Báo cáo tấn công từ chối dịch vụ DDoS quý 3 2017 trên thế giới

26/06/2018

Tổng quan

Trong Quý 3/2017, xu hướng tấn công DDoS được nêu trong các quý trước tiếp tục phát triển hơn nữa. Số lượng các cuộc tấn công DDoS ở Trung Quốc, Hoa Kỳ, Hàn Quốc và Nga tăng lên, được phản ánh rõ rệt trong các số liệu thống kê được thu thập cho các botnet. Số vụ tấn công tăng đột ngột (hơn 450 vụ mỗi ngày) và mức độ (lên tới 15,8 triệu gói tin/giây) đã được xác định thuộc “khu vực của Úc”. Chi phí bảo vệ tăng lên tương ứng: ví dụ, vào đầu tháng 9, 6 nhà cung cấp IB đã ký một hợp đồng trị giá 50 triệu $ với chính phủ Singapore (hợp đồng 3 năm trước chỉ bằng một nửa)/

Thành công lớn nhất trong cuộc chiến chống lại các cuộc tấn công DDoS là việc tiêu hủy một khối lượng khổng lồ botnet WireX (hàng trăm hàng nghìn thiết bị tại hơn một trăm quốc gia). Botnet này đã bí mật làm việc trên các thiết bị Android và sinh sôi nảy nở thông qua các ứng dụng Google Play hợp pháp. Các hoạt động chung của Google, Samsung và một số nhà cung cấp bảo mật IT lớn đã được yêu cầu gỡ bỏ botnet.

Các nhà phân tích tại Imperva tin rằng hầu hết các cuộc tấn công DDoS sẽ sớm đi theo một mô hình: tấn công đột ngột, ngắn nhưng mạnh mẽ, kéo dài vài giờ hoặc vài ngày.

Ngành công nghiệp game đang trở nên hấp dẫn với tội phạm mạng: lợi nhuận từ ngành này được ước tính hàng trăm tỷ đô la, trong khi an ninh mạng mảng này còn khá lỏng lẻo, các nền tảng game dễ bị tấn công thông qua các liên kết giữa tài nguyên và ứng dụng. Trong Quý 3, có ba sự cố nổi bật liên quan đến các nền tảng game (không bao gồm tấn công DDoS trên các máy chủ của Final Fantasy bắt đầu vào tháng 6 và kéo dài đến cuối tháng 7)

- Vụ thứ nhất: vào giữa tháng 8, Blizzard Entertainment đã báo cáo một dòng traffic rác gây ra vấn đề cho người chơi của Overwatch và World of Warcraft/

- Vụ thứ hai: vào đầu tháng 9, trang web Poker trực tuyến Cardroom Châu Mỹ bắt đầu gặp khó khăn. Cuộc tấn công theo khuôn mẫu khét tiếng “chứng minh vũ lực, đòi tiền chuộc”. Quản lý của trang web đã từ chối trả tiền, nhưng buộc phải hủy bỏ hay chính xác hơn là trì hoãn một giải vô địch poker vốn đã được lên kế hoạch.

- Vào cuối quý, ngày 30/9, trang xổ số Quốc gia Anh đã bị ảnh hưởng nghiêm trọng: trong 90 phút người chơi không thể đặt cược trực tuyến hoặc thông qua các ứng dụng, điều này đã gây ra tổn thất nghiêm trọng cho dịch vụ.

Dường như các cuộc tấn công DDoS liên tục vào ngành công nghiệp giải trí đang trở thành một điều bình thường: các công ty lớn sẽ phải xem xét lại cách tiếp cận với an ninh mạng của họ một cách nghiêm túc. Một số đơn vị trong số này đã bắt đầu loại bỏ các nguy cơ có thể có. Ví dụ Netflix đã phát hiện ra một lỗ hổng nghiêm trọng trong API và phát hiện hai công cụ để giải quyết các ứng dụng bị nhiễm độc.

