Cuộc tấn công DDoS kỉ lục mới, lưu lượng 1,1 Tb/giây vừa xảy ra

Tuần trước, trang thông tin an ninh mạng KrebsOnSecurity ngừng hoạt động hơn 24 giờ sau khi xảy ra một đợt tấn công từ chối dịch vụ (Denial of Service - DDoS), được thực hiện với dàn quân chính là các thiết bị thông minh hay còn gọi là các thiết bị Internet of Things như router, máy quay an ninh…

Và ngay sau đó, có tin đã xảy ra một cuộc tấn công lên máy chủ web tại Pháp với lượng traffic lên tới 1,1 terabit mỗi giây, cao hơn đợt trước tới 60%.

Mới đây, có tin đã xảy ra một cuộc tấn công lên máy chủ web tại Pháp với lượng traffic lên tới 1,1 tetrabit mỗi giây, cao hơn đợt trước tới 60%.

Những cuộc tấn công này lần đầu được ghi nhận vào 19 tháng 9 bởi Octave Klaba, nhà sáng lập của CTO và OVH. Đợt đầu tiên chạm ngưỡng 1,1 Tbps và đợt thứ hai đạt ngưỡng 901 Gbps. Thứ 6 tuần trước, ông cho biết có thêm các đợt tấn công nữa cũng có lượng traffic ở ngưỡng không tưởng.

Ông cung cấp thông tin rằng các đợt tấn công này đến từ một tập hợp các thiết bị thông minh kết nối Internet bị hack bao gồm các thiết bị ghi hình. Với mỗi thiết bị có khả năng truyền tải 1 Mbps đến 30 Mbps, tổng số botnet này có thể tạo ra traffic 1,5 Tbps.

Vào thứ 2, Klaba đã thông báo rằng có hơn 6.800 camera mới bị thu nhập vào tập hợp botnet trên và tiết lộ rằng trong vòng 48 giờ trước đó dịch vụ máy chủ này đã bị tấn công hơn chục lần với traffic nằm trong khoảng 100 Gbps đến 800 Gbps. Vào thứ 4, ông cho biết có thêm khoảng 15.000 thiết bị mới tham gia vào binh đoàn botnet trong vòng 48 giờ trước đó.

Những cuộc tấn công này lần đầu được ghi nhận vào 19 tháng 9 bởi Octave Klaba, nhà sáng lập của CTO và OVH.

Các chuyên gia về DDoS vẫn chưa xác nhận các con số trên và Klaba từ chối trả lời yêu cầu phỏng vấn. Tuy nhiên, lời của ông khá đáng tin và trùng hợp với báo cáo từ Akamai - công ty này gần đây đã chống lại thành công đợt tấn công kỉ lục nhắm vào KrebsOnSecurity. Klaba nói các bằng chứng cho thấy hệ thống của ông và KrebsOnSecurity có thể là nạn nhân của cùng một botnet. Ngay cả khi chúng là các botnet khác nhau, các sự kiện trong tuần qua có khả năng sẽ đặt ra tiêu chuẩn mới cho các cuộc tấn công DDoS.

“Giờ thì ta đã biết botnet 600 gig tồn tại, chúng ta phải lên kế hoạch đề phòng trong 1-2 năm tới khi con số đó trở thành tiêu chuẩn thông thường. Có thể điều này không áp dụng cho tất cả các cuộc tấn công, nhưng chắc chắn chúng ta sẽ thấy vài chục cuộc tấn công như vậy mỗi quý, tương đương vài trăm cuộc tấn công mỗi năm. Khi người ta biết điều đó là khả thi, họ sẽ cố gắng đi theo hướng đó và thực hiện điều đó.” theo Martin McKeay, thành viên nhóm an ninh Akamai trả lời báo Ars.

Vào thứ 4, ông cho biết có thêm khoảng 15.000 thiết bị mới tham gia vào binh đoàn botnet trong vòng 48 giờ trước đó.

Trước tuần trước, cuộc tấn công từ chối dịch vụ lớn nhất mà Akamai đã từng đối phó có traffic 363 Gbps.

Các chuyên gia an ninh đã cảnh báo suốt nhiều năm rằng các thiết bị kết nối Internet ẩn chứa nguy hiểm tiềm tàng. Đầu năm 2015, mối nguy hiểm này cuối cùng cũng được xác nhận bởi bằng chứng các cuộc tấn công lên mạng Playstation Network và Xbox Live hầu hết bắt nguồn từ các router cá nhân đã bị hack và biến thành một botnet nguy hiểm. Vào tháng 6, các nhà nghiên cứu tại công ty an ninh Sucuri đã phát hiện một botnet gồm 25.000 TV đang tấn công trang web của một cửa hàng trang sức.

Để biết liệu thiết bị thông minh của mình có bị nhiễm mã độc không hề dễ dàng với đa số. Hầu hết có giao diện điều khiển vô cùng đơn giản và không thể dùng phần mềm diệt virut thông thường để quét. Tuỳ theo loại tấn công, các thiết bị này có thể có các triệu chứng cho thấy chúng đang bị lợi dụng trong một cuộc tấn công. Điều quan trọng nhất mà người dùng có thể làm là thay mật khẩu mặc định, hoặc hơn hết, không bao giờ kết nối thiết bị với mạng Internet.

Điều quan trọng nhất mà người dùng có thể làm là thay mật khẩu mặc định, hoặc hơn hết, không bao giờ kết nối thiết bị với mạng Internet.

Đương nhiên, router và modem không kết nối được thì đâu có tác dụng gì, nhưng thường các máy quay có thể chạy bình thường mà không cần kết nối mạng. Do không có cách phòng chống đại dịch thiết bị thông minh này, chúng ta cần phải chuẩn bị tinh thần trước các cuộc tấn công có khả năng làm gián đoạn một phần lưu lượng Internet lớn.

“Xu hướng ngày càng tăng mạnh. Bạn sẽ được chứng kiến những vùng chết xuất hiện khi mà một trung tâm dữ liệu hay nhà cung cấp dịch vụ mạng phải nhận nhiều traffic đến nối quá tải và ngừng hoạt động.”