Nguyên tắc chống tấn công từ chối dịch vụ là cần phải lọc và gạt bỏ được các luồng tin tấn công, và tốt hơn nữa là ngăn chặn được các nguồn tấn công. Để chống tấn công
Các gói tin SYN mang địa chỉ ip của máy chủ mục tiêu tấn công
(được gửi từ kẻ tấn công)
Phát các gói SYN giả mạo
A B C D E F
Máy chủ mục tiêu tấn công (M)
Các gói tin SYN/ACK hồi đáp cho gói SYN được gửi tới máy chủ mục tiêu tấn công (thay vì gửi tới kẻ tấn công).
Các máy chủ thật, đóng vai trò như các máy tính ma.
từ chối dịch vụ phân tán phải vô hiệu hóa được hoạt động của các mạng botnet. Để làm được điều này một cách hiệu quả thường đòi hỏi các biện pháp điều phối ứng cứu sự cố ở quy mô quốc gia hay thậm chí phối hợp nhiều nước. Để phòng chống tấn công từ chối dịch vụ một cách hiệu quản trước tiên chúng ta cần tìm hiểu các giai đoạn chính trong quá trình chống kiểu tấn công này.
Có ba giai đoạn chính trong quá trình chống tấn công DDoS:
- Giai đoạn 1 ngăn ngừa tấn công: Tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các Handler.
- Giai đoạn 2 đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.
- Giai đoạn 3 sau khi cuộc tấn công xảy ra: Thu thập chứng cứ và rút kinh nghiệm
Giai đoạn 1 ngăn ngừa tấn công: Trong giai đoạn này ta sẽ thực hiện tối thiểu hóa số lượng Agent, tìm và vô hiệu hóa các Handler.
Tối thiểu hóa số lượng Agent:
- Ngăn chặn từ phía người dùng: Một phương pháp rất tốt để năng ngừa tấn công từ chối dịch vụ là từng người dùng internet sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác. Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho các người dùng internet. Tấn công mạng sẽ không bao giờ hình thành nếu không có người dùng nào bị lợi dụng trở thành tác nhân gây hại. Các người dùng phải liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình. Họ phải tự kiểm tra sự hiện diện của tác nhân gây hại trên máy của mình, điều này là rất khó khăn đối với người dùng thông thường.
- Sử dụng một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt mã độc nguy hiểm thông qua phần cứng và phần mềm của từng hệ thống. Về phía người dùng họ nên cài đặt và cập nhật liên tục các phần mềm chống vi-rút, trojan và các bản vá lỗi của hệ điều hành máy chủ.
Tìm và vô hiệu hóa các Handler:
Một nhân tố vô cùng quan trọng trong tấn công mạng là Handler, nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng phòng chống tấn công từ chối dịch vụ thành công là rất cao. Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler và Agent ta có thể phát hiện ra vị trí của Handler. Do một Handler quản lý nhiều Agent, nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ được một lượng đáng kể các Agent trong mạng tấn công.
Giai đoạn 2 đối đầu với cuộc tấn công: Trong giai đoạn này trươc tiên cần phát hiện dấu hiệu của một cuộc tấn công. Có thể áp dụng một số biện pháp sau:
- Lọc các gói tin ra vào (Agress Filtering): Kỹ thuật này kiểm tra xem một gói tin có đủ tiêu chuẩn ra khỏi một mạng con hay không dựa trên cổng gateway của một mạng con ta luôn biết được địa chỉ ip của các máy thuộc mạng đó. Các gói tin từ bên trong
mạng con gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. Nếu kỹ thuật này được áp dụng trên tất cả các mạng con của mạng internet thì sẽ ngăn chặn được việc giả mạo địa chỉ ip.
- Giám sát giao thức mạng: Trong bộ định tuyến luôn có thông tin thống kê về sự biến thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ các thống kê của giao thức mạng, như ICMP, UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống.
Sau khi phát hiện các dấu hiệu tấn công cần làm suy giàm hay dừng cuộc tấn công, để thực hiện việc này có thể áp dụng một số biện pháp sau:
- Cần cân bằng tải cho các máy chủ (Load balancing): Thiết lập kiến trúc cân bằng tải cho các máy chủ trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công từ chối dịch vụ. Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn.
- Thiế lập cơ chế điều tiết (Throttling): Thiết lập cơ chế điều tiết trên các bộ định tuyến, quy định một khoảng tải hợp lý mà máy chủ bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn chặn khả năng tấn công làm cạn kiệt lưu lượng không cho người dùng truy cập dịch vụ. Hạn chế của kỹ thuật này là không phân biệt được giữa các loại lưu lượng hợp lệ và không hợp lệ, đôi khi làm dịch vụ bị gián đoạn với người dùng thực sự, hay một phần lưu lượng tấn công vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.
- Từ chối yêu cầu (Drop request): Thiết lập cơ chế từ chối các yêu cầu nếu nó vi phạm một số quy định như: thời gian trễ kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.
Trong giai đoạn này cũng có thể chuyển hướng của cuộc tấn công, sang hệ thống giả đã được lập sẵn để đánh lừa những kẻ tấn công. Một kỹ thuật đang được nghiên cứu và áp dụng là Honeyspot. Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.
Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là máy chủ thư điện tử, máy chủ web v.v. Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vì bị tấn công.
