Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó.
Nghiên cứu đưa giải pháp phòng chống công DoS, DDoS NGHIÊN CỨU VÀ ĐƯA RA GIẢI PHÁP PHÒNG CHỐNG DOS, DDOS 1.Khái niệm phân loại 1.1Khái niệm Tấn công từ chối dịch vụ DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ Nó bao gồm: làm tràn ngập mạng, kết nối với dịch vụ… mà mục đích cuối máy chủ (Server) đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm (Client) 1.2 Phân loại Có loại Loại 1: Dựa theo đặc điểm hệ thống bị công: gây tải khiến hệ thống khả phục vụ •Tin tặc gửi nhiều yêu cầu dịch vụ, bắt chước người dùng thực yêu cầu hệ thống •Để giải yêu cầu, hệ thống phải tốn tài nguyên (CPU, nhớ, đường truyền, …) Mà tài nguyên hữu hạn Do hệ thống khơng tài nguyên để phục vụ yêu cầu sau •Hình thức chủ yếu kiểu cơng từ chối dịch vụ phân tán Loại : Làm cho hệ thống bị treo, tê liệt công vào đặc điểm hệ thống lỗi an toàn thơng tin •Tin tặc lợi dụng kẽ hở an tồn thông tin hệ thống để gửi yêu cầu gói tin khơng hợp lệ (khơng theo tiêu chuẩn) cách cố ý, khiến cho hệ thống bị cơng nhận u cầu hay gói tin này, xử lý khơng khơng theo trình tự thiết kế, dẫn đến sụp đổ hệ thống •Điển hình kiểu công Ping of Death SYN Flood 2.Các cách thức công 2.1 Tấn công thông qua kết nối SYN Flood Attack -Được xem kiểu công DoS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, client (máy khách) muốn thực kết nối (connection) với server (máy chủ) thực việc bắt tay ba lần (three – ways handshake) thơng qua gói tin (packet) Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thơng báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngồi ra, thơng tin khác client địa IP cổng (port) ghi nhận Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối -Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai,server gửi gói tin SYN/ACK trả lời lại client mà khơng nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài ngun chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client -Điểm mấu chốt làm cho client không hồi đáp cho Server Và có hàng nhiều, nhiều client server “ngây thơ” lặp lại việc gửi packet giành tài nguyên để chờ “người về” lúc tài nguyên hệ thống có giới hạn! Các hacker cơng tìm cách để đạt đến giới hạn -Nếu q trình kéo dài, server nhanh chóng trở nên q tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối khơng thể đáp ứng Có thể hình dung q trình giống hư máy tính cá nhân (PC) hay bị “treo” mở lúc q nhiều chương trình lúc -Thơng thường, để giả địa IP gói tin, hacker dùng Raw Sockets (khơng phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận tồn thơng tin gửi gói SYN/ACK ngược lại cho Client Vì địa IP client giả mạo nên client nhận SYN/ACK packet để hồi đáp cho máy chủ Sau thời gian không nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối (connections) tiếp tục mở -Nếu kẻ công tiếp tục gửi nhiều gói tin SYN đến server cuối server tiếp nhận thêm kết nối nữa, dù yêu cầu kết nối hợp lệ Việc phục đồng nghĩa với việc máy chủ không tồn Việc đồng nghĩa với xảy nhiều tổn thất ngưng trệ hoạt động, đặc biệt giao dịch thương mại điện tử trực tuyến -Đây kiểu công đường truyền cao, cần máy tính nối internet qua ngã dial-up đơn giản công kiểu (tất nhiên lâu chút) 2.2 Lợi dụng tài nguyên nạn nhân để cơng Land Attack •Tương tự SYN flood •Nhưng hacker sử dụng IP mục tiêu cần cơng để