Các cuộc tấn công gây tò mò nhất trong quý này cũng liên quan đến ngành công nghiệp giải trí và game. Tội phạm không gian mạng đã tấn công một sòng bạc của Mỹ thông qua một bể cá thông minh. Nó không liên quan gì đến các cuộc tấn công DDoS, nhưng điều thú vị là bọn tội phạm đã vượt qua được máy tính lớn và ăn cắp dữ liệu bí mật 100GB từ tổ chức, mặc dù bể cá được cài đặt trên VPN riêng. Rất có thể trong tương lai gần, lĩnh vực giải trí và game sẽ ngang bằng với lĩnh vực tài chính về phạm vi và sự khéo léo của các cuộc tấn công quy mô lớn.

1. Xu hướng Quý

Xét về xu hướng, có một hướng mới cho các cuộc tấn công liên quan đến các loại tiền tệ mới hiện nay. Các cuộc tấn công ngày càng nhiều được nhắm mục tiêu vào các nền tảng tiền ICO – một loại kêu gọi vốn cộng đồng. Vì công nghệ blockchain cho phép các giao dịch được tiến hành an toàn, ICO đang nhanh chóng trở nên nổi tiếng. Nhưng cũng có những rủi ro: với sự tăng trưởng nhanh chón và doanh thu ngày càng tăng của các loại tiền tệ, các nền tảng này sẽ bị tấn công mạng, kể cả các cuộc tấn công DDoS. Độ phủ rộng rãi của nền tảng này đảm bảo các giao dịch tin cậy và an toàn, các cuộc tấn công DDoS lợi dụng chúng để phá vỡ tính hoạt động của dịch vụ và làm mất uy tín của nó, thậm chí tệ hơn là tạo ra một smokescreen cho các loại tấn công tinh vi hơn.

Một chi tiết khác của Quý này là sự gia tăng tỷ lệ các cuộc tấn công hỗn hợp, đa thành phần (SYN + TCP Connect + HTTP-Flood + UDP). Như đã dự báo trước đây, hình thức này đang dần phổ biến.

2. Thống kê Quý 3

- Tài nguyên ở 98 quốc gia bị tấn công vào quý 3 năm 2017, so với 86 trong Quý 2 năm 2017.

- Như trong quý 2, khoảng một nửa số vụ tấn công (51,56%) bắt nguồn từ Trung Quốc

- Trung Quốc, Mỹ và Hàn Quốc vẫn là những cái tên dẫn đầu về số lượng tấn công và số mục tiêu. Theo số lượng các máy chủ C&C được báo cáo, các quốc  gia này đều thuộc Top 3, mặc dù Hàn Quốc lần đầu tiên được xếp vào hạng này.

- Cuộc tấn công DDoS dài nhất là 215 giờ, giảm 28% so với Quý 2. Đồng thời, tỷ lệ các cuộc tấn công kéo dài dưới 50 giờ vẫn không thay đổi (99,6% trong quý 3 so với 99,7% trong quý 2).

- Như quý trước, tỷ lệ các cuộc tấn công trên TCP đã giảm đáng kể (từ 28,2% xuống 11,125) và ICPM (giảm từ 9,42% xuống 7,1%). Điều này làm tăng tỷ lệ SYN Flood và các cuộc tấn công HTTP.

- Tỷ lệ các botnet Linux tiếp tục phát triển. Các botnet như vậy đã gây ra 69,62% các vụ tấn công trong Quý 3 so với 51,23% trong Quý 2.

Các khu vực bị tấn công

Các cuộc tấn công DDoS được đăng ký tại 98 quốc gia trong quý 3, trong đó số lượng các cuộc tán công lớn nhất là nhằm vào Trung Quốc (chiếm 63,30% của tất cả các cuộc tấn công),  cao hơn 5.3 p.p so với quý trước. Hàn Quốc giảm từ 14,17% xuống 8,70%, di chuyển xuống vị trí thứ 3. Mỹ đứng thứ 2, mặc dù tỷ lệ tấn công bắt nguồn từ nước này giảm từ 14,03% xuống còn 12,98%.

Top 10 chiếm tới 93,56% tổng số vụ tấn công. Đức (1,24%) lại bước vào top 10, thay thế Ý trong bảng xếp hạng. HongKong (1,31%) giảm từ 4 xuống 7, mất 1.07 p.p. Nga (1.58%) tăng 0.35 p.p. và lại một lần nữa đứng ở vị trí thứ tư. Vương quốc Anh vẫn giữ vị trí thứ năm trong khi tỷ lệ này của Hà Lan tăng từ 0,84% lên 1,31%, chuyển sang thứ sáu.

