Một cuộc tấn công từ chối dịch vụ (tấn công DoS - viết tắt của Denial of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - viết tắt của Distributed Denial of Service) là nỗ lực làm cho một hệ thống internet bị chậm hoặc bị ngừng hoạt động hoàn toàn.
Các cuộc tấn công DDoS diễn ra hàng ngày trên internet. Các dịch vụ internet của tổ chức/cá nhân dù lớn hay nhỏ đều có nguy cơ bị chậm hoặc dừng hoạt động bởi một cuộc tấn công DDoS. Hơn nữa, các cuộc tấn công DDoS còn được tội phạm mạng dùng để đánh lạc hướng chuyên gia an ninh mạng nhằm tiến hành những chiến dịch tấn công xâm nhập, đánh cắp dữ liệu...
Các cuộc tấn công DDoS ngày càng diễn ra thường xuyên và có quy mô lớn hơn
Cuộc tấn công DoS đầu tiên diễn ra vào năm 1996 và hãng Panix là nạn nhân. Panix, một trong những nhà cung cấp dịch vụ internet lâu đời nhất, đã bị tấn công bởi SYN, một kỹ thuật tấn công DoS cổ điển. Từ đó tới nay, vô số các cuộc tấn công DoS, DDoS đã diễn ra với quy mô ngày càng lớn.
Theo Cisco, các cuộc tấn công DDoS sẽ xuất hiện ngày càng nhiều. Dự đoán, số vụ tấn công DDoS sẽ tăng gấp đôi, từ con số 7,9 triệu vụ được phát hiện vào năm 2018 tới hơn 15 triệu vụ trong năm 2023.
Ngày nay, quy mô các vụ DDoS ngày càng tăng do hacker có điều kiện tạo ra các mạng botnet lớn chưa từng thấy. Botnet là "đội quân" các thiết bị được sử dụng để tạo ra lưu lượng truy cập phục vụ việc tấn công DDoS. Botnet có thể được tạo ra bằng cách hack thiết bị của người dùng.
Thông thường, một cuộc tấn công DDoS với tốc độ 1Gbps cũng đã đủ "hạ gục" hầu hết các tổ chức trên internet. Thế nhưng giờ đây chúng ta đang phải đối mặt với các cuộc tấn công DDoS với tốc độ trên 1Tbps, được tạo ra bởi hàng trăm nghìn thậm chí hàng triệu botnet.
Trung bình, mỗi giờ ngừng truy cập internet các tổ chức/doanh nghiệp sẽ thiệt hại khoảng từ 300.000 tới 1 triệu USD. Vì thế, chỉ cần một cuộc tấn công DDoS ngắn cũng đã có sức tàn phá nghiêm trọng.
1. Vụ tấn công vào khách hàng của Microsoft cuối năm 2021
Microsoft vừa cho biết rằng họ đã bảo vệ thành công khách hàng sử dụng dịch vụ Azure tại châu Á trước cuộc tấn công DDoS có thông lượng lên tới 3,47 terabit mỗi giây (Tbps). Trước đó, nền tảng Microsoft Azure DDoS cũng đã chặn hai cuộc tấn công DDoS khác nhắm vào các khách hàng châu Á với thông lượng lần lượt là 3,25 Tbps và 2,55 Tbps.
Với mức 3,47 Tbps, cuộc tấn công DDoS nhắm vào khách hàng của Microsoft được ghi nhận là "Cuộc tấn công lớn nhất trong lịch sử từng được báo cáo".
Theo Microsoft,"đây là cuộc tấn công phân tán bắt nguồn từ khoảng 10.000 nguồn và từ nhiều quốc gia trên toàn cầu, bao gồm Mỹ, Trung Quốc, Hàn Quốc, Nga, Thái Lan, Ấn Độ, Việt Nam, Iran, Indonesia và Đài Bắc Trung Hoa".
