🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Ngọk Yêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý rừng phòng hộ Núi Cậu Dầu Tiếng đã đăng ký tín nhiệm. 🔥                    🔥 Quỹ Bảo vệ và Phát triển rừng tỉnh Điện Biên đã đăng ký tín nhiệm. 🔥                   

Cách Google Cloud ngăn chặn cuộc tấn công DDoS Layer 7 lớn nhất lịch sử

19/08/2022

Các cuộc tấn công DDoS (từ chối dịch vụ) đang ngày càng tăng về tần suất và quy mô theo cấp số nhân trong những năm qua. Các hệ thống, dịch vụ sử dụng internet ngày nay có nguy cơ bị tấn công liên tục, gây ảnh hưởng đến hoạt động, từ hiệu suất và trải nghiệm người dùng cho đến chi phí vận hành và lưu trữ.

Khách hàng của Google Cloud có thể sử dụng Cloud Armor để bảo vệ môi trường của họ khỏi một số cuộc tấn công DDoS.

Vào ngày 1 tháng 6, một khách hàng của Google Cloud Armor đã bị nhắm mục tiêu bởi một loạt các tấn công DDoS HTTPS với đỉnh điểm 46 triệu request mỗi giây (rps). Đây là cuộc tấn công DDoS Layer 7 lớn nhất đã biết từ trước cho đến nay, lớn hơn ít nhất 76% so với các tấn công đã được báo cáo trước đó.

Cloud Armor Adaptive Protection có thể phân tích và phát hiện sớm các lưu lượng bất thường, sau đó cảnh báo đến khách hàng kèm theo khuyến nghị triển khai một quy tắc (rule) bảo vệ (được gửi kèm) để ngăn chặn tấn công trước khi cuộc tấn công tăng lên đến mức tối đa, đảm bảo dịch vụ của khách hàng luôn có sẵn trực tuyến cho người dùng.

Biểu đồ tấn công DDoS đạt đỉnh 46 triệu rps

Chi tiết cuộc tấn công

Khoảng 9h45 sáng (theo giờ PT) ngày 1/6/2022, một cuộc tấn công đã bắt đầu với hơn 10.000 rps nhắm mục tiêu vào HTTP/S Load Balancer của khách hàng Google. Tám phút sau, cuộc tấn công đã tăng lên 100.000 rps. Cloud Armor Adaptive Protection đã phát hiện ra cuộc tấn công và tạo một cảnh báo có chứa dấu hiệu tấn công và một rule được đề xuất để chặn các lưu lượng độc hại.

Dưới đây là cảnh báo chi tiết của cuộc tấn công trước khi nó tăng lên đỉnh điểm.

 Cloud Armor Adaptive Protection cảnh báo khi phát hiện tấn công

Nhóm bảo mật mạng của khách hàng bị nhắm mục tiêu đã triển khai quy tắc do Cloud Armor đề xuất. Quy tắc này ngay lập tức giúp chặn các lưu lượng tấn công. Trong hai phút sau đó, cuộc tấn công bắt đầu gia tăng từ 100.000 rps lên mức cao nhất là 46 triệu rps. Vì Cloud Armor đã chặn các lưu lượng tấn công nên hệ thống bị nhắm mục tiêu vẫn tiếp tục hoạt động bình thường.

Trong vài phút tiếp theo, cuộc tấn công bắt đầu giảm quy mô, cuối cùng kết thúc sau 69 phút vào lúc 10h54 sáng. Có lẽ kẻ tấn công đã nhận thấy chúng không đạt được mục đích trong khi phải chịu chi phí đáng kể để thực hiện tấn công.

Ngoài lưu lượng truy cập cao bất ngờ, cuộc tấn công còn gây chú ý với việc sử dụng 5.256 IP đến từ 132 quốc gia để thực hiện tấn công.

Trong số đó, khoảng 22% các IP (1.169) đến từ các node Tor, mặc dù lượng request đến từ các node này chỉ chiếm 3% (1,3 triệu rps) lưu lượng tấn công. Sự tham gia của các IP Tor trong cuộc tấn công có thể là ngẫu nhiên, tuy nhiên, phân tích của Google Cloud cho thấy các node Tor có thể gửi một lượng đáng kể lưu lượng truy cập không mong muốn đến các ứng dụng và dịch vụ web.

Sự phân bố địa lý và các dịch vụ thiếu an toàn bị lợi dụng trong cuộc tấn công giống với đặc điểm của các cuộc tấn công Mēris [được biết đến trong các cuộc tấn công DDoS lớn, phương pháp Mēris lạm dụng các proxy không an toàn để che dấu nguồn gốc thực sự của các cuộc tấn công].

Làm thế nào để dừng cuộc tấn công

Cuộc tấn công đã bị chặn ở biên mạng (edge network) của Google, với các request độc hại bị chặn từ phía ứng dụng của khách hàng. Trước khi cuộc tấn công bắt đầu, khách hàng đã cấu hình Adaptive Protection trong chính sách bảo mật Cloud Armor để thiết lập mô hình cơ sở về các mẫu lưu lượng bình thường cho dịch vụ của họ.

Kết quả là, Adaptive Protection có thể phát hiện sớm và ngăn chặn cuộc tấn công DDoS qua việc phân tích lưu lượng truy cập đến và tạo cảnh báo với quy tắc bảo vệ được đề xuất trước khi cuộc tấn công gia tăng. Khách hàng đã triển khai quy tắc được khuyến nghị, nhờ vào khả năng giới hạn tốc độ của Cloud Armor để giảm lưu lượng tấn công. Họ đã chọn hành động 'điều tiết' (throttle) thay vì hành động 'từ chối' (deny) để giảm thiểu ảnh hưởng đến lưu lượng truy cập hợp pháp đồng thời hạn chế tối đa khả năng tấn công bằng cách chặn phần lớn khối lượng tấn công ở biên mạng của Google.

Trước khi triển khai ở chế độ thực thi, rule này đã được triển khai ở chế độ xem trước, cho phép khách hàng xác nhận rằng chỉ có lưu lượng truy cập không mong muốn bị chặn và người dùng hợp pháp vẫn có thể truy cập dịch vụ bình thường.

Khi cuộc tấn công tăng lên đến đỉnh điểm 46 triệu rps, quy tắc do Cloud Armor đề xuất đã được áp dụng để chặn phần lớn lưu lượng tấn công và đảm bảo hoạt động cho các ứng dụng và dịch vụ bị nhắm mục tiêu.

Khuyến nghị

Để chuẩn bị sẵn sàng trước các cuộc tấn công có quy mô ngày càng lớn và kỹ thuật ngày càng cao, Google khuyến nghị bạn nên sử dụng chiến lược phòng thủ theo chiều sâu bằng cách triển khai các biện pháp phòng thủ và kiểm soát ở nhiều lớp trong môi trường và mạng của nhà cung cấp cơ sở hạ tầng để bảo vệ các ứng dụng và dịch vụ web khỏi các cuộc tấn công có chủ đích. Chiến lược này bao gồm thực hiện mô hình hóa mối đe dọa để nắm rõ các bề mặt tấn công của ứng dụng, phát triển các chiến lược chủ động và chiến lược phản ứng khi có tấn công, đồng thời cấu hình cho các ứng dụng để có đủ khả năng quản lý sự gia tăng không lường trước của lưu lượng truy cập.

Google Cloud Armor có thể bảo vệ các ứng dụng sử dụng Internet của bạn bằng cách giảm thiểu các lưu lượng truy cập không mong muốn đến ứng dụng của bạn.

Nguồn: cnxtoday.com.

 
scrolltop