DoS/DDoS là một trong những mối đe dọa bảo mật hàng đầu trên Internet. Do đó cần có các giải pháp chống lại DDoS để giảm thiểu những cuộc tấn công này. Phần này sẽ thảo luận về các phương pháp phát hiện, các biện pháp ngăn chặn, phản ứng đối với các cuộc tấn công DoS/DDoS cũng như các công cụ bảo vệ phần cứng/ phần mềm hiệu quả.
Kỹ thuật phát hiện tấn công DDoS
Phát hiện một cuộc tấn công DoS/DDoS là một nhiệm vụ khó khăn. Ta cần phải phân biệt được giữa một gói dữ liệu hợp lệ và một gói dữ liệu giả mạo, điều này rất khó thực hiện và luôn có khả năng nhầm lẫn giữa lưu lượng bình thường và lưu lượng DoS/DDoS. Các kỹ thuật phát hiện dựa trên việc xác định và phân biệt giữa tăng lưu lượng không hợp pháp và sự kiện “flash” từ lưu lượng gói tin bình thường.
Ngoài ra ta không thể quét từng gói dữ liệu để đảm bảo an toàn khỏi một cuộc tấn công DoS/DDoS vì sẽ tiêu tốn rất nhiều tài nguyên. Tất cả các kỹ thuật phát hiện được sử dụng ngày nay định nghĩa một cuộc tấn công DoS/DDoS là sự lệch lạc bất thường và đáng chú ý về đặc điểm của lưu lượng mạng.
Phân tích Hồ sơ hoạt động (Activity Profiling)
Phân tích hồ sơ hoạt động được thực hiện dựa trên tốc độ gói tin trung bình trên dòng lưu lượng mạng bao gồm các gói tin liên tiếp với thông tin header gói tin tương tự như nhau. Thông tin header gói tin bao gồm IP của người nhận và người gửi, port và giao thức vận chuyển được sử dụng. Một cuộc tấn công DDoS được chỉ ra bởi các yếu tố:
- Sự tăng về mức hoạt động giữa các nhóm lưu lượng mạng
- Sự tăng về tổng số các nhóm riêng biệt (cuộc tấn công DDoS). Đối với tốc độ gói trung bình cao hơn mức hoạt động của một stream, khoảng thời gian giữa các gói tin liên tiếp thấp hơn. Phương pháp tính entropy đo lường sự ngẫu nhiên trong mức hoạt động. Nếu mạng bị tấn công, entropy của các mức hoạt động tăng lên.
Một trong những khó khăn chính trong phương pháp phân tích hồ sơ hoạt động là lưu lượng lớn. Vấn đề này có thể được khắc phục bằng cách phân cụm các dòng gói tin có đặc điểm tương tự. Vì tấn công DoS tạo ra một lượng lớn các gói tin dữ liệu rất giống nhau, sự tăng về tốc độ gói trung bình hoặc sự tăng về sự đa dạng của các gói tin giúp ta phát hiện ra một cuộc tấn công DoS.
Phát hiện điểm thay đổi tuần tự (Sequential Change-Point)
Trong kỹ thuật phát hiện điểm thay đổi tuần tự, lưu lượng mạng được lọc dựa trên IP, số port mục tiêu và giao thức truyền thông sử dụng và chúng được hiển thị lên một biểu đồ tỷ lệ lưu lượng mạng theo thời gian. Các thuật toán phát hiện điểm thay đổi cô lập các thay đổi trong thống kê lưu lượng mạng và tỷ lệ lưu lượng do các cuộc tấn công gây ra. Nếu có sự thay đổi đột ngột trong tỷ lệ lưu lượng, có thể đang xảy ra một cuộc tấn công DoS.
Kỹ thuật này sử dụng thuật toán tích lũy tổng (cumulative sum – CUSUM) để xác định tấn công DoS. Thuật toán tính toán sự sai lệch giữa trung bình thực tế và trung bình dự kiến theo time series
Phân tích Tín hiệu dựa trên Wavelet
Kỹ thuật phân tích wavelet là phân tích lưu lượng mạng dựa trên các thành phần phổ. Nó chia tín hiệu đầu vào thành các tần số khác nhau và phân tích các thành phần tần số khác nhau một cách riêng biệt. Phân tích năng lượng của từng cửa sổ phổ giúp phát hiện các hiện tượng bất thường.