dùng làm địa IP nguồn gói tin •Đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với UDP flood •Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng •Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng 2.3 Sử dụng Băng Thông DDoS (Distributed Denial of Service) -Xuất vào mùa thu 1999, so với công DoS cổ điển, sức mạnh DDoS cao gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động Để thực kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính/mạng máy tính trung gian (đóng vai trị zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định -Theo cách dù băng thơng có khơng thể chịu đựng số lượng hàng triệu gói tin nên hệ thống khơng thể hoạt động dẫn đến việc yêu cầu hợp lệ khác đáp ứng, server bị “đá văng” khỏi internet - Nói nơm na giống tình trạng kẹt xe vào cao điểm Ví dụ rõ “cộng hưởng” lần truy cập điểm thi đại học vừa qua có q nhiều máy tính u cầu truy cập lúc làm dung lượng đường truyền máy chủ không tài đáp ứng -Hiện nay, xuất dạng virus/worm có khả thực công DDoS.Khi bị lây nhiễm vào máy khác, chúng tự động gửi yêu cầu phục vụ đến mục tiêu xác định vào thời điểm xác định để chiếm dụng băng thông tài nguyên hệ thống máy chủ Trường hợp MyDoom ví dụ tiêu biểu cho kiểu 2.4 Sử dụng tài nguyên khác Smurf Attack •Kiểu công cần hệ thống quan trọng mạng khuyếch đại •Hacker dùng địa máy tính cần cơng để gửi gói tin ICMP echo cho tồn mạng (broadcast) •Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng •Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tear Drop •Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu •Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp gửi đến mục tiêu muốn cơng •Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị "vắt kiệt" khả xử lý Phá hoại chỉnh sửa thơng tin cấu hình •Lợi dụng việc cấu hình thiếu an tồn việc khơng xác thực thơng tin việc gửi/nhận tin cập nhật (update) router mà kẻ công thay đổi trực tiếp từ xa thơng tin quan trọng •khiến cho người dùng hợp pháp sử dụng dịch vụ Phá hoại chỉnh sửa phần cứng •Lợi dụng quyền hạn thân kẻ cơng thiết bị hệ thống mạng để tiếp cận phá hoại thiết bị phần cứng router, switch… vNgồi cịn có kiểu cơng từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed Reflection Denial of Service) -Xuất vào đầu năm 2002, kiểu công nhất, mạnh họ DoS Nếu thực kẻ cơng có tay nghề hạ gục hệ thống giới phút chốc -Mục tiêu DDDoS chiếm đoạt tồn băng thơng máy chủ, tức làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Trong suốt trình máy chủ bị cơng DrDoS, khơng máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3, bị vô hiệu hóa -Về bản, DRDoS phối hợp hai kiểu DoS DDoS Nó có kiểu cơng SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông kiểu DDoS Kẻ công thực cách giả mạo địa server mục tiêu gửi yêu cầu SYN đến server lớn Yahoo, Micorosoft,… chẳng hạn để server gửi gói tin SYN/ACK đến server mục tiêu Các server lớn, đường truyền mạnh vơ tình đóng vai trị zoombies cho kẻ cơng DDoS Q trình gửi lặp lại liên tục với nhiều địa IP giả từ kẻ công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị tải, bandwidth bị chiếm dụng server lớn Tính “nghệ thuật” chỗ cần với máy tính với modem 56kbps, hacker lành nghề đánh bại máy chủ giây lát mà không cần chiếm đoạt máy để làm phương tiện thực cơng Cách phịng chống tổng qt Nhìn chung, cơng từ chối