiều yêu cầu rắc rối. Phần lưu lượng truy cập còn lại của thế giới vẫn không bị ảnh hưởng.
- Scrubbers: Một số ISP rất lớn có trung tâm dữ liệu đầy đủ các thiết bị có thể phân tích các mẫu lưu lượng để phân loại lưu lượng truy cập hợp pháp từ lưu lượng truy cập DDoS. Vì nó đòi hỏi rất nhiều sức nguồn và cơ sở hạ tầng đã được thiết lập, các ISP nhỏ hơn thường sẽ thuê một công ty khác để làm điều này. Lưu lượng truy cập vào khu vực bị ảnh hưởng đi qua một bộ lọc và hầu hết các gói DDoS bị chặn trong khi lưu lượng truy cập hợp lệ được cho phép. Điều này đảm bảo cho ISP hoạt động bình thường với chi phí điện toán rất lớn.
- Traffic voodoo: Sử dụng một phương pháp được gọi là " traffic shaping - định hình lưu lượng truy cập", ISP sẽ chỉ tấn công tất cả mọi thứ mà cuộc tấn công DDoS mang theo cùng nó vào IP đích trong khi vẫn để lại tất cả các nút khác. Về cơ bản điều này sẽ “ném” nạn nhân xuống dưới xe bus để lưu phần còn lại của mạng. Đó là giải pháp không mấy “hay” và cũng là giải pháp cuối cùng mà ISP sẽ sử dụng nếu mạng đang gặp phải vấn đề khủng hoảng nghiêm trọng và cần phải hành động nhanh chóng, quyết đoán để đảm bảo sự sống còn của toàn bộ mạng.
Vấn đề với DDoS đi kèm với những tiến bộ trong điện toán máy tính và băng thông sẵn có. Để chống lại mối đe dọa này, chúng ta phải áp dụng các phương pháp cải tiến mạng nâng cao, vượt xa khả năng người dùng ở trình độ trung bình. Và thường thì các hộ gia đình không phải là mục tiêu mà DDoS nhắm đến.
Nếu muốn xem những vụ tấn công này diễn ra trong thời gian thực, bạn có thể kiểm tra Digital Attack Map.
Bạn có từng là “nạn nhân” của những cuộc tấn công kiểu này tại nhà hay tại nơi làm việc bao giờ chưa? Với bài viết cách thức hoạt động để bảo vệ khỏi cuộc tấn công DDoS như thế nào? sẽ giúp bạn hiểu rõ hơn về những cuộc tấn công DDoS và tìm ra giải pháp đối phó với những cuộc tấn công này.
Ngoài ra, bạn cũng nên tìm hiểu các kết nối ẩn để phát hiện và xử lý kịp thời nhé, chi tiết, bạn theo dõi cách phát hiện và xử lý kết nối ẩn tại đây