MTE giải thích: Cách bảo vệ DDoS hoạt động
Qua nhiều năm, dịch vụ từ chối phân phối (DDoS) là một cách đáng tin cậy để đảm bảo rằng dịch vụ được lưu trữ (như một trang web hoặc một số dịch vụ như PlayStation Network) không nhìn thấy ánh sáng trong ngày ít nhất một thời gian.
Sức mạnh mà những đòn tấn công này khiến mọi người tò mò về các cơ chế đằng sau họ, đó là lý do tại sao chúng tôi dành thời gian giải thích cách họ làm việc và thậm chí đã đi sâu đến mức chứng minh một số cuộc tấn công khổng lồ một trong số họ thậm chí có thể đưa ra toàn bộ các lĩnh vực của Internet cho hàng triệu người. Tuy nhiên, có một số lượng đáng kể các cuộc thảo luận công khai về cách biện pháp đối phó (ví dụ như bảo vệ DDoS) hoạt động.
Vấn đề với thảo luận về bảo vệ DDoS
Internet là một mảng lớn các mạng kết nối với một khoảng trống khổng lồ, lộn xộn. Có hàng nghìn tỷ gói dữ liệu nhỏ di chuyển với tốc độ gần như ở mọi nơi trên thế giới. Để làm cho tinh thần của nó mất phương hướng và hoạt động bên trong bí ẩn, Internet được chia thành các nhóm. Các nhóm này thường được chia thành các nhóm con, v.v.
Điều này thực sự làm cho các cuộc thảo luận về bảo vệ DDoS một chút phức tạp. Cách một máy tính gia đình tự bảo vệ bản thân khỏi DDoS là giống nhau và hơi khác so với cách một trung tâm dữ liệu của nhiều triệu đô la thực hiện nó. Và chúng tôi thậm chí còn chưa đến được các nhà cung cấp dịch vụ Internet (ISP). Có rất nhiều cách để phân loại bảo vệ DDoS vì có để phân loại các phần khác nhau tạo nên Internet với hàng tỷ kết nối, các cụm, các trao đổi lục địa và các mạng con của nó.
Với tất cả những gì được nói, chúng ta hãy thử một phương pháp phẫu thuật chạm vào tất cả các chi tiết có liên quan và quan trọng của vấn đề.
Nguyên tắc đằng sau Bảo vệ DDoS
Nếu bạn đang đọc điều này mà không có một sự hiểu biết rõ ràng về cách thức hoạt động của DDoS, tôi khuyên bạn nên đọc phần giải thích mà tôi đã liên kết trước đó hoặc người nào khác nó có thể có một chút áp đảo. Có hai điều bạn có thể làm với một gói tin gửi đến: bạn có thể bỏ qua nó hoặc chuyển hướng nó . Bạn không thể dừng nó lại vì bạn không kiểm soát được nguồn của gói tin. Nó đã ở đây rồi và phần mềm của bạn muốn biết phải làm gì với nó.
Đây là một sự thật phổ quát mà tất cả chúng ta tuân thủ, và nó bao gồm các ISP kết nối chúng ta với Internet. Đó là lý do tại sao rất nhiều cuộc tấn công thành công: vì bạn không thể kiểm soát hành vi của nguồn, nguồn có thể gửi cho bạn đủ gói để áp đảo kết nối của bạn.
Phần mềm và bộ định tuyến (Hệ thống nhà) làm như thế nào
Nếu bạn chạy tường lửa trên máy tính hoặc router của bạn có một, bạn thường bị kẹt theo một nguyên tắc cơ bản: nếu lưu lượng truy cập DDoS đi vào, phần mềm sẽ tạo danh sách IP đang đến với lưu lượng truy cập bất hợp pháp.
Nó thực hiện điều này bằng cách nhận thấy khi có thứ gì đó gửi cho bạn một loạt dữ liệu rác hoặc yêu cầu kết nối với tần số không tự nhiên, như hơn năm mươi lần mỗi giây. Sau đó, nó chặn tất cả các giao dịch đến từ nguồn đó. Bằng cách chặn chúng, máy tính của bạn không phải tốn thêm tài nguyên để giải thích dữ liệu chứa bên trong. Tin nhắn không làm cho nó đến đích. Nếu bạn bị chặn bởi tường lửa của máy tính và cố gắng kết nối với nó, bạn sẽ nhận được thời gian chờ kết nối vì bất kỳ điều gì bạn gửi chỉ đơn giản là bị bỏ qua.
Đây là một cách tuyệt vời để bảo vệ chống lại tấn công từ chối dịch vụ đơn IP (DoS) vì kẻ tấn công sẽ thấy thời gian chờ kết nối mỗi khi họ kiểm tra xem liệu công việc của họ có đang tiến triển hay không. Với việc từ chối dịch vụ phân tán, điều này hoạt động vì tất cả dữ liệu đến từ các IP tấn công sẽ bị bỏ qua.
Đã xảy ra sự cố với lược đồ này.