Xem thêm về cuộc tấn công DDoS nhắm vào khách hàng sử dụng dịch vụ Azure của Microsoft:
2. Vụ tấn công vào Google năm 2017
Đội ngũ Google Cloud team mới đây đã tiết lộ những thông tin chính thức đầu tiên về một cuộc tấn công DDoS lớn chưa từng có, nhắm mục tiêu trực tiếp đến các dịch vụ của Google và diễn ra trong khoảng thời gian tháng 9 năm 2017. Cuộc tấn công DDoS này có độ lớn ước tính lên tới 2,54Tbps, khiến nó trở thành cuộc tấn công DDoS đáng sợ nhất từng được ghi nhận trong lịch sử phát triển internet cho đến thời điểm hiện tại.
Xem thêm về vụ tấn công DDoS vào Google:
3. Cuộc tấn công DDoS vào AWS năm 2020
Amazon Web Services (AWS), dịch vụ điện toán đám mây lớn nhất thế giới hiện tại, đã bị tấn công DDoS vào tháng 02/2020. Đây là cuộc tấn công DDoS nghiêm trọng nhất trong lịch sử và nhắm vào một khách hàng của AWS.
Dựa vào kỹ thuật CLDAP, kẻ tấn công đã khuếch đại lượng dữ liệu được gửi tới địa chỉ IP của nạn nhân lên từ 56 tới 70 lần. Cuộc tấn công kéo dài trong 3 ngày và lúc đỉnh điểm lưu lượng tấn công đạt 2.3 Tbps, một con số khủng khiếp.
May mắn là Amazon đã có những biện pháp ngăn chặn để giảm thiểu thiệt hại tới mức thấp nhất. Tuy nhiên, quy mô của cuộc tấn công có thể khiến các khách hàng suy nghĩ lại về việc chọn lựa AWS ảnh hưởng tới doanh thu của Amazon sau này.
4. Tấn công DDoS nhắm vào Brian Krebs và OVH năm 2016
Ngày 20/09/2016, blog của chuyên gia an ninh mạng Brian Krebs đã bị tấn công bởi một chiến dịch DDoS với tốc độ 620Gbps. Lúc đó, đây là cuộc tấn công DDoS lớn nhất từng được ghi nhận. Từ tháng 7/2012 tới tháng 09/2016, trang blog của Krebs đã hứng chịu 269 cuộc tấn công DDoS nhưng đây là cuộc tấn công lớn nhất, lớn gấp 3 lần so với kỷ lục lúc bấy giờ.
Nguồn gốc của cuộc tấn công tới từ mạng botnet Mirai. Ở giai đoạn đỉnh điểm cuối năm 2016, mạng botnet Mirai bao gồm hơn 600.000 thiết bị Internet of Thing (IoT) bị hacker xâm nhập và kiểm soát như router, camera... Người ta phát hiện ra Mirai vào tháng 8/2016 và cuộc tấn công nhắm vào Krebs là trận "ra quân" tổng lực của nó.
Cuộc tấn công tiếp theo của Mirai nhắm vào OVH, một trong những nhà cung cấp dịch vụ lưu trữ lớn nhất châu Âu. OVH lưu trữ khoảng 18 triệu ứng dụng cho hơn 1 triệu khách hàng. Cuộc tấn công này nhắm vào một khách hàng của OVH, được thực hiện bởi khoảng 145.000 botnet và tạo ra lưu lượng truy cập 1.1Tbps, kéo dài trong 7 ngày.
Botnet Mirai là một bước tiến quan trọng về sức mạnh của một cuộc tấn công DDoS. Quy mô và độ phức tạp của mạng Mirai chưa từng xuất hiện trước đây. Độ lớn và mục tiêu của Mirai cũng khác hẳn so với các cuộc tấn công DDoS trước đó.
5. Tấn công DDoS vào Dyn năm 2016
Trước khi nói về cuộc tấn công DDoS bằng botnet Mirai thứ 3, chúng ta sẽ điểm qua một sự kiện đáng chú ý của năm 2016. Ngày 30/09, một người tự xưng là tác giả của Mirai đã chia sẻ mã nguồn của phần mềm này trên các diễn đàn hacker khác nhau. Từ đó trở đi, nền tảng Mirai DDoS đã được nhân bản và đột biến thành nhiều dạng khác nhau.
