(vnCloud.vn) Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ…

 DDOS là gì?

Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client).

DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn. Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ từ các client khác.

Cách phổ biến và cũng hay gặp nhất của tấn công DOS là khi một kẻ tấn công cố gắng làm “ngập lụt: mạng của bạn bằng cách gởi những dòng dữ liệu lớn tới mạng hay máy chủ website của bạn. Khi bạn gõ một URL của một website cụ thể vào trình duyệt, bạn sẽ gởi một yêu cầu tới máy chủ của website đó để xem nội dung trang web. Máy chủ web chỉ có thể xử lý một số yêu cầu cùng một lúc, như vậy nếu như một kẻ tấn công gởi quá nhiều các yêu cầu để làm cho máy chủ đó bị quá tải và nó sẽ không thể xử lý các yêu cầu khác của bạn. Đây chính là một cuốc tấn công “từ chối dịch vụ” vì bạn không thể truy cập vào trang web hay dịch vụ đó nữa.

Quy trình thực hiện tấn công DDOS

1. Xây dựng nguồn lực

Những kẻ tấn công xây dựng mạng lưới các máy tính bị lây nhiễm, được gọi là ‘botnet’, bằng cách lây lan phần mềm độc hại qua email, trang web và phương tiện truyền thông xã hội.
Khi bị nhiễm bệnh, những máy này có thể được điều khiển từ xa, mà không có sự nhận biết của chủ sở hữu và sử dụng như một đội quân để khởi động cuộc tấn công chống lại bất kỳ mục tiêu nào trên internet.
Một số botnet là hàng triệu máy có đường truyền mạnh.

2. Phát động tấn công

Botnet có thể gây ra tình trạng ngập lụt hệ thống bằng lưu lượng truy cập để áp đảo mục tiêu mà chúng ta có thuật ngữ FLOOD. FLOOD có thể được tạo ra theo nhiều cách, chẳng hạn như gửi yêu cầu kết nối nhiều hơn một máy chủ có thể xử lý, hoặc có máy tính gửi các nạn nhân số lượng lớn dữ liệu ngẫu nhiên để sử dụng băng thông của mục tiêu. Một số cuộc tấn công là quá lớn, chúng có thể làm quá tải năng lực cáp quốc tế của một quốc gia.

3. Hoạt động thầm lặng

Một số các chợ online chuyên biệt tồn tại để mua và bán botnet hoặc các cuộc tấn công DDoS mang tính cá nhân. Sử dụng những thị trường ngầm này, bất cứ ai có thể trả một khoản phí danh nghĩa để nhấn chìm các trang web mà họ không muốn tồn tại hoặc làm gián đoạn các hoạt động trực tuyến của tổ chức. Một cuộc tấn công DDoS kéo dài một tuần, có khả năng tham gia một tổ chức nhỏ ngoại tuyến có thể tốn kém đến 150 đô la.

Các hình thức tấn công DDOS cơ bản

1. Smurfs

2. Teardrops

3. Pings of Death

Các loại tấn công DDOS thông dụng

1. Các cuộc tấn công sử dụng kết nối TCP

Các cuộc tấn công sử dụng kết nối TCP – còn gọi là hình thức chiếm hữu không tải, tức là chiếm hữu khả năng cung cấp kết nối TCP nhưng không sử dụng. Đây là hình thức cố gắng sử dụng tất cả các kết nối có sẵn cho các thiết bị cơ sở hạ tầng như cân bằng tải, tường lửa và các máy chủ ứng dụng. Ngay cả các thiết bị có khả năng duy trì trạng thái trên hàng triệu kết nối có thể được đưa xuống bởi những cuộc tấn công.

2. Volumetric Attacks – Using up bandwidth

Hình thức chiếm ưu thế băng thông
Các nỗ lực này tiêu tốn băng thông trong mạng / dịch vụ mục tiêu, hoặc giữa mạng đích / dịch vụ và phần còn lại của Internet. Những vụ tấn công này chỉ đơn giản là gây tắc nghẽn hệ thống về mặt lưu lượng…

3. Fragmentation Attacks – Pieces of packet

Các vụ tấn công phân mảnh dữ liệu
Các gói tin Chúng gửi một lượng lớn các đoạn TCP hoặc UDP đến nạn nhân nhưng rời rạc, phi tuyến tính, nạn nhân cụ thể là hệ điều hành sẽ phải chơi trò chơi ghép hình các gói tin rời rạc để cố gắng tìm một nội dung của dữ liệu, việc cố gắng này là trì trệ hệ thống hoặc giảm hiệu suất mạng.

