Gia tăng tấn công DDoS nhằm vào hạ tầng của Amazon và các nhà mạng

Theo hãng bảo mật Radware, 30 ngày qua đã chứng kiến ​​sự gia tăng các hoạt động tấn công từ chối dịch vụ phân tán (DDoS), trong đó, một số chiến dịch của tội phạm mạng nhằm vào các tập đoàn lớn.

Các nhà nghiên cứu tại Radware cho biết danh sách nạn nhân bao gồm các tên tuổi lớn như Amazon, công ty con của IBM là SoftLayer, Eurobet Italia SRL, Korea Telecom, HZ Hosting và SK Broadband.

Cuộc tấn công đầu tiên diễn ra vào tháng 10 đã khiến mạng của Eurobet, một trang web cá cược thể thao trực tuyến, phải ngừng hoạt động. Eurobet đã phải hứng chịu một chiến dịch tấn công kéo dài nhiều ngày.

Cuối tháng 10 vừa qua, một loạt các cuộc tấn công DDoS khác diễn ra nhắm vào nhiều công ty trên khắp thế giới. Theo Radware, đây là một chiến dịch đa vector quy mô lớn nhắm vào ngành công nghiệp tài chính và viễn thông ở Ý, Hàn Quốc và Thổ Nhĩ Kỳ.

“Các cuộc tấn công đã được cộng đồng mạng cảnh báo do tính chất phản xạ và khuếch đại của một trong các vectơ tấn công”, các chuyên gia cho biết.

Theo đó, trong khoảng thời gian 24 giờ, hàng triệu gói TCP-SYN từ gần 7.000 địa chỉ IP nguồn riêng biệt thuộc cơ sở hạ tầng của nhà cung cấp Thổ Nhĩ Kỳ được phát hiện trên toàn cầu và nhắm mục tiêu vào các cổng 22, 25, 53, 80 và 443.

Hoạt động này được cho là sự tiếp nối của các cuộc tấn công phản xạ TCP vào năm 2018. Reflected Attack hay còn gọi là tấn công ánh xạ được thực hiện bằng cách gửi càng nhiều gói tin với địa chỉ giả mạo đến càng nhiều máy tính càng tốt. Các máy tính nhận được các gói tin sẽ trả lời, nhưng tin trả lời này tới địa chỉ nạn nhân bị giả mạo.

Tất nhiên các máy tính này sẽ cố gắng trả lời ngay lập tức làm trang web bị quá tải đến khi tài nguyên máy chủ bị cạn kiệt. Đó là lý do tại sao các mạng công ty và viễn thông lớn thường là mục tiêu của loại hình tấn công này, các nhà nghiên cứu Radware giải thích.

Cụ thể, loại hình tấn công được sử dụng trong các tấn công DDoS gần đây là tấn công phản xạ TCP SYN-ACK. Trong trường hợp này, kẻ tấn công gửi gói tin SYN giả mạo, với IP nguồn ban đầu được thay thế bằng địa chỉ IP của nạn nhân, đến một dải địa chỉ IP phản xạ ngẫu nhiên hoặc được chọn trước. Các dịch vụ tại địa chỉ phản xạ trả lời bằng gói SYN-ACK đến địa chỉ nạn nhân giả mạo. Nếu nạn nhân không phản hồi, nó sẽ tiếp tục truyền lại gói SYN-ACK, khiến một khối lượng dữ liệu vô cùng lớn được gửi đến máy chủ mục tiêu và đánh sập nó. Mức khuếch đại phụ thuộc vào số lần truyền lại SYN-ACK của dịch vụ phản xạ, có thể được xác định bởi kẻ tấn công.

Không chỉ các nạn nhân bị nhắm mục tiêu, thường là các tập đoàn lớn và được bảo vệ tốt, phải đối phó với việc quá tải lưu lượng TCP mà cả các doanh nghiệp nhỏ hơn cũng như người dùng cá nhân cũng phải hứng chịu.

Trong các cuộc tấn công phản xạ TCP gần đây, công ty Radware cho biết những kẻ tấn công đã tận dụng phần lớn không gian địa chỉ IPv4 trên Internet làm bộ phản xạ, với nguồn giả mạo có nguồn gốc từ bot hoặc máy chủ được lưu trữ trên mạng con và không có xác minh địa chỉ nguồn IP.