Các kỹ thuật phòng chống tấn công DoS:

-Chống tấn công DoS vào phần cứng:

Hệ thống cất giữ: phòng máy, tủ mạng, camera,...
-Chống tấn công DoS khai thác lỗ hổng phần mềm:
Kiểm thử xâm nhập (Penetration Testing)
Cập nhật, vá lỗ hổng phần mềm.
-Chống tấn công DoS vào tài nguyên tính toán:
Triển khai firewall, IDPS
Thiết lập thông số cấu hình hệ thống
Sử dụng các kỹ thuật thách đố (ví dụ: CAPTCHA)
1. Phòng chống LR SYN FLOOD:
-Tăng hàng đợi:
Mỗi hệ điều hành trên thiết bị mục tiêu có một số kết nối nhất định half-open cho
phép. Một phản hồi đối với khối lượng lớn các gói SYN là tăng số lượng kết nối
half-open tối đa. Để tăng thành công hệ thống phải dự trữ thêm bộ nhớ để xử lý các
yêu cầu mới. Khi hệ thống không có đủ bộ nhớ để xử lý kích thước, backlog tồn
đọng tăng lên hiệu suất hệ thống bị ảnh hưởng tiêu cực. Nhưng điều đó vẫn tốt hơn
bị tấn công Ddos.
-Lặp lại kết nối:
Lặp lại kết nối half-open TCP cũ sau khi backlog đã được lấp đầy. Cách này yêu
cầu các kết nối hợp pháp đầy đủ trong thời gian ngắn. Thay vì so với các backlog
bằng các packets SYN độc hại. Cách bảo vệ này thất bại khi số lượng tấn công
tăng lên, kích thước backlog quá nhỏ thì không thích hợp.
-SYN cookies:
Cách này liên quan đến việc tạo ra 1 cookie của server. Để tránh nguy cơ mất các
kết nối khi backlog đã được lấp đầy. Server phản hồi từng yêu cầu kết nối từ
packet SNY/ACK, sau đó loại bỏ phản hồi SYN khỏi backlog. Xóa yêu cầu khỏi
bộ nhớ và để port mở và sẵn sàng tạo kết nối mới. Nếu kết nối là môt yêu cầu hợp
pháp và packet ACK cuối cùng được gửi từ client đến server. Sau đó server sẽ xây
dựng lại (với 1 số hạn chế) tiếp nhận SYN backlog. Mặc dù sự cố gắng giảm thiểu
này mất một số thông tin về kết nối TCP. Nhưng nó là tốt hơn so với bị Ddos tấn
công.
-Massive flood:
Sử dụng Content Delivery Network
Ý tưởng: chỉ chuyển tiếp các kết nối TCP đã thiết lập tới hệ thống:

2. Phòng chống tấn công otp-ack:

-Sử dụng giá trị thử thách ngẫu nhiên (challenge nonces) trong mỗi gói tin gửi đi.
Yêu cầu client phải gửi ACK với giá trị đáp ứng:
Không khả thi vì có thể gây tiêu tốn băng thông, gây trễ khi truyền tin, tăng
độ phức tạp của hệ thống có thể làm cho việc triển khai và quản lý trở nên khó
khăn, một số tấn công có thể tận dụng cơ chế này để tạo ACK giả mạo.
-Hạn chế băng thông cho mỗi liên kết TCP:
Không hiệu quả bởi vì không linh hoạt, không xử lý được biến động, không
chính xác với đòi hỏi băng thông cao, không giải quyết được tối ưu hóa mạng.
-Thiết lập lại kết nối nếu gửi ACK ngoài cửa sổ:
Không phù hợp vì làm tăng nguy cơ tấn công RTS Injection.
-Tạm giữ, không gửi đi 1 gói tin ngẫu nhiên:
Nếu bên gửi là bình thường, không gửi ACK báo nhận.
Nếu bên gửi là tấn công, gửi ACK báo nhận thành công.
 Đánh giá giải pháp: dễ bị đánh lừa, gây ra hiểu nhầm, không linh hoạt, gây
trễ và ảnh hưởng hiêu suất.
3. Phòng chống DNS Amplification:
-Hạn chế hoạt động của Open DNS Resolver:
Chỉ trả lời các truy vấn xuất phát từ trong mạng.
Hạn chế số lượng thông điệp DNS Response gửi tới 1 client.
-Chặn các truy vấn có địa chỉ IP khong nằm trong mạng.
4. Kỹ thuật thách đố client:
-Ý tưởng: làm chậm lưu lượng tấn công.
-Sever yêu cầu client thực hiện giải đố một vấn đề tương đối khó.
-Khi phát hiện bị tấn công, yêu cầu tất cả client kết nối tới phải giải đố
-Ví dụ:

-Hạn chế:
Khó xác định giá trị n phù hợp do ứng dụng client có thể chạy trên nhiều nền tảng
khác nhau: PC, smartphone, ...
Yêu cầu phải thay đổi ứng dụng ở cả 2 phía (client-sever).
5. Các kỹ thuật khác:
-Sử dụng CAPTCHA:
Ý tưởng: xác định yêu cầu kết nối có thực sự do người dùng khởi tạo không.
 Ứng dụng: chống tấn công DoS trên tầng ứng dụng (L7 DoS).
-Kiểm tra địa chỉ nguồn:
Hầu hết các cuộc tấn công sử dụng địa chỉ giả mạo làm địa chỉ nguồn.
Giải pháp tại ISP: chỉ chuyển tiếp các gói tin có địa chỉ nguồn trong mạng do ISP
quản lý.
Khó khăn: tất cả các ISP phải cùng triển khai giải pháp.
-Truy vết tấn công:
Mục tiêu: dựa trên lưu lượng tấn công để xác định đường đi của lưu lượng
Ý tưởng: ghi nhớ tuyến đường (các router đã chuyển tiếp) vào gói tin.
Cơ sở: router khó bị tấn công hơn, tuyến đường khó bị thay đổi.
Khó khăn: yếu cầu gói tin sử dụng nhiều byte để lưu trữ thông tin.