Malicious TCP
2.7.1.3. Củng cố hệ thống mạng:
Ngoài vấn đề về bảo mật tại những host cục bộ, chúng ta cũng phải nghĩ đến tính bảo mật trên mạng. Đó chính là tính dự phòng và nó được thiết kế và thực thi như sao.
Dự phòng mạng:
Một giải pháp theo “hướng thẳng” để xử lý luồng lưu lượng cao đó là mua nhiều tài nguyên, một cách thức được biết đến đó là overprovisioning.
Nhưng vấn đề đặt ra là chi phí, trong khi đó attacker tốn rất ít, thậm chí là không tốn một xu để tuyển dụng nguồn tài nguyên phong phú trên internet.
Một hình thức của overprovisioning là nâng cấp tài nguyên máy chủ. Nâng cấp máy chủ với bộ xử lý mới nhất, ổ đĩa lớn, bộ nhớ mạnh. Hoặc sử dụng nhiều máy chủ dự phòng hay sử dụng nó như một bộ máy cân bằng tải. Điều này cũng cải thiện phần nào các người dùng hợp lệ. Đối với các doanh nghiệp lớn, họ phải mở rộng theo nhiều cách như vậy. Một cuộc tấn công DoS/DDoS ở mức độ trung bình thì việc cung cấp các hệ thống dự phòng là điều đáng quan tâm.
Nếu như hệ thống của bạn quản lý và giao tiếp ra bên ngoài trên một đường mạng chung, thì lúc này hãy nghĩ đến băng thông. Nếu bạn đang sử dụng một đường dây diện thoại chia sẽ kết nối internet, bạn hãy cố gắng “nâng cấp”, liên lạc với nhà cung cấp dịch vụ internet (ISP) để đặt mua một băng thông khác, bởi vì mục tiêu của tấn công DoS vẫn là từ chối dịch vụ. Một băng thông thấp càng làm cho bạn bị đình trệ trong kết nối.
Thiết kế:
Khi tấn công DDoS gửi số lượng lớn các yêu cầu từ dịch vụ của bạn, nhất định hệ thống của bạn phải chịu ảnh hưởng về lỗi. Thiết kế, tổ chức mạng sao cho
nhiều lợi ích trong công cuộc phòng chống những sự kiện không mong muốn. Sau đây là những công nghệ sử dụng để thiết kế:
Phân chia các dịch vụ. Bạn có thể cung cấp những đường mạng vật lý khác nhau cho nhiều dịch vụ khác nhau, kết nối đến những nhà cung cấp dịch vụ khác nhau hay phân chia thành nhiều mạng con. Cách tốt nhất là chia thành nhiều nhóm tùy theo cấu trúc bên trong mạng của bạn, chẳng hạn: nhóm những host làm máy chủ Web (server), những máy chủ ứng dụng, máy chủ CSDL,v.v… Có thể thiết lặp ràng buộc các chính sách như đặt tường lửa ở mỗi nhóm này.
Phân tách các dịch vụ trên những host. Thay vì bạn tập trung nhiều dịch vụ trên một host, bạn có thể tách từng dịch vụ riêng tđảm nhận rên từng host riêng. Ví dụ bạn có thể chỉ mở một số port SMTP (25) và POP3 (110) chỉ trên máy chủ chứa nhận e-mail, các port không cần thiết thì nên đóng lại. Khi đó nếu có một hành vị lạ xảy ra trên các host này, bạn sẽ nhận biết một cách dễ dàng.
Phân chia đường mạng. Phân chia đường mạng trong tổ chức sao cho hợp lý cũng là cách làm tốt để tránh ảnh hưởng đến các đường mạng khác. Chẳng hạn, bạn có một Web server trên một đường mạng riêng kết nối với internet; bạn có một mail server cũng riêng biệt; giả sử bạn bị tấn công DoS/DDoS trên Webserver, khi đó các nhân viên vẫn trao đổi e-mail bình thường. Thời gian còn lại là bạn xử lý cái Webserver đó mà thôi.
Giảm bớt “tầm nhìn” ra bên ngoài. Nếu attacker có thể “học” được cách tổ chức bên trong mạng của bạn, họ có thể thu được nhiều lợi ích phục vụ cho việc tấn công. Có một số công nghệ phụ giúp một cách tìm ẩn mạng của mình. Chẳng hạn, khóa những gói ICMP ECHO_REPLY có thể ngăn chặn attacker học cách thức định tuyến của mình. Hoặc “cắt” thành 2 vùng DNS riêng với cùng một tên DNS. Một vùng sẽ chứa danh sách những dịch vụ có thể truy xuất ra ngoài thông qua tường lửa (External DNS server). Vùng kia sẽ chứa những dịch vụ cung cấp truyền thông bên trong giữa các nhân viên với nhau (Internal DNS server).