Buzz
Các cuộc tấn công phân phối dịch vụ từ chối phục vụ, trong đó hacker sử dụng một dòng dữ liệu rác nhắm mục tiêu để làm quá tải dịch vụ hoặc đưa máy chủ offline, đã là mối đe doạ kỹ thuật số trong nhiều thập kỷ. Nhưng chỉ trong 18 tháng qua, hình ảnh công cụ phòng thủ DDoS đã phát triển nhanh chóng. Vào mùa thu năm 2016, một loạt các cuộc tấn công chưa từng thấy đã gây ra cự li internet và các sự cố dịch vụ khác tại một loạt các công ty cơ sở hạ tầng internet và viễn thông trên khắp thế giới. Những cuộc tấn công này tấn công nạn nhân của họ bằng cách gửi lên đến 1.2 Tbps dữ liệu độc hại. Và chúng tạo ra ấn tượng rằng cuộc tấn công DDoS "lượng" lớn có thể gần như không thể phòng thủ.
Những tuần gần đây đã mang đến một cái nhìn rất khác về tình hình. Vào ngày 1 tháng 3, Akamai đã bảo vệ nền tảng phát triển GitHub khỏi cuộc tấn công 1.3 Tbps. Và đầu tuần trước, một chiến dịch DDOS vào một dịch vụ không xác định tại Hoa Kỳ đã đạt tới con số kinh ngạc 1.7 Tbps, theo Arbor Networks, công ty bảo mật mạng. Điều đó có nghĩa là lần đầu tiên, web hoàn toàn nằm trong "kỷ nguyên tấn công terabit," theo lời Arbor Networks nói. Và tuy nhiên, internet vẫn chưa sụp đổ.
Người ta có thể thậm chí cảm thấy từ những thành công nổi bật gần đây rằng DDoS là một vấn đề đã được giải quyết. Thật không may, các nhà bảo vệ mạng và chuyên gia cơ sở hạ tầng internet nhấn mạnh rằng mặc dù có kết quả tích cực, DDoS vẫn tiếp tục đe doạ nghiêm trọng. Và lượng dữ liệu không phải là nguy hiểm duy nhất. Cuối cùng, bất cứ điều gì gây ra sự gián đoạn và ảnh hưởng đến khả năng cung cấp dịch vụ bằng cách chuyển hướng tài nguyên của hệ thống số hoặc làm quá tải khả năng của nó có thể được xem xét như một cuộc tấn công DDoS. Dưới tán dụ này, những kẻ tấn công có thể tạo ra một loạt các chiến dịch đa dạng và chết người.
"DDoS sẽ không bao giờ chấm dứt như một mối đe doạ, tiếc thay," nói Roland Dobbins, một kỹ sư chính tại Arbor Networks. "Chúng tôi thấy hàng ngàn cuộc tấn công DDoS mỗi ngày - hàng triệu mỗi năm. Có những lo ngại lớn."
Trở Nên Tinh Nhuệ
Một ví dụ về cách hiểu sáng tạo về một cuộc tấn công DDoS là cuộc tấn công mà các nhà nghiên cứu Netflix thử nghiệm trên dịch vụ truyền hình năm 2016. Nó hoạt động bằng cách nhắm mục tiêu vào giao diện lập trình ứng dụng của Netflix với các yêu cầu được tinh chỉnh cẩn thận. Những truy vấn này được xây dựng để khởi đầu một loạt các tầng ứng dụng trong lớp giữa và lớp ứng dụng backend mà dịch vụ truyền hình được xây dựng trên đó - yêu cầu ngày càng nhiều tài nguyên hệ thống khi chúng lan tỏa qua cơ sở hạ tầng. Loại DDoS này chỉ đòi hỏi những kẻ tấn công gửi một lượng nhỏ dữ liệu độc hại, vì vậy việc triển khai cuộc tấn công sẽ rẻ và hiệu quả, nhưng thực hiện một cách thông minh có thể gây ra sự gián đoạn nội bộ hoặc một sự suy giảm hoàn toàn.
"Những tình huống kinh hoàng được tạo ra bởi những cuộc tấn công nhỏ làm quá tải ứng dụng, tường lửa và bộ cân bằng tải," nói Barrett Lyon, trưởng phòng nghiên cứu và phát triển tại Neustar Security Solutions. "Những cuộc tấn công lớn làm nổi bật, nhưng đó là những cuộc tấn công dòng kết nối được chế tạo tốt nhất có nhiều thành công nhất."
Những loại tấn công này nhằm vào các giao thức hoặc hệ thống phòng thủ cụ thể như một cách hiệu quả để làm suy yếu dịch vụ rộng lớn hơn. Chảy ngập máy chủ quản lý kết nối tường lửa, ví dụ, có thể cho phép kẻ tấn công truy cập vào mạng riêng. Tương tự, làm cho quá tải bộ cân bằng tải của hệ thống - thiết bị quản lý nguồn lực máy tính của mạng để cải thiện tốc độ và hiệu suất - có thể gây ra sự chậm trễ và quá tải. Những loại tấn công này là "phổ biến như việc thở," như Dobbins mô tả, vì chúng tận dụng những gián đoạn nhỏ có thể ảnh hưởng lớn đến phòng thủ của tổ chức.
