Có rất nhiều phương pháp giúp phòng ngừa và giảm thiểu những cuộc tấn công DDoS, mỗi phương pháp đều có những cách vận hành và ưu điểm kỹ thuật riêng. Phổ biến nhất hiện nay là 3 phương pháp gồm Clean Pipe (dịch vụ “Đường truyền sạch), CDN Attack Dilution (CDN Phân tán sự tấn công) và Anti-DDoS Proxy.

Sự thật là không có “phương pháp chống DdoS Website toàn diện”, vì mỗi phương pháp sẽ phát huy ưu điểm kỹ thuật của mình tùy thuộc vào những trường hợp sử dụng khác nhau. Ở bài viết này, chúng ta sẽ cùng đi sâu vào 3 phương pháp như đã đề cập phía trên, từ đó giúp bạn hiểu rõ và lựa chọn được phương pháp phù hợp nhất để ứng dụng bảo vệ website cũng như tài nguyên của doanh nghiệp.

3 Phương pháp chống Ddos Website hiệu quả

1. Phương pháp chống DDoS Website bằng Clean Pipe (đường truyền sạch)

Đây là phương thức giảm thiểu tấn công DDoS được triển khai phổ biến hơn cả so với 2 phương pháp còn lại. Về cách thức thực hiện, tất cả lưu lượng truy cập đến đều sẽ được chuyển hướng tới “Trung tâm làm sạch” hay còn được biết đến với tên gọi “Trung tâm thanh lọc” (Scrubbing center), tại đây, những lưu lượng chứa dữ liệu độc hại sẽ được xác định và loại bỏ, chỉ cho phép những lưu lượng hợp pháp truy cập đến máy chủ cuối cùng.

Với sự gia tăng của các cuộc tấn công DDoS, nhiều Nhà cung cấp dịch vụ Internet (ISP - Internet Service Providers) và Nhà cung cấp dịch vụ quản lý bảo mật (MSSPs - Managed Security Service Providers) đã bắt đầu cung cấp các dịch vụ giúp hạn chế và phòng chống DDoS, và sản phẩm thường được nhắc đến nhiều nhất đó là Clean Pipe (dịch vụ “Đường truyền sạch”). Các tổ chức bảo mật này sẽ xử lý các cuộc tấn công DDoS bằng việc định tuyến hố đen (black-holing) và chuyển traffic DdoS vào hố đen đó.

Tuy nhiên, triển khai Clean Pipe khá phức tạp và đòi hỏi bạn cần phải đáp ứng đủ những thiết bị cần thiết sau:

  • Bộ định tuyến BGP.
  • Một thiết bị mạng có khả năng vạch giới hạn với GRE Tunnel.
  • Tiền tố định tuyến Internet và ASN.

Những mặt hạn chế của dịch vụ Clean Pipe:

  • Mất thời gian để định tuyến lại thời gian dẫn mỗi khi phát hiện có tấn công:

Mỗi khi phát hiện có tấn công DdoS Website vào máy khách hàng, các kỹ thuật định tuyến lại cần phải thực hiện để chuyển hướng lưu lượng truy cập tới khu vực trung tâm. Điều này sẽ mất ít nhất vài phút kể từ khi định tuyến lại cho đến khi việc giảm thiểu tấn công bắt đầu có hiệu lực. Và trong khoảng thời gian này thì các dịch vụ trực tuyến của doanh nghiệp sẽ không được bảo vệ và chịu đối mặt với những tấn công đang xảy ra.

  • Mức độ giảm thiểu DdoS còn thấp và tỷ lệ lỗi sai xác thực còn rất cao (high false-positive):

Phương pháp Clean Pipe không thể bảo vệ toàn diện về mọi mặt trước những cuộc tấn công DdoS Website

Thứ nhất, nó thiếu khả năng xử lý những cuộc tấn công DdoS xuất phát từ những ứng dụng Website còn nhiều lỗ hổng. 

Thứ hai, IP Máy chủ của bạn sẽ không được ẩn đi mà bị tiết lộ ra ngoài, tạo điều kiện thuận lợi cho những kẻ tấn công lợi dụng và dễ dàng xác định được nhà cung cấp cơ sở hạ tầng cho website, từ đó chúng sẽ khai khác lỗ hổng và điểm yếu của hệ thống để khống chế hệ thống mạng của doanh nghiệp.

