Với tốc độ phát triển của công nghệ, những cuộc tấn công thông qua mạng Internet cũng ngày càng trở nên tinh vi và nguy hiểm hơn. Nếu doanh nghiệp không nhận thức sớm vấn đề này, các thông tin kinh doanh quan trọng bị xâm phạm chỉ là chuyện sớm muộn.
Thông thường, tin tặc sẽ tấn công vào hệ thống máy chủ bằng cách lợi dụng những lỗ hổng về bảo mật nhằm chiếm quyền hệ thống của bạn và gây ra những hậu quả nghiêm trọng. Vì lẽ đó, bài viết này sẽ cung cấp cho bạn những kiến thức về DDoS và chi tiết hơn về cách chống DDoS cho server windows.
DDoS Server là gì?
Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống server (máy chủ) bị quá tải, không thể cung cấp dịch vụ hoặc phải ngừng hoạt động.
Một web server chỉ có thể xử lý một lượng yêu cầu tại 1 thời điểm, nếu như hacker gửi quá nhiều các yêu cầu cùng lúc sẽ làm cho máy chủ bị quá tải và nó sẽ không thể xử lý các yêu cầu khác dẫn đến tình trạng “sập máy chủ”.
Các hình thức tấn công DDoS
Tấn công vào băng thông mạng
Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được. Ví dụ như trong trường hợp ICMP Flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP REPLY tương ứng. Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP REPLY dẫn đến nghẽn mạng. Trong trường hợp UDP Flood cũng tương tự.
Phương pháp tấn công này đặc biệt nguy hiểm vì không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận. Hiện nay, với sự tinh vi của các tool DDoS, giả mạo địa chỉ IP là điều tương đối dễ dàng.
Tấn công vào giao thức
Điển hình của phương pháp tấn công này là TCP SYN Flood. Kẻ tấn công lợi dụng quá trình 3 bước trong giao thức TCP, đó là tin tặc liên tục khởi tạo kết nối TCP, nạn nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từ phía máy khách.
Tấn công bằng những gói tin bất thường
Với phương thức này, hacker dựa vào các điểm yếu của giao thức mạng để khởi tạo tấn công. Ví dụ khi tấn công Ping of Death, tin tặc sẽ gửi một số gói tin ICMP có kích thước lớn hơn kích thước giới hạn. Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận thấy rằng là gói tin quá lớn để xử lý.
Kết quả là hệ thống không thể xử lý được tình trạng bất thường này và sẽ bị treo. Một trường hợp khác như tấn công Lan Attack, kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và số cổng giống nhau. Nạn nhân sẽ liên tục khởi tạo và kết nối với chính nó. Do vậy hệ thống sẽ bị treo hoặc bị chậm lại.
Tấn công qua phần mềm trung gian
Với cách thức này, tin tặc sẽ sử dụng một phần mềm trên máy nạn nhân nhằm khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp xấu nhất. Do vậy, máy nạn nhân sẽ phải xử lý quá trình này và có thể bị treo. Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao. Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin quan trọng.
Các hình thức chống tấn công cho server windows
Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống đã được nghiên cứu và đề xuất trong những năm qua. Tuy nhiên, cho đến hiện nay gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS.
Nhiều biện pháp phòng chống tấn công DDoS cho server windows đã được nghiên cứu trong những năm gần đây. Từ đó, có thể chia các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 tiêu chí chính:
Dựa trên vị trí triển khai
Các biện pháp phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công. Phương pháp này nhằm hạn chế các mạng người dùng tham gia tấn công DDoS.
Một số biện pháp cụ thể bao gồm:
-
Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng;
-
Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận.
-
Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm:
-
Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo.
-
Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, nhận dạng đường dẫn,…
Dựa trên giao thức mạng
Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng :
Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:
-
Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.
-
SIP Defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.
Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:
-
Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.
-
Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.
-
Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.
-
Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả.
-
Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước.
Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:
-
Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.
-
Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.
VNETWORK cung cấp dịch vụ anti DDoS cho server windows
VNETWORK luôn đảm bảo hệ thống server luôn đạt hiệu năng tốt nhất tại bất cứ thời điểm nào nhờ hệ thống Multi CDN có ở 32 quốc gia, tổng băng thông quốc tế lên đến 2,600 Tbps cho khả năng chống DDoS Layer 3/4 ở mức cao nhất.
Hệ thống AI Load Balancing tận dụng nguồn dữ liệu về độ trễ và tính khả dụng của CDN trong mạng lưới Multi CDN toàn cầu thông qua hệ thống RUM (Real User Monitoring) và Synthetic Monitoring, giúp định tuyến lưu lượng truy cập một cách thông minh đến CDN có hiệu năng tốt nhất.
Bên cạnh đó, hệ thống tường lửa Cloud WAF và Scrubbing Centers cùng tính năng ẩn IP máy chủ gốc cũng được kích hoạt, sẵn sàng đối phó với các cuộc tấn công phức tạp vào Layer 7 (tầng ứng dụng) và loại bỏ hoàn toàn các cuộc tấn công chèn mã độc (XSS, SQL, top 10 lỗ hổng bảo mật OWASP,…).
Không chỉ thế, hệ thống SOC ở 4 quốc gia cùng đội ngũ kỹ thuật kinh nghiệm của VNIS trong lĩnh vực an ninh mạng sẽ điều hành, giám sát trạng thái website, hệ thống cơ sở hạ tầng 24/7 nhằm phát hiện những sự cố ngay tức thì.
Nếu bạn đang cần tư vấn từ các chuyên gia, hãy để lại thông tin bên dưới hoặc liên hệ VNETWORK qua hotline: (028) 7306 8789.