Xem phần 1: Tấn công DDoS là gì & phần 2: Các kiểu tấn công DDoS.
Điểm trọng tâm trong việc giảm thiểu một cuộc tấn công DDoS đó là phân biệt giữa lưu lượng tấn công (attack traffic) và lưu lượng thông thường (normal traffic).
Ví dụ: nếu trang web dành cho bản phát hành sản phẩm mới của công ty nhận được lưu lượng truy cập lớn từ những khách hàng đang háo hức, thì việc cắt hết lưu lượng là một sai lầm nghiêm trọng. Tuy nhiên nếu công ty đó đột nhiên có lưu lượng truy cập tăng vọt từ những kẻ tấn công đã xác định, những nỗ lực để giảm bớt cuộc tấn công đó có lẽ là cần thiết.
Khó khăn nằm ở việc phân biệt khách hàng thực trong tổng lưu lượng truy cập vào website.
Trong thế giới Internet hiện đại, lưu lượng DDoS có nhiều dạng thức. Lưu lượng truy cập có thể khác nhau về thiết kế từ các cuộc tấn công nguồn đơn không giả mạo đến các cuộc tấn công đa vectơ phức tạp và thích ứng.
Một cuộc tấn công DDoS đa vectơ sử dụng nhiều con đường tấn công để áp đảo (gây quá tải) mục tiêu theo những cách khác nhau, có khả năng làm mất tập trung các nỗ lực giảm thiểu,c hống trả trên bất kỳ quỹ đạo nào.
Một cuộc tấn công nhắm mục tiêu vào nhiều lớp của ngăn xếp giao thức cùng một lúc, chẳng hạn như khuếch đại DNS (nhắm mục tiêu lớp 3/4) cùng với một cuộc tổng tấn công HTTP (nhắm mục tiêu lớp 7) là một ví dụ về tấn công DDoS đa vectơ.
Giảm thiểu một cuộc tấn công DDoS đa vectơ đòi hỏi nhiều chiến lược khác nhau để chống lại các quỹ đạo khác nhau.
Nói chung, cuộc tấn công càng phức tạp thì càng có nhiều khả năng là lưu lượng tấn công sẽ khó tách khỏi lưu lượng thông thường – mục tiêu của kẻ tấn công là hòa nhập càng nhiều càng tốt, khiến các nỗ lực giảm thiểu càng kém hiệu quả càng tốt.
Các nỗ lực giảm thiểu liên quan đến việc giảm hoặc hạn chế lưu lượng truy cập một cách bừa bãi, không tính toán có thể gây ra hậu quả tai hại là: loại bỏ lưu lượng truy cập tốt với lưu lượng xấu, và cuộc tấn công cũng có thể sửa đổi và thích ứng với các biện pháp đối phó. Để vượt qua một nỗ lực phức tạp về sự gián đoạn, một giải pháp phân lớp sẽ mang lại lợi ích lớn nhất.
Định tuyến lỗ đen
Một giải pháp có sẵn cho hầu như tất cả các quản trị viên mạng là tạo một tuyến lỗ đen (blackhole route) và chuyển lưu lượng truy cập vào tuyến đó. Ở dạng đơn giản nhất, khi lọc lỗ đen được triển khai mà không có tiêu chí hạn chế cụ thể, cả lưu lượng mạng hợp pháp và độc hại đều được chuyển đến một tuyến rỗng, hoặc lỗ đen và bị loại bỏ khỏi mạng.
Nếu một thành phần trên Internet đang gặp phải cuộc tấn công DDoS, nhà cung cấp dịch vụ Internet (ISP) của tài sản đó có thể gửi tất cả lưu lượng truy cập của trang web vào một lỗ đen để bảo vệ. Đây không phải là một giải pháp lý tưởng nhất, vì nó mang lại hiệu quả cho mục tiêu mong muốn của kẻ tấn công: nó làm cho mạng không thể truy cập được.
Giới hạn tỷ lệ
Giới hạn số lượng yêu cầu mà máy chủ sẽ chấp nhận trong một khoảng thời gian nhất định cũng là một cách để giảm thiểu các cuộc tấn công từ chối dịch vụ.
Mặc dù giới hạn tốc độ rất hữu ích trong việc làm chậm quá trình trình duyệt web ăn cắp nội dung và giảm thiểu các nỗ lực đăng nhập kiểu brute force, nhưng chỉ riêng nó thôi có thể sẽ không đủ toàn diện để xử lý một cuộc tấn công DDoS phức tạp một cách có hiệu quả.
Tuy nhiên, đặt ra các giới hạn là một thành phần thực sự hữu ích trong chiến lược giảm thiểu DDoS hiệu quả. Tìm hiểu về giới hạn tỷ lệ của Cloudflare (có thể tôi sẽ dịch sau).
Tường lửa ứng dụng web
Một Web Application Firewall (WAF / Tường lửa dành cho ứng dụng web) là một công cụ có thể hỗ trợ khả năng giảm thiểu tấn công DDoS vào lớp 7. Bằng cách đặt WAF nằm giữa Internet và máy chủ gốc, WAF có thể hoạt động như một proxy ngược, bảo vệ máy chủ được nhắm mục tiêu khỏi một số loại lưu lượng truy cập độc hại (malicious traffic).
Bằng cách lọc các yêu cầu (filtering requests) dựa trên một loạt các quy tắc được sử dụng để xác định các công cụ DDoS, các cuộc tấn công lớp 7 có thể bị cản trở. Một giá trị quan trọng của WAF được coi là hiệu quả đó là khả năng nhanh chóng triển khai các quy tắc tùy chỉnh để đáp ứng với một cuộc tấn công. Tìm hiểu về WAF của Cloudflare (có thể tôi sẽ dịch sau).
Khuếch tán qua mạng Anycast
Cách tiếp cận giảm thiểu này sử dụng mạng Anycast để phân tán lưu lượng tấn công qua hệ thống các máy chủ phân tán tới điểm mà lưu lượng truy cập được hệ thống mạng hấp thụ.
Giống như việc chuyển một dòng sông chảy xiết xuống các kênh nhỏ hơn riêng biệt, cách tiếp cận này chia nhỏ tác động của lưu lượng tấn công phân tán đến mức có thể quản lý được, khuếch tán mọi khả năng gây rối.
Độ tin cậy của mạng Anycast để giảm thiểu cuộc tấn công DDoS phụ thuộc vào quy mô của cuộc tấn công cũng như quy mô và hiệu quả của mạng chống lại nó. Một yếu tố quan trọng của việc giảm thiểu DDoS do Cloudflare triển khai là việc sử dụng mạng phân tán Anycast.
Cloudflare có mạng đạt đến tốc độ 51 Tbps, đây là mức độ lớn hơn cuộc tấn công DDoS lớn nhất được ghi nhận.
Nếu bạn hiện đang bị tấn công, có những bước bạn có thể thực hiện để thoát khỏi nó. Nếu bạn đã sử dụng Cloudflare, bạn có thể làm theo các bước sau để giảm thiểu cuộc tấn công của mình.
Bảo vệ DDoS mà chúng tôi triển khai tại Cloudflare là đa phương diện nhằm giảm thiểu nhiều vectơ tấn công có thể xảy ra. Bạn có thể chủ động tìm hiểu thêm về tính năng bảo vệ DDoS của Cloudflare và cách thức hoạt động của nó.
