Gần đây tôi giúp một người bạn xử lý sự cố website bị đánh sập bởi DDoS và phát hiện một hiện tượng thú vị: Công ty của họ thực ra đã mua CDN, nhưng khi gặp tấn công thì hoàn toàn không chống đỡ nổi.

Trưởng phòng kỹ thuật rất ấm ức——rõ ràng đã trả tiền, tại sao vẫn sập? Tôi xem hợp đồng và bật cười: "Anh mua là CDN gia tốc thông thường, không phải bản phòng thủ cao mà!"

Vấn đề này thực ra rất phổ biến. Nhiều team khi chọn CDN chỉ nhìn giá cả và số lượng node, căn bản không phân biệt được sự khác nhau giữa "gia tốc" và "phòng thủ cao". Kết quả là lúc bình thường dùng rất sướng, một khi bị tấn công thì hoàn toàn "mù tịt".

Hôm nay chúng ta sẽ cùng phân tích kỹ lưỡng, CDN phòng thủ cao và CDN thông thường rốt cuộc khác nhau ở——

Nói trước một luận điểm gây sốc: CDN thông thường là "thêm hoa trên gấm", CDN phòng thủ cao là "thêm than khi tuyết rơi" (cứu cánh kịp thời).

Bình thường website không có vấn đề gì, bạn có thể không cảm nhận được sự khác biệt, nhưng một khi thực sự gặp phải tấn công, sự khác biệt giữa chúng chính là ranh giới sống còn.

Tôi lấy vài case đã từng trải qua để nói nhé. Năm ngoái một công ty thương mại điện tử sử dụng CDN thông thường nổi tiếng, trong thời gian Black Friday bị đối thủ đánh DDoS 20G, trực tiếp tê liệt sáu tiếng đồng hồ, tổn thất số đơn hàng trị giá (hàng triệu).

Sau đó chuyển sang sử dụng giải pháp phòng thủ cao tôi giới thiệu, lượng truy cập tấn công tương tự đi qua, chả sao cả——bởi vì khả năng làm sạch () căn bản không cùng một cấp độ.

Khía cạnh 1: Khả năng bảo vệ, đây là sự khác biệt cốt lõi nhất

Mục tiêu chính của CDN thông thường là gia tốc, khả năng bảo vệ nhiều lắm chỉ là sản phẩm tặng kèm. Cái gọi là "bảo vệ cơ bản" của nhiều nhà cung cấp chỉ khoảng 5-10Gbps, hơn nữa quy tắc phát hiện rất lỏng lẻo, gặp phải tấn công chậm (slow attack) hoặc CC thì căn bản không ngăn được.

CDN phòng thủ cao thì được thiết kế chuyên biệt để chống chịu tấn công. Như các node phòng thủ cao của CDN5, khả năng làm sạch mặc định đã trên 300G, các gói cao cấp thậm chí có thể đạt đến cấp T (Tb级).

Hơn nữa không chỉ phòng tấn công dạng (volumetric), mà còn có chiến lược tinh vi cho các tấn công tầng ứng dụng (như tấn công CC, API).

Tôi đã thử nghiệm thực tế CDN phòng thủ cao của 08Host, khả năng phòng CC của họ thậm chí có thể phân biệt hành vi người dùng bình thường và crawler/bot, không phải kiểu chặn IP thô thiển.

Điểm này rất then chốt——nhiều giải pháp bảo vệ một khi nghiêm ngặt thì giết nhầm người dùng thật, lỏng thì lại không ngăn được tấn công.

Khía cạnh 2: Cấu trúc node và điều phối lưu lượng

Node CDN thông thường theo đuổi phủ sóng rộng, độ trễ thấp, vì vậy số lượng node nhiều nhưng quy mô mỗi node nhỏ.

Khi gặp tấn công, một node đơn lẻ rất dễ bị đánh xuyên thủng, sau đó hệ thống điều phối lưu lượng có thể trực tiếp để lộ IP máy chủ gốc của bạn cho kẻ tấn công.

