Verisign phát hiện một tổ chức bị hacker "oanh tạc" DDoS với 1 triệu gói tin mỗi giây

Tấn công DDoS luôn là nỗi ám ảnh đối với các doanh nghiệp, tổ chức

Theo Báo cáo Xu hướng tấn công DDoS quý III/2017 vừa được Verisign công bố, số lượng các vụ tấn công có xu hướng giảm đáng kể từ quý II/2017. Tuy nhiên, có 29% số vụ tấn công sử dụng từ 5 hình thức tấn công trở lên.

Không tiết lộ cụ thể danh tính, Verisign cho hay hãng này quan sát thấy trong quý III có một vụ tấn công DDoS có quy mô lớn nhất và mật độ cao nhất là một cuộc tấn công nhiều loại hình có băng thông đỉnh điểm lên tới khoảng 2,5 Gigabit trên giây và khoảng 1 triệu gói tin một giây.

Vụ tấn công này kéo dài khoảng hai tiếng rưỡi và chủ yếu bao gồm nhiều loại hình tấn công như TCP SYN và TCP RST floods; DNS, ICMP, Chargen Amplification và các gói tin không hợp lệ.

Báo cáo của Verisign chỉ rõ, 56% các vụ tấn công DDoS thuộc loại tấn công “ngập lụt” sử dụng UDP (giao thức gói dữ liệu người dùng).

88% các cuộc tấn công DDoS bị Verisign đẩy lùi trong quý III sử dụng nhiều hình thức tấn công.

Lĩnh vực CNTT, đám mây, SaaS bị nhắm tới nhiều nhất trong 12 quý liên tiếp tính đến nay. Ngành tài chính phải hứng chịu số lượng các vụ tấn công DDoS lớn thứ hai, chiếm 20% hoạt động đẩy lùi tấn công.  

Các báo cáo xu hướng tấn công DDoS của Verisign trong năm 2017 cũng báo cáo về sự suy giảm số lượng và quy mô của các cuộc tấn công DDoS. Tuy nhiên, thực tế này không có nghĩa là trong thời gian tới xu hướng tấn công DDoS sẽ bớt nóng và các công ty có thể chủ quan.

“Đây là thời điểm tốt để các tổ chức rà soát lại mọi khía cạnh của những giải pháp an ninh bảo mật ứng dụng và mạng lưới của họ để chống lại được các cuộc tấn công DDoS hoặc các mối đe dọa an ninh bảo mật trong tương lai”, Verisign nêu quan điểm.

Hiện nay, có một số giải pháp phòng chống DdoS các doanh nghiệp có thể quan tâm như dịch vụ phòng chống DDoS trên đám mây tập trung vào giám sát lưu lượng Internet từ ngoài đi vào hệ mạng IP trọng yếu của khách hàng.

Công nghệ này thường sử dụng phân tích chữ ký, phát hiện sử dụng sai mục đích và thiết lập hồ sơ động.

Phân tích chữ ký và phát hiện sử dụng sai mục đích tìm kiếm những sai lệch có thể chỉ ramột cuộc tấn công DDoS. Thiết lập hồ sơ động xác lập các quy luật lưu lượng bình thường và tìm sai lệch, sau đó sẽ kích hoạt các cảnh báo để điều tra thêm.

Ví dụ, mức độ giao thông đạt hoặc vượt quá ngưỡng định trước có thể chỉ ra một cuộc tấn công DDoS. Vì vậy, khi một làn sóng lưu lượng có khối lượng lớn hoặc sai định dạngtràn vào mạng của khách hàng, một cảnh báo điều tra sẽ được đưa ra.

Các giải pháp giám sát DDoS chỉ cung cấp khả năng quan sát lưu lượng đến, còn lưu lượng gửi đi thì sao? Mặc dù có nhiều lý do dẫn đến sự biến đổi quy luật của lưu lượng gửi đi, chúng cũng có thể chỉ ra rằng các điểm cuối bị xâm nhập đang tham gia vào một mạng botnet, lấy dữ liệu hoặc đang bị sử dụng cho các mục đích độc hạikhác.

Rất khó để có thể quan sát được các yêu cầu DNS gửi đi. Quản trị viên tường lửa thường có xu hướng không xem xét nhật ký yêu cầu đăng nhập vì quá lớn, nhưng biết những gì được gửi đi là bước đầu tiên để ngăn chặn giao tiếp vớicác điểm cuối độc hại.

Trước hết, cần triển khai các công nghệ an ninh bảo mật như tường lửa DNS, lọc email và các giải pháp bảo mật khác, thường xuyên cập nhật. Không có công nghệ nào có thể bảo vệ hệ thống mạng một cách tuyệt đối. Các tổ chức cần phải triển khai cách tiếp cận phân lớp bảo mật bao gồm cả công nghệ và đào tạo người dùng.

Khi những kẻ tấn công phát triển phần mềm độc hại ngày càng "thông minh" hơn, việc kiểm soát các lớp bảo vệ cá nhân và các cửa an ninh khác, bao gồm các biện pháp ở cấp DNS đang trở nên ngày càng quan trọng.