Buzz
Các cuộc tấn công kỹ thuật số được biết đến với tên gọi là tấn công từ chối dịch vụ phân tán diễn ra liên tục, dù bạn có nhận ra hay không. Các công ty, doanh nghiệp cơ sở hạ tầng internet, và những mục tiêu lớn khác như trường đại học và cơ quan chính phủ thường xuyên phải đối mặt với chúng, hoặc trong một số trường hợp là liên tục. Lý do duy nhất mà internet không chìm đắm trong tình trạng suy giảm do DDoS liên tục? Là nhờ các công ty bảo vệ của bên thứ ba cung cấp dịch vụ an ninh.
Những dịch vụ này giúp đỡ rất nhiều trong việc bảo vệ khách hàng, nhưng chúng vẫn có nhược điểm. Giá cả thường tăng khi kích thước của cuộc tấn công lớn lên, và các nhà cung cấp thậm chí có thể ngừng cung cấp dịch vụ bảo vệ của họ nếu cuộc tấn công quá áp đảo.
Tuy nhiên, vào thứ Hai vừa qua, Cloudflare, một trong những đơn vị lớn nhất trong số những người bảo vệ khỏi DDoS, đã loại bỏ các chi phí tỷ lệ và giới hạn từ các dịch vụ bảo vệ của mình. Chương trình mới của họ mang tên “Miễn Phí Đối Phó Không Giới Hạn” có nghĩa là các khách hàng Cloudflare trả tiền cho dịch vụ khác của công ty sẽ không còn đối mặt với chi phí cao hơn trong trường hợp xảy ra sự cố DDoS, và các khách hàng sử dụng sản phẩm miễn phí của Cloudflare cũng sẽ có bảo vệ DDoS không giới hạn đi kèm.
“Chúng tôi đã mở rộng mạng lưới của mình đến một quy mô mà chúng tôi cảm thấy thoải mái rằng chúng tôi đã đủ xa phía trước so với các cuộc tấn công DDoS lớn để chống lại mọi đòn tấn công mà internet ném vào chúng tôi,” nói Matthew Prince, CEO của Cloudflare. “Sau khi đã chứng kiến các cuộc tấn công từ mọi ngóc ngách của thế giới và đã giảm nhẹ chúng, chúng tôi thoải mái rằng chúng tôi có thể làm điều đó cho bất kỳ ai. Đó là hướng đi không thể tránh khỏi mà internet nên theo.”
Bước đi này phản ánh vào tầm nhìn dài hạn về nơi mà phòng thủ DDoS có thể đạt được. Nếu mọi người, không chỉ là khách hàng của Cloudflare, đều có bảo vệ DDoS không giới hạn miễn phí, cuộc tấn công sẽ không còn hiệu quả đối với hacker, và cuối cùng có thể trở nên lỗi thời. Cloudflare xứng đáng nhận được sự khen ngợi vì đã làm cho các biện pháp bảo vệ của mình trở nên rộng rãi như vậy mà không tăng chi phí thêm. Nhưng việc chấm dứt DDoS hoàn toàn sẽ đòi hỏi nhiều hơn chỉ là bước tiến này.
Bảo Vệ Lâu Dài
Mặc dù hầu hết các cuộc tấn công DDoS đều bị thất bại, vẫn có nhiều ví dụ về các cuộc tấn công thực sự thành công trong việc làm mất ổn định trang web và dịch vụ một cách đáng kể. Ví dụ, trong tháng 9 năm 2016, các tấn công vào trang web tin tức về an ninh mạng Krebs on Security đã thành công với một cuộc tấn công DDoS với tốc độ 620 gigabit mỗi giây. Cuộc tấn công khiến trang web tắt nguồn sau khi nhà bảo vệ ban đầu của nó, Akamai, ngừng cung cấp dịch vụ trước cuộc tấn công botnet khổng lồ - một cuộc tấn công có kích thước chưa từng thấy, trong đó các máy tính (trong trường hợp này là thiết bị Internet of Things) trên khắp thế giới đều hợp tác để thực hiện cuộc tấn công. Một tuần sau đó, công ty lưu trữ web Pháp OVH gặp khó khăn trước một cuộc tấn công DDoS khổng lồ với đỉnh điểm lên đến 1.1 terabit mỗi giây.
Việc các cuộc tấn công có kích thước đó có thể và thực sự xảy ra khiến cho thông báo của Cloudflare trở nên độc đáo một chút. Tuy nhiên, Prince cảm thấy rằng công ty của mình đang ở trong một vị thế công nghệ và tài chính để đưa ra đề xuất. Hạ tầng của Cloudflare sử dụng các sản phẩm sẵn có trên thị trường, dễ mua, di chuyển xung quanh thế giới, thiết lập, duy trì và thay thế khi cần thiết. Điều này có nghĩa là nó có thể mở rộng nhanh chóng và hiệu quả. Hiện tại, công ty đang vận hành 117 trung tâm dữ liệu và cho biết họ có 15 terabits mỗi giây cho khả năng phòng thủ DDoS, có nghĩa là lý thuyết là nó có thể bảo vệ nhiều khách hàng khỏi các cuộc tấn công mega-DDoS có kích thước như OVH nếu cần thiết.
