1. Tấn công DDoS là gì?
Cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một phương thức tấn công nhằm chặn lưu lượng truy cập bình thường của một máy chủ, dịch vụ hoặc hệ thống mạng được nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh của nó với một lượng lớn lưu lượng truy cập Internet.
Để các cuộc tấn công DDoS đạt được hiệu quả cao, kẻ tấn công sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy bị khai thác có thể bao gồm máy tính người dùng và các tài nguyên khác có kết nối trong mạng như thiết bị IoT.
Hiện nay có ba loại tấn công DDoS cơ bản:
- Volumetric attacks: Loại tấn công sử dụng lưu lượng truy cập lớn từ nguồn khuếch đại hoặc mạng lưới botnet để làm ngập băng thông mạng của hệ thống mục tiêu.
- Protocol attacks: gây ra sự gián đoạn dịch vụ do tiêu thụ quá nhiều tài nguyên máy chủ hoặc tài nguyên của thiết bị mạng như tường lửa và bộ cân bằng tải. Các cuộc tấn công giao thức sử dụng các điểm yếu trong lớp 3 và lớp 4 của giao thức OSI để chặn việc truy cập đến hệ thống mục tiêu.
- Application layer attacks: Loại tấn công này chủ yếu nhằm vào các ứng dụng web và đây là loại tấn công rất khó để ngăn chặn vì khó phân biệt được lưu lượng độc hại và lưu lượng truy cập hợp pháp
2. Hiện trạng các cuộc tấn công DDoS tại Việt Nam
Theo thống kê trong Q2,3/2022:
- Số cuộc tấn công DDoS chiếm 44% trong tổng số các cuộc tấn công Layer 7 tại Việt Nam
- Việt Nam nằm trong top 18 nước là nguồn của các cuộc tấn công HTTP DDoS và top 15 nước bị tấn công HTTP DDoS nhiều nhất
- Những cuộc tấn công xuất phát từ những ISP lớn nhất tại Việt Nam như VNPT, Viettel, FPT, Mobifone, gây khó khăn trong việc ngăn chặn
3. Giới thiệu về hãng CloudFlare
Cloudflare là nhà cung cấp mạng phân phối nội dung, dịch vụ bảo mật Internet và các dịch vụ phân phối máy chủ tên miền, đứng giữa khách truy cập và nhà cung cấp dịch vụ lưu trữ của người dùng Cloudflare. hoạt động như một reverse proxy cho các trang web, có trụ sở tại San Francisco, California.
Được thành lập năm 2009, mạng lưới CloudFlare hiện tại có tổng dung lượng lên tới 209Tbps, gấp đôi tổng dung lượng của top 05 hãng cung cấp dịch vụ chống DDoS cộng lại 15% lưu lượng Internet toàn thế giới đi qua mạng lưới của Cloudflare, tận dụng nguồn dữ liệu dồi dào và hệ thống máy học, phân tích hành vi, Cloudflare liên tục cập nhật các hình thức tấn công và giúp các khách hàng ngăn chặn 76 tỷ cuộc tấn công trên không gian mạng hàng ngày.
CloudFlare đã có mặt tại hơn 300 thành phố và hơn 100 quốc gia. Tại Việt Nam, từ năm 2019 CloudFlare đã đặt 04 POP tại Hà Nội và Hồ Chí Minh.
4. Giới thiệu giải pháp Cloudflare DDoS Protection
Cloudflare cung cấp khả năng bảo vệ từ chối dịch vụ phân tán (DDoS) không giới hạn cho tất cả khách hàng trên tất cả các gói và dịch vụ. Tính năng tự động phát hiện và giảm thiểu các cuộc tấn công DDoS được kích hoạt trên hệ thống biên của Cloudflare. Hệ thống biên của Cloudflare bao gồm nhiều quy tắc giảm thiểu động (Managed Rulesets) cung cấp sự bảo vệ toàn diện chống lại nhiều cuộc tấn công DDoS trên L3/4 và L7 của mô hình OSI.
Hệ thống biên phân tán của Cloudflare nằm trước các ứng dụng của khách hàng được triển khai trên cloud, onpremise hoặc SaaS và tiếp nhận mọi traffic từ người dùng, bot và kẻ tấn công. Tất cả các kết nối đến khách hàng sử dụng dịch vụ Cloudflare đều phải đi qua Data Center (DC) thông qua giao thức BGP Anycast.
Việc sử dụng Anycast giúp tất cả các DC đều quảng bá chung 1 dải địa chỉ IP, đảm bảo tối ưu về tốc độ cho người dùng. Bất kể ở vị trí nào, người dùng luôn luôn kết nối đến DC gần nhất. Anycast cũng làm phân tán lưu lượng truy cập DDoS. Trong một cuộc tấn công đang diễn ra, mỗi DC nhận được một phần nhỏ trong tổng lưu lượng truy cập, giúp dễ dàng share tải và lọc ra lưu lượng truy cập không mong muốn.
