Dịch vụ Cloudflare DDoS hoạt động dựa trên công nghệ mạng Anycast toàn cầu của Cloudflare, kết hợp với 3 lớp hệ thống phát hiện và chống DDoS tự động khá đặc biệt. Theo đó, lưu lượng truy cập vào các mạng lưới máy chủ phân phối của Cloudflare sẽ đi qua ba hệ thống bảo vệ DDoS, bao gồm lớp DoSD, Flowtrackd và GateBot.
Thắt chặt an ninh với 3 lớp phòng thủ toàn diện
Đầu tiên là hệ thống bảo vệ DDoS phi tập trung mang tên DoSD (denial of service daemon). Vai trò của DoSD tương đương như một "cảnh sát địa phương", được thiết lập chạy trên mỗi máy chủ biên trong mạng lưới trung tâm dữ liệu (TTDL) toàn cầu của Cloudflare. DoSD phân tích lưu lượng và áp dụng các lệnh bảo vệ phù hợp với tình hình cụ thể ở mỗi khu vực khi phát hiện bất thường. Bên cạnh khả năng phát hiện và giảm thiểu các cuộc tấn công ở tốc độ cực nhanh, DoSD còn có thể phát hiện và giảm thiểu tấn công ngay từ các biên (edge) -nơi rìa của hệ thống máy chủ.
Cũng tại mỗi máy chủ biên này, Cloudflare sẽ đặt thêm lớp bảo mật khác mang tên Flowtrackd (flow tracking daemon), giúp phát hiện và giảm thiểu những cuộc tấn công DDoS lợi dụng quá trình giao tiếp theo giao thức TCP - Three-way. Flowtrackd có thể xác định trạng thái của kết nối TCP và sau đó giảm thiểu, hoặc giới hạn truy cập các packets (gói nội dung) có kết nối không hợp lệ. Như vậy, tương tự như DoSD, Flowtrackd cũng hoạt động ở mức độ địa phương, tại tất cả các TTDL của Cloudflare.
Lớp bảo mật cuối cùng được đặt tại TTDL trung ương của Cloudflare với tên gọi Gatebot. Gatebot sẽ chạy trong mạng lưới TTDL cốt lõi (Core Data Center) của Cloudflare. Vai trò của Gatebot như một "trung tâm tình báo", nơi nhận tất cả các thông tin lưu lượng truy cập bất thường (Traffic samples) từ tất cả các PoP của Cloudflare, phân tích chúng và tự động gửi các lệnh hướng dẫn giảm thiểu tấn công đến cả mạng lưới một khi xảy ra bất kỳ các cuộc tấn công nào trong hệ thống.
Cơ chế hoạt động và phản ứng trước các cuộc tấn công
Để có thể đưa ra những đánh giá về nguy cơ tấn công chính xác nhất, ba lớp hệ thống bảo mật trên sẽ liên tục thu thập các mẫu lưu lượng truy cập (Traffic Samples) của khách hàng - Bao gồm "Package Fields" (là các trường thông tin truy cập như nguồn IP, cổng nguồn, IP đích, cổng đích, TCP, …); "HTTP request metadata" (như HTTP headers, user agent, query-string, TLS cipher version, tỷ lệ request, …) và "HTTP response metric" (như các mã codes lỗi bị máy chủ gốc của khách hàng trả về và tỉ lệ của chúng). Sau khi thu thập các mẫu lưu lượng, hệ thống của Cloudflare sẽ tập hợp tất cả lại với nhau để tạo thành chế độ theo dõi thực tế về trạng thái bảo mật của mạng và tình trạng máy chủ gốc của khách hàng. Hệ thống sẽ liên tục tìm kiếm các kiểu tấn công và sự bất thường của lưu lượng. Khi tìm thấy, hệ thống sẽ tạo ra một lệnh giảm thiểu tấn công tối ưu nhất, một cách tự động và giảm đối đa chi phí. Tiêu biểu, một đợt tấn công DDoS theo HTTP flood – mức độ"layer 7", sẽ được giảm xuống đến "layer 4", giúp giảm mức tiêu thụ CPU tốt nhất.
Bộ ba "cảnh sát địa phương" DoSD, Flowtrackd và "trung tâm tình báo" Gatebot sẽ hoạt động chặt chẽ với nhau, tạo lớp phòng thủ mạnh mẽ, vững chắc. Nếu DoSD, Flowtrackd giúp xử lý an ninh nhanh chóng ở mỗi máy chủ biên thì Gatebot giúp kiểm soát và tự động phát các hướng dẫn giảm thiểu tấn công ra toàn bộ mạng lưới đặt máy chủ PoPs, sau đó, các lệnh này sẽ được triển khai lần lượt theo thứ tự ưu tiên nhằm tối ưu hóa giảm thiểu tấn công. Thậm chí, nếu tấn công được phát hiện ở các cụm nhỏ của máy chủ biên, Gatebot cũng sẽ phát các hướng dẫn giảm thiểu tấn công đến mọi máy chủ biên của TTDL. Nhờ vậy, mạng lưới của Cloudflare trở nên thông minh và có thể chủ động phát hiện, bảo vệ website của bạn khỏi mọi cuộc tấn công.
Đa dạng lựa chọn theo từng nhu cầu của doanh nghiệp
Hiện nay, Cloudflare cung cấp 3 giải pháp chống DDoS chính - Gồm giải pháp chống DDoS tại tầng ứng dụng - Advance DDoS mitigation (bao gồm các công nghệ tự động trên và 1 số dịch vụ đi kèm như WAF, Rate Limiting); Giải pháp chống DDoS tầng giao vận - Cloudflare Spectrum; và giải pháp chống DDoS tại tầng mạng - Magic Transit.
Tại Việt Nam, Cloudflare CDN cũng sẵn sàng đáp ứng với từng nhu cầu khác nhau, bao gồm gói tự phục vụ (Self -Service Portal) với 3 lựa chọn Free/ Pro/Business và gói dành cho doanh nghiệp Enterprise, tùy chỉnh theo yêu cầu của từng doanh nghiệp. Để biết thêm chi tiết về Cloudflare DDoS, vui lòng tham khảo thêm tại đây.
