Phòng chống Dos và DDos thực tế ra sao?

DiepNV88 · 24/04/2019

Dos và DDos là chủ đề khá cũ nhưng vẫn là phương thức tấn công dễ thực hiện nhất và gây ra nhiều thiệt hại cho các cá nhân, doanh nghiệp có cơ sở hạ tầng bị tấn công.

Để phòng chống được tấn công Dos và DDos chúng ta cần hiểu cách thức hoạt động của nó như thế nào từ đó lựa chọn giải pháp tốt nhất cho hệ thống thông tin của mình.

Dos ra đời sớm và dễ thực hiện nhất, phương thức tấn công chủ yếu là thực hiện những request độc hại tới victim (webserver, game_server, database server, file server...) khiến cho victim cạn kiệt tài nguyên về băng thông mạng, tài nguyên server (ram,cpu, ổ cứng). Việc tấn công trên đôi khi dựa trên exploits tồn tại trên máy chủ như dòng win2k3, winxp.
Việc tấn công Dos dựa được thực hiện tại lớp 3 hoặc lớp 7 mô hình mạng OSI trong đó tấn công lớp 3 chủ yếu làm cạn kiệt băng thông của victim việc tấn công này cũng dựa trên khai thác các exploits để tạo ra lượng traffic khổng lồ request tới victim trong thời gian dài khiến dịch vụ mạng của victim bị đình trệ.

Trong các exploits bị lợi dụng nhiều nhất là các server dịch vụ NTP (Network Time Protocol – Giao thức đồng bộ thời gian mạng) đây là dịch vụ phổ biến dùng đồng bộ thời gian trên các máy chủ linux, unix.

Hacker thực hiện những request nhỏ gửi tới server NTP và nó sẽ sinh ra một danh sách gói tin với kích thước lớn hơn rất nhiều so với request ban đầu. Các request được gửi đi từ máy của hacker nhưng Source IP sẽ bị sửa để chỉ đến địa chỉ IP của victim. Cứ như vậy NTP server trả các response là những gói tin lơn về cho victim, trong khi máy này không hề gửi đi bất kỳ request nào khiến victim ngập băng thông mạng gây tắc nghẽn với những request hợp lệ.

Với tấn công Dos lớp 7 Hacker sẽ thực hiện những request độc hại liên tục đến cổng dịch vụ (Web, DNS..) của victim khiến chúng cạn kiện tài nguyên như cpu, ram, ổ cứng hoặc service bị treo dẫn đến đình trệ không xử lý được những request tốt khác.

Phương thức tấn công lớp 7 bao gồm POST (Slowloris) hoặc GET (HTTP GET) và mục tiêu sẽ liên tục nhận được những request với số lượng lớn khiến các sevice như webserver sẽ bị quá tải gây gián đoạn dịch vụ. Phương thức tấn công này thực hiện khá đơn giản và hiệu quả hơn so với tấn công lớp 3 do khi tấn công sử dụng ít tài nguyên và số lượng tool có sẵn khá nhiều.

Với tấn công DDos chỉ khác ở chỗ số lượng máy tấn công tới mục tiêu khá nhiều nên việc ngăn chặn sẽ khó khăn hơn. Ví dụ thay vì 1 sử dụng 1 máy chủ NTP để Dos ta có thể sử dụng nhiều máy chủ NTP hơn để tăng độ hiệu quả.

Trên đây là một chút kiến thức về tấn công Dos, DDos phổ biến hiện nay.

Phòng chống Dos, DDos là gì: đây là câu hỏi của bất cứ một quản trị mạng nào đang quản lý các dịch vụ online.

Phòng chống Dos và DDos không chỉ là việc của các anh quản trị mạng hay các công ty an ninh mạng mà đó là trách nhiệm của mỗi người dùng internet, việc sử dụng phần mềm crack hiện nay quá phổ biến, hàng ngày luôn có những câu hỏi hay newfeed về việc tìm và download phần mềm crack để sử dụng. Đây là nguyên nhân chính tiếp tay cho hacker xây dựng được những mạng Botnet khổng lồ có thể đánh sập bất cứ hạ tầng IT của tổ chức nào.
Nâng cao ý thức của người dùng internet cũng là vấn đề cốt lõi. Hacker là một danh từ nói về những chuyên gia IT có kiến thức sâu về một lĩnh vực nào đó trong ngành IT (exploit, Malware, network....) nhưng cụm từ này đang bị các bạn trẻ lạm dụng tự xưng cho mình và để tự xưng danh đó các bạn lên mạng tìm kiếm download tool về thực hiện những vụ tấn công vô bổ sau đó khoe mẽ thành tích và dán mác hacker cho mình trên Facebook. Đây cũng là nguyên nhân xảy ra nhiều vụ ddos nhỏ lẻ khiến các các nhân doanh nghiệp đau đầu.
Nâng cao ý thức cạnh tranh giữa các cá nhân và doanh nghiệp. Việc sử dụng các công cụ tấn công triệt hạ đối thủ không còn hiếm giữ các đơn vị kinh doanh online trên môi trường internet. Mỗi cá nhân khi làm hệ thống nên tuân thủ những nguyên tắc nhất định để tránh tiếp tay cho những đối tượng xấu lợi dụng công nghệ cạnh tranh bẩn gây mất an ninh trên môi trường mạng.
Giáo dục an ninh mạng trong mỗi ngôi trường cần nâng cao ý thức học sinh, sinh viên vì đây là nguyên nhân và đối tượng có kiến thức sẽ tham gia vào các hoạt động trên môi trường internet.
Luật an ninh mạng đã được thông qua: Những cá nhân tổ chức có hành vi tấn công gây ảnh hưởng thiệt hại tới hệ thống thông tin của tổ chức cá nhân khác sẽ bị nhận hình phạt thích đáng do thiệt hại mình gậy ra. Đây cũng là một cách để răn đe cũng như ngăn chặn sớm các chủ ý tấn công sắp diễn ra trong tương lai.

