DDoS và các nguyên tắc chống chọi DDOS
DDoS và nguyên tắc chống chọi DDOS Trong bài này tôi sẽ tóm tắt những điểm tối quan trọng trong việc chống chọi với DDoS (distributed denial of service attack) cho những ai đang quan tâm về kiểu tấn công này. DDoS có nhiều dạng, nhiều biến thể tấn công nhưng tựu chung có một mục đích: làm cho ...
Trong bài này tôi sẽ tóm tắt những điểm tối quan trọng trong việc chống chọi với DDoS (distributed denial of service attack) cho những ai đang quan tâm về kiểu tấn công này. DDoS có nhiều dạng, nhiều biến thể tấn công nhưng tựu chung có một mục đích: làm cho người dùng hệ thống không thể sử dụng được dịch vụ của hệ thống.
DDoS có hai dạng chính:
- Làm ngập băng thông khiến cho người dùng không thể truy cập dịch vụ.
Làm cho dịch vụ hoàn toàn tê liệt vì hết tài nguyên khiến cho người dùng không thể truy cập dịch vụ. - Chống đỡ hai dạng trên đều đòi hỏi gia tăng tài nguyên (băng thông, CPU, diskspace, memory). Tài nguyên càng phát tán rộng ra nhiều network càng tốt.
Giảm thiểu tác hại của DDoS có hai hướng chính:
- Giảm thiểu bằng cách cản lọc những đặc điểm cụ thể.
- Giảm thiểu bằng cách cản lọc theo ấn định số lần truy cập trong một khoản thời gian (nếu không tìm ra được đặc điểm cụ thể).
Giảm thiểu bằng cách cản lọc những đặc điểm cụ thể dựa trên những thông tin lấy từ logs (tổng quát về IP, user-agents, số lần truy cập trong một khoảng thời gian nào đó) hoặc từ packet capturing bằng tcpdump hoặc wireshark (chi tiết tính chất trong các packet header và payload). Làm việc này đòi hỏi am hiểu đặc tính của log và tính chất của các gói tin.
Giảm thiểu bằng cách cản lọc theo ấn định số lần truy cập trong một khoản thời gian dựa trên kết quả phân tích số lần truy cập đi từ một IP trong một khoảng thời gian. Làm việc này đòi hỏi am hiểu đặc tính của log.
Bốn điểm cần lưu ý
- Cản trên tầng IP cho những đặc điểm cụ thể trên tầng IP (ví dụ: iptables). Cản trên tầng application cho những đặc điểm trên tầng application (ví dụ: mod_security). Tránh đừng cản lọc những thứ thuộc về tầng application trên tầng IP và ngược lại, tránh đừng cản lọc những thứ thuộc tầng IP trên tầng application vì chúng không hiệu suất.
- Nếu blackhole (/dev/null) được ngay trên router thì thực hiện ngay thay vì cản lọc trên firewall.
- Cản lọc không dừng lại ở MỖI TẦNG mà ở trên TẤT CẢ CÁC TẦNG GIAO THỨC bất cứ nơi đâu có thể được, thậm chí phối hợp giữa các tầng.
- Tính hiệu suất, gọn nhẹ là chìa khoá để bảo tồn tài nguyên.
HOÀNG NGỌC DIÊU (HVA)