Giải thích Giảm thiểu DDoS Layer 7
Các cuộc tấn công Layer 7 nguy hiểm chính vì mỗi request trông như một khách truy cập bình thường. Giảm thiểu chúng ít liên quan đến dung lượng thô mà nhiều hơn về việc phân biệt con người và client hợp lệ với các đợt flood tự động. Hướng dẫn này trình bày các kỹ thuật chính và cách xác nhận chúng thực sự lọc lưu lượng.
Vì sao Layer 7 khó
Một đợt volumetric flood Layer 4 có thể được hấp thụ hoặc scrub bằng dung lượng tại edge mạng. Một đợt flood Layer 7 thì khác: mỗi request HTTP riêng lẻ đều rẻ và đúng định dạng, nên bên phòng thủ phải quyết định, từng request một, liệu nó có thật hay không. Quyết định sai thì hoặc bạn để lọt tấn công, hoặc chặn người dùng thật.
Bộ công cụ giảm thiểu
Under Attack Mode (UAM) phát một JavaScript challenge thầm lặng mà trình duyệt thật giải một cách trong suốt còn bot đơn giản thì trượt. CAPTCHA đi xa hơn, đòi hỏi tương tác con người tường minh trên các đường dẫn rủi ro cao. Rate limiting giới hạn số request một client được gửi trong một window. WAF chặn các request khớp với mẫu xấu đã biết, còn fingerprinting hay phân tích hành vi chấm điểm client dựa trên các tín hiệu tinh vi hơn như TLS handshake và thứ tự header.
Chúng xếp lớp, không loại trừ nhau: một thiết lập điển hình thách thức lưu lượng đáng ngờ bằng UAM, nâng cấp lên CAPTCHA trên các tuyến nhạy cảm, và áp rate limit như một lớp dự phòng.
Xác minh giảm thiểu bằng Dstat
Một Dstat trực tiếp là cách đơn giản nhất để xác nhận một biện pháp giảm thiểu hoạt động. Quan sát chuỗi vượt qua: khi một challenge kích hoạt, lưu lượng vượt qua sẽ tụt mạnh trong vài giây ngay cả khi tổng request đến vẫn cao. Nếu vượt qua bám theo đến, biện pháp giảm thiểu không lọc hiệu quả.
Sự đánh đổi
Mỗi lớp ma sát chặn bot cũng có nguy cơ gây phiền cho người dùng thật. Challenge thầm lặng (UAM) thêm gần như không ma sát; challenge tương tác (CAPTCHA) thêm nhiều nhất. Nghệ thuật phòng thủ Layer 7 là áp đúng lượng ma sát vừa đủ trên các đường dẫn phù hợp để đẩy vượt qua về gần không mà không xua đuổi khách hàng.
Ví dụ Dstat trực tiếp liên quan (Layer 7)
- Cloudflare UAM DstatUAMCloudflare UAM Dstat trực tiếp miễn phí: một mục tiêu chạy Under Attack Mode — mọi khách truy cập phải vượt qua một JS challenge. Xem theo thời gian thực bao nhiêu request giải được nó.
- Cloudflare CAPTCHA DstatCAPTCHACloudflare CAPTCHA Dstat trực tiếp miễn phí: một mục tiêu phía sau managed challenge của Cloudflare (Turnstile) — bộ lọc Layer7 khó nhất. Xem cái gì thực sự lọt qua, trực tiếp.
- Cloudflare Rate Limit DstatCloudflare Rate Limit Dstat trực tiếp miễn phí: một mục tiêu bật quy tắc rate limiting của Cloudflare — xem bao nhiêu request sống sót qua throttling theo IP, theo thời gian thực.
Giảm thiểu Layer 7 — FAQ
Giảm thiểu Layer 7 có phải là về băng thông?
Không. Phòng thủ Layer 7 là về phân biệt request hợp lệ với request tự động, không phải hấp thụ khối lượng thô — việc đó được xử lý ở Layer 4.
Làm sao tôi biết một challenge thực sự hoạt động?
Mở một Dstat trực tiếp và quan sát chuỗi vượt qua: một challenge hiệu quả khiến lưu lượng vượt qua sụp đổ trong khi tổng request đến vẫn cao.
CAPTCHA có chặn được mọi thứ không?
Không có biện pháp giảm thiểu nào là tuyệt đối, nhưng các challenge tương tác giảm mạnh lưu lượng tự động. Chúng thường được dành cho các đường dẫn nhạy cảm vì làm tăng ma sát cho người dùng.