GIỚI THIỆU GIẢI PHÁP

CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ - DDOS

HÃNG NETSCOUT ARBOR

Hà Nội- 05/2023
Nội Dung

1. Tình hình tấn công DDoS hiện nay...................................................................................3

2. Giới thiệu giải pháp Arbor AED của hãng NETSCOUT..................................................5

3. Ứng dụng giải pháp vào thực tiễn......................................................................................8

4. Đánh giá lựa chọn giải pháp............................................................................................10

 1. Tình hình tấn công DDoS hiện nay
DDoS là loại hình tấn công không còn xa lạ với các tổ chức doanh nghiệp
trên thế giới. Bắt đầu từ năm 2018, DDoS đã bùng phát trở lại với quy mô,
tần xuất và độ phức tạp khủng khiếp. Cùng trong năm đó, theo báo cáo của
hãng Netscout, đã xảy ra cuộc tấn công quy mô lớn chưa từng có trong lịch
sử rơi vào 1 nhà mạng tại Mỹ, với dung lượng bị tấn công lên tới 1,7Tbps.
Và từ đó đến nay, loại hình tấn công này vẫn luôn nằm trong danh sách các
cuộc tấn công nguy hiểm nhất trên không gian mạng. Trong năm 2020-2021,
chứng kiến sự gia tăng cả về số lượng các cuộc tấn công DDoS lẫn về dung
lượng tối đa mà một cuộc tấn công có thể đạt được.

Sự việc xảy ra hôm 1/6/2022 được Google phát hiện được coi là cuộc tấn
công DDoS lớn nhất lịch sử. Cuộc tấn công từ chối dịch vụ (DDoS) kéo dài 69
phút, với đỉnh điểm 46 triệu yêu cầu mỗi giây. Khi đó, một khách hàng của
Google Cloud trở thành mục tiêu tấn công DDos với số lượng yêu cầu dịch vụ
trên mỗi giây (rps) cao nhất từng được ghi nhận. Với 46 triệu rps, chiến dịch có
quy mô lớn hơn 76% so với kỷ lục trước đó được Cloudflare ghi nhận là 26 triệu
rps.
 Theo các nhà phân tích, thời gian qua, tấn công từ chối dịch vụ đang có dấu
hiệu gia tăng theo cấp số nhân cả về tần suất và quy mô. Chỉ trong tháng 6-2022,
hai vụ DDoS với lượng yêu cầu cao kỷ lục đã được ghi nhận, với lần lượt 26
triệu rps và 46 triệu rps. Báo cáo của Radware mới đây cho thấy, nửa đầu năm
2022, các mối đe dọa dạng này tăng hơn 203% so với cùng kỳ năm 2021. Trong
khi theo Kaspersky, các cuộc DDoS trong quý I/2022 tăng 46% so với quý trước
đó và đạt mức cao nhất mọi thời đại. Trong quý I/2023 theo Netscout, không chỉ
dừng lại là mục tiêu của các cuộc tấn công DDoS, Việt Nam còn là nước đứng
thứ 2 thế giới trong bảng xếp hạng Top các quốc gia là nguồn của tấn công
DDoS:
Câu hỏi đặt ra là làm thế nào để phòng chống tấn công DDoS một cách hiệu
quả nhất?

