Chống DDoS cho website Việt thế nào cho hiệu quả?

Website của bất cứ tổ chức cá nhân nào cũng có thể là mục tiêu bị DDoS, từ blog cá nhân đến web bán hàng, tin tức. Vậy làm thế nào để chống DDoS cho website hiệu quả với những người không chuyên?

Tấn công từ chối dịch vụ (DDoS) là phương thức tấn công đơn giản và phổ biến nhất trên thế giới. Dù nó không gây ra nguy hại đến dữ liệu của tổ chức, cá nhân nhưng DDoS lại khiến website bị gián đoạn gây khó khăn cho người sử dụng.

Điều đáng buồn là các nhà quản trị website của Việt Nam vẫn chưa quan tâm đúng mức và đầy đủ về DDoS mà phó mặc cho nhà cung cấp dịch vụ Internet (ISP) hoặc đối tác cung cấp cơ sở hạ tầng (data center). Thật vậy, năm 2019, thống kê của CyStack cho thấy Việt Nam đứng thứ 11 trong số 15 quốc gia bị tấn công website nhiều nhất thế giới với 9.370 vụ.

Chống DDoS cho website Việt thế nào cho hiệu quả?
DDoS là hình thức tấn công gửi nhiều kết nối đến máy chủ

Đến cuối tháng 7 vừa qua, Công ty Chứng khoán VPS bị tin tặc tiến hành hai đợt tấn công DDoS liên tiếp dẫn tới tắc nghẽn hệ thống, khách hàng không thể đăng nhập được.

Tin vui là hiện có rất nhiều phương thức tấn công DDoS khác nhau nhưng chỉ tập trung vào việc làm nghẽn băng thông, cạn kiệt tài nguyên hoặc khai thác vào các lỗ hổng chưa được vá. 

Tuy nhiên lại chỉ có một số cách rất cơ bản để chống DDoS như cài đặt tường lửa, kiểm soát nhật ký hoạt động của website, triển khai khóa địa lý, giới hạn truy cập đến từ một số quốc gia, cài đặt trình quét bảo mật phần mềm độc hại. Dưới đây là một số giải pháp nâng cao để chống DDoS: 

CDN Dilution (CDN Phân tải)

Mạng lưới phân tải nội dung (Content Delivery Network - CDN) là một hệ thống toàn cầu rộng lớn gồm nhiều máy chủ con được liên kết và đặt ở nhiều vị trí địa lý khác nhau, cung cấp nội dung website nhanh chóng bằng cách sao chép hoặc lưu trữ nội dung trên nhiều máy chủ con. Và người dùng sẽ lấy dữ liệu từ máy chủ con gần nhất chứ không phải máy chủ gốc. 

CDN có khả năng kết nối các máy chủ với quy mô phân phối lưu lượng truy cập khổng lồ. Với lượng băng thông rộng lớn, CDN Dilution có thể giải quyết hiệu quả các cuộc tấn công DDoS 3 lớp, 4 lớp hoặc các cuộc tấn công DDoS tràn truy cập.

Chống DDoS cho website Việt thế nào cho hiệu quả?
CDN giúp phân tải tài nguyên để hạn chế DDoS.

Các máy chủ con hoạt động như một cổng phân phối dữ liệu đến các ứng dụng website một cách nhanh nhất. Tất cả yêu cầu truy cập website sẽ được xử lý thông qua các máy chủ con này, những truy cập bất hợp pháp sẽ được lọc và loại bỏ trước khi gửi đến máy chủ gốc. 

Tuy nhiên, CDN chỉ áp dụng được với các trình ứng dụng website, trường hợp đang sử dụng giao thức TCP/UDP đã đăng ký độc quyền, CDN sẽ không thể giúp được gì cho hệ thống của tổ chức, cá nhân.

TCP/UDP Proxy (máy chủ proxy)

 

Nếu trang web của tổ chức cá nhân đang chạy các tầng ứng dụng TCP/UDP liên quan đến các dịch vụ game, các giao thức truy cập máy chủ từ xa (SSH) hay hệ thống giao thức nhận và truyền tải dữ liệu trong email của người dùng (SMTP)… thì mọi truy cập sẽ được hiển thị thông qua các cổng mở (port). 

Điều này có nghĩa là, tin tặc có thể tận dụng các kẽ hở này để thực hiện việc tấn công, bằng cách sử dụng một lượng lớn truy cập xuất phát từ khắp nơi trên toàn thế giới để truy cập vào website cùng lúc với người dùng hợp pháp.

Chống DDoS cho website Việt thế nào cho hiệu quả?
TCP/UDP Proxy hoạt động như một bộ lọc truy cập độc hại

Vậy làm thế nào để ngăn chặn kiểu tấn công này? Bởi người quản trị web không thể chặn hết IP chỉ vì chúng đáng ngờ. Để giải quyết vấn đề này, một máy chủ proxy TCP/UDP được tạo ra, có chức năng tương tự CDN Dilution như đã nói ở trên. 

Trong đó, các gói (packets) sẽ được gửi tới proxy đảo ngược, từ đó lọc ra những lưu lượng độc hại. Tuy nhiên, nhược điểm của phương pháp này là người quản trị không thể biết được IP thật của người dùng, do đó dễ bị chặn nhầm còn hơn bỏ sót.

Clean Pipe (đường truyền sạch)

Đây là phương thức giảm thiểu tấn công DDoS được triển khai phổ biến hơn cả so với hai phương pháp còn lại. Về cách thức thực hiện, tất cả lưu lượng truy cập đến đều sẽ được chuyển hướng tới ‘trung tâm làm sạch’ hay còn gọi là ‘trung tâm thanh lọc’ (scrubbing center). Tại đây, những truy cập bất hợp pháp sẽ được xác định và loại bỏ, chỉ cho phép những lưu lượng hợp pháp truy cập đến máy chủ cuối cùng.