Node của CDN phòng thủ cao theo hướng "ít nhưng tinh". Ví dụ mạng lưới phòng thủ cao toàn cầu của CDN07 chỉ có hơn 30 node, nhưng mỗi node đều là trung tâm dữ liệu siêu cấp, tự trang bị băng thông dự phòng và thiết bị làm sạch.

Lư lượng tấn công tại điểm (entry point) đã được điều phối đến trung tâm làm sạch, chỉ có lư lượng sạch mới được trả về máy chủ gốc.

Ở đây có một "bẫy" cần đặc biệt chú ý: Một số nhà cung cấp phô trương "hàng nghìn node toàn cầu", nhưng gói phòng thủ cao thực tế chỉ bao phủ một vài node trong số đó.

Nhất định phải hỏi rõ số lượng và vị trí của các node phòng thủ cao, nếu không node ở Mỹ chống đỡ tấn công, người dùng Châu Á (ngắt kết nối toàn bộ).

Khía cạnh 3: Chiến lược cache và xử lý khi cache hết hạn

Cache của CDN thông thường rất "ngoan", thời gian cache hết thì ngoan ngoãn trở về máy chủ gốc. Nếu lúc này kẻ tấn công lần ra được IP máy chủ gốc, đánh trực tiếp một phát chắc chắn trúng.

CDN phòng thủ cao ở điểm này thì "xảo quyệt" hơn nhiều. Ngay cả khi cache hết hạn, vẫn cố gắng dùng nội dung phiên bản cũ để chống đỡ, đồng thời dùng cơ chế phát hiện bất thường để phán đoán tình trạng máy chủ gốc.

Nếu phát hiện phản hồi từ máy chủ gốc bất thường (ví dụ: timeout hoặc lỗi 5xx), sẽ tự động kéo dài thời gian cache và kích hoạt chế độ bảo vệ——Tôi thậm chí từng thấy một số giải pháp có thể (host trang tĩnh) ngoại tuyến 72 giờ.

Đây là kinh nghiệm đúc rút từ thực chiến: Kẻ tấn công thường chọn thời điểm cache失效 (hết hiệu lực) để đánh máy chủ gốc, vì vậy CDN phòng thủ cao buộc phải tối ưu hóa sâu về điểm này.

Khía cạnh 4: Báo cáo và chức năng phân tích

Báo cáo của CDN thông thường căn bản chỉ có bộ ba: lưu lượng, tỷ lệ (hit rate), mã trạng thái. Khi bị tấn công, bạn chỉ nhìn thấy băng thông tăng vọt, nhưng hoàn toàn không biết ai đang đánh, đánh như thế nào, đánh vào đâu.

Báo cáo của CDN phòng thủ cao thì ở cấp độ "pháp y". Loại tấn công, ASN nguồn, IP tấn công hàng đầu, phân bố giao thức, tất cả đều được liệt kê riêng cho bạn.

Báo cáo của CDN07 thậm chí có thể khôi phục dòng thời gian tấn công, cho bạn biết tấn công bắt đầu khi nào, được (giảm nhẹ) khi nào.

Đừng xem nhẹ chức năng này——Có thể nhanh chóng phân tích đặc điểm tấn công, bạn mới có thể điều chỉnh chiến lược phòng thủ, thu thập chứng cứ hoặc thậm chí phản công.

Tôi đã từng dựa vào báo cáo chi tiết của một nhà cung cấp để phát hiện mạng botnet do đối thủ thuê, ném thẳng chuỗi chứng cứ (khiến đối phương phải chùn bước).

Khía cạnh 5: Chi phí ẩn và hỗ trợ

CDN thông thường nhìn có vẻ rẻ, nhưng khi gặp tấn công có thể phát sinh hóa đơn trên trời! Nhiều gói "" (không giới hạn lưu lượng) của các nhà cung cấp không bao gồm lưu lượng DDoS, lưu lượng làm sạch phát sinh do tấn công có thể được tính phí riêng theo mức XX VND/GB.

Tôi có khách hàng từng bị tính hóa đơn trăm triệu qua một đêm, còn tệ hơn cả tống tiền.

