SO SÁNH CÁC PHƯƠNG PHÁP CHỐNG DDOS PHỔ BIẾN NHẤT HIỆN NAY
24/08/2022Có rất nhiều phương pháp chống DDoS phổ biến hiện nay, mỗi phương pháp đều có những đặc điểm nổi bật khiến các doanh nghiệp lựa chọn sử dụng. Trong bài viết này VNSO muốn chia sẻ 3 phương pháp chống DDoS phổ biến. Bao gồm: Clean Pipe, CDN Attack Dilution và Anti-DDoS Proxy.
Trên thực tế, không có phương pháp chống DDoS nào tốt nhất. Chỉ có phương pháp nào phù hợp nhất với từng trường hợp sử dụng khác nhau. VNSO sẽ đi sâu vào từng phương pháp chống DDoS cụ thể kể trên. Từ đó giúp doanh nghiệp hiểu rõ và lựa chọn cho mình phương pháp phù hợp nhất.
Chống DDOS Clean Pipe
Clean Pipe là một trong những phương pháp chống DDoS phổ biến nhất trong số ba phương pháp còn lại. Tất cả lưu lượng truy cập trước khi đến máy chủ phải đi qua một trung tâm làm sạch được gọi là “trung tâm lọc”. Tại đây lưu lượng độc hại sẽ được phát hiện và độc lập. Từ đó, chỉ có lưu lượng truy cập hợp pháp mới được phép truy cập vào máy chủ.
Với sự gia tăng của các cuộc tấn công DDoS ngày nay, nhiều Nhà cung cấp dịch vụ Internet (ISP) và Nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) đã bắt đầu cung cấp các dịch vụ chống DDoS với phương pháp “Clean Pipe”.
Để thực hiện Clean Pipe khá phức tạp vì bạn cần phải có:
– Bộ định tuyến BGP
– Một thiết bị mạng có GRE. khả năng kết thúc đường hầm
– Tiền tố có thể định tuyến Internet và ASN
Điểm yếu của Clien Pipe là:
Thời gian phát hiện và định tuyến lâu
Bất cứ khi nào phát hiện được lưu lượng tấn công, các kỹ thuật định tuyến lại gửi lưu lượng này đến trung tâm làm sạch. Điều này liên quan đến việc chuyển hướng do phát hiện DDoS. Đồng thời sẽ mất ít nhất vài phút để định tuyến lại cho đến khi bước xóa cuối cùng bắt đầu. Lúc này, các dịch vụ trực tuyến của các doanh nghiệp cũng bị ảnh hưởng ít nhiều do bị tấn công DDoS.
Bảo vệ DDoS không đầy đủ và DDoS giả mạo cao
Phương pháp Clean Pipe không cung cấp khả năng bảo vệ hoàn toàn chống lại các cuộc tấn công DDoS. Chúng thiếu khả năng xử lý các cuộc tấn công quy mô trung bình. Đặc biệt là các cuộc tấn công gói / ứng dụng. Điều thứ hai là IP của máy chủ không bị ẩn. Ngược lại, tin tặc cũng có thể dễ dàng xác định các nhà cung cấp cơ sở hạ tầng. Đồng thời có thể khai thác các lỗ hổng và điểm yếu.
Bên cạnh đó, việc định tuyến lại Clean Pipe liên quan đến toàn bộ tiền tố. Thường ít nhất là / 24, Bên dưới / 24, các máy tính có / 24. Có thể gửi lưu lượng ra dưới dạng máy khách (ví dụ: truy vấn DNS) và lưu lượng đi dưới dạng máy chủ (ví dụ: phục vụ nội dung web). Cấu hình hỗn hợp của lưu lượng truy cập phía máy khách và phía máy chủ làm cho tệp dữ liệu về truy cập bất hợp pháp rất phức tạp. Từ đó hệ thống sẽ đưa ra nhiều kết quả giả và bạn sẽ thấy rằng Clean Pipe thường cần rất nhiều sự can thiệp của con người.
Lọc yêu cầu độc hại
Nhưng không thể ngăn một cuộc tấn công DDoS thực sự. Các Clean Pipe giúp giảm lưu lượng truy cập độc hại, nhưng chúng không thể ngăn chặn một cuộc tấn công DDoS thực sự. Ngoài ra, việc hỗ trợ bảo mật của các ISP không phải lúc nào cũng như mong đợi. Họ thường không có chuyên môn cao về các giải pháp chống DDoS chuyên dụng. Họ giỏi đối phó với các cuộc tấn công DDoS dựa trên khối lượng, nhưng không phải là bảo mật dựa trên chữ ký và các hình thức tấn công DDoS khác. Do đó, doanh nghiệp có khả năng dễ bị tấn công lớp ứng dụng.
