1. DDOS là gì?

DDOS - Distributed Denial Of Service và Denial Of Services Attack - Tấn công từ chối dịch vụ là hình thức hacker khởi tạo các request từ máy Client đến Server và sẽ chiếm dụng một lựợng lớn tài nguyên trên server, tài nguyên có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ... làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

Tấn công từ chối dịch vụ có rất nhiều dạng. Nhưng hiện tại phổ biến nhất là 2 dạng sau:

TCP/SYN Flooding:

Giao thức bình thường của Server - Client như sau:

Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ
Khách hàng -> SYN Packet -> Máy chủ
Bước 2: Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng
Máy chủ -> SYN/ACK Packet -> Khách hàng
Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.
Khách hàng -> ACK Packet -> Máy chủ

Hacker sẽ khai thác như sau: Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa.

Đây là phương thức phổ biến và gây hậu quả lớn nhất.

UDP/ICMP Flooding:

Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thế nó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.

Hiện tại, phương thức tấn công này không mang lại hiệu quả nhiều như phương thức trước

Những điều kiện đủ để có những cuộc tấn công DDOS Có hiệu quả:

Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phải lựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máy được dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thì cuộc tấn công sẽ không mang lại hậu quả cho đối tượng bị tấn công.

2. Phương thức phòng vệ của AppVZ với DDOS Attack

Với việc tích hợp hệ thống Firewalll với DDOS Protections giúp ngăn chặn 99% khả năng tấn công.

Khi hệ thống phát hiện ra một địa chỉ IP có request quá giới hạn cho phép hệ thống sẽ tự động khóa địa chỉ IP đó lại, khi địa chỉ IP đó cố gắng gửi request hệ thống sẽ không tiếp nhận.

Sau 10 phút hệ thống sẽ tự động trả IP đó trở về trang thái bình thường và IP đó có thể truy cập trở lại.

Nếu IP tiếp tục có nhưng request quá lớn hệ thống sẽ lại lặp lại quá trình khóa IP như trên.