Home Kênh học tậpHệ thống mạng Cách ngăn chặn tấn công DDoS, 6 cách để bảo vệ trang web của bạn an toàn
Hacker

Cách ngăn chặn tấn công DDoS, 6 cách để bảo vệ trang web của bạn an toàn

by admin
603 views

Theo công ty bảo mật Cloudflare, chi phí trung bình cho một tổ chức tấn công từ chối dịch vụ (DDoS) phân tán là khoảng 100.000 USD cho mỗi giờ tấn công kéo dài.

Ngoài ra còn có những chi phí dài hạn: mất danh tiếng, giảm thương hiệu và mất khách hàng, tất cả dẫn đến việc kinh doanh thua lỗ. Đó là lý do tại sao nên đầu tư các nguồn lực đáng kể để ngăn chặn một cuộc tấn công DDoS hoặc ít nhất là giảm thiểu nguy cơ trở thành nạn nhân của một cuộc tấn công, thay vì tập trung vào cách ngăn chặn một cuộc tấn công DDoS sau khi một cuộc tấn công đã được bắt đầu.

Hiểu các cuộc tấn công DDoS

Một cuộc tấn công từ chối dịch vụ (DoS) theo thể tích cơ bản thường liên quan đến việc bắn phá một địa chỉ IP có lưu lượng lớn. Nếu địa chỉ IP trỏ đến một máy chủ Web, lưu lượng truy cập hợp pháp sẽ không thể liên hệ với nó và trang web trở nên không khả dụng. Một loại tấn công DoS khác là một cuộc tấn công tràn ngập, trong đó một nhóm các máy chủ bị tràn ngập với các yêu cầu cần được xử lý bởi các máy nạn nhân. Chúng thường được tạo ra với số lượng lớn bởi các tập lệnh chạy trên các máy bị xâm nhập là một phần của mạng botnet và dẫn đến việc sử dụng tài nguyên của máy chủ nạn nhân như CPU hoặc bộ nhớ.

Một cuộc tấn công DDoS hoạt động trên các nguyên tắc tương tự, ngoại trừ lưu lượng độc hại được tạo ra từ nhiều nguồn, mặc dù được sắp xếp từ một điểm trung tâm. Thực tế là các nguồn lưu lượng được phân phối – thường xuyên trên toàn thế giới – làm cho việc ngăn chặn tấn công DDoS khó hơn nhiều so với việc ngăn chặn các cuộc tấn công DoS bắt nguồn từ một địa chỉ IP.

Một lý do khác khiến việc ngăn chặn các cuộc tấn công DDoS là một thách thức là nhiều cuộc tấn công ngày nay là các cuộc tấn công “khuếch đại”. Chúng liên quan đến việc gửi các gói dữ liệu nhỏ đến các máy chủ bị xâm nhập hoặc bị cấu hình xấu trên khắp thế giới, sau đó phản hồi bằng cách gửi các gói lớn hơn nhiều đến máy chủ bị tấn công. Một ví dụ nổi tiếng về điều này là một cuộc tấn công khuếch đại DNS, trong đó một yêu cầu DNS 60 byte có thể dẫn đến phản hồi 4.000 byte được gửi đến nạn nhân – hệ số khuếch đại gấp khoảng 70 lần kích thước gói ban đầu.

Gần đây hơn, những kẻ tấn công đã khai thác một tính năng máy chủ gọi là memcache để khởi chạy các cuộc tấn công khuếch đại memcached, trong đó một yêu cầu 15 byte có thể dẫn đến phản hồi 750 kb, hệ số khuếch đại gấp 50.000 lần kích thước gói ban đầu. Cuộc tấn công DDoS lớn nhất từ ​​trước đến nay trên thế giới, được phát động chống lại Github vào đầu năm nay, là một cuộc tấn công khuếch đại bản ghi nhớ đạt đỉnh điểm 1,35 Tbps dữ liệu tấn công máy chủ của Github.

Lợi ích đối với các tác nhân độc hại của các cuộc tấn công khuếch đại là chúng chỉ cần một lượng băng thông hạn chế theo ý của chúng để thực hiện các cuộc tấn công lớn hơn nhiều vào nạn nhân so với việc chúng có thể làm bằng cách tấn công trực tiếp nạn nhân.

6 bước để ngăn chặn các cuộc tấn công DDoS

1. Mua thêm băng thông

Trong tất cả các cách để ngăn chặn các cuộc tấn công DDoS, bước cơ bản nhất mà bạn có thể thực hiện để làm cho cơ sở hạ tầng Lưu trữ VPS của mình “chống DDoS” là đảm bảo rằng bạn có đủ băng thông để xử lý lượng truy cập tăng đột biến có thể do hoạt động độc hại gây ra.

Trước đây, có thể tránh các cuộc tấn công DDoS bằng cách đảm bảo rằng bạn có nhiều băng thông hơn bất kỳ kẻ tấn công nào có thể có. Nhưng với sự gia tăng của các cuộc tấn công khuếch đại, điều này không còn thực tế nữa. Thay vào đó, việc mua thêm băng thông hiện làm tăng rào cản mà những kẻ tấn công phải vượt qua trước khi chúng có thể khởi động một cuộc tấn công DDoS thành công, nhưng bản thân việc mua thêm băng thông không phải là một giải pháp tấn công DDoS.

