Bkav hướng dẫn cách phát hiện, phòng chống tấn công DDoS

Việc phòng chống DDoS phụ thuộc rất nhiều vào hạ tầng, băng thông của hệ thống website bị tấn công. Ảnh: Internet.

>>Bkav: Trung bình mỗi tuần có 2 cuộc tấn công DDoS / Các báo điện tử "từ chối" VNCERT trợ giúp chống tấn công DDoS

Theo ông Nguyễn Minh Đức, Giám đốc bộ phận An ninh mạngBkav, đặc điểm dễ thấy nhất của tấn công DDoS là không thể truy cập vào website trong một khoảng thời gian nhất định mà không rõ nguyên nhân. Tuynhiên, để chắc chắn, người quản trị của website có thể kiểm tra trên hệ thốnglog của máy chủ, tường lửa.... nhằm phát hiện các dấu hiệu bất thường. “Qua đó, chúng ta mới có thể khẳng định chắc chắnwebsite của mình có bị tấn công DDoS hay không, tấn công với quy mônhư thế nào, cách thức ra sao”, ông Đức nhấn mạnh.

Ông Đức khẳng định hoàn toàn có thể phòng chống lại được tấn công DDoS. Mặc dù vậy, việc phòngchống phải phụ thuộc vào quy mô, cường độ cũng như hạ tầng của đơn vị đang bịtấn công. Bởi vì, bản chất của tấn công DDoS là hacker sẽ huy động càng nhiềumáy tính tham gia càng tốt để cùng truy cập vào website “nạn nhân”. “Do đó, nếuhạ tầng đơn vị bị tấn công “yếu” do ít được đầu tư thì khả năng chống đỡ sẽ kémhơn những hạ tầng mạnh và được đầu tư tốt”, ông Đức cho biết thêm. 

Do đó, chúng ta phải tăng cường thêm số lượng cũng như cấuhình máy chủ (RAM, ổ cứng, CPU…) để giúp cân bằng tải, nhờ đó việc truy cậpcác website sẽ nhanh hơn khi bị tấn công DDoS.

Hơn nữa, do DDoS là kiểu tấn công làm “ngập lụt” băngthông, tạo ra các kết nối ảo khiến website bị “sập” không thể truy cập được.Chính vì vậy, các đơn vị bị tấn công DDoS cần liên hệ với các doanhnghiệp cung cấp dịch vụ Internet để tăng băng thông. “Các thiết bị khác như tườnglửa đóng vai trò quan trọng trong việc xử lý tấn công DDoS vì nó sẽ giúp phânbiệt được nguồn tấn công và những truy cập thông thường nhằm giảm thiểu hậu quảcác cuộc tấn công DDoS”, ông Đức nói.

Cũng theo ông Đức, ngoài nâng cấp hạ tầng hệ thống, người quản trị cũng phải quan tâmđến việc cải thiện, tăng tốc độ xử lý của website để tránh việc truy cập quánhiều vào cơ sở dữ liệu website đó như kỹ thuật “memory cache” giúp lưu trang web trong bộ nhớ RAM thay vì lưu vào ổ cứngnhư bình thường. Khi đó, phản hồi của máy chủ khi có các truy cập đến website sẽ được xử lý nhanh hơn. 

Mặc dù vậy, các cách phòng chống này chủ yếu mang tính chất“thụ động”. Vì thế, chúng ta phải có các biện pháp “chủ động” phòng chốngDDoS thông qua sự phối hợp với các cơ quan điều phối như tại Việt Nam nhưVNCERT hay các nhà cung cấp dịch vụ… để tìm ra được nguồn gốc của mạng bootnet(mạng máy tính ma). Thông qua đó, sẽ tìm được các máy chủ điều khiểnra lệnh tấn công. “VNCERT hay các đơn vị liên quan sẽ chặn được địa chỉIP của các máy chủ này khiến mạng bootnet không tiếp tục kết nối, nhận lệnh được”,ông Đức khẳng định.

"Ngoài ra, các doanh nghiệp sản xuất phần mềm diệt virus sẽ cậpnhật các mẫu virus nhận diện xuống các máy tính và tiêu diệt được mạng bootnet. Cách này tuy hiện quả nhưng mất nhiều thời gian thựchiện hơn”, ông Đức bổ sung thêm..