Một tín hiệu mạng bao gồm một tín hiệu luồng gói dữ liệu và background noise. Phân tích tín hiệu dựa trên wavelet loại bỏ các tín hiệu đầu vào của luồng lưu lượng bất thường khỏi background noise. Lưu lượng bình thường thường là lưu lượng tần số thấp. Trong khi xảy ra DDoS, các thành phần tần số cao của một tín hiệu tăng lên.
Chiến lược, giải pháp chống lại DDoS
- Hấp thụ cuộc tấn công: Ta sử dụng thêm giải pháp hấp thụ một cuộc tấn công (đòi hỏi lập kế hoạch trước). Chiến lược này cần thêm chi phí tài nguyên bổ sung ngay cả khi không có tấn công.
- Giảm chất lượng dịch vụ: Nếu không thể duy trì tất cả các dịch vụ hoạt động trong khi bị tấn công, cần duy trì ít nhất các dịch vụ quan trọng. Để làm điều này, ta phải xác định trước dịch vụ nào là dịch vụ quan trọng, sau đó thiết kế mạng, hệ thống và ứng dụng, tùy chỉnh chúng.
- Tắt dịch vụ: Trong chiến lược này, tất cả các dịch vụ sẽ bị tắt cho đến khi tấn công dịu đi.
Dưới đây là một số giải pháp giảm thiểu ảnh hưởng của tấn công DDoS.
Phát hiện và vô hiệu hóa các Handler
Một phương pháp quan trọng được sử dụng để ngăn chặn cuộc tấn công DDoS là phát hiện và vô hiệu hóa các handler thông qua phân tích lưu lượng mạng, vô hiệu hóa các handler botnet và xác định các IP nguồn giả mạo. Handler hoạt động như một trung gian cho hacker khởi chạy cuộc tấn công. Phân tích giao thức truyền thông và mô hình lưu lượng giữa handler và client hoặc handler và tác nhân có thể biết được các nút mạng bị nhiễm bởi các handler. Phát hiện các handler trong mạng và vô hiệu hóa chúng có thể là một phương pháp nhanh chóng để phá vỡ mạng tấn công DDoS. Vì số lượng handler DDoS triển khai trong mạng ít hơn rất nhiều so với số lượng tác nhân, vô hiệu hóa một số handler có thể khiến nhiều tác nhân trở nên vô dụng, từ đó ngăn chặn tấn công DDoS.
Hơn nữa, có khả năng cao rằng IP nguồn của các gói tấn công DDoS sẽ không đại diện cho IP nguồn hợp lệ của mạng con xác định
Egress Filtering
Lọc ra các header gói tin IP khi rời mạng. Nếu gói tin đáp ứng các thông số kỹ thuật, chúng mới được được định tuyến ra khỏi mạng. Ngược lại, nếu gói tin không đáp ứng các thông số cần thiết, chúng sẽ bị loại bỏ. Việc lọc ra như vật đảm bảo rằng lưu lượng độc hại không bao giờ rời khỏi mạng nội bộ.
Ingress Filtering
Đây là một kỹ thuật lọc gói tin được sử dụng bởi nhiều nhà cung cấp dịch vụ internet (ISP) để ngăn chặn việc làm giả IP nguồn của lưu lượng Internet. Do đó, kỹ thuật này có thể gián tiếp chống lại nhiều loại tấn công mạng bằng cách làm cho lưu lượng Internet có thể được truy vết đến nguồn gốc thực sự của nó. Nó bảo vệ khỏi các cuộc tấn công flooding xuất phát từ các tiền tố hợp lệ và cho phép ta tìm ra nguồn gốc thực sự của IP.
TCP Intercept
TCP intercept là một tính năng lọc lưu lượng trong các bộ định tuyến nhằm bảo vệ server khỏi tấn công TCP SYN-flooding. Trong tấn công SYN-flooding, hacker gửi một lượng lớn yêu cầu kết nối đến các IP trả về “unreachable“. Vì các IP này không tồn tại nên các kết nối không thể thiết lập. Lượng kết nối mở không được thiết lập này làm quá tải server và có thể gây ra từ chối dịch vụ.
