Đặt chính sách bảo vệ DDoS
Tấn công Từ chối dịch vụ phân tán (DDoS) là hành vi độc hại, trong đó kẻ tấn công điều khiển mạng zombie/thông qua proxy,… để gửi một lượng lớn yêu cầu hoặc dữ liệu đến website hoặc máy chủ mục tiêu. Hậu quả là làm chậm quá trình tải khi người dùng truy cập, hoặc thậm chí không thể truy cập.
Giải pháp bảo vệ DDoS của CDNetworks dựa trên lợi thế tài nguyên CDN, kết hợp với phân tích dữ liệu lớn, thuật toán bảo vệ tự phát triển, phát hiện và xử lý theo thời gian thực nhiều loại tấn công DDoS, đảm bảo website hoạt động ổn định ngay cả khi đối mặt với các cuộc tấn công quy mô lớn.
Khi bạn bật bảo vệ DDoS, CDNetworks sẽ tự động phát hiện và giảm thiểu các cuộc tấn công vào website của bạn. Ngoài ra, bạn có thể điều chỉnh và tối ưu hóa các chính sách bảo vệ DDoS khi cần.
Các bước bật bảo vệ DDoS
Đăng nhập CDNetworks Console, vào mục Subscribed Products tìm sản phẩm bảo mật bạn đang sử dụng.
Vào Security Settings > Policies.
Chọn hostname cần cấu hình chính sách bảo mật.
Chuyển đến tab DDoS Protection, bật nếu đang tắt.
1. Bảo vệ DDoS Lớp L3/4
CDNetworks tự động phát hiện và giảm thiểu các tấn công DDoS ở tầng mạng/giao vận (L3/L4) theo mặc định, bao gồm:
SYN Flood, ACK Flood, ICMP Flood, UDP Flood
Các kiểu tấn công phản xạ: NTP reflection, Memcache reflection, SSDP reflection,…
👉 Tính năng này được bật mặc định và không thể tắt để bảo vệ hạ tầng cũng như tính sẵn sàng cho tất cả khách hàng.
2. Bảo vệ DDoS Lớp L7
Bảo vệ tại tầng ứng dụng (HTTP/HTTPS) dựa trên công cụ thông minh, kết hợp:
Managed Protection (bảo vệ theo bộ quy tắc quản lý)
Adaptive Protection (bảo vệ thích ứng)
→ Nhằm đảm bảo tính sẵn sàng và ổn định của hệ thống khi xảy ra tấn công ở tầng ứng dụng.
2.1 Cơ chế bảo vệ kép
2.1.1 Managed rule protection (Bảo vệ theo bộ quy tắc quản lý)
Dựa trên cơ sở dữ liệu dấu hiệu tấn công khổng lồ và kinh nghiệm chuyên gia bảo mật.
Phát hiện: yêu cầu bất thường, vi phạm chuẩn giao thức, request tần suất cao đáng ngờ.
Được triển khai trên toàn bộ edge node của CDNetworks, hỗ trợ chặn chính xác ở mức giây.
2.1.2 AI intelligent protection (Bảo vệ thông minh AI)
Giám sát tự động: AI học mô hình traffic, phân tích baseline, phát hiện loại & cường độ tấn công theo thời gian thực.
Chính sách thích ứng: tự động điều chỉnh, gồm:
Chặn bằng managed rules khi có tấn công CC.
Nếu chưa đủ, AI sinh thêm rule: chặn động, xác minh người-máy, giới hạn request,…
2.1.3 Logic bảo vệ tổng thể
Tuyến 1: Edge defense – chặn nhanh khi có tấn công nhỏ.
Tuyến 2: Toàn bộ hostname bật chế độ “Enable During Attack” để làm sạch traffic khi tấn công tăng cao.
Tuyến 3: AI sinh rule nâng cao để bảo vệ origin server (rate limiting, chặn header trống, UA bất thường, JA4 anomaly).
Khi hết tấn công (không còn traffic bất thường sau 15 phút), hệ thống xóa rule AI.
2.2 Chọn mức bảo vệ (Protection Level)
Loose
Chỉ chặn tấn công rõ ràng, bắt đầu thích ứng khi origin bị ảnh hưởng
Website nhiều request, xử lý mạnh
Thấp
Trung bình
Middle (khuyến nghị)
Chống hiệu quả tấn công phổ biến
Website lưu lượng ổn định
Trung bình
Trung bình
Strict
Bảo vệ nghiêm ngặt, có thể chặn nhầm
Website ít request, xử lý yếu, yêu cầu làm sạch kỹ
Cao
Cao
👉 Lưu ý: khi sự kiện có traffic tăng cao (event, sale), dễ bị false positive → cần điều chỉnh chính sách thủ công.
2.3 Managed Protection
Khuyến nghị bật mặc định.
Có thể điều chỉnh Action (Deny, Log, Managed Challenge, Deny Connection) và Rule Mode (Default On, Enable During Attack, Essentially Off, Not Used).
👉 Với App/API (Native, Hybrid, Callback API, Program API) → cần cấu hình ngoại lệ để tránh false positive.
2.4 Adaptive Protection
Khi bật, engine tự sinh rule dựa trên mức bảo vệ.
Ba chế độ rule:
Protect (Default – Deny): chặn trực tiếp
Protect (Managed – Challenge): xác minh Cookie/JS
Monitor (Log): chỉ ghi log
👉 Rule AI chỉ tồn tại trong khi tấn công, sẽ bị xóa sau 15 phút kể từ khi tấn công kết thúc. 👉 Có thể theo dõi, phân tích log, hoặc chuyển thành Custom Rule / Rate Limiting để bảo vệ lâu dài.
Last updated