Home
Latest images
Search
Register
Log inHướng dẫn và công cụ pḥng chống DDoS hiệu quả
Page 1 of 1
Hướng dẫn và công cụ pḥng chống DDoS hiệu quả
tieuvu Mon Jun 05, 2017 2:30 pm
Trong chúng ta ít nhiều đă nghe về DDos, bởi h́nh thức tấn công này khá phổ biến tại Việt Nam, và thực tế là đă có rất nhiều các doanh nghiệp, tổ chức lớn bị h́nh thức tấn công này làm cho tŕ trệ, tê liệt toàn hệ thống, ảnh hưởng lớn đến chất lượng phục vụ khách hàng. Vậy DDoS là ǵ, cách nhận diện DDoS và biện pháp xử lư, khắc phục khi bị tấn công DDoS ra sao?
DDos (viết tắt của Distributed Denial of Service) tấn công từ chối dịch vụ phân tán: dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lụt lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quăng, truy cập chập chờn, thậm chí làm tê liệt hệ thống không thể truy cập vào được.
Ngoài ra, cũng có một kiểu tấn công khác đơn giản hơn là tấn công DoS (Denial of Service) – hacker chỉ sử dụng 1 máy tính và 1 kết nối Internet để tấn công, với kiểu tấn công này chúng ta dễ dàng t́m ra thủ phạm hơn.
Đối với DDoS, có thể nói h́nh thức tấn công này rất phức tạp bởi nó có nhiều phương thức thực hiện. Tuy nhiên, nh́n chung có 2 dạng phổ biến và dễ h́nh dung nhất, đó là:
1. Tấn công DDoS gây ngập lụt
Ở dạng này kẻ tấn công sẽ gửi lượng lớn gói tin hợp lệ tới máy tính nạn nhân và làm máy nạn nhân phải hoạt động hết công suất, tiêu thụ lượng tài nguyên đáng kể CPU, RAM, Disk IO, băng thông mạng. Điều này khiến người dùng hợp lệ truy cập bị gián đoạn.
Các gói tin hợp lệ gửi tới máy nạn nhân được huy động từ mạng BootNet do tin tặc tạo ra từ rất rất nhiều máy tính bị nhiễm mă độc Trojan. Các máy bị nhiễm mă độc sẽ bị điều khiển của tin tặc, với mô h́nh BootNet chứa rất nhiều máy tính bị nhiễm như vậy th́ khi tấn công sẽ làm hệ thống đích bị suy yếu rất lớn.
2. Tấn công DDoS logic
Kẻ tấn công sẽ lợi dụng lỗ hổng giao thức và lỗ hổng ứng dụng trên máy nạn nhân để thực hiện tấn công tràn không gian bảng kết nối khiến người dùng hợp lệ không thể truy cập được dịch vụ.
Ví dụ dạng tấn công SYN Flood: Kẻ tấn công dùng phương pháp logic gửi lượng lớn gói tin khởi tạo kết nối TCP-SYN, kẻ tấn công sẽ dựa vào quá tŕnh bắt tay 3 bước (handshake 3- wiki htttp) để gửi một lượng lớn gói tin khởi tạo kết nối SYN làm đầy bảng kết nối trên máy nạn nhân.
(trên Linux bảng này gọi là conntrack Table)
Sau khi hiểu về h́nh dạng loại tấn công DDoS, chúng ta sẽ dựa vào đó để ngăn chặn.
Việc của chúng ta lúc này là xem kẻ tấn công dùng phương pháp tấn công ǵ để có sự ngăn chặn kịp thời.
Cách nhận diện một vụ tấn công từ chối dịch vụ DDoS
• Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website;
• Không thể dùng một website cụ thể;
• Không thể truy cập bất kỳ website nào;
• Tăng lượng thư rác nhận được.
Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công. Ví dụ băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ư định tấn công mà c̣n là toàn thể mạng.
Cách pḥng chống tấn công DDoS
1. Pḥng chống DDoS theo thời điểm xử lư tấn công
– Thời điểm trước khi xảy ra tấn công: Tại các bước này thực hiện các công việc về pḥng vệ, ngăn chặn các cuộc tấn công có thể xảy ra. Các bước thực hiện đó là:
• Rào chính sách bảo mật chặt chẽ.
• Cập nhật hệ thống và vá lỗ hổng thường xuyên.
• Có hệ thống theo dơi realtime bất thường xảy ra trong hệ thống và cảnh báo khi có sự cố.
– Thời điểm trong khi bị tấn công
Các công việc ở bước này là phát hiện, nhận dạng và ngăn chặn tấn công càng nhanh càng tốt để dịch vụ vẫn hoạt động được.