Cho dù Cloudflare có thể đảm nhận gánh nặng đó trong thực tế - cả về mặt tài chính và công nghệ - vẫn chưa rõ, đặc biệt là khi có khả năng có một lượng lớn khách hàng đến để được bảo vệ. Và hậu quả của việc thất bại, việc phải ngừng bảo vệ một khách hàng vì các hạn chế kỹ thuật, sẽ là điều đầy xấu hổ cho công ty và có thể gây ra vấn đề nghiêm trọng cho khách hàng bị ảnh hưởng. (Ngừng bảo vệ đôi khi còn mang theo những ảnh hưởng không chỉ là về mặt kỹ thuật; vào tháng 8, Cloudflare đã đưa ra quyết định gây tranh cãi khi ngừng bảo vệ trang web của nhóm supremacists trắng The Daily Stormer, và ngay lập tức trang web đó đã tắt nguồn.)
Prince vẫn giữ tinh thần lạc quan đối với rủi ro. “Chúng tôi học từ mỗi cuộc tấn công mà chúng tôi thấy, vì vậy càng nhiều cuộc tấn công chúng tôi nhận được thì chúng tôi càng có khả năng bảo vệ mọi người đang sử dụng mạng của chúng tôi,” ông nói. “Chúng tôi hoàn toàn dự đoán rằng với thông báo này, nhiều người đang bị tấn công sẽ đăng ký sử dụng dịch vụ của chúng tôi, nhưng điều đó chỉ khiến cho các dịch vụ của Cloudflare trở nên thông minh hơn theo thời gian.”
Và nếu mọi thứ diễn ra như kế hoạch, những hiệu ứng tích cực không giới hạn chỉ đến từ Cloudflare. Prince thêm rằng công ty thực sự hình dung bước đi này như là một cách dẫn đầu bằng ví dụ, với hy vọng rằng bảo vệ DDoS miễn phí sẽ sớm trở thành tiêu chuẩn của ngành công nghiệp. “Chúng tôi hy vọng rằng điều này sẽ trở thành mặc định, không chỉ đối với Cloudflare, mà còn trên toàn bộ ngành công nghiệp,” Prince nói. “Nếu điều đó xảy ra, thì chúng ta là ngành công nghiệp có cơ hội xóa bỏ DDoS như một vector đe dọa.”
Chiến Lược Bảo Vệ Toàn Cảnh
Khái niệm rằng sự đẩy mạnh trên toàn ngành có thể loại bỏ hoàn toàn DDoS đã được nấu chín trong vài năm. Các dịch vụ như Project Shield của Google, cung cấp bảo vệ DDoS miễn phí cho các trang web tin tức, nhân quyền và các trang web theo dõi bầu cử là những người ủng hộ của phương pháp này. "Chúng tôi không nghĩ rằng các cuộc tấn công DDoS nên tồn tại," Jared Cohen, người quản lý Project Shield với tư cách là Chủ tịch của nhóm thử nghiệm Alphabet Jigsaw, nói với Mytour năm ngoái. "Chúng tôi hy vọng rằng Shield có thể làm cho cuộc tấn công DDoS giống như Gmail đã làm với rác thư."
Bảo vệ DDoS có thể thực sự đang di chuyển theo hướng này. Một số nhà cung cấp dịch vụ internet lớn tại Hoa Kỳ và Châu Âu đã bắt đầu lên kế hoạch hoặc quietly triển khai bảo vệ DDOS tiêu chuẩn như một cách để duy trì sức khỏe cho mạng và tránh thiệt hại phụ từ các cuộc tấn công lớn. Nhưng Cloudflare là công ty đầu tiên đảm bảo một cách to lớn về việc cung cấp bảo vệ miễn phí cho tất cả khách hàng của mình. Đó là một bước quan trọng, nhưng sự phổ cập ngành cần thiết để chấm dứt hoàn toàn DDoS vẫn còn xa, nếu nó xảy ra.
“Đã được dự đoán từ nhiều năm rằng khi nhận thức về mối đe dọa của cuộc tấn công DDoS tăng lên, ngày càng nhiều khách hàng cuối cùng sẽ đòi hỏi bảo vệ DDoS như một yêu cầu cơ bản, không chỉ là một dịch vụ thêm vào với mức phí cao,” nói Roland Dobbins, một kỹ sư chính tại công ty bảo mật DDOS và mạng Arbor Networks. “Bây giờ chúng ta đang thấy điều đó trong thực tế, điều đó là một phát triển quan trọng. Nhưng trừ khi và cho đến khi nó được triển khai phổ cập, điều đó không thể xảy ra, điều đó khó khăn, chúng ta vẫn sẽ thấy các cuộc tấn công DDoS diễn ra.”
