Các phương pháp chống DDoS phổ biến nhất hiện nay

Clean Pipe là một trong những phương pháp chống DDoS phổ biến nhất so với ba phương pháp kia. Tất cả lưu lượng trước khi đến server phải đi qua một trung tâm làm sạch được gọi là “trung tâm lọc”. Tại đây các lưu lượng độc hại sẽ bị phát hiện và tách biệt. Từ đó, chỉ còn lại các lưu lượng hợp pháp được phép truy cập vào máy chủ.

Với sự gia tăng của các cuộc tấn công DDoS ngày nay, nhiều nhà cung cấp dịch vụ Internet (ISP) và các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) đã bắt đầu cung cấp các dịch vụ chống DDoS với phương pháp của “Clean Pipe”.

Để triển khai Clean Pipe khá phức tạp, vì bạn cần có:

1. Bộ định tuyến BGP
2. Một thiết bị mạng có khả năng kết thúc đường hầm GRE
3. Tiền tố có thể định tuyến Internet và ASN

Những hạn chế của Clean Pipe

1. Thời gian phát hiện và định tuyến lại kéo dài:

Mỗi khi phát hiện có lưu lượng tấn công, các kỹ thuật định tuyến lại sẽ gửi các lưu lượng này đến trung tâm làm sạch. Điều này liên quan đến quá trình chuyển hướng do phát hiện DDoS và mất ít nhất vài phút để định tuyến lại, cho đến khi bắt đầu bước loại bỏ cuối cùng. Lúc này, các dịch vụ trực tuyến của doanh nghiệp cũng đã bị ảnh hưởng ít nhiều do các cuộc tấn công DDoS gây ra.

2. Chống DDoS chưa triệt để và tình trạng DDoS giả cao:

Phương pháp Clean Pipe không mang lại khả năng bảo vệ hoàn toàn trước các cuộc tấn công DDoS. Chúng thiếu khả năng xử lý các cuộc tấn công có kích thước trung bình, đặc biệt là các cuộc tấn công dạng gói/ ứng dụng. Thứ đến là IP của server không được ẩn đi. Ngược lại, hacker còn có thể dễ dàng xác định nhà cung cấp cơ sở hạ tầng và khai thác lỗ hổng và điểm yếu.

Bên cạnh đó, việc định tuyến lại Clean Pipe liên quan đến toàn bộ tiền tố, thường ít nhất là /24. Dưới /24, các máy tính có /24 có thể gửi lưu lượng ra ngoài dưới dạng máy khách (ví dụ: truy vấn DNS) và gửi lưu lượng ra dưới dạng máy chủ (ví dụ: phân phát nội dung web). Hồ sơ trộn lẫn giữa lưu lượng truy cập phía máy khách và phía máy chủ làm cho tệp dữ liệu về các truy cập bất hợp pháp rất phức tạp. Từ đó hệ thống sẽ đưa ra nhiều kết quả dương tính giả và do đó, bạn sẽ thấy Clean Pipe thường đòi hỏi rất nhiều sự can thiệp của con người.

3. Lọc request độc hại nhưng không thể ngăn chặn 1 cuộc tấn công DDoS thực sự:

Clean Pipe giúp giảm lưu lượng truy cập độc hại nhưng chúng không thể ngăn chặn một cuộc tấn công DDoS thực sự. Ngoài ra, khả năng hỗ trợ bảo mật của các ISP không phải lúc nào cũng được như mong đợi, họ thường không có chuyên môn cao về giải pháp chống DDoS chuyên dụng. Họ có khả năng giải quyết tốt các cuộc tấn công DDoS dựa trên khối lượng, nhưng không có khả năng bảo mật dựa trên chữ ký và các hình thức tấn công DDoS. Do đó, doanh nghiệp có khả năng dễ bị tấn công vào lớp ứng dụng.

Ưu điểm của Clean Pipe

Lợi ích chính của phương pháp Clean Pipe là tính linh hoạt cao, vì nó hỗ trợ hầu hết các ứng dụng trong ngăn xếp IP. Tuy nhiên, nó thiếu khả năng bảo vệ nâng cao cho một ứng dụng cụ thể, dẫn đến việc ngăn chặn tình trạng dương tính giả, gây thất thoát chi phí cao, điều này rất quan trọng đối với một doanh nghiệp.

Clean Pipe chưa thực sự giải quyết các vấn đề về tấn công mạng. Ví dụ như khi bật TCP RESET để chống DDoS TCP SYN Flood, một số ứng dụng tự động kết nối lại mà không gặp sự cố, nhưng các trình duyệt web thì lại không được như vậy.

