Botnet này được cho là đã tấn công hơn 100 quốc gia, nhắm vào các trường đại học, trang web chính phủ, các công ty viễn thông, ngân hàng, và các ngành công nghiệp trò chơi điện tử và cờ bạc. Trung Quốc, Mỹ, Canada và Đức là những nước bị tấn công nhiều nhất. NSFOCUS, có trụ sở tại Bắc Kinh, cho biết Gorilla chủ yếu sử dụng các hình thức tấn công UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood, và ACK flood để thực hiện các cuộc tấn công DDoS. Đặc biệt là bản chất không có kết nối của giao thức UDP cho phép giả mạo địa chỉ IP nguồn một cách tùy ý để tạo ra lượng lớn lưu lượng tấn công.

Không chỉ hỗ trợ nhiều kiến trúc CPU như ARM, MIPS, x86_64, và x86, botnet này còn có khả năng kết nối với một trong năm máy chủ điều khiển và điều khiển (C2) đã được định trước để chờ nhận lệnh DDoS. Đặc biệt hơn, phần mềm độc hại này còn tích hợp cả các chức năng khai thác một lỗ hổng bảo mật trong Apache Hadoop YARN RPC để thực hiện việc thực thi mã từ xa, vốn đã bị lợi dụng trên thực tế từ năm 2021 theo thông tin từ Alibaba Cloud và Trend Micro.

Để duy trì sự tồn tại trên máy chủ, mã độc tạo ra một tập tin dịch vụ có tên custom.service trong thư mục “/etc/systemd/system/” và cấu hình nó để chạy tự động mỗi khi hệ thống khởi động. Dịch vụ này chịu trách nhiệm tải xuống và thực thi một tập tin script shell (“lol.sh”) từ một máy chủ từ xa (“pen.gorillafirewall[.]su”). Các lệnh tương tự cũng được thêm vào các tập tin “/etc/inittab,” “/etc/profile,” và “/boot/bootcmd” để tải và chạy script shell khi hệ thống khởi động hoặc người dùng đăng nhập.

“Botnet này đã giới thiệu nhiều phương pháp tấn công DDoS khác nhau và sử dụng các thuật toán mã hóa thường được nhóm Keksec sử dụng để che giấu thông tin quan trọng. Đồng thời, nó sử dụng nhiều kỹ thuật để duy trì quyền kiểm soát lâu dài đối với các thiết bị IoT và máy chủ đám mây, cho thấy mức độ nhận thức cao về phát hiện ngược trong khi là một dòng botnet mới nổi,” NSFOCUS cho biết.

Một nhà nghiên cứu an ninh mạng có biệt danh Fox_threatintel đã chia sẻ trên X rằng, phần mềm độc hại botnet này không hoàn toàn mới và đã hoạt động trong hơn một năm.

Verisign quan sát thấy 52% các vụ tấn công DDoS đã được giảm nhẹ trong Q/2 2018 sử dụng nhiều loại hình tấn công khác nhau. So với Q1 2018, số vụ tấn công tăng 35%, quy mô tấn công đỉnh điểm giảm 49%; tuy nhiên quy mô tấn công đỉnh điểm tăng 111% so với cùng kì năm ngoái.

Vụ tấn công DDoS có quy mô cao nhất được Verisign ghi lại trong Q/2 2018 là một vụ tấn công ngập lụt (User Datagram Protocol – UDP), đạt đỉnh điểm khoảng 42 Gbps và 3,5 Mpps, kéo dài khoảng 3 tiếng. Vụ tấn công DDoS có mật độ cao nhất được Verisign ghi nhận trong Q2 2018 là một vụ tấn công sử dụng nhiều loại hình, đạt đỉnh điểm khoảng 38 Gbps và 4,7 Mpps, kéo dài khoảng 2 tiếng.

Các xu hướng DDoS và quan sát chính:

• 56% số vụ tấn công DDoS là ngập lụt UDP.
• Tấn công dựa trên TCP là hình thức tấn công phổ biến thứ 2, chiếm 26% các loại hình tấn công trong quý này.
• 52% số vụ tấn công DDoS được giảm nhẹ bởi Verisign trong Q2 2018 sử dụng nhiều loại hình tấn công.
• Ngành Tài chính là ngành thường xuyên bị tấn công nhất trong Q2 2018, chiếm 43% trong tổng số các hoạt động giảm thiểu. Ngành CNTT/ Đám mây/ SaaS có số lần tấn công DDoS cao thứ hai, chiếm 26 hoạt động giảm thiểu, tiếp theo là ngành Truyền thông và Giải trí, chiếm 20%.

So với Q4 2017, số vụ tấn công tăng 53%, quy mô tấn công đỉnh điểm tăng 47%, tuy nhiên quy mô tấn công đỉnh điểm giảm 21% so với cùng kì năm ngoái.

Vụ tấn công DDoS có quy mô và mật độ cao nhất được Verisign ghi lại trong Q1 2018 là một vụ tấn công sử dụng nhiều loại hình, đạt đỉnh điểm khoảng 70 Gbps và 7,4 Mpps. Vụ tấn công bao gồm nhiều loại hình, trong đó có tấn công ngập lụt TCP SYN và TCP RST, tấn công khuếch đại DNS và SNMP, tấn công ngập lụt ICMP (Internet Control Message Protocol) và tấn công invalid packets.

