Tấn công DDoS 1.7 Tbps – thêm một kỷ lục tấn công mới

Mới đây các hình thức tấn công DDoS dựa vào Memcached đã liên tục chạm các mốc kỷ lục mới. Chỉ cách đây 4 ngày là vụ tấn công DDoS vào Github 1.35 Tbps, thì nay là vụ tấn công lên đến 1.7 Tbps.

Công ty bảo mật và giám sát mạng Arbor Networks vừa tuyên bố rằng hệ thống dữ liệu toàn cầu của ATLAS và hệ thống dữ liệu tấn công DDoS đã ghi lại một vụ tấn công khuếch đại 1.7 Tbps vào một trong những trang web của khách hàng Mỹ.

Tương tự như cuộc tấn công DDoS tuần trước vào Github, băng thông lớn của một cuộc tấn công mới nhất đã được khếch đại bởi 51,000 máy chủ Memcached được cấu hình lỗi trên internet.

Memcached vốn là một hệ thống lưu trữ bộ nhớ cache được sử dụng rộng rãi, và đã phát hiện bị lợi dụng tấn công từ đầu tuần trước khi các nhà tấn công xác định rằng kẻ tấn công có thể lạm dụng nó như thế nào để khởi động các cuộc tấn công DDoS khuếch đại bằng cách gửi một yêu cầu giả mạo tới máy chủ Memcached mục tiêu trên cổng 11211 sử dụng IP giả mạo tương thích với IP của nạn nhân.

Một vài byte yêu cầu sẽ được gửi đến hệ thống máy chủ dễ bị tấn công, có thể kích hoạt lên hàng chục ngàn lần phản hồi địa chỉ IP mục tiêu trở thành một cuộc tấn công DDoS mạnh mẽ.

Các nhà nghiên cứu cũng lưu ý rằng tội phạm mạng đã bắt đầu vũ khí hoá các cuộc tấn công DDoS thông qua các máy chủ lưu trữ dễ bị tổn thương để trục lợi từ nạn nhân.

Theo cuộc tấn công DDoS 1.35 Tbps vào Github tuần trước, Akamai cho biết khách hàng của họ đã nhận được tin nhắn tống tiền phát ra cùng các cuộc tấn công thông thường khác, yêu cầu họ phải mua 50 đồng XMR (tức đồng Monero) tương đương 15.000 USD.

Các cuộc tấn công khuếch đại tương tự hình thức này vốn không phải là mới. Những kẻ tấn công trước đây đã sử dụng các phương thức kỹ thuật tấn công DDoS để phản hồi các lỗ hổng trong DNS, NTP, SNMP, SSDP, CLDAP, Chargen và các giao thức khác nhằm tăng tốc độ tấn công trên mạng của họ.

Thế nhưng các vector tấn công mới có liên quan đến hàng ngàn máy chủ Memcached b5i cấu hình lỗi, và nhiều trong số chúng vẫn đang bị lộ trên Internet và hoàn toàn có thể bị khai thác để khởi động các cuộc tấn công lớn hơn ngay sau các mục tiêu này.

Để ngăn chặn các máy chủ Memcached bị lợi dụng, người dùng nên cài đặt một hàng rào tường lửa an toàn và chỉ cung cấp quyền truy cập cho các máy chủ lưu trữ từ mạng nội bộ.

Các quản trị viên cũng nên xem xét tránh lưu lượng truy cập bên ngoài vào các cộng được sử dụng bởi memcached và chặn giới hạn tốc độ UDP hoặc vô hiệu hoá hoàn toàn UDP hỗ trợ nếu không sử dụng.

Xuân Dung