2. Giới thiệu giải pháp Arbor AED của hãng NETSCOUT

Đây là dòng sản phẩm thường được triển khai tại doanh nghiệp, do vậy
việc triển khai và quản trị rất đơn giản với các công nghệ phòng chống tấn công
DDoS cho lớp ứng dụng. Được thiết kế để phát hiện tấn công và giảm thiểu các
cuộc tấn công tiên tiến nhất trong một thiết bị duy nhất nhằm bảo vệ các ứng
dụng quan trọng của doanh nghiệp hay các tổ chức.
Các cuộc tấn công hiện nay thường rất đa dạng, từ các tần thấp đến tầng cao
trong mô hình OSI đến các dạng tấn công flood. Ngay cả một số cuộc tấn công ở
mức cơ bản cũng có thể gây ảnh hưởng nhất định đến các doanh nghiệp, do vậy
trong một số tình huống cấp bách, các dịch vụ trên nền đám mây hay dịch vụ
của nhà cung cấp dịch vụ Internet được coi là giải pháp thay thế. Các cuộc tấn
công dạng flood thường gây nghẽn kết nối Internet, hoặc trung tâm dữ liệu. Do
vậy để giải quyết tính đa dạng của các cuộc tấn công DDoS hiện nay, các doanh
nghiệp hay tổ chức cần một giải pháp phòng chống toàn diện – với các giải pháp
được thực hiện ngay tại nội tại mạng và kết hợp với các dịch vụ của nhà mạng
hoặc đám mây. Thiết bị AED của Abor được thiết kế nhằm cung cấp một khả
năng giám sát chủ động và ngăn chặn với các loại hình tấn công sau:
 Chống tấn công ở lớp dịch vụ (application layer)
 Chống tấn công làm cạn kiệt tài nguyên (state exhausting)
 Chống tấn công với dung lượng lớn (volumetric)
 Ngăn chặn malware và các mối đe doạ tiềm ẩn khác xâm nhập vào
trong mạng (cơ sở dữ liệu bảo mật của AED bao gồm hơn 3 triệu
IP/DNS/URL độc hại)
 Mô hình giải pháp Arbor AED inline
Thiết bị cũng cung cấp khả năng kết hợp với các thiết bị đặt tại nhà cung cấp
dịch vụ Internet hay dịch vụ Cloud của chính hãng thông qua tính năng “Cloud
Signaling). Với tính năng dịch vụ này, thiết bị có thể được thiết lập và tự động
cảnh báo cũng như chuyển hướng traffic lên trên dịch vụ Cloud hoặc thiết bị của
nhà mạng, các traffic sau khi được lọc sẽ được trả lại cho doanh nghiệp như bình
thường.

Một đặc điểm vượt trội của dòng thiết bị AED là không bị giới hạn về mặt
kết nối do hoạt động dựa trên công nghệ stateless, không sử dụng các công nghệ
lọc gói tin (packet filtering) như một số hãng chống DDoS khác hoặc trên các
thiết bị cân bằng tải (load balancer), IPS hay Firewall. Thiết bị chỉ giám sát và
theo dõi (tracking) trạng thái kết nối khi được yêu cầu, do vậy trong bảng
thông tin về
trạng thái kết nối, nó chỉ lưu lại một số lượng ít thông tin về kết nối cần phải
giám sát và xử lý.
Dòng sản phẩm AED được thiết kế nhằm đơn giản nhất trong quản trị và vận
hành, do vậy ngay sau khi cài đặt, thiết bị sẽ tự động ngăn chặn các cuộc tấn
công gây nguy hiểm cho mạng. Ngoài ra thiết bị cũng hỗ trợ khả năng ghi lại
(record) và phân tích các mẫu lưu lượng (traffic pattern) nhằm thiết lập các tùy
chỉnh cho chính sách bảo vệ mạng và đặc biệt là cho ứng dụng. Với dịch vụ cập
nhật trực tuyến AIF từ hãng, thiết bị đảm bảo khả năng phản ứng nhanh với các
loại hình tấn công kiểu mới, được Arbor giám sát trên toàn cầu như đã giới thiệu
ở trên với đội ngũ trong nhóm ASERT của chính hãng.

Một đặc điểm nữa khá quan trọng của dòng sản phẩm này là: nó không phải
là một thiết bị dạng hộp đen (black box) nghĩa là chỉ cung cấp khả năng ngăn
chặn tấn công DDoS – mà nó còn có khả năng cung cấp dịch vụ giám sát theo
thời gian thực với các loại tấn công, ngăn chặn các host hoặc gói tin và khả năng
vận hành mạng đối với các cuộc tấn công vượt ngưỡng (threshold). Thiết bị
cũng có khả năng cảnh báo cho đội ngũ vận hành mạng nhằm theo dõi và điều
chỉnh chính sách bảo vệ khi cần thiết. Đồng thời, AED còn hỗ trợ chuẩn
STIX/TAXII để thiết bị có thể tích hợp với cở sở dữ liệu bảo mật của các hãng
thứ 3 có hỗ trợ cùng chuẩn STIX/TAXII.
Khả năng bảo vệ linh hoạt của AED với bộ lọc phong phú sẽ đem lại cho các
doanh nghiệp sự an toàn tuyệt đối trước những nguy cơ tấn công mạng.
AED có khả năng thực hiện các chính sách bảo vệ đến lớp ứng dụng:
 TCP/UDP/HTTP(S) flood attacks
 Botnet protection
 Hacktivist protection
 Host behavioral protection
 Anti-spoofing
 Configurable flow expression filtering
 Payload expression-based filtering
 Permanent and dynamic blacklists/ whitelists
 Traffic shaping
 Multiple protections for HTTP, DNS and SIP
 TCP connection limiting
 Fragmentation attacks
 Connection attacks