Trong thế giới của Internet, không có thứ gì như “chặn thụ động”. Bạn cần tài nguyên ngay cả khi bạn bỏ qua một gói tin hướng tới bạn. Nếu bạn đang sử dụng phần mềm, điểm tấn công dừng lại ở máy tính của bạn nhưng vẫn đi qua bộ định tuyến của bạn như một viên đạn qua giấy. Điều đó có nghĩa là bộ định tuyến của bạn đang hoạt động không mệt mỏi để định tuyến tất cả các gói dữ liệu bất hợp pháp theo hướng của bạn.
Nếu bạn đang sử dụng tường lửa của bộ định tuyến, mọi thứ sẽ dừng ở đó. Nhưng điều đó vẫn có nghĩa là bộ định tuyến của bạn đang quét nguồn của từng gói và sau đó lặp lại danh sách các IP bị chặn để xem liệu nó có bị bỏ qua hoặc cho phép không.
Bây giờ, hãy tưởng tượng bộ định tuyến của bạn phải làm những gì tôi vừa đề cập hàng triệu lần mỗi giây. Bộ định tuyến của bạn có một lượng xử lý hữu hạn. Khi đạt đến giới hạn đó, nó sẽ gặp sự cố khi ưu tiên lưu lượng truy cập hợp pháp, bất kể phương pháp nâng cao nào sử dụng.
Hãy bỏ tất cả những điều này sang một bên để thảo luận về một vấn đề khác. Giả sử bạn có một bộ định tuyến ma thuật với số lượng xử lý vô hạn, ISP của bạn vẫn cung cấp cho bạn một lượng băng thông hữu hạn. Khi đạt đến giới hạn băng thông đó, bạn sẽ cố gắng hoàn thành ngay cả những tác vụ đơn giản nhất trên Web.
Vì vậy, giải pháp tối ưu cho DDoS là có một lượng công suất xử lý vô hạn và một lượng băng thông vô hạn. Nếu ai đó tìm ra cách để thực hiện điều đó, chúng ta sẽ vàng!
Các công ty lớn xử lý tải của họ như thế nào
Vẻ đẹp của cách các công ty xử lý DDoS nằm trong sự thanh lịch của nó: họ sử dụng cơ sở hạ tầng hiện có của họ để chống lại bất kỳ mối đe dọa nào xảy ra. Thông thường, điều này được thực hiện thông qua bộ cân bằng tải, mạng phân phối nội dung (CDN) hoặc kết hợp cả hai. Các trang web và dịch vụ nhỏ hơn có thể thuê ngoài này cho bên thứ ba nếu họ không có vốn để duy trì một loạt các máy chủ như vậy.
Với CDN, nội dung của trang web được sao chép vào một mạng lưới máy chủ lớn được phân phối trên nhiều khu vực địa lý. Điều này làm cho trang web tải nhanh chóng bất kể bạn đang ở đâu trên thế giới khi bạn kết nối với nó.
Cân bằng tải bổ sung điều này bằng cách phân phối lại dữ liệu và phân loại nó trong các máy chủ khác nhau, ưu tiên lưu lượng truy cập theo loại máy chủ phù hợp nhất cho công việc. Các máy chủ băng thông thấp hơn có ổ cứng lớn có thể xử lý một lượng lớn các tệp nhỏ. Máy chủ có kết nối băng thông khổng lồ có thể xử lý việc truyền trực tuyến các tệp lớn hơn. (Hãy suy nghĩ “YouTube”.)
Và đây là cách hoạt động
Xem nơi tôi đang đi với điều này? Nếu một cuộc tấn công hạ cánh trên một máy chủ, bộ cân bằng tải có thể theo dõi DDoS và để nó tiếp tục nhấn máy chủ đó trong khi chuyển hướng tất cả lưu lượng hợp pháp ở nơi khác trên mạng. Ý tưởng ở đây là sử dụng mạng phi tập trung vào lợi thế của bạn, phân bổ tài nguyên nơi chúng cần thiết để trang web hoặc dịch vụ có thể tiếp tục chạy trong khi cuộc tấn công được hướng đến “mồi nhử.” Khá thông minh, eh?
Bởi vì mạng được phân cấp, nó đạt được một lợi thế đáng kể so với các bức tường lửa đơn giản và bất cứ sự bảo vệ nào mà hầu hết các bộ định tuyến có thể cung cấp. Vấn đề ở đây là bạn cần rất nhiều tiền mặt để bắt đầu hoạt động của riêng bạn. Trong khi họ đang phát triển, các công ty có thể dựa vào các nhà cung cấp chuyên biệt lớn hơn để cung cấp cho họ sự bảo vệ mà họ cần.
Làm thế nào Behemoths làm điều đó
Chúng tôi đã lưu diễn các mạng gia đình nhỏ và thậm chí mạo hiểm vào lĩnh vực của các tập đoàn lớn. Bây giờ là lúc để bước vào giai đoạn cuối cùng của nhiệm vụ này: chúng ta sẽ xem xét cách các công ty cung cấp cho bạn kết nối Internet bảo vệ mình khỏi rơi vào vực thẳm đen tối. Điều này là về để có được một chút phức tạp, nhưng tôi sẽ cố gắng để được súc tích như tôi có thể mà không có một luận án drool-inducing về phương pháp bảo vệ DDoS khác nhau.
