Arbor - Giải pháp đa lớp phòng chống tấn công DDoS
Ông Phạm Việt Cường trình bày tham luận tại Hội thảo Security World 2018
Tình hình tấn công DDoS hiện nay
Trong các tháng đầu năm 2018 đã ghi nhận các cuộc tấn công DDoS với băng thông kỷ lục. Điển hình là cuộc tấn công DDoS lên trang web lưu trữ mã nguồn GitHub ngày 27/02/2018, với băng thông lên tới 1,35Tbps. Tiếp đó, tháng 3/2018, Arbor ghi nhận một cuộc tấn công DDoS với băng thông kỷ lục 1,7Tbps. Phương thức tấn công DDoS mới nhất là lợi dụng lỗ hổng của các máy chủ có sử dụng dịch vụ memcache công khai trên Internet với cổng UDP 11211. Trong loại hình tấn công này, tin tặc có thể gửi tới các gói tin yêu cầu (request) với dung lượng rất nhỏ từ địa chỉ IP giả mạo, để nhận được các phản hồi (response) khuếch đại lên tới hàng chục nghìn lần.
Theo khảo sát của Arbor, đối với chính phủ, khối doanh nghiệp và giáo dục cho thấy, nhận thức về tấn công DDoS vẫn còn chưa đúng và đầy đủ. Vẫn có những quan niệm cho rằng: các thiết bị an toàn mạng theo trạng thái (stateful) có thể chống lại được tấn công DDoS, chi phí chi trả cho việc phòng chống tấn công DDoS là không cần thiết hay tấn công APT là nguy hiểm hơn tấn công DDoS….
Hiện nay, 2 trong số các điểm yếu cố hữu của hệ thống mạng tại các trung tâm dữ liệu là: điểm yếu trên các thiết bị an toàn mạng theo trạng thái và điểm yếu trên hệ thống backend. Các thiết bị như Firewall, IPS, WAP, cân bằng tải,… thậm chí giải pháp chống tấn công DDoS của một số hãng hoạt động theo trạng thái, nhưng bị giới hạn bởi số kết nối/giây. Trong thực thế, một mạng botnet trung bình có thể sinh ra 45 triệu kết nối đồng thời tại cùng thời điểm. Khi thực hiện tấn công thì các thiết bị an toàn mạng theo trạng thái khó có thể chống đỡ được.
Theo Arbor, 51,6% doanh nghiệp báo cáo rằng, thiết bị an toàn mạng theo trạng thái của họ bị thất bại trước các cuộc tấn công DDoS (chủ yếu sử dụng giao thức HTTP và DNS). Ngoài ra, trong một chiến dịch tấn công, các cuộc tấn công APT thường được kết hợp với tấn công DDoS.
Thông số tối đa kết nối/giây của một số thiết bị an toàn mạng theo trạng thái
Các giải pháp dựa trên đám mây để chống lại tấn công DDoS là chưa đầy đủ, bởi các giải pháp này sẽ bị dùng chung hạ tầng với rất nhiều dịch vụ khác trên đám mây. Hơn nữa, người dùng phải thông qua đám mây mới đến được dịch vụ an toàn, nên khi hạ tầng mạng của đơn vị cung cấp dịch vụ đám mây có vấn đề thì giải pháp an toàn sẽ không sẵn sàng, ảnh hưởng đến toàn bộ hạ tầng mạng phía sau.
Arbor - Giải pháp hiệu quả chống tấn công DDoS
Các hãng lớn về an ninh mạng như Cisco, Juniper, Huawei,… đều đánh giá, giải pháp phòng chống tấn công DDoS với kiến trúc đa lớp là một trong những giải pháp hiệu quả nhất hiện nay. Với kiến trúc này, các tổ chức/doanh nghiệp có thể chủ động trước những cuộc tấn công DDoS.