Tương tự, một kẻ tấn công muốn làm gián đoạn kết nối trên internet nói chung có thể nhắm vào các giao thức mở cửa mà phối hợp và quản lý luồng dữ liệu xung quanh web, thay vì cố gắng chống lại các thành phần mạnh mẽ hơn.
Đó là điều đã xảy ra mùa thu năm ngoái với Dyn, một công ty cơ sở hạ tầng internet cung cấp dịch vụ Hệ thống Tên Miền (cấu trúc định tuyến cuốn sách địa chỉ của internet). Bằng cách tấn công DDoS vào Dyn và làm ổn định máy chủ DNS của công ty, kẻ tấn công gây ra các cuộc gián đoạn bằng cách làm gián đoạn cơ chế mà trình duyệt sử dụng để tìm kiếm các trang web. "Mục tiêu thường xuyên bị tấn công nhất đối với từ chối dịch vụ là máy chủ web và máy chủ DNS," nói Dan Massey, nhà khoa học trưởng tại công ty an ninh DNS Secure64 người trước đây làm việc trong nghiên cứu phòng thủ DDoS tại Bộ An Ninh Nội Địa. "Nhưng cũng có nhiều biến thể và nhiều thành phần của cuộc tấn công từ chối dịch vụ. Không có cái gọi là phòng thủ đa dạng."
Memcached và Ngoài Ra
Loại tấn công DDoS mà hacker đã sử dụng gần đây để thực hiện những cuộc tấn công khổng lồ có đôi chút tương tự. Được biết đến với tên gọi memcached DDoS, những cuộc tấn công này tận dụng các máy chủ quản lý mạng không được bảo vệ và không được thiết kế để tiếp xúc với internet. Và chúng tận dụng việc họ có thể gửi một gói tin tùy chỉnh nhỏ đến một máy chủ memcached và đạt được một phản hồi lớn hơn nhiều. Do đó, một hacker có thể truy vấn hàng nghìn máy chủ memcached dễ tổn thương nhiều lần mỗi giây mỗi máy chủ và định hình các phản hồi lớn hơn về mục tiêu.
Cách tiếp cận này dễ dàng và rẻ hơn cho những kẻ tấn công so với việc tạo ra lưu lượng cần thiết cho những cuộc tấn công thể tích lớn sử dụng botnet - những nền tảng thường được sử dụng để thực hiện cuộc tấn công DDoS. Những cuộc tấn công đáng nhớ năm 2016 nổi tiếng được thúc đẩy bởi botnet gọi là "Mirai". Mirai đã nhiễm trùng 600,000 sản phẩm Internet of Things bình thường, như webcam và router, bằng malware mà hacker có thể sử dụng để kiểm soát các thiết bị và điều phối chúng để tạo ra những cuộc tấn công lớn. Và mặc dù những kẻ tấn công tiếp tục làm rõ và phát triển malware - và vẫn sử dụng botnet biến thể Mirai trong các cuộc tấn công cho đến ngày nay - nhưng khó để duy trì sức mạnh của những cuộc tấn công ban đầu khi ngày càng nhiều hacker tranh giành quyền kiểm soát đối với dân số thiết bị nhiễm trùng và nó đã chia thành nhiều botnet nhỏ hơn.
Mặc dù hiệu quả, xây dựng và duy trì botnet đòi hỏi nguồn lực và nỗ lực, trong khi tận dụng các máy chủ memcached lại dễ dàng và gần như miễn phí. Nhưng đối với kẻ tấn công, sự đánh đổi là cuộc tấn công memcached DDOS dễ phòng ngự hơn nếu các công ty an ninh và hạ tầng có đủ băng thông. Đến nay, những mục tiêu memcached nổi bật đều đã được bảo vệ bởi các dịch vụ có nguồn lực đủ. Sau những cuộc tấn công năm 2016, dự đoán rằng cuộc tấn công thể tích có thể tiếp tục tăng, các nhà phòng thủ đã mở rộng năng lực sẵn có của họ một cách nghiêm túc.
Như một chiêu bài thêm vào đó, cuộc tấn công DDoS ngày càng tích hợp yêu cầu chuộc lời như một phần của chiến lược của hacker. Điều này đặc biệt là trường hợp của memcached DDoS. "Đó là một cuộc tấn công cơ hội," nói Chad Seaman, một kỹ sư cấp cao trên đội phản ứng tình báo an ninh tại Akamai. "Tại sao không thử giành và có thể lừa ai đó trả tiền?"
Các ngành phòng thủ DDoS và hạ tầng internet đã đạt được tiến bộ đáng kể trong việc giảm thiểu DDoS, một phần thông qua sự hợp tác và chia sẻ thông tin tăng lên. Nhưng với nhiều điều đang diễn ra, điểm quan trọng là phòng thủ DDoS vẫn là một thách thức tích cực đối với những người phòng thủ hàng ngày. "
Khi các trang web tiếp tục hoạt động không có nghĩa là nó dễ dàng hoặc vấn đề đã biến mất." Lyon của Neustar nói. "Đó là một tuần dài."
Thuật ngữ DDoS
- Botnet Mirai đã làm đổ gục nhiều phần của internet? Một phần của một kế hoạch Minecraft. Thật sự
- Một cuộc tấn công DDoS 1.3 Tbps là chưa từng có, nhưng GitHub và Akamai đã đánh bại nó một cách xuất sắc
- Đọc thêm về cách Netflix đã thực hiện một cuộc tấn công DDoS táo bạo - vào chính bản thân mình