  • Ngoài ra, liên kết truy xuất dữ liệu Website giữa người truy cập WebsiteMáy Chủ khá phức tạp và dẫn đến việc trả về nội dung cần hiển thị thường bị sai lệch, làm tăng tỷ lệ lỗi sai xác thực. Do đó, Clean Pipe thường cần rất nhiều sự can thiệp của con người trong quá trình vận hành.
  • Giảm thiểu các kết quả dữ liệu và mức độ hiệu quả:

“Trung tâm làm sạch” được thiết kế với công dụng chính là giảm lưu lượng độc hại chứ không thể ngặn chặn cuộc tấn công Website có chủ đích

Clean Pipe không có khả năng xử lý được cốt lõi các vấn đề về bảo mật Website, do thiếu tính năng quản lý bảo mật và vì thế, nó không thể ngăn chặn được các cuộc tấn tấn công DDoS Website với quy mô cực lớn và chuyên nghiệp từ các tổ chức Hacker quốc tế. 

Tính linh hoạt cao là ưu điểm nổi bật nhất của Clean Pipe, vì dịch vụ này hỗ trợ hầu hết tất cả các ứng dụng trong IP stack. Nhưng đi kèm với nó là những nhược điểm mà khách hàng ngày nay rất quan tâm đó là thiếu sự bảo mật tiên tiến, dễ phát sinh lỗi sai xác thực và mức chi phí đầu tư rất cao.

Cách thức hoạt động của Clean Pipe thiếu sự đồng bộ và hiệu quả do khi kích hoạt TCP RESET để chống lại TCP SYN Flood (tấn công Ddos), một số ứng dụng liên kết với Clean Pipe có thể tự động kết nối trở lại mà không gặp sự cố gì, nhưng hệ thống trình duyệt Website lại không thể tự động kết nối và hoạt động trở lại. Phải có sự tương tác thủ công từ người quản trị.

2. Phương pháp chống DDoS Website bằng CDN Dilution

Mạng lưới phân tải nội dung (CDNContent Delivery Network) là một hệ thống toàn cầu rộng lớn gồm nhiều máy chủ (các PoP) được liên kết và đặt ở nhiều vị trí địa lý khác nhau, cung cấp nội dung Website nhanh chóng cho nhiều người dùng bằng cách sao chép (Catch) hoặc lưu trữ nội dung trên nhiều máy chủ và lấy dữ liệu từ PoP gần nhất để trả về cho người dùng. CDN được biết đến với khả năng kết nối khổng lồ và quy mô thiết kế trong phân phối lưu lượng truy cập. CDNDilution về cơ bản là phương thức sử dụng công nghệ băng thông khổng lồ, bằng cách này, CDNDilution có thể giải quyết triệt để các sự cố làm tắc nghẽn băng thông Website, do các đột biến bất ngờ về lưu lượng truy cập Web.

Các máy chủ CDN Edge Servers hoạt động như một proxy phân phối data nhanh chóng đến các ứng dụng website nhanh nhất. Tất cả các yêu cầu truy cập Website sẽ được xử lý thông qua các máy chủ CDN Edge Servers này, những lưu truy cập bất hợp pháp sẽ được lọc và loại bỏ trước khi gửi đến máy nguồn. CDN Dilution cung cấp một phương pháp bảo vệ toàn diện và tốt nhất cho hệ thống Website của bạn khỏi những cuộc tấn công DdoS vì:

  • Các máy chủ CDN Edge Servers là ứng dụng cảm ứng ngữ cảnh (dễ dàng phát hiện lưu lượng truy cập Website bất thường)
  • Các máy chủ này có giao thức truyền tải siêu văn bản HTTP -  là giao thức truyền tải được sử dụng để truyền tải dữ liệu giữa Web server đến các trình duyệt Website và ngược lại. 
  • CDN Edge Servers luôn luôn ở trạng thái mở và không mất thời gian vận hành.

Tuy nhiên, CDN Dilution chỉ áp dụng được với các trình ứng dụng website, trường hợp bạn đang sử dụng giao thức TCP/UDP đã đăng ký độc quyền, thì CDN Dilution sẽ không thể giúp được gì cho mạng lưới hệ thống của bạn.

3. Phương pháp chống DDoS Website bằng Anti-DDoS Proxy

Nếu bạn đang chạy các tầng ứng dụng TCP hay UDP liên quan đến Máy Chủ Website, các dịch vụ Game, các giao thức truy cập máy chủ từ xa (SSH) hay hệ thống giao thức nhận và truyền tải dữ liệu trong email của người dùng (SMTP),… thì mọi truy cập sẽ được hiển thị thông qua các ports (cổng mở). 