– Thời điểm sau khi xảy ra tấn công
Đây là các bước thực hiện sau khi cuộc tấn công đă xảy ra, bao gồm lần dấu vết và truy t́m nguồn gốc cuộc tấn công. Cần truy t́m theo log ghi nhận được để phân tích và ngăn chặn các cuộc tấn công tiềm ẩn có thể xảy ra sắp tới.
Pḥng chống DDoS theo vị trí triển khai:
– Triển khai tại gần mạng nguồn tấn công:
Đây là phương pháp triển khai nhằm cách ly mạng BootNet tham gia tấn công DDoS, các biện pháp bao gồm:
• Lọc gói tin giải mạo tại Router/Switch/Gateway/Modem
• Sử dụng tường lửa hoặc proxy có thể nhận dạng và giới hạn các gói tin không hợp lệ.
– Triển khai tại gần “mạng đích” tấn công:
Phương pháp này cũng thực hiện tại Router/Switch/gateway/Modem, nhưng ở gần mạng đích của máy tính bị tấn công, các biện pháp bao gồm:
• Nhận diện IP và các yêu cầu giả mạo.
• Tiếp tục lọc và đánh dấu gói tin hợp lệ hay không hợp lệ để hệ thống bị tấn công có thể nhận diện được gói tin nào hợp lệ và gói tin nào đang tấn công. Các kỹ thuật thực hiện ở bước này gồm: Lọc IP theo history log, lọc IP theo kết nối đồng thời, tỷ lệ gói tin truyền qua theo địa chỉ IP.
– Triển khai tại đích tấn công.
Tương tự tại vị trí này cũng thực hiện trên Router/Switch/Gateway/Modem và khiển khai trên máy chủ (máy bị tấn công). Các biện pháp bao gồm: lọc gói tin và phát hiện các gói tin độc hại.
Pḥng chống DDoS theo giao thức mạng
Pḥng chống DDoS tại tầng TCP
• Lọc gói tin dựa theo địa chỉ IP, theo các chính sách đă được thiết lập sẵn.
• Tăng Backlogs size để tăng khả năng chấp nhận kết nối mới của hệ thống máy đích.
• Giảm thời gian chờ nhận gói tin xác thực kết nối TCP-ACK, giúp máy chủ hủy bỏ các kết nối không được xác thực trong khoảng thời gian ngắn, điều này giúp giải phóng lượng tài nguyên đang bị chiếm dữ của các kết nối ko tin cậy.
• SYN Flood là một dạng tấn công từ chối dịch vụ dựa theo giao thức TCP thường gặp, để chặn được hiệu quả có thể dùng cách sử dụng SYN Cookies với mục đích chỉ cấp tài nguyên cho những yêu cầu hợp lệ.
Pḥng chống DDoS tại tầng ứng dụng
• Giới hạn tối thiểu các hành vi truy cập, ví dụ như giới hạn kết nối đồng thời truy cập từ 1 IP hay giới hạn tỷ lệ kết nối không quá 100 request trong 1 phút. Nếu quá ngưỡng này truy cập sẽ bị block.
• Coi log trong Log ứng dụng là công cụ chính để rà soát các bất thường, hành vi rà quét.
Ngoài ra, có một số hăng cũng đă cung cấp các Tool nhằm pḥng chống và giảm thiểu tấn công DDoS, có thể kể đến như: Arbor Networks, Radware, Fortinet
Tổng kết:
DDoS là dạng tấn công mạng nguy hiểm, hiện chưa có giải pháp tổng quát cụ thể nào để pḥng chống tấn công DDoS do tính phức tạp tinh vi của chúng, chúng ta chỉ có thể cố gắng giữ hệ thống an toàn nhất có thể bằng các biện pháp pḥng chống như trên. Thiệt hại của tấn công DDoS với doanh nghiệp, tổ chức chắc chắn không hề nhỏ, nhất là với các doanh nghiệp, công ty lớn, bởi nó gây trải nghiệm thiếu chuyên nghiệp, cảm giác không tốt với khách hàng. V́ vậy ngay từ bây giờ chúng ta nên rào chính sách bảo mật chặt chẽ trên hệ thống của ḿnh, hăy nhớ “pḥng vẫn hơn chống”, hăy là người chủ động trước sự phá hoại của tin tặc.