Rate Limiting
Rate limiting là một kỹ thuật được sử dụng để kiểm soát tốc độ lưu lượng đi ra hoặc đi vào NIC (card mạng). Kỹ thuật này giảm thiểu lưu lượng rất hiệu quả. Đặc biệt là sử dụng trên các thiết bị phần cứng, cấu hình để giới hạn tốc độ các request trên các lớp 4 và 5 của mô hình OSI.
Đẩy lùi tấn công, giải pháp chống lại DDoS
Honeypot
Các hệ thống được thiết lập với mức độ bảo mật hạn chế, còn được gọi là honeypot, hoạt động như cám dỗ đối với hacker. Những nghiên cứu gần đây cho thấy một honeypot có thể bắt chước tất cả các khía cạnh của một hệ thống mạng, bao gồm các web server, mail server và client. Honeypot được thiết lập có mức bảo mật thấp nhằm thu hút sự chú ý của hacker DDoS vào và phục vụ như một phương tiện để thu thập thông tin về hacker bằng cách lưu trữ một bản ghi về hoạt động hệ thống (ghi log). Hacker DDoS sẽ cài đặt mã handler hoặc mã agent trong honeypot.
Honeypot không chỉ bảo vệ hệ thống thực tế khỏi hacker mà còn theo dõi chi tiết về hoạt động của chúng để phòng thủ trong tương lai. Có hai loại honeypot khác nhau:
- Honeypot tương tác thấp (low-interaction honeypots)
- Honeypot tương tác cao (high-interaction honeypots)
Một ví dụ về honeypot tương tác cao là honeynet. Honeynet hình thành cơ sở hạ tầng bảo mật; nó mô phỏng cấu trúc hoàn chỉnh của một mạng máy tính nhưng ban đầu được thiết kế để “bắt” các cuộc tấn công. Mục tiêu là phát triển một mạng trong đó tất cả các hoạt động đều được kiểm soát và theo dõi. Mạng này chứa các chiêu trò mồi nhử tiềm năng và thậm chí có các máy tính thực chạy các ứng dụng thực.
KFSensor là một hệ thống phát hiện xâm nhập (IDS) honeypot được thiết kế dành cho Windows. Nó hoạt động như một honeypot nhằm thu hút và phát hiện hacker và worm bằng cách mô phỏng các dịch vụ hệ thống bảo mật thấp và Trojan. Bằng cách phản hồi như dịch vụ thực tế, KFSensor có thể tiết lộ bản chất của một cuộc tấn công mà vẫn duy trì kiểm soát hoàn toàn và tránh bị tấn công. Nó có thể chuyển hướng cuộc tấn công khỏi các hệ thống quan trọng và cung cấp một cấp độ thông tin cao hơn so với việc chỉ sử dụng tường lửa và NIDS đơn lẻ.
Cân bằng tải
Ta có thể tăng băng thông trên các kết nối quan trọng trong trường hợp xảy ra tấn công DDoS nhằm ngăn chặn server của họ bị tắt. Sử dụng mô hình replicated servers được sao chép cung cấp thêm bảo vệ phòng ngừa sự cố. Replicated servers giúp quản lý tải tốt hơn bằng cách cân bằng tải trên mỗi server trong kiến trúc đa máy chủ; chúng cũng tăng hiệu suất mạng bình thường và giảm thiểu tác động của tấn công DDoS.
Throttling
Throttling liên quan đến thiết lập các bộ định tuyến cho phép truy cập vào server với một logic để giới hạn mức lưu lượng ở mức an toàn cho server. Các điều khiển thông lượng “min-max fair server-centric router” (giới hạn thông lượng tối thiểu và tối đa) giúp ngăn chặn server bị tắt. Một hạn chế lớn của phương pháp này là có thể gây ra các cảnh báo giả. Đôi khi, nó có thể cho phép lưu lượng độc hại đi qua trong khi loại bỏ một số lưu lượng truy cập hợp lệ.
