Phần 3: DDOS Layer 7
Đây chủ yếu phần lý thuyết cơ chế hoạt động của giải pháp chống DDOS mà các module AppSec tương tác với nhau.
Giới thiệu 👏 :
Cloudflare DDoS Protection tiêu chuẩn bảo vệ các dịch vụ web-based (HTTP, HTTPS ) khỏi các cuộc tấn công DDoS, ngoài ra còn hộ trợ bảo vệ kết nối SSL/TLS khỏi các cuộc tấn công liên quan tới SSL làm cạn kiệt tài nguyên khi thực hiện mã hóa. Tập trung vào việc giữ cho các trang web và ứng dụng web hoạt động ổn định.
Tiến Bộ của Cloudflare trong Giải Pháp Chống DDoS:
Đối với quốc tế
Kể từ đầu tháng 9 - 2024, hệ thống bảo vệ DDoS của Cloudflare đã đối phó với một chiến dịch tấn công DDoS quy mô lớn ở lớp 3/4 kéo dài suốt một tháng.Các biện pháp phòng thủ của Cloudflare đã giảm thiểu hơn một trăm cuộc tấn công DDoS lớp 3/4 có quy mô cực lớn trong suốt tháng, với nhiều cuộc tấn công vượt quá 2 tỷ gói tin mỗi giây (Bpps) và 3 terabit mỗi giây (Tbps).
Đối với Việt Nam
Lưu lượng mạng tại các edge toàn cầu của CF hiện nay xấp xỉ 248 Tbps
Các Pops của CF hoạt động trên nền anycast và đã được đặt tại hơn 310 thành phố trong 100 nước trong đó có 6 Pops ở Việt Nam. 2 ở HN và 2 ở SG
Với hơn 13 nghìn network được peering vào hệ thống mạng toàn cầu của CF trong đó bao gồm các ISP lớn, các cloud provider hoặc các kết nối trực tiếp của các enterprise lớn. 1 đặc điểm của CF đó là, các pops hoạt động trên nền anycast và mỗi pop đều hỗ trợ bộ tất cả các dịch vụ cung cấp cho khách hàng dẫn đến latency khá thấp, 50ms
Cloudflare customers are protected 👍
3 plan dành cho khách hàng của Cloudflare :
DDoS Layer 3/4 (Network Layer). Vị trí: Phần này thường được quản lý ở cấp độ Account Zone hoặc qua các dịch vụ mạng như Cloudflare Magic Transit hoặc Spectrum.
DDOS layer 7 for web-base . Vị trí : Phần này được quản lý ở cấp độ Website Zone (tức là trên từng website cụ thể) trong Cloudflare dashboard.
Phạm vi chặn tấn công DDOS
DDoS Layer 3/4 (Network Layer) - Bảo vệ tầng mạng :
Vị trí: Phần này thường được quản lý ở cấp độ Account Zone hoặc qua các dịch vụ mạng như Cloudflare Magic Transit hoặc Spectrum. Với khách hàng mua Spectrum hoặc Magic Transit có thể set action rule cho DDoS layer 3/4
Phạm vi chống tấn công
UDP flood attack
SYN floods
SYN-ACK reflection attack
ACK floods Mirai and Mirai-variant L3/4 attacks
ICMP flood attack
SNMP flood attack
QUIC flood attack
Out of state TCP attacks
Protocol violation attacks
SIP attacks
ESP flood
DNS amplification attack
DNS Garbage Flood
DNS NXDOMAIN flood
DNS Query flood
DDoS Layer 7 (Application Layer) - Bảo vệ tầng ứng dụng
Vị trí: Phần này được quản lý ở cấp độ Website Zone (tức là trên từng website cụ thể) trong Cloudflare dashboard.
Phạm vi chống tấn công
HTTP flood attack
WordPress pingback attack
HULK attack
LOIC attack
Slowloris attack
Mirai and Mirai-variant HTTP attacks
some BOTnet attack
Cơ chế hoạt động của giải pháp chống DDOS:
1. Khả năng hấp thụ traffic DDOS.
Cloudflare sử dụng định tuyến Anycast để chọn đường đi ngắn nhất dựa trên thời gian phản hồi, thông qua các trung tâm dữ liệu biên (POPs) của mình. Các POP này có thể cân bằng tải (Load Balancing) với nhau, và tất cả đều có khả năng hấp thụ một lượng lớn lưu lượng tấn công, giúp loại bỏ nhu cầu phải xây dựng các Scrubbing Center truyền thống. Mỗi POP đều được trang bị đầy đủ các tính năng bảo mật ứng dụng (AppSec) của Cloudflare, giúp tối ưu hóa việc bảo vệ và giảm thiểu các cuộc tấn công một cách hiệu quả.
Điều này giúp Cloudflare cung cấp khả năng bảo vệ DDoS và bảo mật ứng dụng một cách phân tán, giảm độ trễ, tăng hiệu quả, và tối ưu hóa hiệu suất cho người dùng.
2. Làm thế nào Cloudflare chống DDOS
Khi có một lượng lớn request (bao gồm cả lưu lượng hợp lệ và lưu lượng tấn công) đi vào hệ thống Cloudflare như trong hình, hệ thống sẽ xử lý các request này thông qua các bước và thành phần bảo vệ DDoS khác nhau như sau:
Tại mỗi trung tâm dữ liệu biên ( Edge Data Center):
DOSD- denial of service daemon: dosd kiểm tra các trường gói tin (packet fields) và các thông tin liên quan đến HTTP request (metadata) để nhận diện các mẫu tấn công DDoS ở cả lớp mạng (L3/L4) và lớp ứng dụng (L7).
