Báo cáo tấn công từ chối dịch vụ DDoS quý 3 2017 trên thế giới

26/06/2018

Tổng quan

Trong Quý 3/2017, xu hướng tấn công DDoS được nêu trong các quý trước tiếp tục phát triển hơn nữa. Số lượng các cuộc tấn công DDoS ở Trung Quốc, Hoa Kỳ, Hàn Quốc và Nga tăng lên, được phản ánh rõ rệt trong các số liệu thống kê được thu thập cho các botnet. Số vụ tấn công tăng đột ngột (hơn 450 vụ mỗi ngày) và mức độ (lên tới 15,8 triệu gói tin/giây) đã được xác định thuộc “khu vực của Úc”. Chi phí bảo vệ tăng lên tương ứng: ví dụ, vào đầu tháng 9, 6 nhà cung cấp IB đã ký một hợp đồng trị giá 50 triệu $ với chính phủ Singapore (hợp đồng 3 năm trước chỉ bằng một nửa)/

Thành công lớn nhất trong cuộc chiến chống lại các cuộc tấn công DDoS là việc tiêu hủy một khối lượng khổng lồ botnet WireX (hàng trăm hàng nghìn thiết bị tại hơn một trăm quốc gia). Botnet này đã bí mật làm việc trên các thiết bị Android và sinh sôi nảy nở thông qua các ứng dụng Google Play hợp pháp. Các hoạt động chung của Google, Samsung và một số nhà cung cấp bảo mật IT lớn đã được yêu cầu gỡ bỏ botnet.

Các nhà phân tích tại Imperva tin rằng hầu hết các cuộc tấn công DDoS sẽ sớm đi theo một mô hình: tấn công đột ngột, ngắn nhưng mạnh mẽ, kéo dài vài giờ hoặc vài ngày.

Ngành công nghiệp game đang trở nên hấp dẫn với tội phạm mạng: lợi nhuận từ ngành này được ước tính hàng trăm tỷ đô la, trong khi an ninh mạng mảng này còn khá lỏng lẻo, các nền tảng game dễ bị tấn công thông qua các liên kết giữa tài nguyên và ứng dụng. Trong Quý 3, có ba sự cố nổi bật liên quan đến các nền tảng game (không bao gồm tấn công DDoS trên các máy chủ của Final Fantasy bắt đầu vào tháng 6 và kéo dài đến cuối tháng 7)

- Vụ thứ nhất: vào giữa tháng 8, Blizzard Entertainment đã báo cáo một dòng traffic rác gây ra vấn đề cho người chơi của Overwatch và World of Warcraft/

- Vụ thứ hai: vào đầu tháng 9, trang web Poker trực tuyến Cardroom Châu Mỹ bắt đầu gặp khó khăn. Cuộc tấn công theo khuôn mẫu khét tiếng “chứng minh vũ lực, đòi tiền chuộc”. Quản lý của trang web đã từ chối trả tiền, nhưng buộc phải hủy bỏ hay chính xác hơn là trì hoãn một giải vô địch poker vốn đã được lên kế hoạch.

- Vào cuối quý, ngày 30/9, trang xổ số Quốc gia Anh đã bị ảnh hưởng nghiêm trọng: trong 90 phút người chơi không thể đặt cược trực tuyến hoặc thông qua các ứng dụng, điều này đã gây ra tổn thất nghiêm trọng cho dịch vụ.

Dường như các cuộc tấn công DDoS liên tục vào ngành công nghiệp giải trí đang trở thành một điều bình thường: các công ty lớn sẽ phải xem xét lại cách tiếp cận với an ninh mạng của họ một cách nghiêm túc. Một số đơn vị trong số này đã bắt đầu loại bỏ các nguy cơ có thể có. Ví dụ Netflix đã phát hiện ra một lỗ hổng nghiêm trọng trong API và phát hiện hai công cụ để giải quyết các ứng dụng bị nhiễm độc.

Các cuộc tấn công gây tò mò nhất trong quý này cũng liên quan đến ngành công nghiệp giải trí và game. Tội phạm không gian mạng đã tấn công một sòng bạc của Mỹ thông qua một bể cá thông minh. Nó không liên quan gì đến các cuộc tấn công DDoS, nhưng điều thú vị là bọn tội phạm đã vượt qua được máy tính lớn và ăn cắp dữ liệu bí mật 100GB từ tổ chức, mặc dù bể cá được cài đặt trên VPN riêng. Rất có thể trong tương lai gần, lĩnh vực giải trí và game sẽ ngang bằng với lĩnh vực tài chính về phạm vi và sự khéo léo của các cuộc tấn công quy mô lớn.

