Phòng chống Dos và DDos thực tế ra sao?

Thảo luận trong 'Dos/DDOS' bắt đầu bởi DiepNV88, 24/04/19, 11:04 AM.

  1. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,520
    Đã được thích: 326
    Điểm thành tích:
    83
    Dos và DDos là chủ đề khá cũ nhưng vẫn là phương thức tấn công dễ thực hiện nhất và gây ra nhiều thiệt hại cho các cá nhân, doanh nghiệp có cơ sở hạ tầng bị tấn công.

    ddos.jpg

    Để phòng chống được tấn công Dos và DDos chúng ta cần hiểu cách thức hoạt động của nó như thế nào từ đó lựa chọn giải pháp tốt nhất cho hệ thống thông tin của mình.
    Dos ra đời sớm và dễ thực hiện nhất, phương thức tấn công chủ yếu là thực hiện những request độc hại tới victim (webserver, game_server, database server, file server...) khiến cho victim cạn kiệt tài nguyên về băng thông mạng, tài nguyên server (ram,cpu, ổ cứng). Việc tấn công trên đôi khi dựa trên exploits tồn tại trên máy chủ như dòng win2k3, winxp.
    Việc tấn công Dos dựa được thực hiện tại lớp 3 hoặc lớp 7 mô hình mạng OSI trong đó tấn công lớp 3 chủ yếu làm cạn kiệt băng thông của victim việc tấn công này cũng dựa trên khai thác các exploits để tạo ra lượng traffic khổng lồ request tới victim trong thời gian dài khiến dịch vụ mạng của victim bị đình trệ.

    OSI.png

    Trong các exploits bị lợi dụng nhiều nhất là các server dịch vụ NTP (Network Time Protocol – Giao thức đồng bộ thời gian mạng) đây là dịch vụ phổ biến dùng đồng bộ thời gian trên các máy chủ linux, unix.

    hping3.png

    Hacker thực hiện những request nhỏ gửi tới server NTP và nó sẽ sinh ra một danh sách gói tin với kích thước lớn hơn rất nhiều so với request ban đầu. Các request được gửi đi từ máy của hacker nhưng Source IP sẽ bị sửa để chỉ đến địa chỉ IP của victim. Cứ như vậy NTP server trả các response là những gói tin lơn về cho victim, trong khi máy này không hề gửi đi bất kỳ request nào khiến victim ngập băng thông mạng gây tắc nghẽn với những request hợp lệ.

    ntp.png

    Với tấn công Dos lớp 7 Hacker sẽ thực hiện những request độc hại liên tục đến cổng dịch vụ (Web, DNS..) của victim khiến chúng cạn kiện tài nguyên như cpu, ram, ổ cứng hoặc service bị treo dẫn đến đình trệ không xử lý được những request tốt khác.

    attack-log.png

    Phương thức tấn công lớp 7 bao gồm POST (Slowloris) hoặc GET (HTTP GET) và mục tiêu sẽ liên tục nhận được những request với số lượng lớn khiến các sevice như webserver sẽ bị quá tải gây gián đoạn dịch vụ. Phương thức tấn công này thực hiện khá đơn giản và hiệu quả hơn so với tấn công lớp 3 do khi tấn công sử dụng ít tài nguyên và số lượng tool có sẵn khá nhiều.

    Với tấn công DDos chỉ khác ở chỗ số lượng máy tấn công tới mục tiêu khá nhiều nên việc ngăn chặn sẽ khó khăn hơn. Ví dụ thay vì 1 sử dụng 1 máy chủ NTP để Dos ta có thể sử dụng nhiều máy chủ NTP hơn để tăng độ hiệu quả.
    Trên đây là một chút kiến thức về tấn công Dos, DDos phổ biến hiện nay.


    Phòng chống Dos, DDos là gì: đây là câu hỏi của bất cứ một quản trị mạng nào đang quản lý các dịch vụ online.

    protect.jpg

    • Phòng chống Dos và DDos không chỉ là việc của các anh quản trị mạng hay các công ty an ninh mạng mà đó là trách nhiệm của mỗi người dùng internet, việc sử dụng phần mềm crack hiện nay quá phổ biến, hàng ngày luôn có những câu hỏi hay newfeed về việc tìm và download phần mềm crack để sử dụng. Đây là nguyên nhân chính tiếp tay cho hacker xây dựng được những mạng Botnet khổng lồ có thể đánh sập bất cứ hạ tầng IT của tổ chức nào.
    • Nâng cao ý thức của người dùng internet cũng là vấn đề cốt lõi. Hacker là một danh từ nói về những chuyên gia IT có kiến thức sâu về một lĩnh vực nào đó trong ngành IT (exploit, Malware, network....) nhưng cụm từ này đang bị các bạn trẻ lạm dụng tự xưng cho mình và để tự xưng danh đó các bạn lên mạng tìm kiếm download tool về thực hiện những vụ tấn công vô bổ sau đó khoe mẽ thành tích và dán mác hacker cho mình trên Facebook. Đây cũng là nguyên nhân xảy ra nhiều vụ ddos nhỏ lẻ khiến các các nhân doanh nghiệp đau đầu.
    • Nâng cao ý thức cạnh tranh giữa các cá nhân và doanh nghiệp. Việc sử dụng các công cụ tấn công triệt hạ đối thủ không còn hiếm giữ các đơn vị kinh doanh online trên môi trường internet. Mỗi cá nhân khi làm hệ thống nên tuân thủ những nguyên tắc nhất định để tránh tiếp tay cho những đối tượng xấu lợi dụng công nghệ cạnh tranh bẩn gây mất an ninh trên môi trường mạng.
    • Giáo dục an ninh mạng trong mỗi ngôi trường cần nâng cao ý thức học sinh, sinh viên vì đây là nguyên nhân và đối tượng có kiến thức sẽ tham gia vào các hoạt động trên môi trường internet.
    • Luật an ninh mạng đã được thông qua: Những cá nhân tổ chức có hành vi tấn công gây ảnh hưởng thiệt hại tới hệ thống thông tin của tổ chức cá nhân khác sẽ bị nhận hình phạt thích đáng do thiệt hại mình gậy ra. Đây cũng là một cách để răn đe cũng như ngăn chặn sớm các chủ ý tấn công sắp diễn ra trong tương lai.
    Trên đây là một số phương pháp phòng chống các cuộc tấn công DDos vậy thực tế khi bị tấn công chúng ta cần chống như thế nào?
    Bạn chưa có nhiều kinh nghiệm trong lĩnh vực này? mình cũng vậy nên việc học hỏi trao đổi kiến thức thường xuyên khá quan trọng và chúng ta cần nghiêm túc thực hiện.
    • Với những cá nhân nhỏ lẻ sở hữu website bán hàng việc trang bị một hệ thống riêng để bảo vệ website của mình sẽ khá tốn kém. Vì bản chất tấn công DDos là đánh vào tài nguyên nên những bạn đặt website trên share hosting sẽ bị thiệt hại nhanh và nhiều nhất. Bản chất của share hosting là dịch vụ chạy nhiều website trên 1 server quản lý bởi công cụ như cpanel. Khi dùng dịch vụ này bạn nên chọn gói full băng thông để tránh trường hợp website bị dos dai dẳng hết băng thông web tự ngừng hoạt động.
    cpanel.png