Tùy vào tính huống kẻ tấn công thực hiện để lên phương án pḥng chống, kiểm tra xem chúng đánh vào tầng nào (TCP, Application,..) đánh theo cơ chế nào từ đó xem hệ thống chúng ta có lỗ hổng ǵ không, chắc chắn sẽ có cách thích hợp để xử lư chúng. Dù thế nào đi chăng nữa, pḥng chống DoS/ DDoS là một việc làm cần thiết mà mỗi doanh nghiệp cần làm để bảo vệ hệ thống của ḿnh luôn hoạt động ổn định.
Nguồn : pnh.vn
DDos (viết tắt của Distributed Denial of Service) tấn công từ chối dịch vụ phân tán: dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lụt lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quăng, truy cập chập chờn, thậm chí làm tê liệt hệ thống không thể truy cập vào được.
Ngoài ra, cũng có một kiểu tấn công khác đơn giản hơn là tấn công DoS (Denial of Service) – hacker chỉ sử dụng 1 máy tính và 1 kết nối Internet để tấn công, với kiểu tấn công này chúng ta dễ dàng t́m ra thủ phạm hơn.
Đối với DDoS, có thể nói h́nh thức tấn công này rất phức tạp bởi nó có nhiều phương thức thực hiện. Tuy nhiên, nh́n chung có 2 dạng phổ biến và dễ h́nh dung nhất, đó là:
1. Tấn công DDoS gây ngập lụt
Ở dạng này kẻ tấn công sẽ gửi lượng lớn gói tin hợp lệ tới máy tính nạn nhân và làm máy nạn nhân phải hoạt động hết công suất, tiêu thụ lượng tài nguyên đáng kể CPU, RAM, Disk IO, băng thông mạng. Điều này khiến người dùng hợp lệ truy cập bị gián đoạn.
Các gói tin hợp lệ gửi tới máy nạn nhân được huy động từ mạng BootNet do tin tặc tạo ra từ rất rất nhiều máy tính bị nhiễm mă độc Trojan. Các máy bị nhiễm mă độc sẽ bị điều khiển của tin tặc, với mô h́nh BootNet chứa rất nhiều máy tính bị nhiễm như vậy th́ khi tấn công sẽ làm hệ thống đích bị suy yếu rất lớn.
2. Tấn công DDoS logic
Kẻ tấn công sẽ lợi dụng lỗ hổng giao thức và lỗ hổng ứng dụng trên máy nạn nhân để thực hiện tấn công tràn không gian bảng kết nối khiến người dùng hợp lệ không thể truy cập được dịch vụ.
Ví dụ dạng tấn công SYN Flood: Kẻ tấn công dùng phương pháp logic gửi lượng lớn gói tin khởi tạo kết nối TCP-SYN, kẻ tấn công sẽ dựa vào quá tŕnh bắt tay 3 bước (handshake 3- wiki htttp) để gửi một lượng lớn gói tin khởi tạo kết nối SYN làm đầy bảng kết nối trên máy nạn nhân.
(trên Linux bảng này gọi là conntrack Table)
Sau khi hiểu về h́nh dạng loại tấn công DDoS, chúng ta sẽ dựa vào đó để ngăn chặn.
Việc của chúng ta lúc này là xem kẻ tấn công dùng phương pháp tấn công ǵ để có sự ngăn chặn kịp thời.
Cách nhận diện một vụ tấn công từ chối dịch vụ DDoS
• Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website;
• Không thể dùng một website cụ thể;
• Không thể truy cập bất kỳ website nào;
• Tăng lượng thư rác nhận được.
Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công. Ví dụ băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ư định tấn công mà c̣n là toàn thể mạng.
Cách pḥng chống tấn công DDoS
1. Pḥng chống DDoS theo thời điểm xử lư tấn công
– Thời điểm trước khi xảy ra tấn công: Tại các bước này thực hiện các công việc về pḥng vệ, ngăn chặn các cuộc tấn công có thể xảy ra. Các bước thực hiện đó là:
• Rào chính sách bảo mật chặt chẽ.
• Cập nhật hệ thống và vá lỗ hổng thường xuyên.
• Có hệ thống theo dơi realtime bất thường xảy ra trong hệ thống và cảnh báo khi có sự cố.
– Thời điểm trong khi bị tấn công
Các công việc ở bước này là phát hiện, nhận dạng và ngăn chặn tấn công càng nhanh càng tốt để dịch vụ vẫn hoạt động được.
– Thời điểm sau khi xảy ra tấn công
Đây là các bước thực hiện sau khi cuộc tấn công đă xảy ra, bao gồm lần dấu vết và truy t́m nguồn gốc cuộc tấn công. Cần truy t́m theo log ghi nhận được để phân tích và ngăn chặn các cuộc tấn công tiềm ẩn có thể xảy ra sắp tới.
