Bối cảnh kỹ thuật số đang phải đối mặt với một mối đe dọa chưa từng có khi các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đạt đến khối lượng kỷ lục, với các sự cố gần đây lên tới gần 30 terabit mỗi giây. Mức tăng đáng kinh ngạc này từ con số chỉ 5 Tbps một năm trước đã đẩy các dịch vụ giảm thiểu đến giới hạn và phơi bày những điểm yếu cơ bản trong cách chúng ta bảo mật các thiết bị kết nối internet. Khi các cuộc tấn công ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, cộng đồng công nghệ đang phải vật lộn với những câu hỏi khó về trách nhiệm, quy định và tương lai của cơ sở hạ tầng internet.
Thống kê về các cuộc tấn công DDoS gần đây:
- Cuộc tấn công DDoS lớn nhất được ghi nhận đã tăng từ 5 Tbps lên gần 30 Tbps chỉ trong vòng một năm
- Cloudflare đã ngăn chặn một cuộc tấn công đạt đỉnh hơn 71 triệu yêu cầu mỗi giây nhắm vào một sàn giao dịch tiền điện tử
- Radware ghi nhận tăng 58% các cuộc tấn công DDoS tống tiền trong nửa đầu năm 2023 so với cùng kỳ năm ngoái
- Akamai quan sát được 18.973 cuộc tấn công DDoS từ ngày 7-11 tháng 8 năm 2023, trong đó 1.492 cuộc nhắm vào Akamai Technologies B.V.
Cơn Bão Hoàn Hảo Đằng Sau Các Cuộc Tấn Công DDoS Khổng Lồ
Một số yếu tố hội tụ đã tạo ra điều kiện lý tưởng cho những cuộc tấn công khổng lồ này phát triển mạnh. Việc áp dụng rộng rãi các kết nối băng thông rộng dân cư tốc độ cao, đặc biệt là các dịch vụ cáp quang đến tận nhà với tốc độ tải lên đối xứng, đã cung cấp cho kẻ tấn công băng thông khổng lồ để khai thác. Trong khi các hộ gia đình trước đây có khả năng tải lên hạn chế, thì ngày nay việc các kết nối dân cư cung cấp tốc độ tải lên 1-2 gigabit mỗi giây là phổ biến - đủ để một số lượng tương đối nhỏ các thiết bị bị xâm nhập có thể làm quá tải các điểm kết nối mạng chính.
Việc bùng nổ băng thông này còn trở nên trầm trọng hơn bởi sự gia tăng nhanh chóng của các thiết bị Internet vạn vật (IoT) không an toàn. Những camera kết nối, thiết bị nhà thông minh và các hệ thống nhúng khác này thường được xuất xưởng với các biện pháp bảo vệ bảo mật tối thiểu, mật khẩu mặc định và khả năng cập nhật hạn chế. Như một bình luận viên đã nhận xét về các thiết bị IoT bị nhiễm, ngay cả khi những thiết bị IoT bị nhiễm đó được khởi động lại và dọn sạch, chúng vẫn sẽ bị xâm nhập lại bởi một thứ gì đó khác thường trong vòng vài phút sau khi được cắm điện trở lại. Điều này tạo ra một nhóm thiết bị dễ bị tổn thương liên tục mà kẻ tấn công có thể liên tục tuyển mộ vào mạng botnet của chúng.
Sự Tiến Hóa Kỹ Thuật Của Các Phương Pháp DDoS
Những kẻ tấn công đã cải tiến đáng kể kỹ thuật của chúng vượt ra ngoài các cuộc tấn công thể tích đơn giản. Các cuộc tấn công gần đây đã vũ khí hóa các giao thức mạng thường là vô hại như Thăm dò Mã hóa TCP Đã Thiết Lập (TEEPs), vốn thường được các nhà khai thác mạng sử dụng để kiểm tra hỗ trợ mã hóa trong các kết nối TCP. Những gói tin nhỏ này có thể lọt qua các biện pháp phòng thủ DDoS truyền thống được thiết kế để bắt các tải trọng độc hại lớn hơn, và sự giống nhau của chúng với lưu lượng hợp pháp khiến việc phát hiện trở nên đặc biệt khó khăn.
Động lực kinh tế cũng đã thay đổi. Các dịch vụ thuê DDoS đã hạ thấp rào cản gia nhập, trong khi các mạng botnet IoT tinh vi cung cấp cho kẻ tấn công sức mạnh tính toán phân tán khổng lồ. Một số kẻ tấn công đã tìm thấy cơ hội sinh lời trong việ nhắm mục tiêu vào các lĩnh vực cụ thể - bao gồm các chiến dịch tống tiền nhắm vào các nhà khai thác máy chủ Minecraft và các dịch vụ chơi game khác, nơi thời gian ngừng hoạt động ảnh hưởng trực tiếp đến doanh thu.
Chặn hoặc giới hạn tốc độ một địa chỉ IPv4 và bạn có thể chặn một số lưu lượng hợp pháp nếu đó là địa chỉ NAT. Chặn một địa chỉ IPv6 duy nhất... và bạn có thể khám phá ra rằng người dùng kiểm soát toàn bộ tiền tố /64 hoặc bất kỳ tiền tố nào.
