Giới thiệu về hệ thống chống DDOS
25/07/20161.Giới Thiệu DDOS :
A.DDOS là gì? :
DDoS là kiểu tấn công làm cho mục tiêu, là các trang web, dịch vụ trực tuyến, trở nên quá tải. Người dùng gặp khó khăn, hay thậm chí không thể truy cập vào các trang web, dịch vụ này
B.Các Dạng Tấn Công DDOS Phổ Biến :
- Ping Of Death.
Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận những gói dữ liệu ping có kích thước lớn.
Ví dụ như : ping địa chỉ -n 1000
trong đó : số 1000 là số lần gửi gói dữ liệu.
- TCP/SYN Flooding:
Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ
Khách hàng -> SYN Packet -> Máy chủ
Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng
Máy chủ -> SYN/ACK Packet -> Khách hàng
Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.
Khách hàng -> ACK Packet -> Máy chủ
Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa
- UDP/ICMP Flooding:
Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thế nó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.Những điều kiện đủ để có những cuộc tấn công DoS Có hiệu quả:
Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phải lựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máy được dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thì cuộc tấn công sẽ không mang lại mấy khả quan.
Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn công không phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau để thực hiện việc tấn công đồng lọat. Các máy được dùng để tấn công thường là các máy có kết nối Internet bị người tấn công xâm nhập.
Qua đó chúng tôi đã tham khảo và biết một số cách nhưng hầu hết không chống được một cách triệt để.
Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.
2. Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
3. Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống.
4. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.
5. Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.
6. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải.
7. Tạm thời chuyển máy chủ sang một địa chỉ khác
2.Giới Thiệu DDOS Secure :
A .Tổng Quan về DDOS secure :
– Hệ thống phòng chống DDOS được triển khai ở lớp trung gian, nghĩa là hệ thống được đặt giữa kết nối internet với các máy chủ bên trong. Hệ thống được khuyến nghị đặt trước Firewall để có thể xử lý packets trước, nhầm giảm tải cho tường lửa và máy chủ bên trong. Một số tính năng cơ bản của hệ thống như sau:
– Giám sát toàn bộ packets từ ngoài và bên trong hệ thống. Như thế, chúng ta có thể theo dõi được băng thông In-Out của toàn bộ hệ thống, chi tiết đến từng IP bên trong.
– Giám sát toàn bộ traffics từng source port hay destination port.
– Cung cấp thông tin giám sát TCP, UDP, URL, DNS, SIP …
– Có thể ngăn chặn tấn công từ từng IP, đến range IP, AS Number hay cả Country
– Có thể cấu hình bảo vệ toàn bộ hệ thống hay chi tiết với từng IP.
– Báo cáo tấn công trong mỗi 5p
– Báo cáo tổng quan traffics mỗi ngày
B.Yêu Cầu về Phần Cứng
CPU : 8core
RAM : 16G
HDD : 100G
Network Card : 2
C.Mô Hình :
D.Ưu Điểm :
Điều hay nhất của hệ thống phòng chống DDOS này, đó chính là Automation. Sau khi được cấu hình, hệ thống sẽ tự học các traffics đến từng máy chủ, từ đó có thể tự động cảnh báo và ngăn chặn, giúp quản trị kịp thời nắm bắt tình hình và chủ động can thiệp khi cần.
Thời gian để tự học traffics từ 1 – 2 tuần.
E . Hạn chế
Limited Session : 385k
Litmited Connection : 128k