1. Xu hướng Quý

Xét về xu hướng, có một hướng mới cho các cuộc tấn công liên quan đến các loại tiền tệ mới hiện nay. Các cuộc tấn công ngày càng nhiều được nhắm mục tiêu vào các nền tảng tiền ICO – một loại kêu gọi vốn cộng đồng. Vì công nghệ blockchain cho phép các giao dịch được tiến hành an toàn, ICO đang nhanh chóng trở nên nổi tiếng. Nhưng cũng có những rủi ro: với sự tăng trưởng nhanh chón và doanh thu ngày càng tăng của các loại tiền tệ, các nền tảng này sẽ bị tấn công mạng, kể cả các cuộc tấn công DDoS. Độ phủ rộng rãi của nền tảng này đảm bảo các giao dịch tin cậy và an toàn, các cuộc tấn công DDoS lợi dụng chúng để phá vỡ tính hoạt động của dịch vụ và làm mất uy tín của nó, thậm chí tệ hơn là tạo ra một smokescreen cho các loại tấn công tinh vi hơn.

Một chi tiết khác của Quý này là sự gia tăng tỷ lệ các cuộc tấn công hỗn hợp, đa thành phần (SYN + TCP Connect + HTTP-Flood + UDP). Như đã dự báo trước đây, hình thức này đang dần phổ biến.

2. Thống kê Quý 3

- Tài nguyên ở 98 quốc gia bị tấn công vào quý 3 năm 2017, so với 86 trong Quý 2 năm 2017.

- Như trong quý 2, khoảng một nửa số vụ tấn công (51,56%) bắt nguồn từ Trung Quốc

- Trung Quốc, Mỹ và Hàn Quốc vẫn là những cái tên dẫn đầu về số lượng tấn công và số mục tiêu. Theo số lượng các máy chủ C&C được báo cáo, các quốc  gia này đều thuộc Top 3, mặc dù Hàn Quốc lần đầu tiên được xếp vào hạng này.

- Cuộc tấn công DDoS dài nhất là 215 giờ, giảm 28% so với Quý 2. Đồng thời, tỷ lệ các cuộc tấn công kéo dài dưới 50 giờ vẫn không thay đổi (99,6% trong quý 3 so với 99,7% trong quý 2).

- Như quý trước, tỷ lệ các cuộc tấn công trên TCP đã giảm đáng kể (từ 28,2% xuống 11,125) và ICPM (giảm từ 9,42% xuống 7,1%). Điều này làm tăng tỷ lệ SYN Flood và các cuộc tấn công HTTP.

- Tỷ lệ các botnet Linux tiếp tục phát triển. Các botnet như vậy đã gây ra 69,62% các vụ tấn công trong Quý 3 so với 51,23% trong Quý 2.

Các khu vực bị tấn công

Các cuộc tấn công DDoS được đăng ký tại 98 quốc gia trong quý 3, trong đó số lượng các cuộc tán công lớn nhất là nhằm vào Trung Quốc (chiếm 63,30% của tất cả các cuộc tấn công),  cao hơn 5.3 p.p so với quý trước. Hàn Quốc giảm từ 14,17% xuống 8,70%, di chuyển xuống vị trí thứ 3. Mỹ đứng thứ 2, mặc dù tỷ lệ tấn công bắt nguồn từ nước này giảm từ 14,03% xuống còn 12,98%.

Top 10 chiếm tới 93,56% tổng số vụ tấn công. Đức (1,24%) lại bước vào top 10, thay thế Ý trong bảng xếp hạng. HongKong (1,31%) giảm từ 4 xuống 7, mất 1.07 p.p. Nga (1.58%) tăng 0.35 p.p. và lại một lần nữa đứng ở vị trí thứ tư. Vương quốc Anh vẫn giữ vị trí thứ năm trong khi tỷ lệ này của Hà Lan tăng từ 0,84% lên 1,31%, chuyển sang thứ sáu.

 

91.27% cuộc tấn công đều nhằm vào những quốc gia thuộc top 10.