CDN (Content Delivety Network) là một hệ thống các máy chủ phân tán, nó giúp cung cấp nội dung trang web/ ứng dụng đến người dùng nhanh nhất. CDN cũng được biết đến với khả năng kết nối mạng và phân phối lưu lượng truy cập cực lớn. CDN Dilution sử dụng công nghệ băng thông lớn để giảm thiểu các cuộc tấn công DDoS Layer 3/4.

CDN có thể giảm tải các cuộc tấn công DDoS với băng thông khổng lồ. Mạng lưới CDN hoạt động như một proxy ngược cho ứng dụng web, tất cả các request sẽ được xử lý bởi các CDN này và các yêu cầu độc hại sẽ được lọc ra trước khi gửi tới máy chủ gốc. CDN Dilution có khả năng chống DDoS hiệu quả vì:

• Network CDN có khả năng nhận biết ngữ cảnh ứng dụng.
• Giao thức được xác định rõ (HTTP).
• Nó luôn hoạt động theo thời gian thực.

Tuy nhiên, CDN Dilution chỉ áp dụng cho các ứng dụng web. Nếu bạn đang sử dụng ứng dụng TCP hoặc UDP độc quyền, thì CDN Dilution sẽ không thể giúp ích gì.

Nếu bạn chạy các dịch vụ TCP hoặc UDP trên máy chủ gốc, chẳng hạn như máy chủ web, dịch vụ gaming, truy cập máy chủ từ xa (SSH) hoặc email (SMTP), chúng sẽ được hiển thị qua các port mở. Điều này có nghĩa là hacker có thể gửi lưu lượng DDoS với khối lượng lớn hoặc cố gắng đánh cắp dữ liệu nhạy cảm chưa được mã hóa.

Một số nhà cung cấp như MSSP (Managed Security Service Provider) và CDN đã xây dựng proxy TCP/ UDP đảo ngược trong cơ sở hạ tầng DDoS hiện có của họ để tạo nên một lớp bảo vệ cho các ứng dụng TCP/ UDP.

Proxy Anti-DDoS hoạt động tương tự như CDN. Các gói được gửi tới proxy đảo ngược và lọc ra các gói độc hại với cấu hình chống DDoS được định nghĩa. Anti-DDoS Proxy cung cấp khả năng chống DDoS toàn diện với những đặc điểm nổi bật sau:

• Luôn bật chế độ bảo mật theo thời gian thực.
• Mô hình bảo mật tích cực (chỉ cho phép các cổng đã xác định được truy cập thay vì mở tất cả).
• Có khả năng chống lại cuộc tấn công DDoS kéo dài.

Một điều bất lợi từ giải pháp chống DDoS này là IP nguồn truy cập bị thay đổi. Đây có thể là một vấn đề nghiêm trọng đối với một số ứng dụng vì không có cách nào để lấy được IP của khách truy cập thực.

Có nhiều cách để thực hiện các chiến lược DDoS Protection, nhưng đôi khi rất khó để tạo ra một sự khởi đầu. Khi doanh nghiệp phải trả một khoản tiền cho bảo mật, họ phải đắn đo suy nghĩ rất nhiều với khoản chi phí này. Nhưng thiệt hại do tấn công mạng gây ra còn đáng tiếc hơn. Nó thậm chí khiến doanh nghiệp gặp phải những rủi ro và thiệt hại lớn hơn do mất thời gian phục hồi hệ thống, và làm giảm lòng tin của khách hàng.

Ngày nay, hầu hết các doanh nghiệp lớn nhỏ đều phải trả 1 khoản chi phí cho các dịch vụ chống DDoS. Nhưng điều quan trọng mà chúng ta cần phải làm là tối ưu chi phí cho những khoản đầu tư này và đảm bảo không có cuộc tấn công nào xảy ra. Hầu hết các dịch vụ chống DDoS đều tính phí doanh nghiệp bất kể cuộc tấn công có xảy ra hay không, ngoại trừ dịch vụ ngăn chặn DDoS bằng CDN Dilution.

Vì phương pháp CDN Dilution được xây dựng trên công nghệ CDN, nó có thể được sử dụng để phân phối nội dung web khi không có cuộc tấn công nào xảy ra. Khi có tấn công, CDN có thể được sử dụng để giảm tải DDoS. Multi CDN có thể ngăn chặn các cuộc tấn công DDoS lớn và tăng hiệu suất trang web tối.

VNIS cung cấp khả năng chống DDoS (với mạng Multi CDN ở 32 quốc gia) bảo vệ cho lớp mạng (Layer 3/4) và chống DDoS cho lớp ứng dụng (Layer 7) với tường lửa Cloud WAF (ở 8 quốc gia). Tìm hiểu thêm về chi phí triển khai các gói chống DDoS của VNIS tại đây hoặc đăng ký trải nghiệm thử dịch vụ chống DDoS tại hotline: (028) 7306 8789 hoặc contact@vnetwork.vn hoặc email về sales@vnetwork.vn.