3. Ứng dụng giải pháp vào thực tiễn

DDoS- Distributed Denial of Service được gọi là Tấn công từ chối dịch vụ.
Mục đích của nó là những mục tiêu sẽ ngừng cung cấp dịch vụ. Với nguyên tắc
chung là chiếm dụng một lượng lớn tài nguyên của hệ thống cung cấp bằng
nhiều cách gây nên quá tải và ngừng cung cấp dịch vụ. Việc này phụ thuộc vào
khả năng của kẻ tấn công và sức chịu đựng của mục tiêu. Hacker sẽ chiếm dụng
một lựợng lớn tài nguyên về hạ tầng mạng và dịch vụ, tài nguyên có thể là băng
thông, bộ nhớ, cpu, đĩa cứng, số kết nối, phiên làm việc, hay thời gian đáp ứng...
làm cho hệ thống hạ tầng hay ứng dụng không thể nào đáp ứng các yêu cầu khác
từ các clients của những người dùng bình thường và có thể nhanh chóng bị
ngừng hoạt động, crash hoặc reboot. Hình ảnh sau mô tả một cuộc tấn công
DDoS:
Trước những nguy cơ về tấn công DDoS không chỉ tại Việt Nam mà xảy ra mọi
nơi trên thế giới, nhu cầu thực tiễn cần đầu tư một hệ thống phòng chống tấn
công DDoS là rất quan trọng nhằm:

 Bảo vệ tài nguyên tức thời trước các cuộc tấn công DDOS từ mức ứng
dụng (application level) đến mức mạng (network level). Có khả năng
phân tích các cuộc tấn công và cung cấp khả năng phòng thủ nâng cao với
các tính năng có sẵn và mềm dẻo- thay đổi theo từng phương thức tấn
công cao cấp.
 Chủ động phát hiện và giảm thiểu các tổn thất có thể gặp phải. Cho phép
tự động phát hiện và ngăn chặn các cuộc tấn công DDoS, trước khi chúng
gây ảnh hưởng đến dịch vụ. Đồng thời có khả năng ngăn chặn ở mức cao-
tự động, giúp giảm thiểu các gánh nặng cho đội ngũ vận hành, giám sát
mạng.
 Có khả năng giám sát theo thời gian thực với các mẫu tấn công, mối đe
dọa và ngăn chặn kịp thời.
 Có thể phân tích chuyên sâu, tạo các báo cáo tấn công theo thời gian thực,
giúp cho việc phân loại, và phỏng thủ chiều sâu với các loại tấn công mới,
 theo nguồn gốc quốc gia hay các xu hướng tấn công một cách chủ động
và tiên tiến.

4. Đánh giá lựa chọn giải pháp

Các phương thức tấn công và cách phòng chống:

 Tấn công bằng các công cụ lớp 3/4: TCP ACK, TCP NULL, hoặc tràn
nhập TCP với packets hay header ngẫu nhiên. Các công cụ này có đặc
điểm là cần phải có các kênh phát động để zombie thực hiện tấn công tới
một máy đích cụ thể. Hệ thống phòng thủ cần phải có khả năng xử lý các
gói tin lớp 3, 4 lớn, lên đến hàng triệu thậm chí hàng chục triệu kết nối
đồng thời. Có khả năng hiểu và đánh giá từng kết nối, nhằm ngăn chặn và
loại bỏ các kết nối này trước khi đến được hệ thống máy chủ ứng dụng.
Hay với SYN flood là một trong những cách tấn công DoS cổ nhất còn
tồn tại cho đến thời điểm hiện tại, nhưng tác hại của nó gây ra thì không
giảm. Điểm căn bản để phòng ngừa cách tấn công DoS này là khả năng
kiểm soát được số lượng yêu cầu SYN/ACK trong cơ chế kết nối 3-way
handshaking của giao thức TCP tới hệ thống mạng.
 Tấn công gây lụt băng thông: Khi một cuộc tấn công DDoS được phát
động nó thường được phát hiện dựa trên sự thay đổi đáng kể về băng
thông của hệ thống mạng. Ví dụ, một hệ thống mạng bình thường có thể
có 80% lưu lượng là của giao thực TCP, 20% lưu lượng còn lại là của
UDP. Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc
tấn cống DoS. Ví dụ như, sâu Slammer sẽ làm tăng lưu lượng UDP, trong
khi sâu Welchi sẽ tạo ra ICMP flood. Việc phân tán lưu lượng gây ra bởi
các sâu này gây tác hại lên router, firewall, hoặc hạ tầng mạng. Hệ thống
phòng thủ cần phải có các công cụ giám sát và điều phối hoặc giới hạn
băng thông ngưỡng, nhằm giảm thiểu tác hại của tấn công dạng này.
Thậm chí trong một số mô hình phòng chống, cần triển khai nhiều lớp bên
cạnh việc chuẩn bị hạ tầng
băng thông đủ lớn. Một số dạng tấn công gây lụt băng thông hiện nay rất
 thông minh, việc giả mạo yêu cầu truy cập giống như người dùng bình
thường, trong khi Hacker thường cố gắng tạo ra một mạng botnet đủ lớn
để làm tăng các yêu cầu đến máy chủ một cách nhanh chóng. Do vậy hệ
thống phòng thủ phải có khả năng phát hiện các Botnet và ngăn chặn ngay
các yêu cầu xuất phát từ phía mạng Botnet này.
 Tấn công tới hạn số lượng kết nối: Bản thân các server chỉ có thể đáp ứng
được một số lượng nhất định các kết nối tới nó cùng một lúc. Ngay bản
thân firewall (đặc biệt với các firewall có tính năng stateful inspection),
thì các kết nối luôn được gắn liền với bẳng trạng thái có giới hạn dung
lượng. Đa phần các cuộc tấn công đều sinh ra số lượng các kết nối ảo
thông qua việc giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần
phân tích và chống được việc giả mạo như: giả mạo trình duyệt, giả mạo
IP, giả mạo request, …, và kiểm soát được số lượng kết nối từ một nguồn
cụ thể tới server, như giới hạn số lượng request/ giây. Trong một số
trường hợp, các tổ chức có thể triển khai mô hình ứng dụng hai lớp, với
lớp thứ nhất cho phép caching, lớp thứ hai được kiểm soát chặt chẽ và
không phơi mình ra ngoài môi trường internet.
 Các phương thức tấn công có thể khác nhau, nhưng cách phòng thủ hiệu
quả nhất nhưng cũng khó khăn nhất là phòng thủ được từ nguồn tấn công.
Nhưng cũng như đặc điểm từ chính DDoS là nguồn tấn công phân tán trên
toàn cầu. Do vậy một công cụ chống được toàn diện phải có khả năng kết
hợp được hầu hết các nhà mạng trên toàn cầu, kết hợp với các công cụ của
nhà cung cấp dịch vụ Internet trực tiếp và các công cụ của chính khách
hàng là phương thức hiệu quả và triệt để nhất.

Đánh giá lựa chọn công nghệ:

Hiện nay có rất nhiều hãng thiết bị mạng như Firewall, IPS, Load Balancing,
WAF, … đều có khả năng chống được DDoS nhưng khả năng chống được đến
đâu? Hiệu năng ra làm sao? Khả năng mở rộng cũng như cập nhật nhanh các
phương thức phòng thủ tiên tiến, đồng thời đánh giá, giám sát và cập nhật nhanh
các mạng botnet là một trong những yêu cầu tối thiểu để xây dựng hệ thống
phòng thủ DDoS. Do vậy cần đầu tư thiết bị chuyên dụng chống DDoS.

Với việc phân tích hiện trạng và công nghệ nêu trên, kết hợp với các đánh giá về
sản phẩm của các hãng công nghệ như OMDIA, chúng ta có thể thấy trên thị
trường hiện không có nhiều nhà sản xuất có khả năng đưa ra một giải pháp tổng
thể. Duy nhất có hãng Netscout Arbor hiện là nhà cung cấp hàng đầu với thị
phần lên đến 40-50% tổng market-share cho sản phẩm, đồng thời giải pháp công
nghệ cũng là hiệu quả nhất. Netscout có khả năng cung cấp các giải pháp theo
thiết bị đầu cuối cho từng khách hàng, giải pháp cho từng nhà cung cấp dịch vụ
mạng và nền tảng dịch vụ cloud cho phép khách hàng có thể mềm dẻo trong các
cách thức triển khai dịch vụ, đồng thời có khả năng ứng phó khi gặp phải các
cuộc tấn công vô cùng lớn. Netscout có một cộng đồng khách hàng lớn trên 90%
số lượng khách hàng là các nhà mạng trung chuyển Internet, nên khả năng phát
hiện và cảnh báo sớm cũng là một lợi thế vô cùng lớn của Netscout.