Lợi ích chính của phương pháp Clean Pipe là tính linh hoạt cao. Bởi vì nó hỗ trợ hầu hết các ứng dụng trong ngăn xếp IP. Tuy nhiên, nó thiếu khả năng bảo vệ nâng cao cho một ứng dụng cụ thể, dẫn đến tổn thất chi phí cao và ngăn ngừa dương tính giả vốn rất quan trọng đối với một doanh nghiệp.
Chống DDoS với CDN Attack Dilution
CDN (Content Delivery Network) là một hệ thống các máy chủ phân tán. Giúp truyền tải nội dung trang web / ứng dụng đến người dùng nhanh nhất. CDN cũng được biết đến khả năng kết nối mạng và cung cấp lưu lượng truy cập lớn. CDN Dilution sử dụng công nghệ băng thông cao để giảm thiểu các cuộc tấn công DDoS Lớp 3/4.
CDN có thể giảm tải các cuộc tấn công DDoS với băng thông lớn. Mạng CDN hoạt động như một proxy ngược cho ứng dụng web. Tất cả các yêu cầu sẽ được các CDN này xử lý và các yêu cầu độc hại sẽ được lọc ra trước khi gửi đến máy chủ gốc. CDN có hiệu quả chống lại DDoS vì:
– Mạng CDN có khả năng nhận biết ngữ cảnh ứng dụng
– Giao thức được xác định rõ (HTTP)
– Nó luôn hoạt động trong thời gian thực
Tuy nhiên, CDN Dilution chỉ áp dụng cho các ứng dụng web. Nếu bạn đang sử dụng ứng dụng khách TCP hoặc UDP độc quyền, CDN Dilution sẽ không thể trợ giúp.
Dừng DDoS với Anti-DDoS Proxy
Nếu bạn chạy các dịch vụ TCP hoặc UDP trên máy chủ gốc, chẳng hạn như máy chủ web, dịch vụ trò chơi, truy cập máy chủ từ xa (SSH) hoặc email (SMTP), chúng sẽ hiển thị trên các cổng đang mở. Điều này có nghĩa là tin tặc có thể gửi lưu lượng DDoS với khối lượng lớn. Hay cố gắng đánh cắp dữ liệu nhạy cảm không được mã hóa.
Anti-DDoS Proxy hoạt động tương tự như CDN. Các gói được gửi tới proxy đảo ngược và lọc ra các gói độc hại với cấu hình Anti-DDoS được xác định. Anti-DDoS Proxy cung cấp khả năng bảo vệ DDoS toàn diện với các tính năng nổi bật sau:
– Luôn ở chế độ bảo mật thời gian thực
– Mô hình bảo mật chủ động (chỉ cho phép truy cập các cổng đã xác định thay vì mở tất cả)
– Chống lại cuộc tấn công DDoS kéo dài
Một nhược điểm của giải pháp chống DDoS này là IP nguồn bị thay đổi. Đây có thể là một vấn đề nghiêm trọng đối với một số ứng dụng. Bởi vì không có cách nào để lấy được IP của khách truy cập thực.
Có nhiều cách để thực hiện các chiến lược Bảo vệ chống DDoS, nhưng đôi khi rất khó để bắt đầu. Khi doanh nghiệp phải trả một khoản cho bảo mật, họ phải suy nghĩ rất nhiều về khoản chi phí này. Nhưng thiệt hại do tấn công mạng còn đáng tiếc hơn. Nó khiến doanh nghiệp gặp rủi ro và tổn thất lớn hơn do mất thời gian khôi phục hệ thống và làm giảm lòng tin của khách hàng.
Hầu hết các dịch vụ chống DDoS đều tính phí bất kể cuộc tấn công có xảy ra hay không. Ngoại trừ dịch vụ phòng chống DDoS sử dụng CDN Dilution.
Tổng Kết
VNSO cung cấp tính năng bảo vệ chống DDoS chất lượng cao. Tìm hiểu thêm dịch vụ thuê máy chủ và dịch vụ hỗ trợ chống DDoS.