Ngày 21/10/2016, một nhà cung cấp dịch vụ tên miền (DNS) lớn, đã bị tấn công bởi một trận "lũ lụt" lưu lượng truy cập lên tới 1Tbps, kỷ lục mới cho một cuộc tấn công DDoS. Có một số bằng chứng cho thấy cuộc tấn công DDoS này đạt tốc độ đỉnh điểm lên tới 1.5Tbps.
Những cơn "sóng thần" lưu lượng truy cập đã đánh sập các dịch vụ của Dyn, khiến một số trang web nổi tiếng như GitHub, HBO, Twitter, Reddit, PayPal, Netflix và Airbnb không thể truy cập được. Một phần của cuộc tấn công bao gồm hàng triệu IP riêng rẽ được liên kết với mạng botnet Mirai.
Việc giảm thiểu thiệt hại trở nên khó khăn hơn bởi Mirai hỗ trợ các cuộc tấn công phức tạp, đa vector. Ngoài ra, do mã nguồn Mirai được công khai nên kể cả những người có kỹ năng IT trung bình cũng có thể tạo ra botnet và thực hiện tấn công DDoS mà chẳng tốn nhiều công sức.
6. Vụ tấn công DDoS vào 6 ngân hàng trong năm 2012
Ngày 12/03/2012, 6 ngân hàng của Mỹ đồng thời bị tấn công DDoS. Các ngân hàng này bao gồm Bank of America, JPMorgan Chase, U.S. Bank, Citigroup, Wells Fargo và PNC Bank. Các cuộc tấn công được tiến hành bởi hàng trăm máy chủ bị chiếm quyền thuộc mạng botnet có tên Brobot. Mỗi cuộc tấn công tạo ra tốc độ hơn 60Gbps.
Thời điểm ấy, những cuộc tấn công này nổi bật ở sự bền bỉ của chúng. Thay vì cố gắng thực hiện một cuộc tấn công sau đó rút lui, những kẻ đứng sau đã tấn công mục tiêu bằng vô số phương pháp khác nhau nhằm tìm ra giải pháp hiệu quả nhất. Vì thế, các ngân hàng dù đã được trang bị những cách đối phó khác nhau vẫn phải bó tay.
Các cuộc tấn công này tác động rất lớn tới những ngân hàng nạn nhân. Chúng gây ra thiệt hại về doanh thu, chi phí khắc phục và các vấn đề khác liên quan tới dịch vụ khách hàng cũng như thương hiệu và hình ảnh của các ngân hàng.
7. Cuộc tấn công DDoS nhắm vào GitHub năm 2018
Vào ngày 28/02/2018, GitHub, một nền tảng dành cho các nhà phát triển phần mềm, đã bị tấn công DDoS với tốc độ lên tới 1.35Tbps kéo dài trong khoảng 20 phút. Theo GitHub, lưu lượng truy cập bắt nguồn từ hơn 1 nghìn hệ thống tự động (ASNs) khác nhau trên hàng chục nghìn endpoint đơn lẻ.
Mặc dù đã chuẩn bị kỹ lưỡng cho các cuộc tấn công DDoS nhưng hệ thống phòng thủ của GitHub vẫn bị thất bại. GitHub không nghĩ rằng sẽ có một cuộc tấn công quy mô lớn như vậy được triển khai nhắm vào họ.
Cuộc tấn công vào GitHub đáng chú ý vì có quy mô lớn và được dàn dựng bằng cách khai thác một lệnh tiêu chuẩn của Memcached, hệ thống caching cơ sở dữ liệu được dùng cho việc tăng tốc trang web và mạng. Kỹ thuật tấn công DDoS dựa trên Memcached đặc biệt hiệu quả vì khả năng khuếch đại lưu lượng truy cập đáng kinh ngạc, lên tới 51.000 lần.
Mời các bạn tìm hiểu thêm về DDoS qua các bài viết dưới đây: