Giảm thiểu DDoS là gì?


Giảm thiểu DDoS là gì?

Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một trong những mối đe dọa nguy hiểm nhất trong bối cảnh mối đe dọa mạng. Các chính phủ, các tập đoàn đa quốc gia và các mạng riêng đều chịu khuất phục trước cuộc tấn công DDoS. Có vô số cách mà các cuộc tấn công có thể được thực hiện. Tệ nhất là, các cuộc tấn công này không nhất thiết đòi hỏi khả năng chuyên gia như một hacker để thực hiện.


Mục tiêu của bất kỳ tổ chức nào, bất kể quy mô của nó, nên là để ngăn chặn mối đe dọa của các cuộc tấn công này. Làm thế nào điều này có thể được thực hiện?

Chiến lược giảm thiểu DDoS.

Để hiểu giảm thiểu DDoS, trước tiên người ta phải hiểu cuộc tấn công DDoS và các biến thể của nó. Đơn giản thôi; một cuộc tấn công DDoS tìm cách vô hiệu hóa một mạng bằng cách quá tải nó với lưu lượng. Điều này có thể có nhiều hình thức, từ các gói không đúng định dạng tràn ngập một UDP giao thức, để gửi các yêu cầu HTTP một phần cho đến khi lưu lượng hợp pháp không còn truy cập được.

Những gì làm cho DDoS Giảm thiểu rất khó hiện nay là sự phức tạp của cuộc tấn công. Có một thời gian trong quá khứ, các cuộc tấn công DDoS chỉ nhắm vào các lớp trên của mô hình Liên kết hệ thống mở (OSI). Các lớp như vậy bao gồm các phân khúc vận chuyển và mạng. Tuy nhiên, bây giờ, các cuộc tấn công DDoS đã phát triển để chúng có thể nhắm mục tiêu các cấp thấp hơn (đặc biệt là lớp ứng dụng). Điều này mang lại cho SysAdmins và các đội màu xanh an ninh mạng (chuyên gia định hướng phòng thủ) nhiều hơn nữa để xem xét trong các chiến lược giảm thiểu DDoS của họ.

Có bốn thành phần cơ bản cho bất kỳ chiến lược giảm thiểu DDoS tốt nào. Những thành phần này là Phát hiện, Phản ứng, định tuyến, và Thích nghi. Chúng ta hãy đi sâu vào từng chiến lược giảm thiểu này.

Phát hiện

Giai đoạn đầu tiên của chiến lược giảm thiểu tìm cách phân biệt lưu lượng nào là hợp pháp và ngược lại, lưu lượng nào là độc hại. Một người không thể có một tình huống trong đó người dùng vô hại đang bị chặn khỏi một trang web một cách tình cờ.

Điều này có thể tránh được bằng cách giữ một bản ghi ổn định IP trong danh sách đen địa chỉ. Mặc dù điều này vẫn có thể gây hại cho người dùng vô tội, chẳng hạn như những người sử dụng IP proxy hoặc TOR để đảm bảo an toàn, đây vẫn là bước đầu tiên khá tốt. Chặn địa chỉ IP là đủ đơn giản, nhưng nó chỉ là một phần của chiến lược phát hiện.

Tiếp theo, khi phát hiện một cuộc tấn công DDoS, tổ chức của bạn phải biết rằng lưu lượng truy cập điển hình hàng ngày. Ngoài ra, nó giúp có một số liệu vào những ngày lưu lượng truy cập cao, do đó, có một phép đo cơ bản. Điều này sẽ giúp phân biệt với lưu lượng truy cập cao bất thường so với kinh nghiệm trong quá khứ với lưu lượng truy cập cao một cách hợp pháp..

Phản ứng

Nếu phát hiện của bạn là vững chắc, phản ứng đối với một cuộc tấn công DDoS đang diễn ra sẽ tự động. Điều này rất có thể sẽ yêu cầu dịch vụ của bên thứ ba chuyên về phòng chống DDoS. Cấu hình thủ công các phản ứng DDoS không được khuyến khích nữa. Lý do cho điều này là tội phạm mạng đã trở nên khôn ngoan với nhiều kỹ thuật.