 

Trung Quốc vẫn đứng ở vị trí đầu tiên: 51,56% của tất cả các mục tiêu đã được đặt trên lãnh thổ của đất nước, tăng 4,14 p.p so với Quý 2. Đồng thời, Mỹ và Hàn Quốc đứng thứ hai và thứ ba tương ứng,  mặc dù tỷ lệ mục tiêu trên lãnh thổ của cả hai nước giảm đáng kể: từ 18,63% xuống 17,33% ở Mỹ, và từ 16,35% xuống 11,11% ở Hàn Quốc .

Tỷ lệ các mục tiêu đặt tại lãnh thổ của Nga đã tăng từ 1,33% trong Q2 lên 2,24% trong Q3, trong đó Nga đã tăng lên từ vị trí thứ bảy đến thứ tư. Australia và Italy đứng đầu top 10 và được thay thế bởi Pháp (1.43%) và Đức (1.65%).

Tần suất các cuộc tấn công DDoS

Số lượng các cuộc tấn công mỗi ngày dao động từ 296 (24 tháng 7) đến 1508 (26 tháng 9) trong quý 3 năm 2017. Số lượng đỉnh được đăng ký vào ngày 27 tháng 7 (1.399) và 24 tháng 9 (1.497). Một ngày suy thoái tương đối đã được đăng ký vào ngày 28 tháng 7 (300), 31 Tháng Năm (240), và ngày 25 tháng 9 (297).

 

Trong quý 3 năm 2017, thứ hai là ngày yên tĩnh nhất cho các cuộc tấn công DDoS (10.39% so với 11.78% trong quý trước), trong khi thứ năm trở thành ngày bận rộn nhất (17.54%). Lãnh đạo quý trước, thứ bảy, đứng thứ hai (15.59%) tiếp theo là chủ nhật (14.89%) và thứ ba (14.79%).

 

Các hình thức và thời gian tấn công DDoS

Như trong quý trước, số lượng các cuộc tấn công SYN DDoS tiếp tục tăng, từ 53,26% lên 60,43% vào quý 3 năm 2017. Đồng thời, tỷ lệ các cuộc tấn công TCP DDoS đã giảm mạnh từ 18,18% xuống 11,19%, không ảnh hưởng đến vị trí thứ hai trong đánh giá cho loại tấn công này. Cả hai cuộc tấn công UDP và ICMP đều trở nên khá hiếm: tỷ lệ của họ giảm từ 11,91% xuống 10,15% và từ 9,38% xuống 7,08%. Trong khi đó, sự phổ biến của các cuộc tấn công HTTP đã tăng từ 7,27% lên 11,6%, và xếp thứ ba.

 

Số lượng các cuộc tấn công dài hạn hầu như không thay đổi so với quý trước: 0,02% các cuộc tấn công kéo dài hơn 150 giờ (vs 0,01%). Cuộc tấn công dài nhất kéo dài trong 215 giờ, ngắn hơn 62 giờ so với kỷ lục trong Q2. Đồng thời, tỷ lệ các cuộc tấn công kéo dài 4 tiếng đồng hồ đã giảm từ 85,93% trong quý 2 xuống 76,09% trong quý 3. Như vậy, tỷ lệ các cuộc tấn công kéo dài từ 5 đến 49 và từ 50 đến 99 giờ tăng, chiếm 23,55% và 0,3% của tất cả các cuộc tấn công tương ứng.

 

Máy chủ C & C và các loại botnet

3 quốc gia có số lượng máy chủ C & C lớn nhất vẫn không thay đổi so với Q2: Hàn Quốc, chiếm 49,11% đến 50,16%, đứng đầu. Mỹ giữ vị trí thứ hai (16.94% so với 16.07% trong Q2). Trung Quốc vẫn đứng thứ ba mặc dù tỷ trọng của nó giảm từ 7,74% xuống 5,86%. 3 nước đứng đầu đã chiếm 72,96% tổng số máy chủ C & C, chỉ tăng nhẹ so với quý trước.

Top 10 bao gồm Italy (1.63%) và Anh (0.98%), đã lật đổ Canada và Đức trong Q3. So với quý 2 năm 2017, thị phần của Pháp tăng lên (2,93% so với 1,79%) và Nga (tăng 3,58% so với 2,68%).

 

Trong Q3, các botnet dựa trên Linux tiếp tục giành lại vị trí từ Windows: chia sẻ các botnet được phát hiện trên Linux bao gồm 69,62%, trong khi tỷ lệ phần trăm botnet trên Windows giảm xuống 30,38%.

 

Xem thêm Báo cáo tấn công từ chối dịch vụ DDoS Quý 2/2017 tại ĐÂY.