4. Application Attacks – Targeting applications

Tấn công nhắm mục tiêu ứng dụng
Đây là những nỗ lực áp đảo một khía cạnh cụ thể của một ứng dụng hoặc dịch vụ và có thể hiệu quả ngay cả với rất ít máy tấn công tạo ra một tỷ lệ lưu lượng truy cập thấp (làm cho họ khó phát hiện và giảm nhẹ). Hình thức này là một hình thức mới khi mà thời đại ngày ngay các ứng dung cloud đang phổ biến, không tốn nhiêu tài nguyên, chỉ cần làm tê liệt một service trong một chuỗi các ứng dụng liên quan, kẻ chủ mưu có thể làm gián đoạn toàn bộ dịch vụ

Quy trình chống DDOS cơ bản

Sơ đồ hoạt động tổng quát, dành cho khách hàng không am hiểu kỹ thuật

Sơ đồ chi tiết dành cho khách hàng cần hiểu rõ thêm về các thức hoạt động.

• Mỗi một cụm chống ddos được mô tả như hình bên trên, proxy triển khai sẽ được cấu hình gần với vi trí backend nhất của khách hàng hoặc mức độ ddos hoặc yêu cầu về băng thông cho truy cập quốc tế.
• Firewall hỗ trợ các tính năng
  • Chống synflood
  • UDP flood
  • TCP flood
  • Rate limit
  • WhitelistIP
  • Blacklist IP
• Proxy hỗ trợ các tinh năng chính.
  • Cache image, static resource nhu js, css giảm latency và giảm traffic cho  backend
  • Dynamic cache tự động tối ưu hóa nội dung CSS, JS theo recommend của google pagespeed.
  • Các tinh năng block linh hoạt theo IP, theo agent, theo referrer, theo URI
  • Bypass traffic liên quan tới facebook,google, các dịch vụ tracking backlink liên qua tới SEO như ahrefs.
  • Hỗ trợ chứng thực user/password cho các URI cần truy cập nội bộ kèm white list IP address IP truy cập đầu vào.
  • Layer 7 botnet blocker, chức năng như là application firewall hoạt đông ở chế độ active mode, tức là không chặn IP nhưng có xác nhận người máy trong lần đầu truy cập.

Quy trình chống ddos cơ bản

• Khách hàng cung cấp IP backend và domain web cần chạy.
• Đối với ứng dụng TCP/UDP qua proxy, khách hàng cung cấp port ứng dụng.
• vnCloud sẽ cấu hình trên hệ thống và cung cấp IP ADDESS của proxy cho khách hàng
• Khách hàng trỏ A record domain của quý khách vào IP proxy được cung cấp qua email.
• vnCloud hỗ trợ domain chính và subdomain Nếu có nhu cầu cho các sub domain khách, quý khách vui long đăng ký thêm addon domain
• Hoàn thành quy trình triển khai.
• vnCloud sẽ monitor traffic và tự động block các request botnet và flood traffic
• Khách hàng có thể cung cấp IP cong ty hoặc các IP có nguồn truy cập nhiều từ một IP để Antiddos whitelist IP tránh việc filter rate request. Trong trường hợp không có IP tĩnh nhưng truy cập nhiều từ một IP, Antiddos sẽ update cơ chế chứng thực người máy, tăng rate request từ một IP client

Một số lưu ý khi sử dụng dịch vụ Antiddos.

• Vì lí do vnCloud là proxy trung gian để nhận và đẩy request xuống máy chủ của khách hàng nên log access của nginx/apache sẽ luôn là IP của proxy, để xử lí việc này, quý khách có thể add dòng cấu hình sau vào config của nginx để log ghi nhận ip thật

real_ip_header X-Real-IP;

set_real_ip_from 103.63.212.0/24;

• Phần souce code nếu xử lí để lấy IP real của khách hàng, quý khách phải chính sửa header để lấy được IP thật, sau đây là đoạn code minh hoa cho php, đoạn code này quý khác đặt ở đầu file index.php
• Đối với TCP/UDP proxy thì việc lấy realIP khách hàng phải implement function lấy realIP từ ứng dụng đầu cuối và gửi vào server backend.

if (isset($_SERVER[“‘HTTP_X_REAL_IP'”])) {

$_SERVER[‘REMOTE_ADDR’] = $_SERVER[“HTTP_X_REAL_IP”];

}

• vnCloud tính số request dựa vào hai hệ thống.
• Hệ thống layer 3 ( chỉ cung cấp dạng CSDL hình ảnh cho KH).
• Hệ thống layer 7. Khách hàng có thể chủ đông xem report traffic vào hệ thống như hình bên dưới.
• Việc tính toán total request sẽ dựa trên chỉ số ddos layer 3 (nếu bị ddos layer 3) hoặc chỉ số layer 7 (nếu bị ddos layer 7 ) hoặc là sự kết hợp cả hai giá trị trong trường hợp KH bị ddos hỗn hợp.

Dữ liệu về traffic được reset hằng ngày vào thời điểm cố định.

ST.