Drop Requests
Một phương pháp khác là loại bỏ các gói tin khi tải tăng lên. Thông thường, bộ định tuyến hoặc server sẽ thực hiện nhiệm vụ này. Tuy nhiên, trước khi tiếp tục request, hệ thống bắt người dùng phải giải một câu đố mà đòi hỏi nhiều bộ nhớ hoặc công suất tính toán (hoặc có thể sử dụng captcha). Kết quả là các hệ thống zombie nhận thấy sự suy giảm hiệu suất và có thể bị ngăn chặn khỏi việc tham gia truyền lưu lượng tấn công DDoS.
Bật tính năng TCP Intercept trên Cisco IOS Software
Một access list đạt được ba mục đích:
- Chặn tất cả các request
- Chặn chỉ các request bắt nguồn từ các mạng cụ thể
- Chặn chỉ các request đến các server cụ thể
Thông thường, một access list xác định IP nguồn là bất kỳ nguồn nào (any) và đích là địa chỉ mạng hoặc server cụ thể. Vì không biết phải chặn gói tin từ ai, do đó IP nguồn không cần được lọc. TCP intercept có thể hoạt động ở chế độ chặn hoạt động hoặc chế độ giám sát. Chế độ mặc định là chế độ chặn.
Trong chế độ chặn chủ động, Cisco IOS chặn tất cả các request kết nối đến (SYN) và phản hồi với một SYN-ACK thay mặt cho server, sau đó đợi gói ACK từ phía client. Khi nhận được ACK từ client, server gửi lại SYN ban đầu và Cisco IOS thực hiện quá trình bắt tay ba bước với server. Khi quá trình bắt tay ba bước hoàn thành, hai nửa kết nối được liên kết với nhau.
Triển khai phần cứng
Dưới đây là các ví dụ về các thiết bị cung cấp bảo vệ nâng cao chống lại cuộc tấn công DDoS.
FortiDDoS 200F, 1500E, 1500E-DC, 1500F, 2000E, 2000E-DC và VM04/08/16
FortiDDoS là một kiến trúc học máy song song với khả năng xử lý hàng loạt lớn nhất, mang lại khả năng ngăn chặn tấn công DDoS hiện đại và thời gian chờ thấp nhất mà không gây ảnh hưởng đến hiệu suất như các hệ thống dựa trên CPU thông thường. FortiDDoS kiểm tra cả gói tin Layer 3, 4 và 7 vào và ra với kích thước nhỏ nhất, đem lại khả năng phát hiện và ngăn chặn nhanh và chính xác.
DDoS Protector
Check Point DDoS Protector là một giải pháp chống lại tấn công DDoS với tính năng bảo vệ đa tầng. Các ưu điểm của nó được liệt kê như sau:
- Chặn một loạt các cuộc tấn công với bảo vệ đa tầng có thể tùy chỉnh.
- Bảo vệ hành vi dựa trên nền tảng của nhiều yếu tố và chặn lưu lượng bất thường.
- Tự động tạo và xác định trước các signature.
- Sử dụng các kỹ thuật thách thức/đáp ứng tiên tiến.
- Thời gian phản ứng nhanh để bảo vệ chống lại cuộc tấn công chỉ trong vài giây.
- Tự động phòng vệ chống lại flooding và các kiểu tấn công lớp ứng dụng.
- Bảo vệ tối ưu đáp ứng nhu cầu bảo mật của một môi trường mạng cụ thể.
- Lọc lưu lượng nhanh chóng trước khi đến tường lửa để bảo vệ mạng và server.
- Tùy chọn triển khai linh hoạt để bảo vệ mọi doanh nghiệp.
- Tích hợp với Check Point Security Management.
Terabit DDoS Protection System
Hệ thống Terabit DDoS Protection System (DPS) là một giải pháp cho việc phát hiện và xử lý DDoS. Terabit DPS giúp đảm bảo sự sẵn có tối đa của mạng và loại bỏ bất kỳ sự cố nào do tấn công DoS/DDoS gây ra. Nó có thể được sử dụng cho các mạng lớn với băng thông lên đến 1 Tbps. Nó cũng có cấp bảo vệ cho băng thông lên đến 6.4 Tbps.