Arbor cung cấp kiến trúc phòng chống tấn công DDoS đa lớp. Thiết bị Arbor APS được đặt phía trước trung tâm dữ liệu nội tuyến (inline), bao gồm các thiết bị an toàn mạng theo trạng thái, hay máy chủ hậu, để bảo vệ toàn bộ các thiết bị và máy chủ này. Ngoài ra, sản phẩm còn có tính năng gửi tín hiệu lên đám mây (cloud signaling), nhờ đó có thể kết nối được tới các mức cao hơn như các thiết bị đặt tại ISP trong nước (Arbor SP, Arbor TMS) và mạng đám mây Arbor Cloud trên Internet tại nhiều nơi trên thế giới.
Khi thiết bị của doanh nghiệp phát hiện được các tấn công quá khả năng của đường truyền, thiết bị sẽ kết nối tới mức cao hơn để chuyển thông lượng về Arbor Cloud hoặc ISP trong nước, nhằm xử lý các thông lượng xấu, sau đó trả lại thông lượng sạch mà không ảnh hưởng đến băng thông.
Sản phẩm này cũng cung cấp cho người dùng cách nhìn toàn diện về hệ thống mạng như: thông lượng kết nối Internet, thông lượng sạch, thông lượng xấu, cách xử lý thông lượng khi kết nối với mức cao hơn….
Giải pháp chống tấn công DdoS đa lớp của Arbor
Giải pháp chống tấn công DDoS của Arbor bao gồm:
Sản phẩm, dịch vụ phòng chống tấn công DDoS dựa trên đám mây Arbor Cloud: Sản phẩm tích hợp giữa việc bảo vệ trước các tấn công DDoS trên đám mây và tại chỗ với khả năng quản trị toàn diện. Arbor Cloud có khả năng lọc thông lượng lên tới hơn 1 Tbps, được phân bố trên toàn cầu, như tại Mỹ, Châu Âu và Châu Á.
Arbor APS: Sản phẩm này được đặt nội tuyến trong hệ thống mạng, cung cấp khả năng phát hiện và giảm thiểu tấn công DDoS từ 100 Mbps tới 40 Gbps. Sản phẩm được tích hợp tính năng Cloud Signaling cho phép gửi tín hiệu lên đám mây Arbor Cloud. Arbor APS được cung cấp dưới dạng thiết bị hoặc nền tảng ảo với dịch vụ được quản lý tùy chọn.
Arbor SP và Hệ thống quản lý mối đe dọa (TMS): Arbor SP cung cấp khả năng quan sát toàn diện hệ thống mạng và phát hiện tấn công DDoS. Arbor TMS cung cấp khả năng giảm thiểu tấn công DDoS bằng hoạt động không theo trạng thái (stateless), có thể chống lại các cuộc tấn công lên tới 160 Gbps. Sản phầm cung cấp đa dạng bao gồm thiết bị khung 6U, 2U và nhúng vào bộ định tuyến Cisco ASR9K.
Nguồn cung cấp thông tin dữ liệu ATLAS: ATLAS cung cấp cái nhìn bao quát về các mối đe dọa trên toàn cầu, hỗ trợ tất cả các sản phẩm và dịch vụ. Trong đó, trang web của Arbor kết hợp với Google luôn cập nhật về tình trạng tấn công DDoS của các quốc gia trong khu vực và thế giới một cách trực quan, trực tuyến.'
Arbor Networks là bộ phận an ninh mạng của NetScout, cung cấp các dịch vụ an toàn mạng cho các doanh nghiệp và các nhà cung cấp dịch vụ lớn trên thế giới trước các tấn công DDoS và tấn công APT. Hiện nay, Arbor Networks giám sát tổng số 1/3 dung lượng Internet toàn cầu, với khách hàng là hơn 400 nhà cung cấp dịch vụ Internet trên thế giới, trong đó hơn 95% là các nhà cung cấp dịch vụ Internet cấp 1 (tier 1). 75% nhà mạng Internet lớn nhất tại Việt Nam đã và đang sử dụng giải pháp của Arbor. |
Thảo Uyên