Trong những năm qua, từ chối dịch vụ phân tán (DDoS) là một cách có độ tin cậy cao để đảm bảo rằng một dịch vụ được lưu trữ (như một trang web hoặc một số dịch vụ như PlayStation Network) ít nhất là trong một thời gian.
Sức mạnh mà các cuộc tấn công này sử dụng khiến mọi người tò mò về các cơ chế đằng sau chúng, đó là lý do tại sao chúng tôi đã dành thời gian để giải thích cách chúng hoạt động và thậm chí còn chứng minh kỹ lưỡng về mức độ to lớn của một số cuộc tấn công này, đến mức một trong số họ thậm chí có thể khai thác toàn bộ các lĩnh vực của Internet cho hàng triệu người. Tuy nhiên, có rất ít cuộc thảo luận công khai về cách thức hoạt động của biện pháp đối phó (ví dụ:bảo vệ DDoS).
Vấn đề khi thảo luận về Bảo vệ DDoS
Internet là một mảng lớn các mạng được kết nối trên một khoảng trống khổng lồ, lộn xộn. Có hàng nghìn tỷ gói tin nhỏ đang di chuyển với tốc độ gần bằng tốc độ ánh sáng ở khắp mọi nơi trên thế giới. Để hiểu rõ về hoạt động bên trong mất phương hướng và bí ẩn của nó, Internet được chia thành nhiều nhóm. Các nhóm này thường được chia thành các nhóm con, v.v.
Điều này thực sự làm cho cuộc thảo luận về bảo vệ DDoS hơi phức tạp. Cách một máy tính gia đình tự bảo vệ mình khỏi DDoS vừa giống vừa hơi khác so với cách trung tâm dữ liệu của một công ty trị giá hàng triệu đô la thực hiện. Và chúng tôi thậm chí còn chưa tiếp cận với các nhà cung cấp dịch vụ internet (ISP). Có rất nhiều cách để phân loại bảo vệ DDoS cũng như phân loại các phần khác nhau tạo nên Internet với hàng tỷ kết nối, các cụm của nó, các sàn giao dịch lục địa và các mạng con của nó.
Với tất cả những gì đã nói, hãy thử phương pháp phẫu thuật chạm đến tất cả các chi tiết liên quan và quan trọng của vấn đề.
Nguyên tắc đằng sau bảo vệ DDoS
Nếu bạn đang đọc phần này mà không có kiến thức rõ ràng về cách hoạt động của DDoS, tôi khuyên bạn nên đọc phần giải thích mà tôi đã liên kết trước đó, nếu không, nó có thể hơi choáng ngợp. Có hai điều bạn có thể làm đối với một gói tin đến:bạn có thể bỏ qua nó hoặc chuyển hướng nó . Bạn không thể chỉ ngăn nó đến bởi vì bạn không kiểm soát được nguồn của gói tin. Nó đã ở đây và phần mềm của bạn muốn biết phải làm gì với nó.
Đây là sự thật chung mà tất cả chúng ta đều tuân theo và nó bao gồm các ISP kết nối chúng ta với Internet. Đó là lý do tại sao rất nhiều cuộc tấn công thành công:vì bạn không thể kiểm soát hành vi của nguồn, nguồn có thể gửi cho bạn đủ gói để áp đảo kết nối của bạn.
Phần mềm và bộ định tuyến (Hệ thống gia đình) thực hiện như thế nào
Nếu bạn chạy tường lửa trên máy tính hoặc bộ định tuyến của mình, bạn thường mắc kẹt khi tuân theo một nguyên tắc cơ bản:nếu lưu lượng DDoS xuất hiện, phần mềm sẽ tạo danh sách các IP có lưu lượng truy cập bất hợp pháp.
Nó thực hiện điều này bằng cách nhận thấy khi có thứ gì đó gửi cho bạn một loạt dữ liệu rác hoặc yêu cầu kết nối với tần suất không bình thường, chẳng hạn như hơn năm mươi lần mỗi giây. Sau đó, nó chặn tất cả các giao dịch đến từ nguồn đó. Bằng cách chặn chúng, máy tính của bạn không phải tốn thêm tài nguyên để giải thích dữ liệu chứa bên trong. Thông điệp không đi đến đích. Nếu bạn bị tường lửa của máy tính chặn và cố gắng kết nối với máy tính đó, bạn sẽ gặp phải thời gian chờ kết nối vì bất cứ thứ gì bạn gửi sẽ bị bỏ qua.
Đây là một cách tuyệt vời để bảo vệ khỏi các cuộc tấn công từ chối dịch vụ (DoS) IP đơn vì kẻ tấn công sẽ thấy thời gian chờ kết nối mỗi khi họ kiểm tra để xem liệu quá trình xử lý của họ có tiến bộ hay không. Với từ chối dịch vụ phân tán, điều này hoạt động vì tất cả dữ liệu đến từ các IP tấn công sẽ bị bỏ qua.
Có sự cố với lược đồ này.
