Nhiều người nghĩ dựa vào nhà cung cấp dịch vụ Internet (ISP) giúp bạn chống DDoS hiệu quả? Điều này giống như việc bạn đến nhà hàng hải sản nổi tiếng để thưởng thức món… thịt bò. Nghe rất kỳ lạ đúng không nào? Bài viết này sẽ chia sẻ về mức độ phức tạp cũng như khối lượng của các cuộc tấn công DDoS. Và giải thích lý do các doanh nghiệp nên cân nhắc khi sử dụng DDoS Protection của các ISP.
Nguyên nhân các ISP cung cấp Protection DDoS
Đương nhiên, các ISP có lý do chính đáng để cung cấp protection DDoS cho khách hàng. Khi có được những thành tựu trong việc hạn chế các cuộc tấn công DDoS, dịch vụ bảo mật của các ISP sẽ được nhiều người biết đến. Điều này giúp họ thúc đẩy doanh số bán hàng và nâng mức phí dịch vụ. Sau đó, các ISP sẽ sử dụng khoảng thu nhập tăng thêm của mình để đầu tư ngược lại các giải pháp chống DDoS tốt hơn. Quy trình này được gọi là chu kỳ tự củng cố.
ISP (Internet Service Provider)
Chu kỳ tự củng cố trên chỉ là một phiên bản đơn giản hoá về cách mọi thứ sẽ diễn ra. Trong thực tế thường khác biệt rất lớn. Các nhà cung cấp ISP khó có thể cung cấp giải pháp bảo mật tốt nhất cho người dùng. Như đã đề cập ở trên, dịch vụ chống DDoS giúp gia tăng doanh thu cho các ISP nhưng an ninh mạng không phải là chuyên môn cốt lõi của họ.
Các giải pháp chống DDoS không giống nhau
Điều gì sẽ xảy ra nếu mọi hacker trên thế giới chỉ dùng một kiểu tấn công DDoS duy nhất? Lúc này, mọi chuyện thật dễ giải quyết. Chúng ta chỉ cần một giải pháp DDoS attack protection là đủ bảo vệ người dùng. Nhưng thực tế có rất nhiều cách tiếp cận, loại và động cơ tấn công từ chối dịch vụ khác nhau. Vì vậy, cũng sẽ có nhiều giải pháp DDoS Protection khác nhau.
Vậy sự khác biệt giữa giải pháp dựa trên ISP và firewall chống DDoS dựa trên đám mây là gì? Bạn hãy thử so sánh thiết bị báo trộm đơn giản tại nhà và hệ thống an ninh chuyên nghiệp gọi 911 ngay khi phát hiện kẻ xâm nhập. Đó là cách hình dung đơn giản nhất. Đúng vậy, giải pháp DDoS Protection dựa trên cloud sẽ bảo vệ người dùng khỏi các cuộc tấn công mạng lớn nhất và tinh vi nhất. Và bản thân các ISP cũng dễ là mục tiêu của các cuộc tấn công mà họ cho là có thể chống lại được.
DDoS attack protection của ISP không hoạt động hiệu quả
Các nhà cung cấp ISP thường không thể xây dựng bộ lọc cho ứng dụng web/app của khách hàng. Vì vậy, những giải pháp bảo mật của họ có thể không phân biệt được HTTP thường và HTTP bảo mật, tốc độ truyền tải dữ liệu và hành vi trên APP.
Ngoài ra, nếu không có giải pháp WAF dựa trên proxy, người dùng sẽ bị chặn trong quá trình chống DDoS.
Hiện nay, nhiều tổ chức khắt khe trong việc áp dụng các giải pháp bảo mật. Đặc biệt là Protection Distributed Denial Of Service không thể phân biệt được những giao thức trên. Đối với những tổ chức đó, WAF dựa trên Cloud là một lựa chọn thích hợp.
Protection Distributed Denial Of Service không phải là năng lực cốt lõi của các ISP
Các tổ chức có thể phải chịu những thiệt hại ngoài dự kiến do các ISP không đủ năng lực chống lại các cuộc tấn công DDoS lớn. Ngay cả khi giải pháp của ISP đủ mạnh để ngăn chặn tình trạng downtime, độ trễ vẫn trở thành vấn đề. Nguyên nhân là do phần lớn cơ sở hạ tầng của ISP phải dùng để chống lại các cuộc tấn công trong thời gian thực. Các tài nguyên để chống lại các cuộc tấn công thì không thể đồng thời phục vụ cho người dùng hợp pháp. Vì thế, họ buộc phải đánh đổi.
DDoS attacks quy mô lớn áp đảo On-Premise Distributed Denial Of Service Protection
Protection Distributed Denial Of Service của ISP sẽ giám sát và phân tích lưu lượng truy cập. Nhờ đó sẽ phát hiện dấu hiệu hoạt động DDoS của các hacker. Giải pháp này được thực hiện tại một liên kết duy nhất kết nối nạn nhân và ISP của họ. Tuy nhiên, phương pháp này chỉ phù hợp để ngăn chặn các kiểu tấn công quy mô vừa và nhỏ. Đối với các cuộc tấn công phức tạp hơn, cách tiếp cận một điểm như trên sẽ tạo ra nút thắt cổ chai. Hacker sẽ vượt qua bộ nhớ và khả năng xử lý của giải pháp DDoS Protection.
