Tweet
Phòng chống tấn công DoS và DDoS – Từ lý thuyết đến thực chiến
Trong thế giới mạng ngày nay, tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS) gần như là “cơn ác mộng” đối với bất kỳ hệ thống nào vận hành trên Internet. Điều đáng sợ ở đây là lưu lượng tấn công thường trông “hợp pháp” theo đúng chuẩn giao thức, nên không thể chỉ dựa vào vài dòng lọc đơn giản mà chặn được.
1. Bản chất của tấn công DoS/DDoS
Có hai nhóm chính:
2. Các kỹ thuật phòng chống & giảm thiểu
b. Lọc tuyến – RTBH (Remotely Triggered Black Hole)
c. uRPF – Unicast Reverse Path Forwarding
d. Anycast – Phân tán địa lý
e. Giới hạn kết nối & timeout
f. Chặn dựa trên danh tiếng (Reputation-based blocking)
g. ACLs – Access Control Lists
h. Sổ tay DDoS (DDoS Run Book)
i. Phản ứng thủ công
3. Ghi nhớ cho kỳ thi & thực tế
Trong thế giới mạng ngày nay, tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS) gần như là “cơn ác mộng” đối với bất kỳ hệ thống nào vận hành trên Internet. Điều đáng sợ ở đây là lưu lượng tấn công thường trông “hợp pháp” theo đúng chuẩn giao thức, nên không thể chỉ dựa vào vài dòng lọc đơn giản mà chặn được.
1. Bản chất của tấn công DoS/DDoS
Có hai nhóm chính:
- Tấn công khối lượng (Volumetric)
- Mục tiêu: bão hòa băng thông hoặc tài nguyên mạng của nạn nhân.
- Thường được thực hiện bởi botnet để khuếch đại quy mô.
- Ví dụ:
- DNS Amplification: lợi dụng máy chủ DNS mở để phóng đại lưu lượng trả lời.
- TCP SYN Flood: gửi hàng loạt gói SYN để làm đầy bảng kết nối.
- Lưu lượng thường là “rác” hoặc không liên quan, chỉ nhằm chiếm dụng tài nguyên.
- Tấn công cấp ứng dụng (Application-level)
- Nhắm trực tiếp vào dịch vụ cụ thể trên máy chủ, ví dụ:
- HTTP (TCP 80)
- DNS (TCP/UDP 53)
- Thường dùng kỹ thuật tinh vi hơn, như lũ HTTP GET/POST, khiến dịch vụ tiêu tốn CPU/RAM đến mức sập.
- Nhắm trực tiếp vào dịch vụ cụ thể trên máy chủ, ví dụ:
2. Các kỹ thuật phòng chống & giảm thiểu
Không có “thuốc tiên” chống DDoS, nhưng có thể kết hợp nhiều kỹ thuật để giảm thiểu thiệt hại.
a. Stateful Devices – Tường lửa và IPS- Ưu: Theo dõi trạng thái kết nối, lọc được nhiều tấn công cấp ứng dụng.
- Nhược: Khi bị flood lớn, CPU và RAM bị quá tải, thiết bị trở thành điểm nghẽn.
- Ví dụ thực tế: Tường lửa ASA bị SYN Flood hàng triệu gói/s có thể “đứng hình” trước khi chặn được.
b. Lọc tuyến – RTBH (Remotely Triggered Black Hole)
- Nguyên tắc: Chuyển hướng lưu lượng tấn công vào “lỗ đen” ở rìa mạng để drop.
- Ưu: Chặn từ xa trước khi vào mạng nội bộ.
- Ứng dụng: Khi phát hiện IP đích bị tấn công, có thể áp dụng RTBH để bảo vệ toàn mạng.
- Ví dụ: ISP triển khai RTBH trên router biên để drop toàn bộ lưu lượng đến IP 203.113.10.5 đang bị DDoS.
c. uRPF – Unicast Reverse Path Forwarding
- Xác minh tính “đi được” của địa chỉ IP nguồn.
- Nếu IP nguồn không hợp lệ hoặc bị giả mạo → Drop.
- Giúp hạn chế spoofing trong các cuộc DDoS volumetric.
- Ví dụ: Gói tin từ 192.0.2.10 đến, nhưng router không có route ngược → loại bỏ.
d. Anycast – Phân tán địa lý
- Cùng một IP đích được quảng bá từ nhiều điểm trên toàn cầu.
- Lưu lượng sẽ được định tuyến đến node gần nhất → “chia nhỏ” áp lực.
- CDN như Cloudflare, Google, Akamai sử dụng rất nhiều.
- Ví dụ: Khi IP 8.8.8.8 bị tấn công, lưu lượng sẽ được phân tán về nhiều cụm DNS ở các châu lục.
e. Giới hạn kết nối & timeout
- Giới hạn số kết nối mở, giới hạn SYN toàn cục, rút ngắn thời gian chờ.
- Ngăn DDoS từ bên trong mạng LAN/WAN nội bộ.
- Ví dụ: Giới hạn mỗi IP chỉ 50 kết nối TCP cùng lúc.
f. Chặn dựa trên danh tiếng (Reputation-based blocking)
- Dựa trên cơ sở dữ liệu URL/IP xấu toàn cầu.
- Hai thành phần:
- Phân tích & thu thập dữ liệu mối đe dọa
- Ra quyết định chặn/dỡ chặn
- Ví dụ: Một IP nằm trong blacklist của Talos Intelligence → bị chặn ngay ở biên mạng.
g. ACLs – Access Control Lists
- Lọc nhanh ở router/switch/tường lửa.
- Hữu ích cho phản ứng ban đầu (zero-day mitigation).
- Ví dụ: ACL chặn toàn bộ lưu lượng UDP port 53 từ một subnet đang phát tán DNS amplification.
h. Sổ tay DDoS (DDoS Run Book)
- Là “cẩm nang” phản ứng sự cố DDoS.
- Gồm: sơ đồ mạng, người phụ trách, các bước kích hoạt RTBH/uRPF, liên hệ ISP.
- Giúp xử lý khủng hoảng nhanh, tránh hoảng loạn.
i. Phản ứng thủ công
- Khi đã xác định rõ IP/domain tấn công → tạo ACL hoặc rule chặn cụ thể.
- Điều chỉnh tường lửa, load balancer để giảm kết nối từ nguồn tấn công.
- Ví dụ: Chặn toàn bộ HTTP từ subnet 45.143.220.0/24 do flood GET/POST.
3. Ghi nhớ cho kỳ thi & thực tế
- RTBH: loại bỏ lưu lượng không mong muốn trước khi vào mạng.
- uRPF: chống IP spoofing.
- Anycast: chia tải DDoS bằng phân tán địa lý.
- Stateful firewall/IPS: dễ thành bottleneck nếu bị volumetric attack.
Attached Files