Pḥng chống DDoS theo vị trí triển khai:
– Triển khai tại gần mạng nguồn tấn công:
Đây là phương pháp triển khai nhằm cách ly mạng BootNet tham gia tấn công DDoS, các biện pháp bao gồm:
• Lọc gói tin giải mạo tại Router/Switch/Gateway/Modem
• Sử dụng tường lửa hoặc proxy có thể nhận dạng và giới hạn các gói tin không hợp lệ.
– Triển khai tại gần “mạng đích” tấn công:
Phương pháp này cũng thực hiện tại Router/Switch/gateway/Modem, nhưng ở gần mạng đích của máy tính bị tấn công, các biện pháp bao gồm:
• Nhận diện IP và các yêu cầu giả mạo.
• Tiếp tục lọc và đánh dấu gói tin hợp lệ hay không hợp lệ để hệ thống bị tấn công có thể nhận diện được gói tin nào hợp lệ và gói tin nào đang tấn công. Các kỹ thuật thực hiện ở bước này gồm: Lọc IP theo history log, lọc IP theo kết nối đồng thời, tỷ lệ gói tin truyền qua theo địa chỉ IP.
– Triển khai tại đích tấn công.
Tương tự tại vị trí này cũng thực hiện trên Router/Switch/Gateway/Modem và khiển khai trên máy chủ (máy bị tấn công). Các biện pháp bao gồm: lọc gói tin và phát hiện các gói tin độc hại.
Pḥng chống DDoS theo giao thức mạng
Pḥng chống DDoS tại tầng TCP
• Lọc gói tin dựa theo địa chỉ IP, theo các chính sách đă được thiết lập sẵn.
• Tăng Backlogs size để tăng khả năng chấp nhận kết nối mới của hệ thống máy đích.
• Giảm thời gian chờ nhận gói tin xác thực kết nối TCP-ACK, giúp máy chủ hủy bỏ các kết nối không được xác thực trong khoảng thời gian ngắn, điều này giúp giải phóng lượng tài nguyên đang bị chiếm dữ của các kết nối ko tin cậy.
• SYN Flood là một dạng tấn công từ chối dịch vụ dựa theo giao thức TCP thường gặp, để chặn được hiệu quả có thể dùng cách sử dụng SYN Cookies với mục đích chỉ cấp tài nguyên cho những yêu cầu hợp lệ.
Pḥng chống DDoS tại tầng ứng dụng
• Giới hạn tối thiểu các hành vi truy cập, ví dụ như giới hạn kết nối đồng thời truy cập từ 1 IP hay giới hạn tỷ lệ kết nối không quá 100 request trong 1 phút. Nếu quá ngưỡng này truy cập sẽ bị block.
• Coi log trong Log ứng dụng là công cụ chính để rà soát các bất thường, hành vi rà quét.
Ngoài ra, có một số hăng cũng đă cung cấp các Tool nhằm pḥng chống và giảm thiểu tấn công DDoS, có thể kể đến như: Arbor Networks, Radware, Fortinet
Tổng kết:
DDoS là dạng tấn công mạng nguy hiểm, hiện chưa có giải pháp tổng quát cụ thể nào để pḥng chống tấn công DDoS do tính phức tạp tinh vi của chúng, chúng ta chỉ có thể cố gắng giữ hệ thống an toàn nhất có thể bằng các biện pháp pḥng chống như trên. Thiệt hại của tấn công DDoS với doanh nghiệp, tổ chức chắc chắn không hề nhỏ, nhất là với các doanh nghiệp, công ty lớn, bởi nó gây trải nghiệm thiếu chuyên nghiệp, cảm giác không tốt với khách hàng. V́ vậy ngay từ bây giờ chúng ta nên rào chính sách bảo mật chặt chẽ trên hệ thống của ḿnh, hăy nhớ “pḥng vẫn hơn chống”, hăy là người chủ động trước sự phá hoại của tin tặc.
Tùy vào tính huống kẻ tấn công thực hiện để lên phương án pḥng chống, kiểm tra xem chúng đánh vào tầng nào (TCP, Application,..) đánh theo cơ chế nào từ đó xem hệ thống chúng ta có lỗ hổng ǵ không, chắc chắn sẽ có cách thích hợp để xử lư chúng. Dù thế nào đi chăng nữa, pḥng chống DoS/ DDoS là một việc làm cần thiết mà mỗi doanh nghiệp cần làm để bảo vệ hệ thống của ḿnh luôn hoạt động ổn định.
Nguồn : pnh.vn
tieuvu- Posts : 8
Join date : 2016-08-25
Similar topicsPage 1 of 1
Permissions in this forum:
You cannot reply to topics in this forum|
|
|