Tấn công DDoS nhắm vào một nền tảng nội dung do người dùng tạo đã ghi nhận hơn 2,45 tỷ yêu cầu độc hại chỉ trong 5 giờ. Mẫu tấn công này cho thấy mối đe dọa mạng không còn phụ thuộc vào lưu lượng đột biến từ một nguồn duy nhất, mà được phân tán trên diện rộng để né tránh cơ chế phát hiện truyền thống.
Tấn công DDoS phân tán theo nhiều nguồn
Thay vì dựa vào brute-force hoặc một cụm IP dễ nhận diện, lưu lượng được phân bổ qua 1,2 triệu địa chỉ IP duy nhất. Mỗi nguồn chỉ gửi trung bình 1 yêu cầu mỗi 9 giây, khiến từng IP riêng lẻ khó bị xem là độc hại.
Cách triển khai này cho thấy điểm yếu của các cơ chế rate limiting truyền thống. Khi ngưỡng được đặt cố định theo từng IP, lưu lượng có thể bị “chia nhỏ” để duy trì áp lực tổng thể mà không vượt qua các giới hạn cục bộ.
Thông số kỹ thuật của chiến dịch
- Tổng số yêu cầu độc hại: Hơn 2,45 tỷ.
- Thời gian tấn công: 5 giờ.
- Đỉnh lưu lượng: 205.344 RPS.
- Mức duy trì trung bình: Khoảng 136.000 RPS.
- Số IP nguồn: 1,2 triệu.
- Số ASN tham gia: 16.402 autonomous systems.
Đặc điểm của lưu lượng trong cuộc tấn công DDoS
Quan sát lưu lượng cho thấy dạng wave-pattern thay vì một luồng dồn dập liên tục. Các khoảng ngắt ngắn được dùng để làm mới bộ đếm giới hạn tốc độ, sau đó lưu lượng được xoay vòng qua IP mới, user-agent khác và payload khác.
Kiểu điều phối này phản ánh một chiến dịch tấn công DDoS có khả năng kiểm soát nhịp độ để kiểm tra mẫu request nào có thể vượt qua cơ chế giảm thiểu. Trong từng phiên, tín hiệu nhận diện phía client cũng thay đổi liên tục, cho thấy công cụ tự động hóa chưa duy trì được một danh tính nhất quán.
Kỹ thuật né tránh phát hiện
- Phân tán lưu lượng: Chia nhỏ request trên số lượng IP rất lớn.
- Giữ tần suất thấp: Tránh vượt ngưỡng theo từng IP.
- Luân chuyển tham số: Thay đổi header, cookie và URL parameter.
- Tạo nhịp ngắt: Cho bộ đếm rate-limit có thời gian reset.
- Trộn hạ tầng: Kết hợp nhiều ASN và các nhà cung cấp cloud lớn để che giấu nguồn gốc lưu lượng.
Tấn công DDoS và hạn chế của cơ chế rate limiting
Trong chiến dịch này, top ASN chỉ chiếm 3% tổng lưu lượng. Cấu trúc phân bố phẳng như vậy làm giảm hiệu quả của việc chặn theo một nguồn hoặc một cụm mạng cụ thể, vì tác động lên tổng lưu lượng là không đáng kể.
Hạ tầng được trộn giữa các ASN hướng đến ẩn danh và các nền tảng cloud hợp pháp. Điều này khiến request độc hại dễ hòa lẫn vào lưu lượng egress bình thường từ dịch vụ đám mây, làm tăng độ khó cho hệ thống phát hiện tấn công.
Ví dụ về bối cảnh hạ tầng
- ASN hướng đến riêng tư: Một số nhà cung cấp được dùng song song với các dịch vụ cloud phổ biến.
- Cloud lớn: Cloudflare, AWS, Google.
- Tác động: Làm mờ ranh giới giữa lưu lượng hợp lệ và lưu lượng độc hại.
Phát hiện tấn công bằng phân tích hành vi
Biện pháp phòng thủ hiệu quả trong trường hợp này không dựa hoàn toàn vào ngưỡng tĩnh. Hệ thống phòng vệ đã dùng server-side fingerprinting, phân tích chuỗi phiên bất thường và đối chiếu threat intelligence để phát hiện IP có mức độ tin cậy thấp.
Cách tiếp cận này phù hợp với các cuộc tấn công mạng có phân tán rộng, vì việc đánh giá từng request riêng lẻ thường không đủ để nhận diện chiến dịch tổng thể. Thay vào đó, cần quan sát hành vi theo thời gian, theo session và theo nhiều nguồn.
Các tín hiệu phát hiện hữu ích
- Chuỗi phiên bất thường: Request sequence không nhất quán giữa các lần truy cập.
- Fingerprint thay đổi: Dấu hiệu nhận diện client thay đổi liên tục trong cùng phiên.
- Reputation thấp: IP có lịch sử xấu trong cơ sở dữ liệu threat intelligence.
- Mẫu lưu lượng theo nhịp: Xuất hiện các đợt tăng giảm đồng bộ.
Chiến lược giảm thiểu cho DDoS phân tán
Với tấn công DDoS dạng phân tán và tốc độ thấp trên từng nguồn, các ngưỡng tĩnh cần được thay bằng cơ chế đánh giá theo hành vi tổng hợp. Việc chỉ dựa vào per-IP rate limit sẽ không đủ khi request được chia nhỏ trên quy mô lớn.
Hệ thống bảo vệ nên kết hợp nhiều lớp tín hiệu, bao gồm fingerprint mạng, mẫu session, mức độ tin cậy của IP và biến động lưu lượng theo thời gian. Đây là nền tảng để phát hiện tấn công trong môi trường có lưu lượng hợp lệ lớn.
Điểm cần lưu ý trong triển khai phòng vệ
- Theo dõi theo thời gian: Không đánh giá request riêng lẻ.
- Phân tích nguồn: Đo lường phân bố theo ASN và dải IP.
- Áp dụng fingerprinting: Nhận diện sai khác ở tầng client và tầng phiên.
- Đối chiếu threat intelligence: Chặn hoặc giảm ưu tiên với IP có reputation xấu.
- Giám sát nhịp lưu lượng: Phát hiện wave-pattern và các khoảng nghỉ được tính toán.
Tham khảo thêm về thông tin nền tảng DDoS và cơ chế giảm thiểu tại CISA.
Từ khóa chính: tấn công DDoS, phát hiện tấn công, mối đe dọa mạng