Chống DDoS cho website Việt thế nào cho hiệu quả?
Clean Pipe cũng giúp lọc truy cập xấu độc

Với sự gia tăng của các cuộc tấn công DDoS, trong quá khứ nhiều nhà cung cấp dịch vụ Internet (ISP) cung cấp các dịch vụ giúp hạn chế và phòng chống DDoS gọi là Clean Pipe (đường truyền sạch). Các tổ chức bảo mật này sẽ xử lý các cuộc tấn công DDoS bằng việc định tuyến hố đen (blackholing) và chuyển tất cả truy cập kể cả hợp lệ vào đó.

Tuy nhiên, Clean Pipe không có khả năng xử lý được cốt lõi vấn đề về bảo mật website, do thiếu tính năng quản lý bảo mật và vì thế, nó không thể ngăn chặn được các cuộc tấn tấn công DDoS với quy mô cực lớn và chuyên nghiệp từ các tổ chức tin tặc quốc tế.

Mỗi phương pháp nói trên đều có những ưu nhược điểm riêng, có những tùy chọn trả phí hoặc miễn phí được cung cấp bởi các công ty an ninh mạng. Tất nhiên, không có phương pháp nào giúp chống tấn công DDoS một cách toàn diện. Người quản trị web cần tự đánh giá nhu cầu, khả năng chi trả để sử dụng dịch vụ bảo vệ website tương ứng, tránh tình trạng ‘mất bò mới lo làm chuồng’.

Phương Nguyễn

Một số giải pháp chống DDoS cho doanh nghiệp vừa và nhỏ

Một số giải pháp chống DDoS cho doanh nghiệp vừa và nhỏ

Các cuộc tấn công nhắm vào các doanh nghiệp vừa và nhỏ của Việt Nam có xu hướng giảm trong năm 2020, nhưng không vì thế mà các chủ doanh nghiệp có thể chủ quan lơ là.

Chủ đề : ddosbảo mật
 
List comment
 
Những cách bảo vệ quyền riêng tư trên mạng mà người dùng cần lưu ý
icon

Quyền riêng tư của người dùng trên mạng tùy thuộc vào khả năng kiểm soát cả lượng thông tin cá nhân mà bạn cung cấp và ai có quyền truy nhập thông tin đó.

 
573 vụ tấn công mạng vào hệ thống website Việt Nam trong tháng 11
icon

Thống kê của Cục Công nghệ thông tin và Dữ liệu Tài nguyên Môi trường cho thấy tháng 11 ghi nhận 573 vụ tấn công mạng vào hệ thống trang/cổng thông tin điện tử của Việt Nam.

 
An toàn thông tin là trụ cột để doanh nghiệp số phát triển bền vững
icon

Theo ông Hà Thế Phương, Phó Tổng giám đốc Công ty CMC Cyber Security, an toàn an ninh thông tin là yếu tố quan trọng trên con đường phát triển bền vững của các doanh nghiệp số Việt Nam.

 
Trung tâm IOC Vũng Tàu xử lý sự cố mất an toàn thông tin trên địa bàn
icon

Trung tâm điều hành Đô thị thông minh (IOC) của Thành phố Vũng Tàu đã chính thức được đưa vào vận hành vào ngày 21/12.  

 
EVN lần đầu diễn tập an toàn thông tin mạng quy mô toàn tập đoàn
icon

Khoảng 150 cán bộ của gần 30 đơn vị thuộc tập đoàn Điện lực Việt Nam - EVN vừa diễn tập quy mô tập đoàn đầu tiên về chủ đề “Phòng chống và phản ứng sự cố tấn công có chủ đích vào hệ thống CNTT”.

 
 
Joe Biden kêu gọi hiện đại hóa hệ thống phòng thủ Mỹ sau vụ tấn công SolarWinds
icon

Tổng thống đắc cử Joe Biden hôm 28/12 nhấn mạnh sự cần thiết phải hiện đại hóa quân đội Mỹ sau vụ tấn công mạng lớn nhằm vào các cơ quan chính phủ hồi đầu tháng này.

Bộ Tài chính ra quy chế mới về quản lý, sử dụng chữ ký số
icon

Quy chế mới về quản lý, sử dụng chứng thư số, chữ ký số trong các hoạt động của Bộ Tài chính vừa được Bộ này ra quyết định ban hành. Quy chế thay thế cho quy định đã được Bộ Tài chính ra từ năm 2010.

Khánh Hòa sắp có kế hoạch ứng phó sự cố an toàn thông tin năm 2021
icon

Dự thảo kế hoạch 2021 của Khánh Hòa hướng tới đảm bảo an toàn thông tin cho các hệ thống thông tin quan trọng trên địa bàn tỉnh; đảm bảo khả năng thích ứng một cách chủ động, linh hoạt và giảm thiểu nguy cơ, đe dọa.

10 lỗ hổng phổ biến trong an ninh mạng của doanh nghiệp
icon

Đây là những lỗ hổng khá phổ biến trong đảm bảo an toàn an ninh mạng của các doanh nghiệp Việt Nam lẫn thế giới.

Bảo vệ các thành phố thông minh sử dụng nền tảng IoT
icon

Để ngăn ngừa rủi ro IoT, cần bảo vệ và liên tục thực hiện vận hành, bảo trì an ninh mạng cho các thiết bị đầu cuối, đường truyền và nền tảng IoT.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123