Trước, trong và sau khi bị tấn công từ chối dịch vụ, bạn nên làm gì?

Hacker có rất nhiều cách để thực hiện tấn công từ chối dịch vụ đến những mục tiêu lọt vào tầm ngắm. Nếu chưa biết nhiều về tấn công từ chối dịch vụ DoS và tấn công từ chối dịch vụ phân tán DDoS (phổ biến hơn) thì mời bạn đọc bài viết: Tìm hiểu về tấn công từ chối dịch vụ DoS và DDoS

Tấn công từ chối dịch vụ có thể xảy ra với bất kỳ trang web nào, vào bất cứ lúc nào, vì thế khi sở hữu một trang web, bạn nên chuẩn bị tâm lý và các biện pháp phòng tránh, khắc phục, ngăn chặn chúng để không rơi vào thế bị động, đưa trang web thoát khỏi cuộc tấn công DoS, DDoS một cách nhanh nhất.

Trước khi bị tấn công từ chối dịch vụ DoS/DDoS

- Dù chỉ sở hữu một trang web nho nhỏ bạn cũng nên có kiến thức về DoS/DDoS. Nếu là tổ chức, nhóm nhỏ thì cần có ít nhất một cá nhân nắm vững về kiểu tấn công này, những công ty công nghệ cung cấp dịch vụ cho công ty vừa và nhỏ hoặc cá nhân làm IT, nhóm IT trong một tổ chức lớn càng cần phải có kiến thức chuyên sâu về DoS/DDoS, các loại DoS/DDoS, cách thức tấn công của chúng và luôn biết mình phải làm gì nếu điều đó xảy ra.

- Thiết lập mối quan hệ với các nhà cung cấp dịch vụ Internet (ISP). Điều này không có nghĩa là mối quan hệ với anh chàng bán dịch vụ cho bạn mà là đội ngũ hỗ trợ kỹ thuật. Nếu có thể hãy yêu cầu một cuộc gặp với họ để thảo luận về cách họ xử lý traffic của bạn, số điện thoại 24/7 của phòng điều hành mạng (NOC) là gì, ai chịu trách nhiệm ở phòng đó? Họ có thể giúp đỡ gì bạn nếu DDoS hay những cuộc tấn công khác xảy ra?

- Nghĩ đến Overprovisioning Bandwidth (tạm dịch: băng thông không giới hạn): Nói chung, băng thông rộng hơn cho máy chủ web có lợi hơn bạn nghĩ rất nhiều. Với overprovisioningbandwidth bạn có thể đối phó được với những đột biến đột ngột, bất ngờ trong lưu lượng truy cập, có thể tăng lên do chiến dịch quảng cáo, một người nổi tiếng nào đó share trang web hay được quảng bá trên các phương tiện truyền thông. Cố gắng tăng khả năng của hệ thống lên càng nhiều càng tốt. Không nhiều tổ chức có đủ khả năng để làm điều này, nếu bạn có thể thì hãy cảm thấy may mắn. Sau khi phân tích traffic đến trang trong vài tháng, bạn sẽ biết hệ thống của mình cần sức chứa ở mức nào, lấy mức ở traffic cao nhất nhân lên với 10, nếu có thể tăng lên 100 thậm chí 500% thì càng tốt. Đây không phải là phương pháp để ngăn chặn tất cả các cuộc tấn công DDoS nhưng có thể đảm bảo phần cứng chịu được những đợt tấn công nhỏ hoặc cho bạn thêm chút thời gian để hành động trước khi tài nguyên cạn kiệt và hệ thống sụp đổ.

- Thiết lập hệ thống giám sát và cảnh báo từ xa. Chúng ta giả định rằng bạn có một công cụ giám sát trong trang web có thể phát hiện DDoS và những bất thường khác, điều đó thật tuyệt vời. Nhưng khi bị DDoS, các liên kết bị bão hòa (saturated) hoặc hệ thống của bạn đang offline, không thể gửi thông báo hay email, vậy thì làm sao để nhận được cảnh báo? Giải pháp là giám sát từ xa. Liên kết điện thoại với các tài khoản của trang web để nhận cảnh báo mọi lúc.

- Chăm chỉ cập nhật tin tức trên các trang công nghệ, bảo mật như Quantrimang.com chẳng hạn, tham gia diễn đàn IT nổi tiếng để biết được những đợt tấn công quy mô lớn, những đợt lây lan phần mềm độc hại trên diện rộng, rồi lên phương án phòng chống từ trước.

Trong khi bị DDoS nên làm gì?

Xác định tấn công DDoS sớm

Nếu bạn đang tự chạy các máy chủ thì cần phải xác định được khi nào hệ thống của mình đang bị tấn công từ chối dịch vụ. Vì càng nhận biết sớm càng có thể ngăn chặn cuộc tấn công tốt hơn. Để có thể làm được điều này, bạn nên làm quen với hồ sơ traffic thông thường của mình, biết càng nhiều về lượng traffic thông thường thì càng dễ để phát hiện điểm bất thường của traffic. Hầu hết tấn công từ chối dịch vụ đều bắt đầu bằng việc gia tăng đột biến traffic và rất hữu ích nếu phân biệt được sự tăng traffic đó đến từ người dùng hợp pháp hay từ cuộc tấn công. Nếu có một người chịu trách nhiệm chính cho việc xử lý những vụ tấn công thế này cũng là một ý tưởng tốt.

Thu thập thông tin về cuộc tấn công

Bạn cần biết mình đang bị tấn công từ chối dịch vụ theo kiểu nào, nguồn gốc của các traffic và hệ thống cụ thể đang bị nhắm mục tiêu.

Tăng cường bảo vệ Network Perimeter

Cách này áp dụng khi bạn tự vận hành máy chủ web của mình. Có một vài biện pháp kỹ thuật có thể được thực hiện để giảm nhẹ tác động của cuộc tấn công, đặc biệt là trong những phút đầu tiên, và một trong số đó khá đơn giản. Ví dụ, bạn có thể:

  • Ngăn chặn các IP nguồn (nhớ lưu giữ tất cả thông tin về các IP này vì chúng có thể là những IP hợp pháp, giả mạo hoặc máy ma)
  • Đặt rate limit trên router để ngăn chặn máy chủ web bị tràn
  • Thêm các bộ lọc cho router để loại bỏ những gói tin từ các nguồn tấn công đã xác định
  • Timeout các kết nối half-open mạnh mẽ hơn
  • Bỏ qua những gói tin bị biến dạng hoặc giả mạo
  • Đặt các ngưỡng flood cho SYN, ICMP, UDP thấp hơn

Những bước trên từng có hiệu quả trong quá khứ, nhưng với kiểu tấn công DoS/DDoS ngày càng tinh vi như hiện nay thì những hành động này nhiều lắm chỉ cho bạn thêm chút thời gian để đối phó.

Gọi cho nhà cung cấp Internet hoặc cung cấp host

Bước tiếp theo là gọi cho ISP hoặc nhà cung cấp host nếu bạn không tự vận hành máy chủ web của mình, nói với họ bạn đang bị tấn công và cần giúp đỡ. Cố gắng cung cấp càng nhiều thông tin bạn biết càng tốt. Hỏi họ xem có thể thay đổi địa chỉ IP hay không. Đây là lúc cần đến mối quan hệ đã đề cập ở bên trên, hãy gọi và hành động càng nhanh càng tốt.

Tùy thuộc vào mức độ của cuộc tấn công mà ISP hoặc nhà cung cấp host có thể đã phát hiện ra nó hoặc họ cũng đang bắt đầu chịu ảnh hưởng từ cuộc tấn công. Trang web có thể chịu đựng DoS/DDoS tốt hơn nếu máy chủ web được đặt trong các trung tâm lưu trữ lớn thay vì tự chạy. Do trung tâm dữ liệu của chúng có liên kết băng thông cao hơn và router công suất tốt hơn so với công ty bạn hoặc cá nhân tự vận hành. Nhân viên của họ cũng có nhiều kinh nghiệm để đối phó với các cuộc tấn công hơn bạn.

Tùy thuộc vào từng nhà cung cấp dịch vụ, một số ISP không có sự bảo vệ nào cho khách hàng, nhưng nhiều trong số họ có công cụ cần thiết để bảo vệ khách hàng. Khi một khách hàng bị tấn công họ sẽ tắt trang web đó, chuyển hướng traffic đến "black hole" hoặc chặn traffic đến mạng của họ để bảo vệ những khách hàng còn lại. Và mục tiêu của kẻ tấn công đã thành công, trang web đã offline. Sau đó, để trang web online trở lại, ISP hoặc công ty lưu trữ host có thể chuyển hướng traffic đến một máy lọc để loại bỏ những gói tin độc hại trước khi những gói tin hợp lệ được gửi đến máy chủ web của trang web.

Kiểm tra toàn bộ hệ thống

Liên tục kiểm tra toàn bộ hệ thống để đảm bảo cuộc tấn công đang diễn ra không phải là mũi tên đánh lạc hướng để tạo một cuộc tấn công khác, hoặc gây ra những vấn đề trầm trọng hơn cho những hệ thống bị ảnh hưởng.

Sau khi bị tấn công DoS/DDoS bạn nên làm gì?

- Thu thập tất cả các bản ghi trong suốt quá trình tấn công, xem xét xem traffic đến từ đâu và loại traffic được gửi đi. Làm việc với các ISP để có càng nhiều thông tin về cuộc tấn công càng tốt. Từ đó xác định xem vị trí của các địa chỉ IP và liên hệ với các ISP của IP này để họ biết chúng đã bị lạm dụng.

- Nếu cuộc tấn công gây ra hậu quả nghiêm trọng hoặc có dấu hiệu phạm tội bạn hãy liên lạc với cảnh sát , cho họ biết những gì đã xảy ra để họ tiếp tục điều tra làm rõ mọi chuyện.

- Lần nữa kiểm tra lại toàn bộ hệ thống để đảm bảo mọi thứ đang vận hành bình thường, không có bộ phận nào bị xâm nhập.

- Đổi tất cả mật khẩu.

Hy vọng bài viết có thể giúp bạn được phần nào!

Thứ Sáu, 25/08/2017 15:51
51 👨 892
0 Bình luận
Sắp xếp theo