 

Tin liên quan

04/07/2023

Cảm ơn bạn đã đăng ký nhận tư vấn chương trình trải nghiệm Viettel CyberWork

Cảm ơn bạn đã đăng ký nhận tư vấn chương trình trải nghiệm Viettel CyberWork

17/05/2023

ĐĂNG KÝ THAM DỰ TALKSHOW “MULTI-CLOUD AND MULTI-CDN FOR MULTI DEMAND”

Tham dự talkshow “Multi-Cloud and Multi-CDN for Multi Demand”, các khách mời sẽ cùng chúng tôi tìm hiểu rõ hơn về chiến lược Multi-cloud và Multi-CDN, cũng như cách ứng dụng và triển khai các xu hướng này trong nhiều lĩnh vực, ngành nghề kinh doanh khác nhau.

10/05/2023

Hệ thống Cloud của Viettel IDC đạt tiêu chuẩn an toàn thông tin cấp độ 3

Viettel IDC vừa hoàn thành lấy hồ sơ an toàn thông tin cấp độ 3 cho hệ thống Cloud, đáp ứng Thông tư số 12/2022/TT-BTTTT quy định chi tiết và hướng dẫn Nghị định số 85/2016/NĐ-CP của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

04/05/2023

Viettel IDC đồng hành cung cấp hạ tầng cloud cho KardiaChain, ưu tiên đáp ứng hạ tầng thúc đẩy công nghệ blockchain tại Việt Nam

Mới đây, Viettel IDC và KardiaChain đã chính thức đặt bút kí kết hợp đồng dịch vụ Viettel Dedicated Private Cloud (vDPC) - dịch vụ điện toán đám mây cung cấp gói tài nguyên tính toán, lưu trữ và truyền dẫn với hạ tầng riêng biệt.

17/03/2023

Hội nghị Data Center & Cloud Infrastructure Summit Vietnam 2023 thu hút hơn 1.900 người tham dự

Với hơn 1.900 người tham dự, hội nghị Data Center & Cloud Infrastructure Summit Vietnam 2023 do Viettel IDC tổ chức đã cho thấy sức nóng của sự kiện công nghệ hàng đầu trong lĩnh vực trung tâm dữ liệu và điện toán đám mây.

30/11/2022

Thư mời tham gia đề xuất thu mua thanh lý tài sản hỏng, cũ 2022

Viettel IDC mời Quý Công ty tham gia đề xuất thu mua thanh lý tài sản hỏng, cũ 2022 của Viettel IDC.

22/11/2022

Thư mời tham gia đề xuất thu mua thanh lý thiết bị Tháng 11/2022

Viettel IDC mời Quý Công ty tham gia đề xuất thu mua thiết bị thanh lý Tháng 11/2022 của Viettel IDC.

08/11/2022

Thư mời tham gia đề xuất thực hiện tư vấn lập báo cáo Nghiên cứu khả thi và thẩm tra báo cáo nghiên cứu khả thi cho các dự án của Viettel IDC

Viettel IDC mời Quý Công ty tham gia đề xuất thực hiện tư vấn lập báo cáo Nghiên cứu khả thi và thẩm tra báo cáo nghiên cứu khả thi cho các dự án của Viettel IDC

14/10/2022

​Viettel ra mắt hệ sinh thái Cloud góp phần kiến tạo hạ tầng số Việt Nam

Hà Nội, ngày 14/10/2022 - Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel) chính thức ra mắt hệ sinh thái Viettel Cloud, khẳng định là nhà cung cấp dịch vụ Điện toán đám mây lớn nhất Việt Nam và đảm bảo toàn trình các cấu phần của một hệ sinh thái Cloud. Sự kiện này có ý nghĩa trong chiến lược chuyển đổi số quan trọng của Việt Nam.

01/11/2022

Viettel IDC đón nhận danh hiệu Top 5 thương hiệu tiêu biểu Châu Á - Thái Bình Dương 2022

Tạp chí Kinh tế Châu Á - Thái Bình Dương và Hiệp hội Thông tin Công nghiệp Châu Á (AIPA) đã trao danh hiệu Top 5 Thương hiệu tiêu biểu Châu Á – Thái Bình Dương 2022 cho Viettel IDC và Top 5 Nhà lãnh đạo tiêu biểu Châu Á – Thái Bình Dương 2022 cho ông Hoàng Văn Ngọc - CEO Viettel IDC.

DMCA.com Protection Status
// doi link