 

91.27% cuộc tấn công đều nhằm vào những quốc gia thuộc top 10.

 

Trung Quốc vẫn đứng ở vị trí đầu tiên: 51,56% của tất cả các mục tiêu đã được đặt trên lãnh thổ của đất nước, tăng 4,14 p.p so với Quý 2. Đồng thời, Mỹ và Hàn Quốc đứng thứ hai và thứ ba tương ứng,  mặc dù tỷ lệ mục tiêu trên lãnh thổ của cả hai nước giảm đáng kể: từ 18,63% xuống 17,33% ở Mỹ, và từ 16,35% xuống 11,11% ở Hàn Quốc .

Tỷ lệ các mục tiêu đặt tại lãnh thổ của Nga đã tăng từ 1,33% trong Q2 lên 2,24% trong Q3, trong đó Nga đã tăng lên từ vị trí thứ bảy đến thứ tư. Australia và Italy đứng đầu top 10 và được thay thế bởi Pháp (1.43%) và Đức (1.65%).

Tần suất các cuộc tấn công DDoS

Số lượng các cuộc tấn công mỗi ngày dao động từ 296 (24 tháng 7) đến 1508 (26 tháng 9) trong quý 3 năm 2017. Số lượng đỉnh được đăng ký vào ngày 27 tháng 7 (1.399) và 24 tháng 9 (1.497). Một ngày suy thoái tương đối đã được đăng ký vào ngày 28 tháng 7 (300), 31 Tháng Năm (240), và ngày 25 tháng 9 (297).

 

Trong quý 3 năm 2017, thứ hai là ngày yên tĩnh nhất cho các cuộc tấn công DDoS (10.39% so với 11.78% trong quý trước), trong khi thứ năm trở thành ngày bận rộn nhất (17.54%). Lãnh đạo quý trước, thứ bảy, đứng thứ hai (15.59%) tiếp theo là chủ nhật (14.89%) và thứ ba (14.79%).

 

Các hình thức và thời gian tấn công DDoS

Như trong quý trước, số lượng các cuộc tấn công SYN DDoS tiếp tục tăng, từ 53,26% lên 60,43% vào quý 3 năm 2017. Đồng thời, tỷ lệ các cuộc tấn công TCP DDoS đã giảm mạnh từ 18,18% xuống 11,19%, không ảnh hưởng đến vị trí thứ hai trong đánh giá cho loại tấn công này. Cả hai cuộc tấn công UDP và ICMP đều trở nên khá hiếm: tỷ lệ của họ giảm từ 11,91% xuống 10,15% và từ 9,38% xuống 7,08%. Trong khi đó, sự phổ biến của các cuộc tấn công HTTP đã tăng từ 7,27% lên 11,6%, và xếp thứ ba.

 

Số lượng các cuộc tấn công dài hạn hầu như không thay đổi so với quý trước: 0,02% các cuộc tấn công kéo dài hơn 150 giờ (vs 0,01%). Cuộc tấn công dài nhất kéo dài trong 215 giờ, ngắn hơn 62 giờ so với kỷ lục trong Q2. Đồng thời, tỷ lệ các cuộc tấn công kéo dài 4 tiếng đồng hồ đã giảm từ 85,93% trong quý 2 xuống 76,09% trong quý 3. Như vậy, tỷ lệ các cuộc tấn công kéo dài từ 5 đến 49 và từ 50 đến 99 giờ tăng, chiếm 23,55% và 0,3% của tất cả các cuộc tấn công tương ứng.

 

Máy chủ C & C và các loại botnet

3 quốc gia có số lượng máy chủ C & C lớn nhất vẫn không thay đổi so với Q2: Hàn Quốc, chiếm 49,11% đến 50,16%, đứng đầu. Mỹ giữ vị trí thứ hai (16.94% so với 16.07% trong Q2). Trung Quốc vẫn đứng thứ ba mặc dù tỷ trọng của nó giảm từ 7,74% xuống 5,86%. 3 nước đứng đầu đã chiếm 72,96% tổng số máy chủ C & C, chỉ tăng nhẹ so với quý trước.