Trên đây là một số phương pháp phòng chống các cuộc tấn công DDos vậy thực tế khi bị tấn công chúng ta cần chống như thế nào?

Bạn chưa có nhiều kinh nghiệm trong lĩnh vực này? mình cũng vậy nên việc học hỏi trao đổi kiến thức thường xuyên khá quan trọng và chúng ta cần nghiêm túc thực hiện.

Với những cá nhân nhỏ lẻ sở hữu website bán hàng việc trang bị một hệ thống riêng để bảo vệ website của mình sẽ khá tốn kém. Vì bản chất tấn công DDos là đánh vào tài nguyên nên những bạn đặt website trên share hosting sẽ bị thiệt hại nhanh và nhiều nhất. Bản chất của share hosting là dịch vụ chạy nhiều website trên 1 server quản lý bởi công cụ như cpanel. Khi dùng dịch vụ này bạn nên chọn gói full băng thông để tránh trường hợp website bị dos dai dẳng hết băng thông web tự ngừng hoạt động.

Ngoài ra những nhà cung cấp dịch vụ hosting thường có gói chống ddos kèm theo nếu website của bạn thường xuyên bị tấn công thì nên sử dụng dịch vụ này. Mình cũng gặp trường hợp nhà cung cấp hosting từ chối cung cấp dịch vụ cho các website thường xuyên bị tấn công do gây ảnh hưởng các site khác trên share hosting đó.

Với các bạn đang chạy website trên VPS riêng thì tốt nhất nên chọn máy chủ linux việc cài đặt khá dễ dàng bạn có thể nhờ support bên cung cấp deloy hộ nếu không có kiến thức. Vâng việc chống DDos lúc nào cũng liên quan đến hạ tầng nên việc bỏ chi phí ra để bảo vệ webiste là việc không tránh khỏi.

Nhiều bạn hỏi mình không có kiến thức về IT cũng không có kinh phí để thuê phòng chống DDos cho webiste của mình. Câu trả lời là các bạn nên chọn nhà cung cấp VPS hosting nào có dịch vụ support tốt nhất vì nếu không có kiến thức thì có hướng dẫn các bạn cũng không thể thực hiện kỹ thuật được.

Website chạy VPS hay server riêng cũng không khác nhau nếu VPS của bạn không đủ đáp ứng được lưu lượng truy cập bạn nên tăng băng thông và cấu hình lên việc này cũng có thể áp dụng với server bằng cách nâng cấp phần cứng.

Vậy tại sao nên chọn VPS để chống tấn công DDos hiệu quả. Lý do đầu tiên là việc nâng cấp phần cứng cũng như băng thông khá dễ dàng do nhà cung cấp đã hỗ trợ mềm trong giao diện quản lý VPS.

Nếu dùng VPS linux bạn đã có sẵn tường lửa Iptables là công cụ chặn tấn công khá tốt, để chặn tấn công chúng ta cần xác định ip tấn công nếu là vụ tấn công nhỏ lẻ số lượng ip sẽ không quá nhiều và có thể chặn được bằng cách thủ công.

Cụ thể khi website có dấu hiệu down chúng ta cần xác định kiểu tấn công vào server là lọai gì:

Kiểm tra băng thông: sử dụng một số công cụ kiểm tra traffic linux để xác định xem băng thông có bình thường không. Việc cài các công cụ trên cần làm trước khi tấn công diễn ra, các bạn có thể lựa chọn một công cụ phù hợp mới mình nhất để cần có thể thao tác nhanh.
Nếu xác định card mạng bị full băng thông có thể xác định đây là kiểu tấn công lớp 3 xử lý bằng cách nhờ bên cung cấp dịch vụ hỗ trợ xác đinh và chặn ip tấn công đây là cách xử lý tạm thời còn lâu dài nên sử dụng cloudflare để đảm bảo dịch vụ thông suốt.
Kiểm tra log http bằng command
Mã:
```
tail -f http.log
```
sau đó quan sát log theo thời gian thực để tách ra những ip đang tấn công và dùng iptable chặn
Mã:
```
iptables -A INPUT -s IP_ADDRESS -j DROP
```
Để nhận biết các ip tấn công trong trường hợp này bạn cần chú ý tới tần số requets và địa chỉ mà ip trỏ tới trong log. Log tấn công thường có dạng:
Mã:
```
"GET /?/1.1"200
```
hoặc như hình dưới.

Với các doanh nghiệp lớn có nhiều server website nên sử dụng các giải pháp toàn diện như trang bị firewall để bảo vệ thời gian thực cho dịch vụ chạy phía sau. Ngoài ra cần hỗ trợ đào tạo nhân lực công nghệ thông tin nâng cao kiến thức để có thể xử lý kịp thời các tình huống tấn công một cách nhanh nhất giảm thiểu tổn thất.

Với kinh nghiệp chia sẻ ít ỏi của mình hy vọng các bạn có thêm chút kiến thức để phòng chống DDos cho hạ tầng thông tin đang quản lý.

CỘNG ĐỒNG AN NINH MẠNG VIỆT NAM

Phòng chống Dos và DDos thực tế ra sao?

DiepNV88

VIP Members

Phòng chống Dos và DDos thực tế ra sao?

DiepNV88

VIP Members

Số người đang xem

Thống kê diễn đàn