A10 Thunder TPS
A10 Thunder Threat Protection System (TPS) đảm bảo khả năng truy cập vào các dịch vụ mạng quan trọng bằng cách phát hiện và chặn các mối đe dọa từ bên ngoài như DDoS và các cuộc tấn công mạng khác trước khi chúng leo thang thành những sự cố lớn hơn gây gián đoạn dịch vụ. Các tính năng của nó như sau:
- Duy trì khả năng truy cập vào dịch vụ
- Đánh bại các cuộc tấn công tăng cường
- Giảm chi phí vận hành an ninh (OpEx)
Điều tra sau tấn công
Phân tích lưu lượng
Trong suốt cuộc tấn công DDoS, ta cần phân tích lưu lượng mạng để xác định các đặc điểm độc đáo của, những dữ liệu này hữu ích trong việc cập nhật các biện pháp cân bằng tải và hạn chế thông lượng để nâng cao hiệu quả và khả năng bảo vệ. Hơn nữa, mô hình lưu lượng tấn công DDoS có thể giúp người quản trị phát triển các kỹ thuật lọc gói tin mới, đảm bảo rằng hacker không thể sử dụng server của họ như một thành viên của mạng lưới botnet.
Truy vết gói tin
Truy vết gói tin đề cập đến việc truy tìm lại lưu lượng tấn công tương tự như reverse engineering. Trong phương pháp này, ta truy tìm gói tin về nguồn gốc của nó. Khi đã xác định nguồn gốc thực sự, ta có thể nghiên cứu các biện pháp để chặn các cuộc tấn công tiếp theo từ nguồn đó bằng cách phát triển các kỹ thuật ngăn chặn cần thiết. Ngoài ra, việc truy vết gói tin có thể giúp thu thập thông tin về các công cụ và kỹ thuật khác nhau mà hacker sử dụng.
Phân tích nhật ký sự kiện
Nhật ký sự kiện DDoS (log) hỗ trợ trong điều tra pháp y và thực thi pháp luật, đặc biệt hữu ích khi hacker gây thiệt hại về mặt tài chính nghiêm trọng. Các nhà cung cấp dịch vụ internet có thể sử dụng honeypot và các cơ chế bảo mật mạng khác như tường lửa, bộ chụp gói tin và log của server để lưu trữ tất cả các sự kiện đã xảy ra trong quá trình thiết lập và thực thi cuộc tấn công. Nhật ký của bộ định tuyến, tường lửa và IDS cũng có thể được phân tích để xác định nguồn lưu lượng DoS. Hơn nữa, người quản trị có thể cố gắng truy tìm lại địa chỉ IP của hacker với sự trợ giúp từ nhà cung cấp dịch vụ trung gian và các cơ quan thực thi pháp luật.
Bảo vệ chống DoS/DDoS ở phía nhà cung cấp
Một trong những cách tốt nhất để phòng vệ trước DoS là chặn chúng tại gateway. Việc này được thực hiện bởi nhà cung cấp dịch vụ Internet (ISP) mà tổ chức đã ký hợp đồng. ISP cung cấp một hợp đồng dịch vụ “clean pipes” đảm bảo băng thông cho lưu lượng thông tin chính xác, chứ không phải băng thông tổng của tất cả lưu lượng.
Đa số ISP đơn giản là chặn tất cả các yêu cầu trong tấn công DDoS, từ chối cả lưu lượng hợp lệ truy cập vào dịch vụ. Nếu ISP không cung cấp dịch vụ “clean pipes”, có thể sử dụng các dịch vụ đăng ký do nhiều nhà cung cấp dịch vụ cloud cung cấp. Các dịch vụ này hoạt động như một trung gian, nhận lưu lượng truy cập đến mạng, lọc nó và chỉ chuyển tiếp các kết nối tin cậy tới server. Các nhà cung cấp như Imperva và VeriSign cung cấp các dịch vụ bảo vệ đám mây chống lại cuộc tấn công DoS.
ISP cung cấp giải pháp chống lại DDoS trên cloud giúp đường truyền Internet tránh quá tải do cuộc tấn công. Loại bảo vệ này chuyển hướng lưu lượng tấn công đến ISP trong quá trình tấn công. Quản trị viên có thể yêu cầu ISP chặn IP bị ảnh hưởng và di chuyển trang web sang một IP khác sau khi thực hiện DNS propagation.