Việc triển khai anycast cho phép giữ đồng nhất thiết lập mạng, thiết kế, dịch vụ chạy trên tất cả các trung tâm dữ liệu biên. Khách hàng không cần quan tâm mình đang kết nối đến DC nào vì luôn được đảm bảo dịch vụ, cấu hình đã đăng kí.
Mọi máy chủ trong mọi trung tâm dữ liệu Cloudflare trải dài trên 300 thành phố trên 100 quốc gia với dung lượng mạng 209 Tbps đều chạy toàn bộ các dịch vụ giảm thiểu DDoS, đảm bảo chống lại được các cuộc tấn công lớn nhất.
Các hệ thống giảm thiểu tập trung và phi tập trung của Cloudflare phối hợp hoạt động để xác định và giảm thiểu hầu hết các cuộc tấn công DDoS trong vòng chưa đến 03 giây. Các quy tắc tĩnh định cấu hình sẵn được triển khai trong vòng chưa đầy 01 giây.
Cloudflare tích hợp sẵn report cung cấp cho khách hàng thông tin chi tiết về các mẫu traffic truy cập, các mối đe dọa được quan sát (và bị chặn) và hơn thế nữa, ngay từ trang tổng quan hoặc thông qua API Cloudflare GraphQL. Report của Cloudflare cũng có thể được tích hợp với giải pháp SIEM của bên thứ ba.
4.1. Các loại dịch vụ chống DDoS của Cloudflare
Cloudflare cung cấp 03 giải pháp chống tấn công DDoS:
- Website DDoS Protection – Web Services (L7): Giải pháp bảo vệ DDoS lớp 7 cho các trang web và ứng dụng web
- Application DDoS Protection – Spectrum (L4): Giải pháp reverse proxy bảo vệ các ứng dụng chạy trên TCP/UDP
- Network DDoS Protection – Magic Transit (L3): Bảo vệ toàn bộ mạng trong IP subnet khỏi các cuộc tấn công DDoS, đồng thời tăng tốc độ lưu lượng
Mô hình tổng quan:
4.2. Cloudflare HTTP DDoS Attack Protection
Chỉ với một thay đổi đơn giản trong cài đặt DNS, khách hàng có thể tích hợp trang web của mình lên Cloudflare trong vòng vài phút. Mạng anycast được phân phối trên toàn cầu của Cloudflare định tuyến các yêu cầu của khách truy cập đến DC của Cloudflare gần nhất.
Sau đó các yêu cầu đó sẽ được rà quét trên các DC biên để xem liệu khách truy cập có phải là mối đe dọa hay không, sử dụng các tiêu chí như HTTP header, agent, chuỗi truy vấn, đường dẫn, máy chủ, phương thức HTTP, phiên bản HTTP, phiên bản mật mã TLS và tốc độ yêu cầu.
Giải pháp cung cấp các bộ quy tắc (rulesets) định sẵn để khớp với các mẫu tấn công, các công cụ tấn công đã biết, các mẫu đáng ngờ, lưu lượng truy cập quá mức gửi đến nguồn / bộ nhớ cache và các vectơ tấn công bổ sung ở lớp ứng dụng trên biên. Cloudflare liên tục cập nhật các bộ quy tắc này để cải thiện phạm vi phòng chống tấn công, cập nhật các mối đe dọa mới và mới nổi, đồng thời đảm bảo giảm thiểu về chi phí.
Một số các attack vectors được bảo đảm bao gồm:
- HTTP flood attack
- WordPress pingback attack
- HULK attack
- LOIC attack
- Slowloris attack
- Mirai and Mirai-variant HTTP attacks
Ngoài ra. khách hàng có thể tùy chỉnh các cài đặt bảo vệ DDoS để giảm false positive và tùy theo yêu cầu đặc biệt của khách hàng.
4.3. Cloudflare Spectrum
Giải pháp Spectrum hoạt động như một reverse proxy lớp 4 bảo vệ và tăng tốc cho tất cả ứng dụng dựa trên TCP hoặc UDP. Khách hàng có thể định tuyến các lưu lượng MQTT, email, file transfer, version control, gaming… qua TCP hoặc UDP thông qua Cloudflare để che giấu nguồn gốc và bảo vệ nó khỏi các cuộc tấn công DDoS.
Các tính năng chính của Spectrum:
- Chuyển tiếp lưu lượng TCP/UDP thông qua Cloudflare
- Cho phép hoặc từ chối địa chỉ IP
- Lợi ích hiệu suất tích hợp
- Chế độ Flexible và Full TL
- Phân tích ứng dụng cụ thể trong thời gian thực
- Cho phép lưu lượng truy cập chuyển qua TLS
- Cài đặt dễ dàng trên giao diện bảng điều khiển hoặc bằng API
- Lưu lượng cân bằng tải layer 4 trên nhiều máy chủ
- Hỗ trợ chia sẻ log vào các vùng lưu trữ đám mây công cộng
Cloudflare Spectrum tích hợp với Argo Smart Routing để gửi lưu lượng TCP nhanh hơn so với mô hình Internet ‘best-effort’. Mạng của Cloudflare học từ lưu lượng truy cập của khoảng 25.000.000 tên miền và địa chỉ Internet, cho phép định tuyến thông minh dựa trên máy học (ML) theo thời gian thực khi có nghẽn mạng. Dựa trên các kiểm tra đo lường, thời gian trọn vòng (roundtrip time, RTT) TCP trên mạng của Cloudflare giảm gần 17% so với việc gửi lưu lượng truy cập trực tiếp trên Internet.
