CHƯƠNG 1 GIỚI THIỆU ĐỀ TÀI
2.2 Những thách thực trong việc phịng, chống tấn cơng DDoS
Ở phần trên, luận văn đã trình bày về các dạng, hình thức tấn cơng DDoS phổ biến, qua đĩ cĩ thể thấy rằng kẻ tấn cơng cĩ thể sử dụng rất nhiều dạng, hình thức tấn cơng DDoS khác nhau, rất tinh vi để cĩ thể vượt qua các biện pháp phịng chống. Trong phần này, luận văn trình bày các vấn đề trong việc phát hiện và phịng chống tấn cơng DDoS. Qua đĩ cĩ thể thấy được khĩ khăn, thách thức khác trong việc phịng chống tấn cơng DDoS [28], như sau:
18
Kẻ tấn cơng cĩ thể thực hiện các hình thức tấn cơng mạng khác nhau để chiếm quyền truy cập vào Server, dịch vụ và thực hiện các mã thực thi để khai thác Server, dịch vụ. Thơng thường, một hệ thống thơng tin sẽ cung cấp rất nhiều dịch vụ như: Dịch vụ Web, Thư điện tử, Phân giải tên miền…Những dịch vụ này được kết nối, lộ mặt trực tiếp ngồi Internet. Kẻ tấn cơng cĩ thể thực hiện nhiều hướng tấn cơng khác nhau vào một hệ thống thơng tin thơng qua các dịch vụ trực tuyến. Bất kỳ dịch vụ trực tuyến nào, kẻ tấn cơng đều cĩ thể thực hiện tấn cơng DDoS để làm mất tính khả dụng của dịch vụ đĩ. Vì vậy, việc bảo vệ an tồn cho một hệ thống thơng tin cần bảo vệ tất cả các dịch vụ mà hệ thống đĩ cung cấp.
2. Nguồn tấn cơng đa dạng, phân tán
Nguồn gửi các yêu cầu tấn cơng DDoS cĩ tính phân tán cao, điều này phụ thuộc vào số lượng máy tính nằm trong một mạng botnet. Vì vậy, khi tấn cơng DDoS xảy ra, việc thực hiện ngăn chặn bằng tay các nguồn gửi tấn cơng là khơng khả thi. Thơng thường, người quản trị hệ thống cĩ thể thiết lập những luật trên thiết bị mạng/thiết bị bảo mật (Router/Firewall) để phát hiện và ngăn chặn các gĩi tin gửi đến từ các nguồn tấn cơng. Tuy nhiên, số lượng luật cĩ thể thiết lập trên các thiết bị là một con số hữu hạn. Hơn nữa, với các dạng tấn cơng DDoS sử dụng địa chỉ nguồn tấn cơng giả mạo thì phương pháp chặn lọc IP nguồn khơng thể thực hiện được mà thay vào đĩ là phải sử dụng phương pháp chặn lọc dựa vào phần nội dung (payload) của gĩi tin.
3. Giao thoa giữa traffic bình thường và traffic tấn cơng
Trong khi tấn cơng DDoS xảy ra, hệ thống vẫn nhận được các yêu cầu từ người sử dụng hợp lệ. Do đĩ, việc áp dụng các phương pháp để phát hiện, phân loại và lọc là một thử thách lớn. Trường hợp, hệ thống thiết lập các chính sách chặn lọc ở mức độ thấp thì cĩ thể khơng ngăn chặn được hết các nguồn gửi tấn cơng. Trường hợp, hệ thống thiết lập các chính sách chặn lọc ở mức độ cao thì cĩ thể chặn cả các kết nối của người dùng hợp lệ .
4. Hình thức tấn cơng đa dạng
Tấn cơng DDoS cĩ thể thực hiện dưới nhiều dạng, hình thức khác nhau và ở khác lớp giao thức khác nhau của Mơ hình OSI . Như luận văn đã trình bày ở trên, tấn cơng DDoS cĩ thể xảy ra ở lớp 3 (Network), lớp 4 (Transport) của Mơ hình OSI thơng qua các giao thức như TCP/UDP/ICMP… và tấn cơng DDoS vào lớp ứng dụng lớp 7 (Application) của Mơ hình OSI thơng qua các giao thức như HTTP/DNS/VoiceIP…
5. Gia tăng đột biến truy cập bình thường (Flash crowds)
Với các dịch vụ trực tuyến, số lượng truy cập tới dịch vụ cĩ thể tăng đột biến khi số lượng người dùng truy cập đồng thời cùng một lúc tăng nhanh chĩng do đặc trưng của dịch vụ cung cấp. Do đĩ, trong trường hợp này hệ thống cĩ thể như đang bị tấn cơng DDoS nhưng thực tế đây lại là các truy cập hợp lệ từ phía người dùng. Vì vậy, việc phân biệt trường hợp tăng đột biến các truy cập hợp lệ với tấn cơng DDoS thực sự cũng là một vấn đề lớn đối với các phương pháp phịng, chống.
19
Vị trí triển khai các phương pháp phịng, chống tấn cơng DDoS cũng là một vấn đề lớn. Vị trí triển khai khác nhau sẽ cĩ phương pháp phịng, chống khác nhau. Về cơ bản cĩ thể triển khai 03 vị trí phịng, chống khác nhau: (1) Gần nguồn tấn cơng, (2) Gần đích bị tấn cơng, (3) Tại hạ tầng mạng trung gian thường là các mạng của ISP. Với mỗi vị trí triển khai đều cĩ những hạn chế nhất định. Đối với phương án triển khai ở vị trí gần nguồn, việc chặn lọc cĩ thể khĩ khăn do tính phân tán của nguồn gửi tấn cơng. Đối với phương án triển khai ở vị trí gần đích thì vấn đề là băng thơng kết nối của hệ thống bị tấn cơng là giới hạn, nên băng thơng kết nối cĩ thể bị quá tải trước khi áp dụng các phương pháp phịng, chống ở phía hệ thống bị tấn cơng. Đối với phương pháp triển khai tại ISP thì phải đối mặt với việc lưu trữ và xử lý thơng tin của các thiết bị định tuyến của ISP.
7. Thơng lượng
Trên thực tế, kết nối mạng của các ISP cĩ thể từ trung bình đến rất lớn, mỗi kết nối cĩ thể lên tới hàng trăm Gbps. Hiện nay lại cĩ rất nhiều website được đặt hosting, triển khai trên hạ tầng của ISP hoặc các dịch vụ cloud thuê hạ tầng của ISP. Với lưu lượng dữ liệu rất lớn như thế, dẫn đến việc kiểm sốt lưu lượng và áp dụng các phương pháp phân tích, chặn lọc là một thử thách khĩ khăn.