Dịch vụ DDoS Scrubbing bị tấn công – Khi cái chống trở thành mục tiêu

Giới thiệu

Điều gần như nghịch lý vừa xảy ra: một dịch vụ DDoS scrubbing (dịch vụ lọc bỏ lưu lượng độc hại) đã bị tấn công DDoS quy mô lớn, với đỉnh điểm 1,5 tỷ gói dữ liệu mỗi giây (1,5 Gpps) phát ra từ hơn 11.000 mạng phân tán. Mới đáng lo hơn, mục tiêu của cuộc tấn công lại là chính dịch vụ dùng để bảo vệ các hệ thống mạng khác. 

Trong tình huống này, dịch vụ scrubbing đã phải nhờ tới FastNetMon — một công cụ / dịch vụ phòng thủ mạng — để phát hiện và hỗ trợ ứng phó. 

Cách thức tấn công & điểm đáng chú ý

Nguồn tấn công

Phần lớn lưu lượng tấn công được gửi từ các thiết bị bị chiếm quyền (botnet), bao gồm:

• Các thiết bị IoT (Internet of Things)

• Router / thiết bị mạng phổ biến (ví dụ MikroTik)

• Các mạng CPE (customer premises equipment) bị xâm nhập hoặc cấu hình không an toàn

FastNetMon cho biết các mạng xuất phát tấn công đến từ hơn 11.000 mạng khác nhau, cho thấy mức độ phân tán và khó kiểm soát rất cao. 

Đặc điểm kỹ thuật của cuộc tấn công

• Tấn công chủ yếu theo kiểu UDP flood – loại tấn công đơn giản nhưng dễ mở rộng và hiệu quả trong việc áp đảo các thiết bị mạng khi xử lý gói dữ liệu liên tục. 

• Mặc dù con số 1,5 Gpps nghe rất “lớn”, nó không ngang ngửa các cuộc tấn công đa khí (volume-based) hàng terabit — nhưng nó nhắm vào tốc độ xử lý gói (packets per second), tức điểm yếu của hầu hết thiết bị mạng về hạn chế xử lý gói đơn lẻ.
   

• Mục tiêu là dịch vụ scrubbing – tức hệ thống vốn chịu trách nhiệm nhận vào lượng lớn lưu lượng để lọc ra phần “xấu” trước khi chuyển tiếp phần “tốt” – nên nếu dịch vụ này bị quá tải, toàn bộ hệ thống downstream hoặc khách hàng có thể bị ảnh hưởng.

Tại sao điều này nguy hiểm & có ý nghĩa

• Dịch vụ scrubbing cung cấp lớp phòng thủ cuối cùng – nếu nó bị đánh gục, các hệ thống mà nó bảo vệ sẽ dễ bị “thất thủ” khi phải xử lý trực tiếp lưu lượng độc hại.

• Cuộc tấn công cho thấy rằng không có hệ thống nào miễn nhiễm — ngay cả những dịch vụ được thiết kế để chống DDoS cũng có thể trở thành mục tiêu nếu các biện pháp bảo vệ của chính nó không đủ mạnh.

• Dấu hiệu này cho thấy các attacker đang nâng cấp kỹ thuật: không chỉ tăng băng thông tấn công, mà tăng số lượng gói/giây để tấn công điểm yếu phần xử lý gói – nơi thiết bị mạng thường dễ bị “nghẽn” hơn băng thông thô.

• Cần có sự hỗ trợ từ cấp độ ISP / hạ tầng mạng gốc để chặn traffic độc hại càng xa nguồn càng tốt — nếu để lưu lượng đến dịch vụ scrubbing rồi mới lọc, áp lực vẫn cao.

Bài học & khuyến nghị

1. Bảo vệ layer scrubbing & infrastructure

   • Hệ thống scrubbing cần có kiến trúc dự phòng đa lớp, khả năng tự động phân tán lưu lượng (scaling), cân bằng tải (load balancing)

   • Cơ chế phát hiện bất thường (anomaly detection) phải rất nhanh để giảm “thời gian tiếp xúc”

   • Kiểm soát và tăng cường bảo vệ phần mạng nội bộ của dịch vụ scrubbing

2. Hợp tác ISP & lọc đầu nguồn (ISP-level filtering)

   • ISP nên áp dụng lọc lưu lượng có dấu hiệu DDoS ngay từ nguồn — không để lưu lượng độc hại lan truyền sâu vào mạng backbone

   • Tích hợp hệ thống chặn lưu lượng bất thường khi phát hiện gói dữ liệu lượng lớn từ các CPE mạng dùng phổ biến

3. Phân tích, giám sát & phản ứng nhanh

   • Sử dụng hệ thống giám sát tốc độ gói và lưu lượng đến các dịch vụ mạng

   • Thiết lập quy trình phản ứng (incident response) sẵn có để chuyển đổi sang chế độ “chống DDoS trong nội bộ” nếu bị tấn công

4. Củng cố bảo mật IoT / CPE

   • Đẩy mạnh cập nhật firmware, khóa tính năng không cần thiết, quản lý mật khẩu mặc định trên router, camera, thiết bị mạng tại người dùng

   • Khuyến khích người dùng nâng cao bảo mật thiết bị mạng cá nhân