dịch vụ khơng q khó thực hiện, khó phịng chống tính bất ngờ thường phịng chống bị động việc Việc đối phó cách tăng cường “phần cứng” giải pháp tốt, thường xuyên theo dõi để phát ngăn chặn kịp thời gói tin IP từ nguồn khơng tin cậy hữu hiệu ·Mơ hình hệ thống cần phải xây dựng hợp lý, tránh phụ thuộc lẫn mức Bởi phận gặp cố làm ảnh hưởng tới toàn hệ thống ·Thiết lập mật mạnh (strong password) để bảo vệ thiết bị mạng nguồn tài nguyên quan trọng khác ·Thiết lập mức xác thực người sử dụng nguồn tin mạng Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router ·Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ chống lại SYN flood ·Chỉ kích hoạt dịch vụ cần thiết, tạm thời vơ hiệu hố dừng dịch vụ chưa có u cầu khơng sử dụng ·Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng tài nguyên server để cơng server mạng server khác ·Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời ·Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường ·Xây dựng triển khai hệ thống dự phòng ·Khi bạn phát máy chủ bị cơng nhanh chóng truy tìm địa IP cấm khơng cho gửi liệu đến máy chủ ·Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ ·Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay ·Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải ·Tạm thời chuyển máy chủ sang địa khác 4.Chi tiết phịng chống DDoS -Có nhiều giải pháp ý tưởng đưa nhằm đối phó với cơng kiểu DDoS Tuy nhiên khơng có giải pháp ý tưởng giải trọn vẹn tốn Anti-DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker ln trước giới bảo mật bước” -Có ba giai đoạn trình Anti-DDoS: ·Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vơ hiệu hóa Handler ·Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công ·Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm 1.Tối thiểu hóa số lượng Agent - Từ phía User: phương pháp tốt để ngừa công DDoS internet user tự đề phịng khơng để bị lợi dụng công hệ thống khác Muốn đạt điều ý thức kỹ thuật phịng chống phải phổ biến rộng rãi cho internet user Attack-Network khơng hình thành khơng có user bị lợi dụng trở thành Agent Các user phải liên tục thực trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn user thơng thường - Một số giải pháp tích hợp sẵn khả ngăn ngừa việc cài đặt code nguy hiểm vào hardware software hệ thống Về phía user họ nên cài đặt cập nhật liên tục software antivirus, anti_trojan server patch hệ điều hành - Từ phía ISP: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao User 2.Tìm vơ hiệu hóa Handler - Một nhân tố vơ quan trọng attack-network Handler, phát vơ hiệu hóa Handler khả Anti-DDoS thành công cao Bằng cách theo dõi giao tiếp Handler Client hay Handler Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent Attack Network 3.Phát dấu hiệu công Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi ngồi với địa nguồn khơng hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP khơng cịn tồn MIB statistics: Trong Management Information Base (SNMP) route ln có thơng tin thống kê biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 4.Làm suy giàm hay dừng cơng Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên, điều khơng có ý nghĩa mặt thực tiễn quy mơ cơng khơng có giới hạn Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thơng thường hệ thống, cần cân nhắc sử dụng 5.Chuyển hướng công