Bài viết rất hay của anh Conmale admin thần thánh HVA được trích lại cho các bạn SV cần tham khảo
– DDoS có nhiều dạng, nhiều biến thái tấn công nhưng tựu trung có một mục đích: làm người dùng không thể sử dụng được dịch vụ.
– DDoS có hai dạng chính:
1) Làm ngập băng thông khiến cho người dùng không thể truy cập dịch vụ.
2) Làm cho dịch vụ hoàn toàn tê liệt vì hết tài nguyên khiến cho người dùng không thể truy cập dịch vụ.
Chống đỡ hai dạng trên đều đòi hỏi gia tăng tài nguyên (băng thông, CPU, diskspace, memory). Tài nguyên càng phát tán rộng ra nhiều network càng tốt.
– Giảm thiểu tác hại của DDoS có hai hướng chính:
1) Giảm thiểu bằng cách cản lọc những đặc điểm cụ thể.
2) Giảm thiểu bằng cách cản lọc theo ấn định số lần truy cập trong một khoản thời gian (nếu không tìm ra được đặc điểm cụ thể).
– Giảm thiểu bằng cách cản lọc những đặc điểm cụ thể dựa trên những thông tin lấy từ logs (tổng quát về IP, user-agents, số lần truy cập trong một khoảng thời gian nào đó) hoặc từ packet capturing bằng tcpdump hoặc wireshark (chi tiết tính chất trong các packet header và payload). Làm việc này đòi hỏi am hiểu đặc tính của log và tính chất của các gói tin.
– Giảm thiểu bằng cách cản lọc theo ấn định số lần truy cập trong một khoản thời giandựa trên kết quả phân tích số lần truy cập đi từ một IP trong một khoảng thời gian. Làm việc này đòi hỏi am hiểu đặc tính của log.
Bốn điểm cần lưu ý:
I. Cản trên tầng IP cho những đặc điểm cụ thể trên tầng IP (ví dụ: iptables). Cản trên tầng application cho những đặc điểm trên tầng application (ví dụ: mod_security). Tránh đừng cản lọc những thứ thuộc về tầng application trên tầng IP và ngược lại, tránh đừng cản lọc những thứ thuộc tầng IP trên tầng application vì chúng không hiệu suất.
II. Nếu blackhole (/dev/null) được ngay trên router thì thực hiện ngay thay vì cản lọc trên firewall.
III. Cản lọc không dừng lại ở MỖI TẦNG mà ở trên TẤT CẢ CÁC TẦNG GIAO THỨC bất cứ nơi đâu có thể được, thậm chí phối hợp giữa các tầng.
IV. Tính hiệu suất, gọn nhẹ là chìa khoá để bảo tồn tài nguyên.