Trong một phòng thủ DDoS mạnh mẽ, bước phản ứng sẽ ngay lập tức bắt đầu chặn lưu lượng độc hại. Nó sẽ nhận ra rằng lưu lượng truy cập cao đang được tạo ra bởi các thiết bị zombie trên mạng botnet. Việc lọc này sẽ bắt đầu làm suy yếu cuộc tấn công. Phản hồi phụ thuộc vào khả năng của nhà cung cấp. Lý tưởng nhất là dịch vụ bảo vệ sẽ sử dụng kết hợp các kỹ thuật trong phương pháp của nó. Ngoài những điều đã đề cập trước đó Danh sách đen IP, cần có khả năng kiểm tra các gói, cũng như tham gia vào việc giới hạn tỷ lệ.

định tuyến

Định tuyến đảm nhận lưu lượng còn lại không thể xử lý trong giai đoạn phản ứng tự động. Mục tiêu là để phá vỡ lưu lượng và tránh xa các máy chủ đang được nhắm mục tiêu. Có hai chiến lược định tuyến chính.

Đầu tiên trong số này là Định tuyến DNS. Điều này thực sự chỉ hiệu quả với các cuộc tấn công DDoS nhắm vào lớp ứng dụng của mô hình OSI. Điều này có nghĩa là, ngay cả khi bạn che giấu địa chỉ IP thực sự của mình, cuộc tấn công vẫn sẽ thành công. Định tuyến DNS buộc lưu lượng độc hại được định tuyến lại đến dịch vụ bảo vệ DDoS luôn luôn bật của bạn. Nó sẽ đảm nhận tải trọng của cuộc tấn công, do đó chỉ cho phép lưu lượng truy cập hợp pháp truy cập vào máy chủ. Điều này được thực hiện bằng cách thay đổi bản ghi CNAME và A. Bản ghi A trỏ đến một địa chỉ IP cụ thể, trong khi CNAME tạo bí danh cho cùng một địa chỉ IP.

Chiến lược định tuyến thứ hai được gọi là định tuyến Border Gateway Protocol. Đây là cấu hình thủ công buộc tất cả lưu lượng độc hại, đang nhắm mục tiêu lớp mạng, đến nhà cung cấp giảm thiểu của bạn. Nó sẽ buộc lưu lượng DDoS bị loại bỏ, ít nhất là đối với hầu hết các phần. Như đã đề cập trước đó, một cấu hình thủ công có vấn đề của nó. Nó chậm hơn và do đó, nó có thể cho phép lưu lượng độc hại truy cập vào máy chủ mục tiêu.

Thích nghi

Đây ít nhiều là một phân tích sau khi chết về một cuộc tấn công DDoS. Đây là một phần của chiến lược giảm thiểu nhằm tìm hiểu những gì đã được thực hiện cả chính xác và không chính xác. Điều này có nghĩa là phân tích nguồn gốc của cuộc tấn công, xem những gì được phép thông qua, cố gắng xác định cách phòng thủ được triển khai nhanh chóng và quan trọng nhất là làm thế nào để ngăn chặn cuộc tấn công này với hiệu quả 100% trong tương lai.

Giảm thiểu DDoS là phức tạp. Khi các cuộc tấn công tiếp tục phát triển, thật không may, an ninh mạng sẽ luôn đi sau một bước. Người ta không thể chiến đấu với kẻ thù; họ chưa hiểu Chỉ sau khi một bề mặt vector tấn công mới có thể xây dựng phòng thủ. Tuy nhiên, việc triển khai các kỹ thuật giảm thiểu DDoS mạnh mẽ có thể tiết kiệm cho tổ chức của bạn rất nhiều thời gian và tiền bạc bị mất.

Tìm hiểu thêm về DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map