XÂY DỰNG CƠ CHẾ PHÒNG THỦ:

Một phần của tài liệu tìm hiểu tấn công ddos và cách phòng chống (Trang 52)

Malicious TCP

2.7.XÂY DỰNG CƠ CHẾ PHÒNG THỦ:

Không cần quan tâm đến mình có phải là mục tiêu tấn công hay không, hay bắt đầu từng bước xây dựng kịch bản trước cho mình bỏi vì không thể nào biết được attacker có “nhắm” đến mình hay không, hay mình có bị “trở

thành” agent hoặc hander? Dưới đây là những giai đoạn trong phạm vi “bảo vệ, phát hiện và đáp trả”.

Chuẩn bị: phải hiểu rõ cơ cấu vận hành hệ thống bên trong và phải có

những công cụ cần thiết thực hiện bắt gói và phân tích trên cả host lẫn mạng (network). Đó cũng là cách để phòng chống những cuộc tấn công đơn giản trước khi bị DoS/DDoS.

Phát hiện: Không phải tất cả những cuộc tấn công nào cũng đều gây cho

hệ thống của mình bị “lỗi”, tuy nhiên, nếu có lỗi thì phải biết lỗi đó là gì. Từ những vấn đề đơn giản được phát hiện thì mới có thể phòng tránh được những vấn đề phức tạp hơn. Bằng cách ghi lại một cách định kỳ những công việc mà hệ thống hoạt động, tuy nhiên vẫn phải đảm bảo về mặt pháp lý. Chẳng hạn, bạn có thể phân loại những host nào đó mà mình cho là nguy hiểm hay xây dựng một IDS hoạt động trên mạng.

Nhận dạng: nếu không thường xuyên bắt dữ liệu để xác định công

cụ tấn công DoS/DDoS. Bạn cũng có thể được hỗ trợ bởi những tổ chức phân tích các công cụ hiện có trên internet mà attacker hay sử dụng, từ đó hiểu được cơ chế hoạt động của DoS/DDoS. Bằng cách chia sẽ thật nhiều thông tin về tấn công, nó sẽ hạ thấp một mạng tấn công DDoS.

Đáp trả: thực hiện khóa lưu lượng tạm ngưng cuộc tấn công, nhận dạng

những máy tính bị thỏa hiệp và thu thập chứng cứ phục vụ về mặt pháp lý, hay tóm lược một bảng báo cáo nhanh cho các điều tra viên để họ giúp đỡ bạn trong thời kỳ “khủng hoảng” vì DDoS.

Phân tích sau một vụ tấn công: điều này rất quan trọng nhằm xác định

những gì bạn làm được và chưa làm được. Bạn thu được những gì? có nhận dạng ra cuộc tấn công đó không? Nhất định mỗi một công cụ viết ra đều phải có một cơ chế hoạt động riêng của nó. DoS/DDoS cũng vậy, và từ “vô số” những packet mà bạn thu được, bạn có thể rút ra dấu hiệu của nó? Đó cũng đồng nghĩa với việc bạn có một “sơ hỡ” nào đó của hệ thống bên trong.

Một phần của tài liệu tìm hiểu tấn công ddos và cách phòng chống (Trang 52)

(77 trang)