Vào ngày 28/2 vừa qua, GitHub - dịch vụ lưu trữ dành cho các nhà phát triển phần mềm - đã bị tê liệt bởi một cuộc tấn công từ chối dịch vụ (DDoS) quy mô lớn nhất từ trước đến nay, với lưu lượng Internet lúc đỉnh điểm ở mức 1,35 Terabits/giây!
May mắn thay, GitHub chỉ tạm thời sập trong vòng vài phút và sau đó đã trở lại hoạt động bình thường mà không gặp vấn đề gì nghiêm trọng cả. Akamai - nhà cung cấp hệ thống bảo vệ DDoS đã tìm cách bảo vệ thành công GitHub trước đợt tấn công khủng khiếp này.
Thế nhưng tin xấu ở đây là gì?
Theo tạp chí PCMag, cuộc tấn công nhằm vào GitHub có lẽ là điềm báo cho nhiều thứ sắp xảy đến tiếp theo. Cơ sở hạ tầng IT được dùng cho cuộc tấn công này rõ ràng đã được chuẩn bị kỹ càng và có khả năng rất cao kỷ lục DDoS nhằm vào GitHub sẽ bị đạp đổ trong thời gian ngắn sắp tới.
Lần cuối cùng cả thế giới rúng động vì một cuộc tấn công DDoS với lưu lượng 1 Terabit là vào năm 2016. Khi đó, mạng botnet Mirai - một đạo quân gồm các máy tính bị nhiễm mã độc - đã đánh bom một nhà cung cấp dịch vụ đám mây của Pháp với lưu lượng đỉnh điểm 1,1 Tbps. Botnet Mirai đã lây nhiễm hàng chục ngàn thiết bị IoT để phục vụ cho cuộc tấn công này. Tuy nhiên, cuộc tấn công hôm thứ 4 nhằm vào GitHub lại khác. Nó không dựa vào bất kỳ botnet nào, mà lợi dụng một thứ gọi là "máy chủ memcache" vốn thường được tích hợp vào một trung tâm dữ liệu.
Giống như tên gọi của nó, các máy chủ memcache được thiết kế để làm bộ nhớ đệm dữ liệu và tăng tốc các ứng dụng web cũng như các trang mạng. Thế nhưng, công nghệ này lại có thể trở nên rất nguy hiểm vì nó khuếch đại lưu lượng một gói dữ liệu lên đến hơn 51.000 lần - nhà cung cấp dịch vụ bảo vệ DDoS Cloudflare cho biết.
Ví dụ, nếu bạn gửi một yêu cầu với dung lượng 203 byte đến một máy chủ memcache, nó sẽ phản hồi lại bằng một gói dữ liệu lên đến 100 megabyte. Hãy tưởng tượng phản hồi đó bỗng nhiên được dùng để oanh tạc một website thực sự sẽ như thế nào? Điều đó có thể thực hiện một cách dễ dàng nếu ai đó đánh lừa máy chủ memcache bằng địa chỉ IP của website mà chúng nhắm đến, như GitHub chẳng hạn.
Bản đồ các máy chủ memcache đang hoạt động được tiết lộ trên thế giới
Lưu lượng truy cập khủng như một cơn lũ kia sẽ ngay lập tức làm website nạn nhân bị quá tải và sập. Điều đáng nói ở đây là rất nhiều máy chủ memcache kia đang chạy một cách công khai trên mạng Internet. Akamai đã phát hiện ra hơn 50.000 hệ thống có khả năng bị lợi dụng trên toàn cầu, và chúng chính là "mỏ vàng" mà các hacker có thể lợi dụng để thực hiện các kế hoạch tấn công DDoS.
Tháng 11 năm ngoái, các nhà nghiên cứu bảo mật Trung Quốc đã cảnh báo về mối đe doạ tiềm tàng này, và đến thời điểm hiện tại, "mối đe doạ" đã trở thành sự thực. Trong tuần qua, cả Cloudflare lẫn Akamai đã phát hiện ra một vài đợt tấn công khác cũng được thực hiện thông qua các máy chủ memcache, nhưng đợt tấn công GitHub nói trên là đợt tấn công lớn nhất.
Để ngăn ngừa các vụ tấn công sắp tới, các nhà cung cấp dịch vụ bảo vệ DDoS hiện đang gấp rút kêu gọi chủ sở hữu của các máy chủ memcache công khai nhanh chóng thiết lập tường lửa bảo vệ, hoặc nếu cần thiết thì nên tắt bớt một số phần có nguy cơ bị lợi dụng trong chức năng của các máy chủ này.
Thêm bình luận