Trong thế giới của Internet, không có cái gọi là "chặn thụ động". Bạn cần tài nguyên ngay cả khi bạn bỏ qua một gói tin đang đến với bạn. Nếu bạn đang sử dụng phần mềm, điểm tấn công sẽ dừng lại ở máy tính của bạn nhưng vẫn đi qua bộ định tuyến của bạn như một viên đạn xuyên giấy. Điều đó có nghĩa là bộ định tuyến của bạn đang hoạt động không mệt mỏi để định tuyến tất cả các gói bất hợp pháp theo hướng của bạn.
Nếu bạn đang sử dụng tường lửa của bộ định tuyến, mọi thứ sẽ dừng lại ở đó. Nhưng điều đó vẫn có nghĩa là bộ định tuyến của bạn đang quét nguồn của từng gói và sau đó lặp lại danh sách các IP bị chặn để xem liệu nó có nên được bỏ qua hay cho phép thông qua hay không.
Bây giờ, hãy tưởng tượng bộ định tuyến của bạn phải làm những gì tôi vừa đề cập hàng triệu lần mỗi giây. Bộ định tuyến của bạn có một lượng công suất xử lý hữu hạn. Khi đạt đến giới hạn đó, nó sẽ gặp khó khăn trong việc ưu tiên lưu lượng truy cập hợp pháp, bất kể nó sử dụng phương pháp nâng cao nào.
Hãy gạt tất cả những điều này sang một bên để thảo luận về một vấn đề khác. Giả sử bạn có một bộ định tuyến kỳ diệu với sức mạnh xử lý vô hạn, ISP của bạn vẫn cung cấp cho bạn một lượng băng thông hữu hạn. Khi đạt đến giới hạn băng thông đó, bạn sẽ phải vật lộn để hoàn thành ngay cả những tác vụ đơn giản nhất trên Web.
Vì vậy, giải pháp cuối cùng để xử lý DDoS là có vô số công suất xử lý và băng thông vô hạn. Nếu ai đó tìm ra cách để đạt được điều đó, chúng tôi là vàng!
Cách các công ty lớn xử lý tải trọng của họ
Vẻ đẹp của cách các công ty xử lý DDoS nằm ở sự sang trọng của nó:họ sử dụng cơ sở hạ tầng hiện có của mình để chống lại bất kỳ mối đe dọa nào đến với họ. Thông thường, điều này được thực hiện thông qua bộ cân bằng tải, mạng phân phối nội dung (CDN) hoặc kết hợp cả hai. Các trang web và dịch vụ nhỏ hơn có thể thuê bên thứ ba thuê ngoài nếu họ không có vốn để duy trì một loạt các máy chủ rộng lớn như vậy.
Với CDN, nội dung của trang web được sao chép vào một mạng lớn các máy chủ được phân phối trên nhiều khu vực địa lý. Điều này làm cho trang web tải nhanh chóng bất kể bạn đang ở đâu trên thế giới khi bạn kết nối với nó.
Bộ cân bằng tải bổ sung điều này bằng cách phân phối lại dữ liệu và lập danh mục nó trong các máy chủ khác nhau, ưu tiên lưu lượng truy cập theo loại máy chủ phù hợp nhất cho công việc. Máy chủ băng thông thấp hơn với ổ cứng lớn có thể xử lý lượng lớn tệp nhỏ. Máy chủ có kết nối băng thông lớn có thể xử lý việc phát trực tuyến các tệp lớn hơn. (Hãy nghĩ đến “YouTube.”)
Và đây là cách nó hoạt động
Xem tôi sẽ đi đâu với cái này? Nếu một cuộc tấn công xảy ra trên một máy chủ, bộ cân bằng tải có thể theo dõi DDoS và cho phép nó tiếp tục tấn công máy chủ đó trong khi chuyển hướng tất cả lưu lượng truy cập hợp pháp đến nơi khác trên mạng. Ý tưởng ở đây là sử dụng một mạng phi tập trung có lợi cho bạn, phân bổ tài nguyên ở những nơi cần thiết để trang web hoặc dịch vụ có thể tiếp tục chạy trong khi cuộc tấn công nhắm vào “mồi nhử”. Khá thông minh phải không?
Bởi vì mạng được phân cấp, nó có lợi thế đáng kể so với các bức tường lửa đơn giản và bất kỳ biện pháp bảo vệ nào mà hầu hết các bộ định tuyến có thể cung cấp. Vấn đề ở đây là bạn cần nhiều tiền mặt để bắt đầu hoạt động của chính mình. Trong khi họ đang phát triển, các công ty có thể dựa vào các nhà cung cấp chuyên biệt lớn hơn để cung cấp cho họ sự bảo vệ mà họ cần.
Cách các con Behemoths thực hiện
Chúng tôi đã tham quan các mạng gia đình nhỏ và thậm chí đã mạo hiểm vào lĩnh vực của các tập đoàn lớn. Bây giờ đã đến lúc bước vào giai đoạn cuối của nhiệm vụ này:chúng ta sẽ xem xét cách chính các công ty cung cấp cho bạn kết nối Internet bảo vệ họ khỏi rơi vào vực thẳm tăm tối. Điều này hơi phức tạp một chút, nhưng tôi sẽ cố gắng diễn đạt ngắn gọn nhất có thể mà không có luận điểm hấp dẫn về các phương pháp bảo vệ DDoS khác nhau.