Hầu hết các ISP không thể phân phối đồng đều các cuộc tấn công đến các trạm datacenter của họ. Điều này sẽ gây khó khăn cho việc chống lại các cuộc tấn công lớn. Khi mức độ phức tạp và số lượng DDoS ngày càng tăng, các On-Premise anti-DDoS firewall đơn lẻ sẽ không còn hiệu quả.
Đánh đổi giữa DDoS attack protection và độ trễ
Các ISP không muốn tăng độ trễ nhưng họ buộc phải kiểm tra SSL để chống các cuộc tấn công SSL DDoS. Điều này tạo ra một tình huống đánh đổi khác. Nếu kiểm tra SSL, độ trễ website tăng, dẫn đến trải nghiệm người dùng kém.
Việc duy trì proxy SSL để mã hoá sẽ làm tăng độ trễ. Hầu hết các thiết bị On-Premise đều cố gắng giảm độ trễ bằng cách chỉ phản hồi SSL khi bị tấn công tích cực. Cách này đảm bảo sự thỏa hiệp, rủi ro chi phí dự phòng và có thể tạo ra các vấn đề tuân thủ bổ sung cho các tổ chức.
“Blackholing” traffic – giải pháp protection DDOS chặn người dùng hợp pháp
Một trong những phương pháp DDoS Protection khác là định tuyến traffic. Định tuyến traffic sẽ phân phối lưu lượng truy cập đến máy chủ, tránh vượt quá dung lượng uplink. Tuy nhiên, hạn chế lớn nhất của phương pháp “blackholing” là không phân biệt loại traffic. Do đó, phương pháp “Blackholing” chặn cả người dùng hợp pháp trong quá trình chống DDoS. Mục đích duy nhất của những kẻ tấn công là chặn những người dùng hợp pháp. Như vậy, vô tình các nhà cung cấp ISP đã làm điều đó thay cho các kẻ tấn công.
Nhiều nhà cung cấp ISP dùng phương pháp này như một DDoS Protection vì họ không đủ cơ sở hạ tầng để cung cấp phương pháp bảo mật chuyên dụng.
Rate limiting hạn chế Distributed Denial Of Service Protection của ISP
Đã bao giờ bạn gửi request không chính xác đến một trang web chưa? Điều gì xảy ra? Rất có thể bạn sẽ nhận được thông báo “Lỗi 404: không tìm thấy trang”. Thông báo lỗi này được gửi từ máy chủ web. Bây giờ hãy tưởng tượng gửi 1 tỷ request không chính xác như vậy đến một website. Tất nhiên, những request này hoàn toàn hợp lệ, không có tải trọng độc hại nào. Nên WAF sẽ không kích hoạt bất kỳ quy tắc bảo vệ nào. Do đó, máy chủ web có thể bị sập vì phải xử lý và gửi thông báo 4xx cho quá nhiều request không chính xác.
Lỗi 404: không tìm thấy trang web
Vì thiếu chức năng rate limiting các request HTTP/HTTPS nên các ISP không thể ngăn chặn loại tấn công này. Những người có thể đưa ra rate limiting thường làm như vậy dựa trên IP. Vì vậy, nếu lượng traffic chạm một ngưỡng nào đó, cả traffic hợp pháp và bất hợp pháp đều bị từ chối.
Thiếu bảo vệ DNS hạn chế Protection Distributed Denial Of Service
Khuếch đại DNS (một loại DNS ánh xạ) đã được sử dụng trên Curbs và Dyn. DNS được xem như một lỗ hổng của dịch vụ Internet. Gỡ bỏ DNS đồng nghĩa với việc gỡ bỏ tất cả các dịch vụ phụ thuộc vào nó. Ngoài ra, vì DNS dựa trên UDP nên nó có thể bị giả mạo. Chỉ cần một lượng tài nguyên vừa phải đã có thể tạo ra một cuộc tấn công qua giao thức không kết nối. Và nó có thể khuếch đại lưu lượng tấn công từ 1Mbps lên đến 100Mbps. Các nhà cung cấp ISP thường không thể thay thế nameserver của bạn. Do đó, máy chủ DNS sẽ rất dễ bị tấn công.
Hãy lựa chọn giải pháp Protection DDoS phù hợp với bạn
Với những phân tích trên, bài viết đã chia sẻ cho bạn đọc những hạn chế về dịch vụ DDoS Protection của các nhà cung cấp dịch vụ Internet. Thực chất, ISP là các nhà cung cấp dịch vụ mạng. Họ chỉ chuyên cung cấp các giải pháp kết nối mạng toàn cầu cho các đơn vị, tổ chức hay cá nhân người dùng. Nên DDoS Protection của họ chỉ hoạt động hiệu quả trong điều kiện hạn chế. Nếu muốn bảo vệ website tối ưu, bạn hãy cân nhắc đến các giải pháp của các nhà cung cấp an ninh mạng chuyên nghiệp.
VNETWORK được biết đến như là một trung tâm ứng cứu và bảo mật an ninh mạng uy tín và chất lượng. Để tìm hiểu thêm về giải pháp DDoS Protection hiệu quả, hãy tìm hiểu thêm về VNIS. Giải pháp WAF VNIS với công nghệ AI và máy học, bảo vệ website khỏi Top 10 lỗ hổng OWASP.