Điều này có nghĩa là, những kẻ tấn công Ddos có thể tận dụng các kẽ hở này để thực hiện việc tấn công, bằng cách sử dụng một lượng truy cập lớn xuất phát từ khắp nơi trên toàn thế giới, để truy cập vào website cùng lúc với người dùng hợp pháp, và cũng có thể chúng đang rình mò những dữ liệu quan trọng của doanh nghiệp, không được mã hóa. 

Vậy chúng ta làm gì để ngăn chặn các tấn công này? Bởi chúng ta không thể chặn một IP nào đó đến website của chúng ta, chỉ vì chúng đáng ngờ. 

Các nhà cung cấp MSSP và CDN nhìn thấy được nhu cầu về một kiến trúc bảo mật giúp ngăn chặn các cuộc tấn công DDoS, nên đã thực hiện xây dựng TCP/UDP proxy đảo ngược trong cơ sở hạ tầng DDoS hiện tại, từ đó cung cấp một lớp bảo vệ cho tầng ứng dụng TCP/UDP.

Anti-DDoS Proxy hoạt động tương tự như Mạng lưới phân tải nội dung (CDN), các gói (packets) sẽ được gửi tới proxy đảo ngược, từ đó lọc ra những lưu lượng độc hại. 

Ưu điểm của Anti-DDoS Proxy:

  • Luôn luôn ở trạng thái mở và không mất thời gian vận hành.
  • Mô hình bảo mật tốt (chỉ cho phép những cổng (ports) được xác định có quyền truy cập thay vì mở tất cả các cổng).
  • Có khả năng chống lại những cuộc tấn công DdoS Slow - một kiểu tấn công DoS hoặc DDoS dựa trên 1 luồng lưu lượng nhỏ rất chậm nhắm tới tài nguyên ứng dụng hoặc server mục tiêu. 

Nhược điểm của Anti-DDoS Proxy:

 Là IP nguồn sẽ thay đổi cho phần backend. Đây có thể là một vấn đề vô cùng nguy hiểm đối với một số ứng dụng, nhưng chúng ta không có cách nào để có được IP của khách truy cập thực sự.

Sự khác biệt giữa Clean Pipe, CDN Dilution và Anti-DDoS Proxy (TCP/UDP Proxy) là rất lớn. Mặc dù vậy, chúng không loại trừ hay gây mâu thuẫn với nhau, mà có thể bổ trợ nhau như một giải pháp tổng thể.

Ngoài 3 Phương pháp chống tấn công Ddos Website phổ biến được kể trên. Chúng ta còn có rất nhiều biện pháp khác để ngăn chặn và giảm thiểu các tấn công DdoS, nhưng không phải ai cũng biết áp dụng đúng cách.

Có vẻ tốn kém khi phải trả tiền cho các dịch vụ bảo vệ Website và ngăn chặn tấn công DDoS, nhưng việc website không được bảo vệ sẽ khiến các doanh nghiệp phải đối mặt với những rủi ro rất lớn như: tốn thời gian phục hồi website sau thảm họa tấn công web và làm suy giảm niềm tin của khách hàng đối với sản phẩm dịch vụ mà bạn đang cung cấp trên Website.

Hiện nay, việc chi tiền cho các dịch vụ giảm thiểu tấn công DDoS là điều không thể tránh khỏi, bất kể bạn là doanh nghiệp vừa hay nhỏ. Hầu hết các dịch vụ giảm thiểu tấn công DDoS đều thu phí doanh nghiệp theo gói dịch vụ cho dù cuộc tấn công có xảy ra hay không.

Tuy nhiên, đối với phương pháp CDN Dilution thì không như thế. Vì CDN Dilution được xây dựng dựa trên công nghệ CDN, nên các doanh nghiệp vẫn có thể tận dụng CDN để phân phối nội dung trên website được nhanh nhất tới người dùng, tăng trải nghiệm và chất lượng website. Bên cạnh việc ngăn chặn các cuộc tấn công DdoS bất ngờ hàng ngày.

Do đó, những gì mà doanh nghiệp cần làm đó là phân tích và lựa chọn giải pháp bảo vệ website phù hợp.

-------

𝐕𝐍𝐄𝐓𝐖𝐎𝐑𝐊

Website: https://vnetwork.vn

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789