FlowtrackD ( chỉ có khi mua Magic Transit - Layer 4) : theo dõi trạng thái của các kết nối TCP đến để nhận diện các cuộc tấn công DDoS phức tạp như SYN flood và ACK flood.
Trung tâm mạng (Core data center)
có vai trò thu thập và phân tích các mẫu lưu lượng từ tất cả các trung tâm dữ liệu biên( Edge Data Center ) trên toàn mạng lưới của Cloudflare. Dữ liệu này sau đó được sử dụng để cải tiến các quy tắc giảm thiểu và phát hiện các mẫu tấn công phức tạp hơn mà dosd (local) có thể không nhận diện được ngay lập tức.
Đặt DDoS Managed Rules ở Core data center cho phép Cloudflare có một góc nhìn tổng quan và phối hợp giảm thiểu tốt hơn với các cuộc tấn công có quy mô lớn, cần sự phối hợp trên toàn mạng lưới.
DDoS Managed Rules (global) sử dụng các công nghệ như Machine Learning, Adaptive Profiling, và Botnet Tracking để xác định và cập nhật các mẫu tấn công mới nhất.
Adaptive Profiling (Hồ sơ hành vi tự thích ứng)
Cloudflare thiết kế một tính năng dựa trên công nghệ Machine Learning gọi là Adaptive DDos protection để tự động phát hiện và điều chỉnh các biện pháp bảo vệ chống lại các cuộc tấn công DDoS tinh vi như Botnet dựa trên các profile lưu lượng truy cập thời gian thực . Profile lưu lượng này phản ánh hành vi thông thường của lưu lượng truy cập vào hệ thống của bạn trong khoảng thời gian 7 ngày và được cloudflare so sánh
Khi có lưu lượng đột ngột khác biệt so với profile đã được xây dựng, Cloudflare sẽ coi đây là lưu lượng khả nghi và có thể chặn hoặc giảm thiểu tác động của nó. Những yêu cầu không phù hợp với profile có thể là dấu hiệu của một cuộc tấn công DDoS hoặc lưu lượng bất hợp lệ. Những lưu lượng này sẽ được cloudflare phân tích rất kĩ bởi hành vi của chúng ví dụ : nhìu địa chỉ IP đều gửi chung một hành động request cloudflare sẽ đánh như như một cuộc tấn công botnet khác với lưu lượng tăng vọt khi người dùng truy cập vào web của anh trong đợt makerting hay flash sale
Botnet Tracking
Botnet Tracking là công nghệ theo dõi và phát hiện hoạt động của các botnet – các mạng lưới máy tính bị chiếm quyền điều khiển và thường được sử dụng để phát động các cuộc tấn công DDoS, tấn công brute-force, spam, và các hoạt động độc hại khác.
Cloudflare duy trì một cơ sở dữ liệu về các IP và hành vi liên quan đến botnet thông qua việc phân tích toàn bộ lưu lượng trên mạng lưới của mình. Dựa trên dữ liệu này, Cloudflare có thể phát hiện và chặn các yêu cầu đến từ các botnet đã biết hoặc có dấu hiệu hoạt động tương tự botnet.
Hướng dẫn cấu hình DDOS
Cloudflare sử dụng một tập hợp các quy tắc dynamic để quét các mẫu tấn công, công cụ tấn công đã biết, vi phạm giao thức, yêu cầu gây ra lượng lớn lỗi từ máy chủ gốc, lưu lượng truy cập quá mức vào máy chủ gốc hoặc bộ nhớ đệm, và các vector tấn công khác.
Mỗi quy tắc có hành động và độ nhạy mặc định, tùy chỉnh theo mức độ tin cậy rằng lưu lượng đó là một phần của cuộc tấn công. Bạn cũng có thể tự điều chỉnh hành động và độ nhạy cho từng quy tắc hoặc cho toàn bộ bộ quy tắc.
Nhấp vào Edit trong DDOS bạn sẽ truy cập vào phần dashboard điều chỉnh hành động và độ nhạy cho toàn bộ bộ rule.
Nhấp vào Brose Rule bạn sẽ truy cập vào từng bộ rule cho các loại tấn công riêng , bạn có thể tự động set action , sensitivity riêng cho từng rule.
Bạn có thể nhóm các bộ rules theo Tags và set action, sensitivity cho nhóm rule đó.
Action:
Block
Chặn các yêu cầu phù hợp với quy tắc, không cho phép truy cập vào trang web.
Interactive Challenge:
Yêu cầu client (người gửi yêu cầu) vượt qua thử thách tương tác để xác minh. Nó sẽ lưu hành động di chuột của bạn xem có phải bạn là người hay bot automatic.
Managed Challenge:
Dựa vào đặc điểm của yêu cầu, Cloudflare sẽ tự động chọn yêu cầu người dùng tương tác như Interactive Challenge hoặc tự động xác minh.
Log:
Ghi lại các yêu cầu phù hợp trong hệ thống log của Cloudflare để kiểm tra và theo dõi.
Use rule defaults:
Sử dụng hành động mặc định đã được thiết lập sẵn cho mỗi quy tắc.
Last updated