Honeyspots: -Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực -Honeyspots không đóng vai trị “Lê Lai cứu chúa” mà cịn hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động -Ngồi Honeyspots cịn có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu tồn attack-network cao 6.Giai đoạn sau công: Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Q trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngoài liệu giúp Quản trị mạng điều chỉnh lại quy tắc kiểm sốt traffic vào mạng Packet Traceback: Bằng cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu, gần có kỹ thuật Traceback hiệu truy tìm nguồn gốc cơng 15 phút, kỹ thuật XXX Bevent Logs: Bằng cách phân tích file log sau cơng, quản trị mạng tìm nhiều manh mối chứng quan trọng 7.Sử dụng Load Balancing a)Giới thiệu chung: Một số đơn vị, chẳng hạn công ty hàng không ngân hàng lớn, mạng máy tính ví hệ thần kinh điều khiển hoạt động toàn doanh nghiệp Sự ngừng hoạt động mạng máy tính quan làm tê liệt hoạt động đơn vị, thiệt hại khó lường trước Các máy chủ trái tim của mạng máy tính, máy chủ mạng hỏng, hoạt động hệ thống bị ngưng trệ Điều đáng tiếc dù hãng sản xuất cố gắng làm cách để nâng cao chất lượng thiết bị, hỏng hóc thiết bị mạng nói chung máy chủ nói riêng điều tránh khỏi Do vậy, vấn đề đặt cần có giải pháp để đảm bảo cho hệ thống hoạt động tốt có cố xảy máy chủ mạng, cơng nghệ clustering (bó) câu trả lời cho vấn đề Bài báo giới thiệu nguyên lý phân tích số giải pháp clustering áp dụng cho hệ thống mạng máy tính lớn với hi vọng giúp độc giả hiểu rõ công nghệ tưởng đơn giản thực tế phức tạp b)Tổng quan công nghệ Clustering Clustering kiến trúc nhằm đảm bảo nâng cao khả sẵn sàng cho hệ thống mạng máy tính Clustering cho phép sử dụng nhiều máy chủ kết hợp với tạo thành cụm (cluster) có khả chịu đựng hay chấp nhận sai sót (faulttolerant) nhằm nâng cao độ sẵn sàng hệ thống mạng Cluster hệ thống bao gồm nhiều máy chủ kết nối với theo dạng song song hay phân tán sử dụng tài nguyên thống Nếu máy chủ ngừng hoạt động bị cố để nâng cấp, bảo trì, tồn cơng việc mà máy chủ đảm nhận tự động chuyển sang cho máy chủ khác (trong cluster) mà không làm cho hoạt động hệ thống bị ngắt hay gián đoạn Quá trình gọi “fail-over”; việc phục hồi tài nguyên máy chủ hệ thống (cluster) gọi “fail-back” Hình Mơ hình hệ thống Network Load balancing c)Các yêu cầu hệ thống Cluster: Yêu cầu tính sẵn sàng cao (availability) Các tài nguyên mạng phải sẵn sàng khả cao để cung cấp phục vụ người dùng cuối giảm thiểu ngưng hoạt động hệ thống ý muốn Yêu cầu độ tin cậy cao (reliability) Độ tin cậy cao cluster hiểu khả giảm thiểu tần số xảy cố, nâng cao khả chịu đựng sai sót hệ thống Yêu cầu khả mở rộng (scalability) Hệ thống phải có khả dễ dàng cho việc nâng cấp, mở rộng tương lai Việc nâng cấp mở rộng bao hàm việc thêm thiết bị, máy tính vào hệ thống để nâng cao chất lượng dịch vụ, việc thêm số lượng người dùng, thêm ứng dụng, dịch vụ thêm tài nguyên mạng khác Ba yêu cầu gọi tắt RAS (Reliability-Availability-Scalability), hệ thống đáp ứng ba yêu cầu gọi hệ thống RAS (cần phân biệt với Remote Access Service dịch vụ truy cập từ xa) Cũng cần ý hiệu hoạt động hệ thống Clustering phụ thuộc vào tương thích ứng dụng dịch vụ, phần cứng phần mềm Ngồi ra, kỹ thuật clustering khơng thể chống lại cố xảy virus, sai sót phần