Chuyên Gia Đồng Thuận Rằng Bảo Vệ DDoS Tiêu Chuẩn, Chi Phí Thấp (hoặc Không) Sẽ Mang Lại Dịch Vụ Giá Trị Cho Người Tiêu Dùng và Hỗ Trợ Định Hình Quy Mô Đe Dọa Lớn Hơn. Nhưng Dobbins và những người khác cảnh báo rằng loại bảo vệ DDoS được cung cấp bởi các dịch vụ như Project Shield và Cloudflare không thể loại bỏ hoàn toàn DDoS, dù nó trở nên phổ biến đến đâu, vì nó chỉ bảo vệ chống lại một số lớp cuộc tấn công cụ thể.
Giống Mới
Project Shield, Cloudflare và những người khác chủ yếu là "reverse proxies" nhận các yêu cầu web thay mặt cho khách hàng của họ, đánh giá và lọc các yêu cầu để loại bỏ lưu lượng độc hại, và sau đó chuyển tiếp các yêu cầu an toàn. Reverse proxies cũng thực hiện các bước như giữ các phiên bản cache của trang web khách hàng trên hệ thống của họ, để họ có thể phản ứng với một số yêu cầu mà không tải gánh nặng lên hệ thống của khách hàng. Những biện pháp này tạo ra một rìa giữa khách hàng và các bên có thể gây hại; trong một cuộc tấn công DDoS, proxy chịu phần lớn gánh nặng.
Cài Đặt Hoạt Động Tốt Cho Việc Phòng Vệ Trực Tiếp Trước Các Cuộc Tấn Công, Nhưng Không Phải Là Một Bảo Vệ DDoS Thực Sự Phổ Cập và Cũng Không Tuyên Bố Là Vậy. Nếu những kẻ tấn công tấn công các thành phần cơ sở hạ tầng internet, ví dụ như hệ thống định tuyến Domain Name System cơ bản của internet, có thể xảy ra tình trạng mất kết nối mà không có bất kỳ dịch vụ thương mại hoặc tổ chức nào bị tắt. Đó chính xác là điều đã xảy ra vào mùa thu năm ngoái, khi kẻ tấn công nhắm vào công ty cơ sở hạ tầng internet Dyn để tắt các máy chủ DNS của nó. Trong khi Dyn chiến đấu chống lại cuộc tấn công, được hỗ trợ bởi một nhóm tạm thời của các công ty cơ sở hạ tầng khác, các trang web lớn trải qua các tình trạng mất dịch vụ đa dạng và lặp đi lặp lại. “Vấn đề DDoS là kết quả của sự thực sự có thể lạm dụng cơ sở hạ tầng cơ bản của internet...” Dobbins nói.
Ngoài ra, vì DDoS hơn là một khái niệm hơn là một công thức cụ thể, những kẻ tấn công liên tục khám phá cách sử dụng những đợt dữ liệu rác hoặc yêu cầu để quá tải các kênh khác nhau và làm cho việc truy vấn hợp lệ trở nên khó khăn. Vào tháng 10 năm ngoái, một hacker phát tán một kịch bản java (theo cách không chủ ý, anh ấy tuyên bố) để điều phối khoảng 1.000 điện thoại thông minh và máy tính bảng gọi điện 911 liên tục trên khắp đất nước—đơn giản là một mạng lưới điện thoại botnet—và quá tải đường dẫn 911 để cuộc gọi thực sự không thể thông qua. Và một số cuộc tấn công số, được biết đến là cuộc tấn công ứng dụng DDoS, chỉ sử dụng một lượng nhỏ dữ liệu rác để hiệu quả tạo ra một loạt yêu cầu trong một hệ thống tầng lớp, giống như một căn bệnh tự miễn dịch biến cơ thể chống lại chính nó. Kẻ tấn công cũng có thể gây thiệt hại bằng cách hướng súng dữ liệu rác của họ vào các mạng “intranet” doanh nghiệp riêng tư không có bảo vệ như internet công cộng.
“Không ai sẽ nói rằng đó là một ý tưởng xấu,” đối với một công ty cơ sở hạ tầng internet lớn cung cấp bảo vệ DDoS miễn phí cho khách hàng của mình, như Dan Massey, nhà khoa học trưởng tại công ty bảo mật DNS Secure64 từng làm việc trong lĩnh vực nghiên cứu phòng chống DDoS tại Bộ An ninh Nội địa. “Đó là một ý tưởng tốt, nó sẽ hiệu quả đối với nhiều cuộc tấn công. Nhưng có những loại dịch vụ và tình huống mà nó sẽ không giúp ích. Và thậm chí một nhà cung cấp bảo vệ ngược lớn cũng có thể bị vượt qua.”
Vậy liệu bảo vệ DDoS toàn cầu từ các proxy ngược như Cloudflare có cải thiện an toàn và bảo mật của internet? Chắc chắn là có. Và nếu toàn bộ ngành công nghiệp theo đuổi, càng tốt. Nhưng liệu bước tiến này có làm cho DDoS hoàn toàn lỗi thời? Không thể.