    Ngoài ra những nhà cung cấp dịch vụ hosting thường có gói chống ddos kèm theo nếu website của bạn thường xuyên bị tấn công thì nên sử dụng dịch vụ này. Mình cũng gặp trường hợp nhà cung cấp hosting từ chối cung cấp dịch vụ cho các website thường xuyên bị tấn công do gây ảnh hưởng các site khác trên share hosting đó.
    • Với các bạn đang chạy website trên VPS riêng thì tốt nhất nên chọn máy chủ linux việc cài đặt khá dễ dàng bạn có thể nhờ support bên cung cấp deloy hộ nếu không có kiến thức. Vâng việc chống DDos lúc nào cũng liên quan đến hạ tầng nên việc bỏ chi phí ra để bảo vệ webiste là việc không tránh khỏi.
    Nhiều bạn hỏi mình không có kiến thức về IT cũng không có kinh phí để thuê phòng chống DDos cho webiste của mình. Câu trả lời là các bạn nên chọn nhà cung cấp VPS hosting nào có dịch vụ support tốt nhất vì nếu không có kiến thức thì có hướng dẫn các bạn cũng không thể thực hiện kỹ thuật được.
    • Website chạy VPS hay server riêng cũng không khác nhau nếu VPS của bạn không đủ đáp ứng được lưu lượng truy cập bạn nên tăng băng thông và cấu hình lên việc này cũng có thể áp dụng với server bằng cách nâng cấp phần cứng.
    Vậy tại sao nên chọn VPS để chống tấn công DDos hiệu quả. Lý do đầu tiên là việc nâng cấp phần cứng cũng như băng thông khá dễ dàng do nhà cung cấp đã hỗ trợ mềm trong giao diện quản lý VPS.
    Nếu dùng VPS linux bạn đã có sẵn tường lửa Iptables là công cụ chặn tấn công khá tốt, để chặn tấn công chúng ta cần xác định ip tấn công nếu là vụ tấn công nhỏ lẻ số lượng ip sẽ không quá nhiều và có thể chặn được bằng cách thủ công.
    Cụ thể khi website có dấu hiệu down chúng ta cần xác định kiểu tấn công vào server là lọa gì:
    • Kiểm tra băng thông: sử dụng một số công cụ kiểm tra traffic linux để xác định xem băng thông có bình thường không. Việc cài các công cụ trên cần làm trước khi tấn công diễn ra, các bạn có thể lựa chọn một công cụ phù hợp mới mình nhất để cần có thể thao tác nhanh.
    Nếu xác định card mạng bị full băng thông có thể xác định đây là kiểu tấn công lớp 3 xử lý bằng cách nhờ bên cung cấp dịch vụ hỗ trợ xác đinh và chặn ip tấn công đây là cách xử lý tạm thời còn lâu dài nên sử dụng cloudflare để đảm bảo dịch vụ thông suốt.

    Kiểm tra log http bằng command
    Mã:
    tail -f http.log
    sau đó quan sát log theo thời gian thực để tách ra những ip đang tấn công và dùng iptable chặn
    Mã:
    iptables -A INPUT -s IP_ADDRESS -j DROP
    Để nhận biết các ip tấn công trong trường hợp này bạn cần chú ý tới tần số requets và địa chỉ mà ip trỏ tới trong log. Log tấn công thường có dạng:
    Mã:
    "GET /?/1.1"200
    hoặc như hình dưới.

    log ddos http.png
    • Với các doanh nghiệp lớn có nhiều server website nên sử dụng các giải pháp toàn diện như trang bị firewall để bảo vệ thời gian thực cho dịch vụ chạy phía sau. Ngoài ra cần hỗ trợ đào tạo nhân lực công nghệ thông tin nâng cao kiến thức để có thể xử lý kịp thời các tình huống tấn công một cách nhanh nhất giảm thiểu tổn thất.
    Với kinh nghiệp chia sẻ ít ỏi của mình hy vọng các bạn có thêm chút kiến thức để phòng chống DDos cho hạ tầng thông tin đang quản lý.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    youtube, hungp, sunny and 1 other person like this.