mềm hay sai sót người sử dụng Để chống lại cố cần xây dựng sở liệu bảo vệ chắn có kế hoạch khơi phục, backup liệu d)Cluster nhiều địa điểm phân tán Với hệ thống mạng lớn có người dùng phân bố rải rác, hiệu việc phòng chống cố nâng cao tính sẵn sàng mạng cải thiện nhiều xây dựng hệ thống cluster bố trí nhiều địa điểm Kiến trúc nhiều địa điểm thiết kế theo nhiều cách khác nhau, phổ biến có điểm gốc số điểm xa Với kiểu thiết kế đầy đủ, toàn cấu trúc điểm gốc xây dựng lại đầy đủ điểm xa Điều cho phép điểm xa hoạt động độc lập xử lý tồn khối lượng công việc điểm gốc cần Trong trường hợp này, việc thiết kế phải đảm bảo cho sở liệu ứng dụng điểm gốc điểm xa phải đồng cập nhật lặp chế độ thời gian thực Với kiểu thiết kế thực phần có thành phần cài đặt điểm xa nhằm: Xử lý khối lượng công việc tải cao điểm; Duy trì hoạt động mức trường hợp điểm gốc site bị cố; Cung cấp số dịch vụ hạn chế cần Cả kiểu thiết kế đầy đủ hay phần dùng phương cách phân tán máy chủ rải rác mặt địa lý Cluster phân tán địa lý sử dụng mạng LAN ảo (Virtual LAN) để kết nối mạng khu vực lưu trữ SAN (storage area network) qua khoảng cách lớn e)Một vài thuật toán sử dụng Load balancing phịng chống DoS: Hình Sơ đồ hệ thống mạng Firewall Load Balancing f)Các mơ hình Load Balancing nay: i.Client-side load balancing ii.Server-side load balancing g)Chế độ hoạt động Network Load Balancing Mỗi máy chủ cluster gọi nút (cluster node), thiết lập chế độ chủ động (active) hay thụ động (passive) Khi nút chế dộ chủ động, chủ động xử lý yêu cầu Khi nút thụ động, nằm chế độ dự phịng nóng (stanby) chờ để sẵn sàng thay cho nút khác bị hỏng Nguyên lý hoạt động Cluster biểu diễn hình Hình Nguyên lý hoạt động Cluster Trong cluster có nhiều nút kết hợp nút chủ động nút thụ động Trong mơ hình loại việc định nút cấu hình chủ động hay thụ động quan trọng Để hiểu lý sao, xem xét tình sau: - Nếu nút chủ động bị cố có nút thụ động sẵn sàng, ứng dụng dịch vụ chạy nút hỏng chuyển sang nút thụ động Vì máy chủ đóng vai trị nút thụ động chưa chạy ứng dụng hay dịch vụ nên gánh tồn cơng việc máy chủ hỏng mà khơng ảnh hưởng đến ứng dụng dịch vụ cung cấp cho người dùng cuối (Ngầm định các máy chủ cluster có cấu trúc phần cứng giống nhau) - Nếu tất máy chủ cluster chủ động có nút bị cố, ứng dụng dịch vụ chạy máy chủ hỏng phải chuyển sang máy chủ khác đóng vai trị nút chủ động Vì nút chủ động nên bình thường máy chủ phải đảm nhận số ứng dụng hay dịch vụ đó, có cố xảy phải gánh thêm cơng việc máy chủ hỏng Do để đảm bảo hệ thống hoạt động bình thường kể có cố máy chủ cluster cần phải có cấu hình dư đủ để gánh thêm khối lượng cơng việc máy chủ khác cần Trong cấu trúc cluster mà nút chủ động dự phòng nút thụ động, máy chủ cần có cấu hình cho với khối lượng cơng việc trung bình chúng sử dụng hết khoảng 50% CPU dung lượng nhớ Trong cấu trúc cluster mà số nút chủ động nhiều số nút bị động, máy chủ cần có cấu hình tài ngun CPU nhớ mạnh để xử lý khối lượng cơng việc cần thiết nút bị hỏng Các nút cluster thường phận vùng (domain) cấu hình máy điều khiển vùng (domain controllers) hay máy chủ thành viên Lý tưởng cluster nhiều nút có hai nút làm máy điều khiển vùng đảm nhiệm việc failover dịch vụ vùng thiết yếu Nếu không khả sẵn sàng tài nguyên cluster bị phụ thuộc vào khả sẵn sàng máy điều khiển domain h)Network Load Balancing