Top 10 bao gồm Italy (1.63%) và Anh (0.98%), đã lật đổ Canada và Đức trong Q3. So với quý 2 năm 2017, thị phần của Pháp tăng lên (2,93% so với 1,79%) và Nga (tăng 3,58% so với 2,68%).

 

Trong Q3, các botnet dựa trên Linux tiếp tục giành lại vị trí từ Windows: chia sẻ các botnet được phát hiện trên Linux bao gồm 69,62%, trong khi tỷ lệ phần trăm botnet trên Windows giảm xuống 30,38%.

 

Xem thêm Báo cáo tấn công từ chối dịch vụ DDoS Quý 2/2017 tại ĐÂY.

 

Tin liên quan

08/11/2019

Viettel IDC ra mắt Website mới với những cập nhật tối ưu hóa trải nghiệm người dùng!

Với mong muốn mang đến cho khách hàng những trải nghiệm sử dụng dịch vụ tốt nhất, bắt đầu từ ngày 08/11/2019, Viettel IDC ra mắt Website với giao diện hoàn toàn mới cùng với những cải tiến tối ưu như: Đăng ký và quản lý dịch vụ trên cùng 1 giao diện; bảo mật 2 lớp khi đăng nhập; hỗ trợ đa thiết bị

24/09/2019

Viettel vào top 500 thương hiệu giá trị nhất thế giới

Viettel trở thành thương hiệu duy nhất của Việt Nam và là 1 trong 8 thương hiệu của ASEAN lọt vào danh sách 500 thương hiệu giá trị nhất thế giới.

20/09/2019

Viettel IDC bắt tay Akamai cung cấp giải pháp tăng tốc kết nối dữ liệu cho doanh nghiệp nội dung số

Với mong muốn đồng hành cùng doanh nghiệp nội dung số như truyền hình OTT, Viettel IDC và Akamai đã hợp tác cung cấp các giải pháp về tăng tốc kết nối dữ liệu (Media, Web Performance) và chống tấn công mạng (Cloud Security).

19/09/2019

Dịch vụ truyền hình OTT: Nâng cao khả năng cạnh tranh cho doanh nghiệp Việt

Sự xuất hiện ngày càng nhiều ứng dụng truyền hình trả tiền OTT nước ngoài là thách thức và cơ hội chuyển mình của các nhà cung cấp dịch vụ nội dung...

17/09/2019

Viettel IDC nhận 3 giải thưởng chuyển đổi số

Các giải thuộc hạng mục sản phẩm, dịch vụ, giải pháp công nghệ số tiêu biểu được trao trong Vietnam Digital Awards 2019, hôm 6/9/2019, tại Hà Nội.

28/08/2019

Hệ thống trung tâm dữ liệu Viettel IDC đạt thêm một chứng chỉ quốc tế

Ngoài các chứng chỉ quốc tế đã đạt được trước đây như ISO 9001, ISO 27001, TIA 942 rated 3 (Tiêu chuẩn thiết kế, triển khai Trung tâm dữ liệu),...

24/08/2019

Khởi động kế hoạch thành lập Câu lạc bộ Điện toán đám mây và Trung tâm dữ liệu Việt Nam

Trong khuôn khổ hội thảo Viet Nam OpenInfra Days 2019 được tổ chức hôm nay, ngày 24/8, Hiệp hội Internet Việt Nam (VIA) đã công bố khởi động kế...

14/08/2019

Shared Hosting hay Cloud Hosting - Ưu nhược điểm và trường hợp sử dụng của từng loại hình

Cả Shared Hosting và Cloud Server đều có điểm chung: Nhà cung cấp dịch vụ lưu trữ web, máy chủ và trang web. Tuy nhiên chúng cũng có rất nhiều sự...

25/07/2019

[Thông báo] Viettel IDC cần thanh lý nội thất văn phòng

Kính gửi các khách hàng và đối tác của Viettel IDC, Hiện nay, để phục vụ quá trình mở rộng và cải tạo văn phòng, Viettel IDC có một số nội thất văn...