Các ISP có cách xử lý giao thông độc đáo của riêng họ. Hầu hết các cuộc tấn công DDoS hầu như không đăng ký trên radar của họ vì họ có quyền truy cập băng thông gần như không giới hạn. Lưu lượng truy cập hàng ngày của họ lúc 7-11 PM (còn gọi là “Giờ cao điểm Internet”) đạt đến mức vượt xa băng thông bạn nhận được từ luồng DDoS trung bình.
Tất nhiên, vì đây là Internet chúng ta đang nói về, có (và thường là) những nơi mà lưu lượng truy cập trở thành một cái gì đó nhiều hơn một blip trên radar.
Những cuộc tấn công này đến với gió mạnh và cố gắng áp đảo cơ sở hạ tầng của các ISP nhỏ hơn. Khi nhà cung cấp của bạn nhướn lông mày của nó, nó nhanh chóng đạt đến một kho vũ khí của các công cụ theo ý của mình để chống lại mối đe dọa này. Hãy nhớ rằng, những kẻ có cơ sở hạ tầng rất lớn theo ý của họ, vì vậy có rất nhiều cách này có thể đi xuống. Dưới đây là những cách phổ biến nhất:
- Lỗ đen được kích hoạt từ xa - Nghe có vẻ giống như một cái gì đó trong một bộ phim khoa học viễn tưởng, nhưng RTBH là một điều thực sự được Cisco ghi lại. Có rất nhiều cách để làm điều này, nhưng tôi sẽ cung cấp cho bạn phiên bản "nhanh chóng và bẩn": một ISP sẽ liên lạc với mạng mà cuộc tấn công đến từ và yêu cầu nó chặn tất cả lưu lượng truy cập đi theo hướng của nó. Nó dễ dàng hơn để chặn lưu lượng truy cập mà đi ra ngoài hơn là để chặn các gói tin đến. Chắc chắn, mọi thứ từ ISP mục tiêu giờ đây sẽ xuất hiện như thể nó đang ngoại tuyến với những người kết nối từ nguồn tấn công, nhưng nó hoàn thành công việc và không đòi hỏi nhiều rắc rối. Phần còn lại của lưu lượng truy cập của thế giới vẫn không bị ảnh hưởng.
- Scrubbers - Một số ISP rất lớn có các trung tâm dữ liệu đầy đủ các thiết bị xử lý có thể phân tích các mẫu lưu lượng để phân loại lưu lượng truy cập hợp pháp từ lưu lượng DDoS. Vì nó đòi hỏi rất nhiều sức mạnh tính toán và cơ sở hạ tầng đã được thiết lập, các ISP nhỏ hơn thường sẽ phải thuê ngoài công việc này cho một công ty khác. Lưu lượng truy cập trên khu vực bị ảnh hưởng đi qua bộ lọc và hầu hết các gói DDoS đều bị chặn trong khi lưu lượng truy cập hợp pháp được cho phép. Điều này đảm bảo hoạt động bình thường của ISP với chi phí một lượng lớn điện năng tính toán.
- Một số lưu lượng truy cập - Sử dụng một phương thức được gọi là "định hình lưu lượng truy cập", ISP sẽ chỉ ram mọi thứ mà cuộc tấn công DDoS mang theo vào IP đích của nó trong khi chỉ để lại tất cả các nút khác. Điều này về cơ bản sẽ ném nạn nhân dưới xe buýt để lưu phần còn lại của mạng. Đó là một giải pháp rất xấu và thường là giải pháp cuối cùng mà một ISP sẽ sử dụng nếu mạng đang trong một cuộc khủng hoảng nghiêm trọng và cần hành động nhanh chóng, quyết định để đảm bảo sự sống còn của toàn bộ. Hãy suy nghĩ về nó như là một "nhu cầu của nhiều hơn outweigh nhu cầu của vài" kịch bản.
Vấn đề với DDoS là hiệu quả của nó đi đôi với những tiến bộ về khả năng của máy tính và băng thông. Để thực sự chống lại mối đe dọa này, chúng tôi phải sử dụng các phương pháp sửa đổi mạng nâng cao vượt xa khả năng của người dùng gia đình trung bình. Có lẽ điều tốt là các hộ gia đình thường không phải là mục tiêu trực tiếp của DDoS!
Nhân tiện, nếu bạn muốn xem những cuộc tấn công này đang diễn ra trong thời gian thực, hãy xem Bản đồ tấn công kỹ thuật số.
Bạn đã bao giờ trở thành nạn nhân của những loại tấn công này tại nhà bạn hay tại nơi làm việc của bạn? Hãy kể cho chúng tôi câu chuyện của bạn trong một bình luận!