CDN phòng thủ cao thường là giá cố định đã bao gồm lưu lượng làm sạch, vượt quá cũng là mức phí cố định. Giá cả rõ ràng mặc dù nhìn có vẻ đắt, nhưng ít nhất sẽ không làm bạn "sốc" (surprise you).

Ngoài ra CDN phòng thủ cao thường đi kèm hỗ trợ từ đội ngũ security 24/7, CDN thông thường bạn chỉ có thể gửi ticket hỗ trợ. Khi thực sự bị tấn công, bạn sẽ thấm thía sự khác biệt trời vực giữa "phản hồi 5 phút" và "phản hồi 5 giờ".

Vậy rốt cuộc nên chọn thế nào? Tôi tổng kết một nguyên tắc đơn giản và thô ráp:

Nếu nghiệp vụ của bạn là trang quảng cáo thuần tĩnh, lưu lượng truy cập không lớn, cũng không trêu chọc ai, dùng CDN thông thường là đủ. Nhưng chỉ cần có một chút giao dịch trực tuyến, tương tác người dùng, hoặc thậm chí có chút quan hệ cạnh tranh, thì hãy chọn thẳng CDN phòng thủ cao.

Chi phí tấn công hiện nay quá thấp, mấy tay (script kiddie) tùy tiện tải một công cụ là có thể đánh vài chục G lưu lượng. Tuyệt đối đừng đợi đến khi bị đánh sập mới đổi——Lúc đó đổi CDN giống như thay lốp tại hiện trường va chạm, không kịp đâu.

Cuối cùng chia sẻ một mẹo nhỏ khi cấu hình CDN phòng thủ cao: Nhất định phải ẩn kỹ IP máy chủ gốc! Nhiều team cấu hình CDN xong, nhưng quên mất rằng máy chủ mail, lời gọi API dịch vụ bên thứ ba hoặc thậm chí VPN nhân viên đều có thể làm lộ IP thật của máy chủ gốc.

Kiến nghị dùng chính sách tường lửa riêng biệt, chỉ cho phép dải IP của nhà cung cấp CDN truy cập về máy chủ gốc.

Đây là ví dụ cấu hình Nginx, giới hạn chỉ cho phép CDN phòng thủ cao truy cập về gốc: [Lưu ý: Đoạn cấu hình cụ thể sẽ được đặt ở đây, nhưng không được cung cấp trong văn bản gốc]

Tất nhiên, bạn cần lấy dải IP cụ thể từ nhà cung cấp; họ thường có API để cập nhật danh sách động.

Tóm lại, môi trường mạng những năm gần đây phức tạp, ngay cả CDN cũng phải "phòng đồng đội" (phòng ngừa rò rỉ từ các kênh khác). CDN thông thường giống như xe sedan——chạy trong thành phố thì không sao.

CDN phòng thủ cao thì là xe bọc thép——tuy đắt hơn và ngốn xăng hơn (chi phí cao hơn), nhưng trong thời khắc then chốt thực sự cứu mạng bạn.

Hãy lựa chọn dựa trên rủi ro nghiệp vụ của mình. Đừng thấy giá đơn vị chênh lệch vài lần mà xót——bị đánh sập một lần thôi, thiệt hại đủ để mua CDN phòng thủ cao mười năm.

À đúng rồi, nếu ngân sách của bạn thực sự eo hẹp, ít nhất hãy đặt Cloudflare bản miễn phí phía trước CDN thông thường của bạn——hiệu năng tuy bình thường, nhưng ít nhất có thể chống đỡ phần lớn các cuộc tấn công phổ biến.

Nhưng đừng mong đợi giải pháp miễn phí cho các cuộc tấn công cấp độ thương mại; bọn chúng (kẻ tấn công) chuyên nhắm vào điểm yếu của giải pháp miễn phí.

Hy vọng bài viết này có thể giúp mọi người tránh được ít nhiều "bẫy". Rốt cuộc học phí (chi phí cho bài học) trong ngành này quá đắt, có thể tiết kiệm chút nào hay chút đó——