Tấn công từ chối dịch vụ (DDoS) là phương thức tấn công đơn giản và phổ biến nhất trên thế giới. Dù nó không gây ra nguy hại đến dữ liệu của tổ chức, cá nhân nhưng DDoS lại khiến website bị gián đoạn gây khó khăn cho người sử dụng.

Điều đáng buồn là các nhà quản trị website của Việt Nam vẫn chưa quan tâm đúng mức và đầy đủ về DDoS mà phó mặc cho nhà cung cấp dịch vụ Internet (ISP) hoặc đối tác cung cấp cơ sở hạ tầng (data center). Thật vậy, năm 2019, thống kê của CyStack cho thấy Việt Nam đứng thứ 11 trong số 15 quốc gia bị tấn công website nhiều nhất thế giới với 9.370 vụ.

{keywords}
DDoS là hình thức tấn công gửi nhiều kết nối đến máy chủ

Đến cuối tháng 7 vừa qua, Công ty Chứng khoán VPS bị tin tặc tiến hành hai đợt tấn công DDoS liên tiếp dẫn tới tắc nghẽn hệ thống, khách hàng không thể đăng nhập được.

Tin vui là hiện có rất nhiều phương thức tấn công DDoS khác nhau nhưng chỉ tập trung vào việc làm nghẽn băng thông, cạn kiệt tài nguyên hoặc khai thác vào các lỗ hổng chưa được vá. 

Tuy nhiên lại chỉ có một số cách rất cơ bản để chống DDoS như cài đặt tường lửa, kiểm soát nhật ký hoạt động của website, triển khai khóa địa lý, giới hạn truy cập đến từ một số quốc gia, cài đặt trình quét bảo mật phần mềm độc hại. Dưới đây là một số giải pháp nâng cao để chống DDoS: 

CDN Dilution (CDN Phân tải)

Mạng lưới phân tải nội dung (Content Delivery Network - CDN) là một hệ thống toàn cầu rộng lớn gồm nhiều máy chủ con được liên kết và đặt ở nhiều vị trí địa lý khác nhau, cung cấp nội dung website nhanh chóng bằng cách sao chép hoặc lưu trữ nội dung trên nhiều máy chủ con. Và người dùng sẽ lấy dữ liệu từ máy chủ con gần nhất chứ không phải máy chủ gốc. 

CDN có khả năng kết nối các máy chủ với quy mô phân phối lưu lượng truy cập khổng lồ. Với lượng băng thông rộng lớn, CDN Dilution có thể giải quyết hiệu quả các cuộc tấn công DDoS 3 lớp, 4 lớp hoặc các cuộc tấn công DDoS tràn truy cập.

{keywords}
CDN giúp phân tải tài nguyên để hạn chế DDoS.

Các máy chủ con hoạt động như một cổng phân phối dữ liệu đến các ứng dụng website một cách nhanh nhất. Tất cả yêu cầu truy cập website sẽ được xử lý thông qua các máy chủ con này, những truy cập bất hợp pháp sẽ được lọc và loại bỏ trước khi gửi đến máy chủ gốc. 

Tuy nhiên, CDN chỉ áp dụng được với các trình ứng dụng website, trường hợp đang sử dụng giao thức TCP/UDP đã đăng ký độc quyền, CDN sẽ không thể giúp được gì cho hệ thống của tổ chức, cá nhân.

TCP/UDP Proxy (máy chủ proxy)

Nếu trang web của tổ chức cá nhân đang chạy các tầng ứng dụng TCP/UDP liên quan đến các dịch vụ game, các giao thức truy cập máy chủ từ xa (SSH) hay hệ thống giao thức nhận và truyền tải dữ liệu trong email của người dùng (SMTP)… thì mọi truy cập sẽ được hiển thị thông qua các cổng mở (port). 

Điều này có nghĩa là, tin tặc có thể tận dụng các kẽ hở này để thực hiện việc tấn công, bằng cách sử dụng một lượng lớn truy cập xuất phát từ khắp nơi trên toàn thế giới để truy cập vào website cùng lúc với người dùng hợp pháp.

{keywords}
TCP/UDP Proxy hoạt động như một bộ lọc truy cập độc hại

Vậy làm thế nào để ngăn chặn kiểu tấn công này? Bởi người quản trị web không thể chặn hết IP chỉ vì chúng đáng ngờ. Để giải quyết vấn đề này, một máy chủ proxy TCP/UDP được tạo ra, có chức năng tương tự CDN Dilution như đã nói ở trên. 

Trong đó, các gói (packets) sẽ được gửi tới proxy đảo ngược, từ đó lọc ra những lưu lượng độc hại. Tuy nhiên, nhược điểm của phương pháp này là người quản trị không thể biết được IP thật của người dùng, do đó dễ bị chặn nhầm còn hơn bỏ sót.

Clean Pipe (đường truyền sạch)

Đây là phương thức giảm thiểu tấn công DDoS được triển khai phổ biến hơn cả so với hai phương pháp còn lại. Về cách thức thực hiện, tất cả lưu lượng truy cập đến đều sẽ được chuyển hướng tới ‘trung tâm làm sạch’ hay còn gọi là ‘trung tâm thanh lọc’ (scrubbing center). Tại đây, những truy cập bất hợp pháp sẽ được xác định và loại bỏ, chỉ cho phép những lưu lượng hợp pháp truy cập đến máy chủ cuối cùng.

{keywords}
Clean Pipe cũng giúp lọc truy cập xấu độc

Với sự gia tăng của các cuộc tấn công DDoS, trong quá khứ nhiều nhà cung cấp dịch vụ Internet (ISP) cung cấp các dịch vụ giúp hạn chế và phòng chống DDoS gọi là Clean Pipe (đường truyền sạch). Các tổ chức bảo mật này sẽ xử lý các cuộc tấn công DDoS bằng việc định tuyến hố đen (blackholing) và chuyển tất cả truy cập kể cả hợp lệ vào đó.

Tuy nhiên, Clean Pipe không có khả năng xử lý được cốt lõi vấn đề về bảo mật website, do thiếu tính năng quản lý bảo mật và vì thế, nó không thể ngăn chặn được các cuộc tấn tấn công DDoS với quy mô cực lớn và chuyên nghiệp từ các tổ chức tin tặc quốc tế.

Mỗi phương pháp nói trên đều có những ưu nhược điểm riêng, có những tùy chọn trả phí hoặc miễn phí được cung cấp bởi các công ty an ninh mạng. Tất nhiên, không có phương pháp nào giúp chống tấn công DDoS một cách toàn diện. Người quản trị web cần tự đánh giá nhu cầu, khả năng chi trả để sử dụng dịch vụ bảo vệ website tương ứng, tránh tình trạng ‘mất bò mới lo làm chuồng’.

Phương Nguyễn

Một số giải pháp chống DDoS cho doanh nghiệp vừa và nhỏ

Một số giải pháp chống DDoS cho doanh nghiệp vừa và nhỏ

Các cuộc tấn công nhắm vào các doanh nghiệp vừa và nhỏ của Việt Nam có xu hướng giảm trong năm 2020, nhưng không vì thế mà các chủ doanh nghiệp có thể chủ quan lơ là.