Các Vector Tấn Công DDoS Phổ Biến:
- HTTP Flood (31,7% các cuộc tấn công được quan sát bởi Akamai)
- UDP Flood (đạt đỉnh 443,77 Gbps)
- TCP Established Encryption Probes Flood (TEEP Flood, đạt đỉnh 318,85 Gbps)
- Khai thác lỗ hổng triển khai SSL/TLS
- Các cuộc tấn công khuếch đại dựa trên CDN
Sức Ép Lên Hạ Tầng và Những Thách Thức Giảm Thiểu
Quy mô của các cuộc tấn công gần đây đã phơi bày những hạn chế trong cơ sở hạ tầng giảm thiểu DDoS hiện tại. Nhiều nhà cung cấp dịch vụ bảo vệ DDoS chuyên biệt đã phải vật lộn với công suất biên không đủ để xử lý các cuộc tấn công multi-terabit, dẫn đến thiệt hại lan rộng gia tăng cho khách hàng của các công ty lưu trữ nhỏ hơn. Trong khi các giải pháp cấp doanh nghiệp như Magic Transit của Cloudflare cung cấp khả năng bảo vệ mạnh mẽ, thì mức giá của chúng - được cho là bắt đầu từ khoảng 4.000 đô la Mỹ mỗi tháng - tạo ra mối lo ngại về khả năng tiếp cận đối với các tổ chức nhỏ hơn và các dịch vụ không phải HTTP.
Các nhà khai thác mạng phải đối mặt với những thách thức đặc biệt với NAT cấp độ nhà mạng (CGNAT), nơi nhiều người dùng chia sẻ một địa chỉ IP công cộng duy nhất. Điều này khiến việc lọc mục tiêu trở nên khó khăn, vì chặn một IP bị xâm nhập có thể ảnh hưởng đến nhiều người dùng hợp pháp. Cuộc thảo luận xung quanh việc áp dụng IPv6 làm nổi bật cả các giải pháp tiềm năng lẫn những sự phức tạp mới, vì không gian địa chỉ chi tiết hơn mang lại khả năng nhắm mục tiêu tốt hơn nhưng đòi hỏi phải xử lý các danh sách chặn lớn hơn nhiều.
Các Cuộc Tranh Luận Về Phản Ứng Của Ngành và Cơ Quan Quản Lý
Cộng đồng đang chia rẽ sâu sắc về các giải pháp. Một số người ủng hộ việc chính phủ quy định các tiêu chuẩn bảo mật cơ bản bắt buộc cho thiết bị IoT, chẳng hạn như loại bỏ mật khẩu mặc định, yêu cầu firmware đã ký và thiết lập các giai đoạn cập nhật bảo mật bắt buộc. Những người khác tranh luận cho các cách tiếp cận kỹ thuật nhiều hơn, bao gồm lọc ở cấp độ ISP, giới hạn băng thông dựa trên phần cứng cho thiết bị IoT, hoặc cải thiện việc giáo dục người tiêu dùng về bảo mật thiết bị.
Các động lực kinh tế hiện tại không hỗ trợ các giải pháp toàn diện. Các ISP có ít động cơ để đầu tư vào việc ngăn chặn các cuộc tấn công đi ra ngoài, và các nhà sản xuất thiết bị phải đối mặt với ít hậu quả khi xuất xưởng các sản phẩm dễ bị tổn thương. Khi các cuộc tấn công bắt đầu gây ra vấn đề vận hành cho chính các ISP - với các cuộc tấn công đi ra ngoài terabit mỗi giây làm gián đoạn mạng lưới của họ - thì cách tính toán có thể đang thay đổi, nhưng phản ứng vẫn còn manh mún.
Hướng Tới Tương Lai: Bảo Mật Trong Một Thế Giới Ngày Càng Kết Nối
Mối đe dọa DDoS leo thang đại diện cho một thách thức cơ bản đối với sự ổn định của internet, đòi hỏi các giải pháp phối hợp trên nhiều bên liên quan. Những cải tiến kỹ thuật trong thiết kế giao thức, kiến trúc mạng và bảo mật thiết bị phải được bổ sung bởi các động lực kinh tế, vốn khen thưởng cho bảo mật và trừng phạt sự bất cẩn. Khi các thiết bị kết nối tiếp tục gia tăng trong gia đình, thành phố và cơ sở hạ tầng quan trọng, hậu quả của việc không hành động ngày càng trở nên nghiêm trọng hơn.
Cuộc thảo luận trong cộng đồng phản ánh cả sự khẩn cấp lẫn tính thực tế - thừa nhận rằng các giải pháp hoàn hảo có thể khó nắm bắt, nhưng những cải tiến dần dần trong bảo mật thiết bị, giám sát mạng và khả năng giảm thiểu có thể cùng nhau thu hẹp phạm vi mối đe dọa. Các cuộc tấn công phá kỷ lục trong những tháng gần đây đóng vai trò như một lời nhắc nhở rõ ràng rằng an ninh kỹ thuật số tập thể của chúng ta phụ thuộc vào những mắt xích yếu nhất trong hệ sinh thái kết nối của chúng ta.
Tham khảo: DDoS Brief: Akamai Mandates US$ TEEPs in Record DDoS