Tấn công gây gián đoạn dịch vụ: Thay đổi và kết hợp nhiều hình thức

Tấn công DDoS (Distributed Denial of Service - tấn công từ chối dịch vụ) là một hình thức tấn công mạng phổ biến, nhắm vào các trang web và máy chủ qua việc gây gián đoạn các dịch vụ mạng, và cạn kiệt tài nguyên thiết bị mạng lẫn băng thông. Tin tặc thường sử dụng các kỹ thuật gửi lưu lượng truy cập lỗi để gây tràn site, khi đó trên server sẽ tràn ngập lệnh truy cập từ lượng kết nối khổng lồ, làm trang web hoạt động kém đi hoặc dẫn đến tình trạng ngoại tuyến hoàn toàn. Đối tượng chính mà các cuộc tấn công DDoS nhắm đến là các cơ quan nhà nước, tổ chức tài chính, dịch vụ công nghệ thông tin, dịch vụ giải trí...

Về bản chất, các cuộc tấn công DDoS không đánh cắp thông tin song chúng khiến hệ thống đình trệ hoạt động, gây thiệt hại về kinh tế cũng như danh tiếng của tổ chức. Thời gian ngưng trệ càng lâu thì mức độ thiệt hại càng tăng. Bên cạnh mục đích đánh sập hệ thống, tin tặc còn sử dụng các cuộc tấn công DDoS để đánh lạc hướng đội ngũ bảo mật nhằm dễ dàng xâm nhập hệ thống, từ đó giành quyền kiểm soát hoặc trích xuất thông tin.

Theo báo cáo, trong quý I, các tổ chức bị tấn công DDoS ở Việt Nam chủ yếu thuộc lĩnh vực tài chính. Đến quý II, các cuộc tấn công với tần suất dày đặc chủ yếu nhắm đến các tổ chức trong lĩnh vực giáo dục, ngay trong thời điểm tuyển sinh quan trọng. Bên cạnh đó, các công ty về công nghệ thông tin hay các cơ quan nhà nước cũng là những đối tượng thường xuyên bị nhắm tới.

Sự gia tăng số lượng các vụ tấn công DDoS bắt nguồn từ sự thay đổi về hình thức tấn công. Thay vì thực hiện một số lượng ít các cuộc tấn công có cường độ cực lớn (>10Gbps, 5Mbps) vào một IP xác định như trước đây, hầu hết tin tặc hiện nay sử dụng hình thức tấn công Carpet Bomb, sinh ra rất nhiều các cuộc tấn công với cường độ trung bình và nhỏ tới toàn bộ các IP của một dải IP mục tiêu tại cùng một thời điểm. Do vậy, trong sáu tháng đầu năm 2024, số lượng các cuộc tấn công chiếm băng thông dưới 1Gbps đã tăng gấp ba lần so với cùng kỳ năm 2023.

Mục đích của kiểu tấn công này là để vượt qua các cơ chế bảo vệ tấn công theo ngưỡng (threshold based), đồng thời vẫn có khả năng gây nghẽn băng thông do tổng dung lượng các cuộc tấn công nhỏ lẻ vào mỗi IP có thể lên tới hàng chục, hàng trăm Gbps.

Bên cạnh đó, tin tặc cũng kết hợp nhiều hình thức tấn công phức tạp khác như Hit-and-Run, tấn công trong thời gian rất ngắn tới mục tiêu rồi ngưng, sau một khoảng thời gian lại tiếp tục tấn công tiếp, quá trình này lặp lại liên tục xuyên suốt nhiều ngày. Mục đích là lợi dụng khoảng thời gian từ khi cuộc tấn công bắt đầu đến khi hệ thống chống DDoS nhận diện và bảo vệ cho từng IP, tin tặc sẽ liên tục đạt được mục tiêu gây ảnh hưởng dịch vụ mà không bị hệ thống chống DDoS ngăn chặn kịp thời.

Một hình thức tấn công khác cũng có xu hướng gia tăng là lợi dụng giao thức DNS (Domain Name System – hệ thống phân giải tên miền), gây ảnh hưởng tới dịch vụ DNS của khách hàng, gián tiếp gây cao tải các thành phần mạng trung gian như tường lửa hay thậm chí chính máy chủ DNS. Do lợi dụng các máy chủ DNS public internet làm bàn đạp nên các nguồn của các truy vấn DNS đều là từ các IP thật, gây ra thách thức lớn trong quá trình bảo vệ hệ thống trước các cuộc tấn công.

Những vụ tấn công DDoS đã sinh ra lượng băng thông cực lớn, làm cạn kiệt tài nguyên thiết bị mạng, gây nghẽn đường truyền, ảnh hưởng đến hoạt động của doanh nghiệp.

Trước thực trạng này, Báo cáo của Viettel khuyến nghị các tổ chức, doanh nghiệp nên rà soát các hệ thống dự phòng, đảm bảo tách biệt với các hệ thống chính, có khả năng khôi phục khi hệ thống chính gặp các sự cố nghiêm trọng. Doanh nghiệp cũng cần rà soát, siết quyền truy cập và quản trị các máy chủ và hệ thống kiểm soát quyền truy cập, bổ sung cơ chế xác thực đa nhân tố, thường xuyên cập nhật bản vá các ứng dụng bề mặt internet.