CÁC BIỆN PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2025/11/10 18:47

CÁC BIỆN PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS

Ddos có tên đầy đủ là Distributed Denial Of Service – là một biến thể của loại tấn công DOS. Đây là một hình thức tấn công từ chối dịch vụ phân tán, nó làm cho người bị tấn công không thể sử dụng một dịch vụ nào đó, nó có thể khiến bạn không thể kết nối với một dịch vụ internet, hoặc nó có thể làm ngưng hoạt động của một chiếc máy tính, một mạng lan nội bộ hoặc thậm chí là cả một hệ thống mạng.

Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình thức này đó là nó được phân tán từ nhiều dải IP khác nhau, chính vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được. Tìm hiểu các biện pháp phòng chống tấn công DDoS sẽ giúp Doanh nghiệp chủ động được các hoạt động xử lý, giảm thiểu tối đa thiệt hại.

Dựa trên vị trí triển khai

Các biện pháp phòng chống tấn công DDoS được phân loại dựa trên vị trí cài đặt và tiếp tục được chia nhỏ thành 3 dạng con

_ Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công, choi bai . Phương pháp này nhằm hạn chế các mạng người dùng tham gia

tấn công DDoS. Một số biện pháp cụ thể bao gồm:

+ Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng;

+ Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận.

_ Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thốngđích. Các biện pháp cụ thể có thể gồm:

+ Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo.

+ Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh

dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đường dẫn,…

_ Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển

khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại.

Dựa trên giao thức mạng

Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng

_ Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:

+ Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.

+ SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng, tai game danh bai , proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.

+ Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.

_ Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:

+ Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.

+ Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.

+ Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.

+ Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs

riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.

+ Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác

nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho

máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu

quả.

+ Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã

xác lập trước.

_ Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:

+ Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.

+ Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.

+ Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.