Goole Yahoo! việc phòng chống Denial of Service: i.Cơ chế chung vKhi connect tới server, Round Robin DNS Load Balancing phân giải domain thành nhiều địa IP khác sử dụng cấp thứ 1của load balancing gửi tới cluster khác nhau, cluster thực chất server cache nhau, liệu chúng đồng lẫn thông qua giao thức HTTP vMỗi server cluster có hàng ngàn server để gửi query tới web server vServer load balancer lấy request user chuyển tiếp tới web servers nhờ vào Squid proxy servers vSquid proxy server nhận request client load balancer trả kết có cache ngược lại chuyển tiếp tới web servers vWeb server định vị tọa độ thực thi queries user định dạng kết thành trang HTML ii.Giải pháp thực tế Google vSử dụng NetScaler 9800 Secure Application Switches vNetScaler tải hàng trăm megabits giâycủa tầng đếntầng lưu lượng sử dụng vTại liệu trung tâm, máy chủ sử dụng Apache Server ứng dụng Web Server Google thiết kế vCách thức NetScaler phòng chống DoS đóng vai trị firewall dự phịng hệ thống firewall công ty vCác load balancer thiết kế chấp nhận luồng thông tin qua cổng 80, thông tin không qua cổng định, không bắt nguồn từ IP, chúng bị hủy vVới tính "SYN cookies", NetScaler đáp ứng SYN messages - packets khởi đầu cho TCP/IP connection(được sử dụng "SYN flood" DoS attack) mà không xung đột với tài ngun vVới NetScaler, Google phịng chống DoS attack từ tầng 4, tầng có cơng cụ cài Web server xử lý vThiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS 1Một số vụ công DoS DDoS Thế giới •1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli •Tháng – 1999 Trang chủ FBI ngừng họat động cơng (DDOS) •Cuối tháng năm 1999, Cơng cụ Stacheldraht bắt đầu xuất hệ thống Châu âu Hoa kỳ •Lúc 10h 30 ngày 7-2-2000 Yahoo bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với yêu cầu chuyển vận lên đến gigabit /s •8-2-2000 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị cơng từ chối dịch vụ •Lúc tối ngày 9-2-2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyển tới tấp vòng kết thúc, gói liệu hư hỏng nặng Việt Nam •Ngày 01/12/2005 Website Hacker lớn Việt Nam HVA bị công “chiêu thức” xFlash với tốc độ công khoảng 16.000 syn/s Đây vụ công Từ Chối Dịch Vụ Việt Nam •Nguyễn Thành Cơng tức DantruongX (Đắk Lắk) cơng vào website công ty Việt Cơ vào ngày 12/03/2006 •Và bị bắt vào ngày 28/04/2006 •Đây vụ công Việt Nam bị pháp luật xử lý •DantruongX tác giả loại code DDoS mạnh Việt Nam nay, với 10 PC đánh sập website 10 phút Mơ hình cơng vào Website Việt Cơ •Ngày 31/7/2006, sinh viên năm thứ bị đơn vị phịng chống tội phạm cơng nghệ cao thuộc C15 Bộ Cơng an bắt giữ tiến hành cơng từ chối dịch vụ Kẻ "thủ ác" quản trị số diễn đàn âm nhạc lợi dụng PC thành viên để đánh phá website "nạn nhân" thời gian dài •Hacker trẻ tuổi dùng phương pháp xFlash để công máy chủ công ty phần mềm Nhân Hòa thời gian dài Sơ đồ cơng vào cơng ty Nhân Hịa ... 4.Chi tiết phịng chống DDoS -Có nhiều giải pháp ý tưởng đưa nhằm đối phó với cơng kiểu DDoS Tuy nhiên khơng có giải pháp ý tưởng giải trọn vẹn tốn Anti -DDoS Các hình thái khác DDoS liên tục xuất... Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng... Cách phịng chống tổng qt Nhìn chung, cơng từ chối dịch vụ khơng q khó thực hiện, khó phịng chống tính bất ngờ thường phòng chống bị động việc Việc đối phó cách tăng cường “phần cứng” giải pháp tốt,