2. Xây dựng dự phòng cho cơ sở hạ tầng của bạn

Để kẻ tấn công khó thực hiện thành công cuộc tấn công DDoS chống lại máy chủ của bạn, hãy đảm bảo rằng bạn rải chúng trên nhiều trung tâm dữ liệu bằng hệ thống cân bằng tải tốt để phân phối lưu lượng giữa chúng. Nếu có thể, các trung tâm dữ liệu này phải ở các quốc gia khác nhau, hoặc ít nhất là ở các khu vực khác nhau của cùng một quốc gia.

Để chiến lược này thực sự hiệu quả, cần phải đảm bảo rằng các trung tâm dữ liệu được kết nối với các mạng khác nhau và không có tắc nghẽn mạng rõ ràng hoặc các điểm lỗi đơn lẻ trên các mạng này.

Việc phân phối máy chủ của bạn về mặt địa lý và địa hình sẽ khiến kẻ tấn công khó tấn công thành công hơn một phần máy chủ của bạn, khiến các máy chủ khác không bị ảnh hưởng và có khả năng chiếm ít nhất một số lưu lượng bổ sung mà các máy chủ bị ảnh hưởng thường xử lý.

3. Định cấu hình phần cứng mạng của bạn chống lại các cuộc tấn công DDoS

Có một số thay đổi cấu hình phần cứng đơn giản mà bạn có thể thực hiện để giúp ngăn chặn cuộc tấn công DDoS.

Ví dụ: định cấu hình tường lửa hoặc bộ định tuyến của bạn để thả các gói ICMP đến hoặc chặn các phản hồi DNS từ bên ngoài mạng của bạn (bằng cách chặn cổng UDP 53) có thể giúp ngăn chặn một số cuộc tấn công theo khối lượng dựa trên DNS và ping.

4. Triển khai các mô-đun phần cứng và phần mềm chống DDoS

Máy chủ của bạn nên được bảo vệ bởi tường lửa mạng và tường lửa ứng dụng web chuyên dụng hơn, và bạn cũng có thể nên sử dụng bộ cân bằng tải. Nhiều nhà cung cấp phần cứng hiện bao gồm bảo vệ phần mềm chống lại các cuộc tấn công giao thức DDoS, chẳng hạn như cuộc tấn công lũ lụt SYN, chẳng hạn, bằng cách theo dõi số lượng kết nối không hoàn chỉnh tồn tại và loại bỏ chúng khi số lượng đạt đến giá trị ngưỡng có thể định cấu hình.

Các mô-đun phần mềm cụ thể cũng có thể được thêm vào một số phần mềm máy chủ web để cung cấp một số chức năng phòng chống DDoS. Ví dụ: Apache 2.2.15 đi kèm với một mô-đun được gọi là mod_reqtimeout để bảo vệ chính nó khỏi các cuộc tấn công ở lớp ứng dụng như cuộc tấn công Slowloris, mở các kết nối đến máy chủ web và sau đó giữ chúng mở càng lâu càng tốt bằng cách gửi các yêu cầu một phần cho đến khi máy chủ không thể chấp nhận thêm kết nối mới.

5. Triển khai Thiết bị Bảo vệ DDoS

Nhiều nhà cung cấp bảo mật bao gồm NetScout Arbor, Fortinet, Check Point, Cisco và Radware cung cấp các thiết bị đặt trước tường lửa mạng và được thiết kế để chặn các cuộc tấn công DDoS trước khi chúng có hiệu lực.

Họ làm điều này bằng cách sử dụng một số kỹ thuật, bao gồm thực hiện cơ sở hành vi lưu lượng truy cập và sau đó chặn lưu lượng truy cập bất thường và chặn lưu lượng truy cập dựa trên các dấu hiệu tấn công đã biết.

Điểm yếu chính của kiểu tiếp cận ngăn chặn các cuộc tấn công DDoS này là bản thân các thiết bị bị giới hạn về lưu lượng truy cập mà chúng có thể xử lý. Mặc dù các thiết bị cao cấp có thể kiểm tra lưu lượng truy cập đến với tốc độ lên đến 80 Gbps hoặc hơn, nhưng các cuộc tấn công DDoS ngày nay có thể dễ dàng ở mức độ lớn hơn mức này.

6. Bảo vệ máy chủ DNS của bạn

Đừng quên rằng một tác nhân độc hại có thể đưa các máy chủ web của bạn vào ngoại tuyến bằng cách DDoSing các máy chủ DNS của bạn. Vì lý do đó, điều quan trọng là các máy chủ DNS của bạn phải có khả năng dự phòng và đặt chúng ở các trung tâm dữ liệu khác nhau phía sau bộ cân bằng tải cũng là một ý tưởng hay. Một giải pháp tốt hơn thậm chí có thể là chuyển sang một nhà cung cấp DNS dựa trên đám mây có thể cung cấp băng thông cao và nhiều điểm hiện diện trong các trung tâm dữ liệu trên toàn thế giới. Các dịch vụ này được thiết kế đặc biệt với tính năng phòng chống DDoS.

Xem thêm: Cách hack facebook bằng code

Related Posts

error: Content is protected !!