Spectrum có tường lửa IP cấu hình bằng phần mềm có thể được cấu hình ngay trên bảng điều khiển hoặc bằng API. Khách hàng có thể cho phép hoặc từ chối các địa chỉ IP riêng lẻ hoặc dải địa chỉ IP để kiểm soát chi tiết lưu lượng truy cập đến máy chủ ứng dụng của bạn. Khách hàng cũng có thể cấu hình các quy tắc để chặn người truy cập từ một quốc gia cụ thể hoặc thậm chí là Số hiệu mạng ASN (Autonomous System Number).
Trong trường hợp có thời gian gián đoạn hoạt động, tất cả các kết nối TCP đang hoạt động và lưu lượng UDP sẽ được tự động chuyển đổi sang một máy chủ dự phòng thay thế trong một nhóm cân bằng tải đã cấu hình để tránh gián đoạn hoạt động. Bằng cách phân phối động đến các nhóm máy chủ khả dụng và đáp ứng tốt nhất, Cloudflare Spectrum và Bộ Cân bằng Tải giúp tăng thời gian hoạt động của các dịch vụ của khách hàng.
Ngoài ra, Spectrum hỗ trợ Analytics thời gian thực để nhận thông tin chi tiết về lưu lượng đầu vào, lưu lượng đầu ra và các mối đe dọa đã được Spectrum giảm thiểu.
- Xem truyền dữ liệu thời gian thực (đầu vào và đầu ra) cũng như số lượng kết nối đồng thời với dịch vụ của bạn
- Yêu cầu dữ liệu log chi tiết của từng sự kiện kết nối bằng RESTful API
- Tự động gửi dữ liệu log đến nhà cung cấp dịch vụ lưu trữ đám mây mà bạn chọn
4.4. Cloudflare Magic Transit
Cloudflare Magic Transit bảo vệ toàn bộ dải mạng IP của khách hàng khỏi các cuộc tấn công DDoS, đồng thời tăng tốc lưu lượng mạng. Giải pháp sử dụng mạng toàn cầu của Cloudflare để giảm thiểu các cuộc tấn công, sử dụng các giao thức mạng tiêu chuẩn như BGP, GRE và IPsec để định tuyến và đóng gói. Tất cả các tài sản mạng của khách hàng, từ onpremise hay trong môi trường cloud đều được bảo vệ.
Cloudflare Magic Transit được tích hợp tường lửa mạng tốt nhất của chúng tôi, cho phép khách hàng cấu hình các quy tắc cho phép/từ chối cho dải IP chi tiết và quảng bá các thay đổi trong vài giây. Magic Transit được tích hợp với tất cả các sản phẩm L4 và L7 của Cloudflare.
Khi được tích hợp với Argo Smart Routing, Cloudflare Magic Transit sẽ cung cấp lưu lượng truy cập sạch cho khách hàng qua các liên kết nhanh nhất, đáng tin cậy nhất trong thời gian thực.
Các tính năng chính:
- Hơn 209 Tbps dung lượng mạng
- Tích hợp thông qua định tuyến BGP và đóng gói GRE
- Hỗ trợ cho tất cả các dịch vụ IP (TCP, UDP, IPSec, VoIP, giao thức tùy chỉnh).
- Giảm thiểu hầu hết các cuộc tấn công trong vòng chưa đầy 3 giây
- Tích hợp với các dịch vụ L7 (CDN, WAF, Bot Management…)
- Phân tích chuyên sâu
- Phát hiện mối đe dọa theo thời gian thực
- Tùy chọn Always-on and on-demand
5. Đánh giá của các tổ chức
- Theo GigaOm Radar Report for DDoS Protection năm 2022: Cloudflare đã được xếp hạng là Leader. Báo cáo đánh giá 09 nhà cung cấp khác nhau và Cloudflare được xếp hạng cao nhất về tổng thể.
- Theo báo cáo The Forrester Wave™: DDoS Mitigation Solutions, Q1 2021: Cloudflare được vinh danh là sản phẩm ‘Leader’ trong tổng số 11 nhà cung cấp dịch vụ dựa trên 28 tiêu chí về tính năng, chiến lược và sự hiện diện trên thị trường
- Theo báo cáo của Gartner 2020 ‘Solution Comparison for DDoS Cloud Scrubbing Centers’ Cloudflare nhận được nhiều đánh giá ‘High’ nhất trong 06 nhà cung cấp dịch vụ với 23 tiêu chí đánh giá.
Chi tiết xin liên hệ:
Product Manager: Mr Nam – 0982.151.882
Công ty cổ phần giải pháp công nghệ Sonic
Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội
Tel: 02466.564.587
Email: sales@sonic.com.vn