Gửi lúc: 29/06/2018 09:10:45
Bookmark and Share

Tình hình tấn công DDoS Quý I/2018

Mới đây, hãng bảo mật Kaspersky đã phát hành bản báo cáo về tình hình tấn công DDoS trong Quý I/2018.

Xu hướng tấn công Quý I/2018 

Nổi bật trong các hình thức tấn công DDoS trong giai đoạn này là việc lợi dụng lỗ hổng của máy chủ memcached. Tuy nhiên theo đánh giá của các chuyên gia, hình thức tấn công này sẽ không phổ biến trong thời gian dài, bởi các quản trị viên sẽ nhanh chóng phát hiện và cập nhật các bản vá cho các máy chủ memcached. 

Cuối tháng 2/2018, Kaspersky DDoS Protection đã được một công ty liên hệ thông báo về việc băng thông kênh truyền thông của họ tăng bất thường và nghi ngờ đó là một cuộc tấn công DDoS. Ban đầu, cuộc tấn công có những biểu hiện giống một cuộc tấn công DDoS: các kênh truyền bị nghẽn, người dùng không thể sử dụng các dịch vụ của công ty.... Tuy nhiên, các chuyên gia Kaspersky đã điều tra và phát hiện một máy chủ CentOS Linux có lỗ hổng bảo mật trong dịch vụ memcached. Kẻ tấn công đã lợi dụng máy chủ này để khuếch đại các truy vấn phản hồi. Bên cạnh đó, một xu hướng khác là các cuộc tấn công DDoS có sự hỗ trợ của mạng botnet. 

Để có được thông tin này, các chuyên gia của Kaspersky Lab đã sử dụng hệ thống DDoS Intelligence để theo dõi được hành động của các mạng botnet trên phạm vi toàn cầu. Hệ thống DDoS Intelligence là một phần của giải pháp ngăn chặn tấn công DDoS có tên Kaspersky DDoS Protection, có khả năng ngăn chặn và phân tích các lệnh điều khiển được gửi từ máy chủ C&C đến các bot.

Một số diễn biến chính 

Trong Quý 1, các cuộc tấn công DDoS nhắm vào 79 quốc gia (giảm 5 quốc gia so với Quý IV/2017). Tập trung chủ yếu vào các nước Trung Quốc 59,42% (tăng 0,24%), Mỹ 17,83% (tăng 1,83%), Hàn Quốc 8% (giảm 2,21%). Tấn công DDoS gia tăng tại Hồng Kông (tăng 3%) và Nhật Bản (tăng 0,66%). Đáng lưu ý, Hà Lan và Việt Nam đã rời khỏi nhóm 10 quốc gia có số lượng các cuộc tấn công DDoS nhiều nhất trên thế giới. 


Hình 1. Nhóm 10 quốc gia bị tấn công DDoS nhiều nhất thế giới trong giai đoạn Quý IV/2017 - Quý I/2018

Hầu hết các cuộc tấn công DDoS xảy ra vào thời điểm tháng 1 và tháng 3/2018. Đáng chú ý là ngày 19/1 với 666 cuộc và ngày 7/3 với 687 cuộc tấn công. Các cuộc tấn công thường diễn ra vào các ngày trong tuần, ngày Chủ nhật thấp nhất với tỷ lệ 11,35%. 


Hình 2. Tấn công DDoS vào các ngày trong tuần QIV/2017 và QI/2018

Số lượng các cuộc tấn công sử dụng phương thức SYN Flood tăng nhẹ từ 55,63% lên 57,3%. Tỷ lệ các cuộc tấn công sử dụng giao thức ICMP tăng gần gấp đôi từ 3,4% lên 6,1%. 


Hình 3. Các loại tấn công DDoS trong QI/2018

Sau một thời gian lắng xuống cuối năm 2017, vào Quý I/2018, các cuộc tấn công DDoS trong thời gian dài đã trở lại. Trong thực tế ghi nhận, cuộc tấn công DdoS dài nhất là 297 giờ. Tỷ lệ các cuộc tấn công kéo dài (trên 50 giờ) tăng gấp 6 lần (từ 0,10% lên 0,63%). Tỷ lệ các cuộc tấn công trong thời gian ngắn (dưới 9 giờ) cũng tăng nhẹ (từ 85,5% lên 91,47%). 


Hình 4. Thống kê các tấn công DDoS theo thời gian kéo dài trong Q IV/2017 và Q I/2018

Trong Quý I đã có sự thay đổi lớn về nhóm 10 quốc gia có số lượng máy chủ C&C lớn nhất thế giới. Cụ thể, Canada, Thổ Nhĩ Kỳ, Lithuania và Đan Mạch ra khỏi Top 10. Trong khi Ý, Hồng Kông, Đức và Anh có tên trong danh sách các nước có số lượng máy chủ C&C lớn nhất. Nhóm 3 nước đứng đầu vẫn không thay đổi nhiều: Hàn Quốc (30,92%), Mỹ (29,32%) và Trung Quốc (8,03%). 


Hình 5. 10 quốc gia có số lượng máy chủ C&C lớn nhất thế giới QIV/2017


Hình 6. 10 quốc gia có số lượng máy chủ C&C lớn nhất thế giới QI/2018 

Tỷ lệ bot hoạt động trên hệ điều hành Linux trong Quý I/2018 giảm nhẹ còn 66% so với 71% của Quý trước. Tuy nhiên, tỷ lệ bot hoạt động trên hệ điều hành Windows lại tăng từ 29% lên 34%. 


Hình 7. Tỷ lệ botnet Linux và Windows trong tấn công DDoS QIV/2017 và QI/2018 

Mr 0 (theo securelist.com)