ISP có những cách xử lý biến động lưu lượng truy cập độc đáo của riêng họ. Hầu hết các cuộc tấn công DDoS hầu như không đăng ký trên radar của chúng vì chúng có quyền truy cập vào lượng băng thông gần như không giới hạn. Lưu lượng truy cập hàng ngày của họ lúc 7-11 giờ tối (tức là “Giờ cao điểm Internet”) đạt đến mức vượt xa băng thông mà bạn nhận được từ một luồng DDoS trung bình.
Tất nhiên, vì đây là Internet mà chúng ta đang nói đến, nên có (và thường xuyên) có những trường hợp mà lưu lượng truy cập trở thành một thứ gì đó nhiều hơn một đốm sáng trên radar.
Các cuộc tấn công này xảy ra với gió giật mạnh và cố gắng áp đảo cơ sở hạ tầng của các ISP nhỏ hơn. Khi nhà cung cấp của bạn nhướng mày, họ sẽ nhanh chóng tiếp cận kho công cụ theo ý của mình để chống lại mối đe dọa này. Hãy nhớ rằng, những kẻ này có cơ sở hạ tầng khổng lồ theo ý của họ, vì vậy có nhiều cách để điều này có thể đi xuống. Dưới đây là những cái phổ biến nhất:
- Lỗ đen được kích hoạt từ xa - Nghe có vẻ giống như một thứ gì đó trong một bộ phim khoa học viễn tưởng, nhưng RTBH là một thứ có thật được ghi lại bởi Cisco. Có nhiều cách để thực hiện việc này, nhưng tôi sẽ cung cấp cho bạn phiên bản "nhanh chóng và bẩn thỉu":một ISP sẽ liên lạc với mạng mà cuộc tấn công đang đến và yêu cầu nó chặn tất cả lưu lượng đi theo hướng của nó. Chặn lưu lượng đi ra ngoài dễ hơn chặn các gói đến. Chắc chắn, mọi thứ từ ISP mục tiêu giờ đây sẽ xuất hiện như thể nó ngoại tuyến cho những người kết nối từ nguồn của cuộc tấn công, nhưng nó sẽ hoàn thành công việc và không đòi hỏi nhiều phức tạp. Phần còn lại của lưu lượng truy cập trên thế giới vẫn không bị ảnh hưởng.
- Máy chà sàn - Một số ISP rất lớn có các trung tâm dữ liệu với đầy đủ các thiết bị xử lý có thể phân tích các mẫu lưu lượng để phân loại lưu lượng hợp pháp khỏi lưu lượng DDoS. Vì nó đòi hỏi nhiều sức mạnh tính toán và một cơ sở hạ tầng đã được thiết lập, các ISP nhỏ hơn thường sẽ sử dụng đến công việc gia công phần mềm này cho một công ty khác. Lưu lượng trên khu vực bị ảnh hưởng đi qua một bộ lọc và hầu hết các gói DDoS bị chặn trong khi lưu lượng truy cập hợp pháp được phép đi qua. Điều này đảm bảo hoạt động bình thường của ISP với cái giá phải trả là sức mạnh tính toán khổng lồ.
- Một số lợi ích giao thông - Sử dụng một phương pháp được gọi là “định hình lưu lượng”, ISP sẽ chỉ tập hợp mọi thứ mà cuộc tấn công DDoS mang theo vào IP đích của nó trong khi để lại tất cả các nút khác. Điều này về cơ bản sẽ ném nạn nhân vào gầm xe buýt để cứu phần còn lại của mạng. Đó là một giải pháp rất tệ và thường là giải pháp cuối cùng mà ISP sẽ sử dụng nếu mạng đang gặp khủng hoảng nghiêm trọng và nó cần hành động nhanh chóng, dứt khoát để đảm bảo sự tồn tại của toàn bộ mạng. Hãy coi đó là một kịch bản “nhu cầu của nhiều người cao hơn nhu cầu của một số ít”.
Vấn đề với DDoS là tính hiệu quả của nó đi đôi với những tiến bộ về sức mạnh máy tính và tính khả dụng của băng thông. Để thực sự chống lại mối đe dọa này, chúng tôi phải sử dụng các phương pháp sửa đổi mạng tiên tiến vượt xa khả năng của người dùng gia đình bình thường. Có lẽ một điều tốt là các hộ gia đình thường không phải là mục tiêu trực tiếp của DDoS!
Nhân tiện, nếu bạn muốn biết các cuộc tấn công này đang diễn ra ở đâu trong thời gian thực, hãy xem Bản đồ tấn công kỹ thuật số.
Bạn đã bao giờ trở thành nạn nhân của những cuộc tấn công kiểu này tại nhà riêng hoặc tại nơi làm việc của bạn chưa? Hãy kể cho chúng tôi câu chuyện của bạn trong một bình luận!