Ngoài ra Honeyspot còn có giá trị trong việc học hỏi và rút kinh nghiệm từ những kẻ tấn công, do Honeypot ghi nhận khá chi tiết mọi động thái của những kẻ tấn công trên hệ thống. Nếu những kẻ tấn công bị đánh lừa và cài đặt các tác nhân gây hại hay bộ điều khiển lên Honeypots thì khả năng toàn bộ mạng tấn công bị triệt tiêu là rất cao.
Giai đoạn 3 sau tấn công: Trong giai đoạn này thông thường sẽ tiến hành phân tích cuộc tấn công, truy tìm vị trí của những kẻ tấn công, tìm ra manh mối và chứng cứ quan trọng. Đặc biệt là rút kinh nghiệm để điều chỉnh hệ thống an toàn hơn.
- Phân tích mẫu lưu lượng mạng: Nếu dữ liệu về thống kê biến thiên lưu lượng theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống cân bằng tải và điều tiết. Ngoài ra các dữ liệu này còn giúp các nhà quản trị mạng điều chỉnh lại các quy tắc kiểm soát lưu lượng ra vào mạng của mình.
- Lần vết gói tin (Packet Traceback): bằng cách dùng kỹ thuật lần vết ta có thể truy ngược lại vị trí của những kẻ tấn công (ít nhất là mạng con của kẻ tấn công).
- Phân tích tập tin nhật ký: Bằng cách phân tích tập tin nhật ký sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.
Biện pháp tổng quát để phòng chống tấn công từ chối dịch vụ:
Sau khi nghiên cứu về tấn công từ chối dịch vụ và cách phòng chống chúng tôi đề xuất cần áp dụng một số biện pháp tổng quát để phòng chống tấn công từ chối dịch vụ như sau:
- Thứ nhất, là phải tăng cường khả năng xử lý của hệ thống bằng cách: Tối ưu hóa các thuật toán xử lý, mã nguồn của máy chủ web, nâng cấp hệ thống máy chủ, nâng cấp đường truyền và các thiết bị liên quan. Cài đặt đầy đủ các bản vá cho hệ điều hành và các phần mềm khác để phòng ngừa khả năng bị lỗi tràn bộ đệm, cướp quyền điều khiển, v.v.
- Thứ hai, hạn chế số lượng kết nối tại thiết bị tường lửa tới mức an toàn hệ thống cho phép. Sử dụng các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn chặn các kết nối nhằm tấn công hệ thống.
- Thứ ba, sử dụng các thuật toán lọc, dựa trên cơ sở ngưỡng, để đối phó với tấn công từ chối dịch vụ như “lụt” các gói tin. Sử dụng hữu hạn tiêu thụ tài nguyên, dựa trên cơ sở ngưỡng, để chống tấn công quá tải hay lạm dụng ứng dụng.Cấu hình tham số rate- limit trên bộ định tuyến hoặc tường lửa để hạn chế số lượng gói tin vào hệ thống. Sử dụng tính năng lọc dữ liệu của tường lửa và bộ định tuyến để loại bỏ các gói tin không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
- Thứ tư, Phân tích luồng gói tin để phát hiện các dấu hiệu tấn công và cài đặt các tường lửa cho phép lọc nội dung thông tin (tần ứng dụng) ngăn chặn theo các dấu hiệu đã phát hiện.
- Thứ năm, khi phát hiện có các cuộc tấn công DoS hay DDoS, các đơn vị quảy lý cổng/trang TTĐT tại Việt Nam cần báo cho các cơ quan có chức năng như Cảnh sát phòng chống tội phạm công nghệ cao, Cục an toàn thông tin bộ thông tin và truyền thông, VNCERT, nhà cung cấp dịch vụ Internet càng sớm càng tốt để nhận được giúp đỡ cần thiết, ngăn chặn các cuộc tấn công này. Mặt khác, việc áp dụng các biện pháp và công cụ kỹ thuật tại chỗ để nâng cao năng lực bảo vệ các cổng/trang TTĐT để phòng chống tấn công là điều cần thiết.
- Thứ sáu, nhanh chóng truy tìm địa chỉ IP tấn công và cấm không cho gửi dữ liệu đến máy chủ. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập
nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu điều kiện cho phép, có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải. Hoặc tạm thời chuyển máy chủ sang một địa chỉ ip khác, hay chuyển hướng cuộc tấn công sang hệ thống giả đã lập ra trước đó.
Tùy khả năng đầu tư, của các đơn vị có các cổng/trang TTĐT có thể trang bị giải pháp sử dụng dịch vụ chống tấn công từ chối dịch vụ với các công cụ kỹ thuật như: Sử dụng hệ thống thiết bị, phần mềm hoặc dịch vụ giám sát an toàn mạng (đặc biệt về lưu lượng) để phát hiện sớm các tấn công từ chối dịch vụ. Sử dụng thiết bị bảo vệ mạng có dịch vụ chống tấn công từ chối dịch vụ chuyên nghiệp kèm theo. Ví dụ: Arbor, Checkpoint, Imperva, Perimeter, UTM firewall v.v.
Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn công kiểu từ chối dịch vụ như trên. Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết triệt để bài toán bài toán chống tấn công từ chối dịch vụ. Các hình thái khác nhau của tấn công từ chối dịch vụ liên tục xuất hiện theo thời gian song song với các giải pháp đối phó, việc đấu tranh với tấn công từ chối dịch vụ là một thực tế thường xuyên.