Các xu hướng DDoS và quan sát chính:

• 50% số vụ tấn công là ngập lụt UDP (User Datagram Protocol)
• Tấn công dựa trên TCP là hình thức tấn công phổ biến thứ 2, chiếm 26% các loại hình tấn công trong quý này
• 58% số vụ tấn công DDoS được giảm nhẹ bởi Verisign trong Q1 2018 sử dụng nhiều loại hình tấn công
• Ngành Tài chính là ngành thường xuyên bị tấn công nhất trong Q1 2018, chiếm 57% trong tổng số các hoạt động giảm thiểu. Ngành CNTT/ Đám mây/ SaaS có số lần tấn công DDoS cao thứ hai, chiếm 26% hoạt động giảm thiểu, tiếp theo là ngành viễn thông, chiếm 17%.

Trước tình hình các cuộc tấn công DDoS vẫn là một mối đe dọa tiềm tàng và khó đoán trước, các doanh nghiệp xác định chiến lược giảm thiểu tốt nhất để bảo vệ tài sản trực tuyến của mình như thế nào?

Khả năng cho phép thời gian chết của doanh nghiệp ra sao? Bất kể khả năng cho phép thời gian chết, mức độ sẵn sàng ứng phó của nhân viên và chuyên môn kỹ thuật của tổ chức là như thế nào, việc lựa chọn một giải pháp DDoS cung cấp nhiều chiến lược giảm thiểu là tối quan trọng để nhận được sự bảo vệ – và giá trị – mà doanh nghiệp xứng đáng.

Vụ tấn công DDoS quy mô lớn nhất và có mật độ cao nhất được Verisign phát hiện trong Q4 2017 là một vụ tấn công sử dụng nhiều loại hình, đạt đỉnh điểm khoảng 53 Gbps và trên 5 Mpps. Vụ tấn công này đã gửi một lượng lớn lưu lượng truy cập tới mạng mục tiêu trong khoảng một giờ. Vụ tấn công bao gồm nhiều loại hình, trong đó có TCP SYN và TCP RST, tấn công DNS amplification attacks, Internet Control Message Protocol (ICMP) floods và invalid packets.

Xu hướng tấn công DDoS chính và các quan sát:

• 42% các vụ tấn công DDoS sử dụng loại hình UDP Flood.
• 82% số vụ tấn công DDoS được giảm thiểu bởi Verisign trong Q4 2017 sử dụng nhiều loại hình tấn công khác nhau.
• Ngành Tài chính, chiếm 40% hoạt động giảm thiểu, là ngành bị tấn công thường xuyên nhất trong Q4 2017. Ngành CNTT/ Đám mây/ SaaS, trước đây là ngành bị tấn công nhiều nhất, hứng chịu số vụ tấn công DDoS lớn thứ hai, chiếm 33% hoạt động giảm thiểu.

Hợp tác là yếu tố quan trọng trong giảm thiểu tác động từ DDoS một cách hiệu quả. Kết quả giảm thiểu có thể được lợi từ sự tham gia của một số bên liên quan.

Trong một kịch bản lý tưởng, tất cả các nhóm có thể hợp tác để giảm thiểu tác động từ vụ tấn công DDoS và giúp hệ thống hoạt động quan trọng của tổ chức làm việc trở lại ở mức tối ưu càng nhành càng tốt. Sự phối hợp phức tạp như vậy thông thường vẫn được thực hiện bằng điện thoại và email.

Tuy nhiên, có các lựa chọn về nhà cung cấp dịch vụ giảm thiểu khác nhằm giúp tạo điều kiện cho sự hợp tác tự động trong quá trình giảm thiểu tác động từ DDoS. Một phương pháp tiêu chuẩn để báo hiệu lưu lượng lên hỗ trợ việc giảm thiểu có thể đơn giản hóa và hợp lý hóa quá trình phối hợp nhiều yếu tố thường được triển khai trong hoạt động giảm thiếu tấn công DDoS. Đây là lúc DDoS Open Threat Signaling (DOTS) được sử dụng.

Verisign đã quan sát được 25% số vụ tấn công trong Quý 2 2017 đạt mức thông lượng lên tới 5 Gbps mỗi giây; tuy nhiên quy mô tấn công đỉnh điểm trung bình lại giảm 81% so với quý trước. Số các vụ tấn công cũng giảm.

Vụ tấn công lớn nhất và có cường độ cao nhất mà Verisign ghi nhận được trong Quý 2 là một vụ tấn công sử dụng nhiều loại hình (véc-tơ), đạt đỉnh điểm gần 12 Gbps và khoảng 1 triệu Mpps. Tấn công này đã gửi một lưu lượng truy cập lớn tới hệ thống mạng mục tiêu trong khoảng 1 giờ, sau đó gửi một lưu lượng truy cập lớn khác trong vòng 1 giờ tiếp theo. Vụ tấn công này rất đáng lưu ý vì nó chủ yếu bao gồm tấn công khuếch đại phản chiếu DNS bên cạnh các gói không hợp lệ.

Các xu hướng tấn công DDoS chính trong quý 2 2017

• 74% số vụ tấn công DDoS do Verisign làm giảm thiểu trong Quý 2 2017 đều sử dụng nhiều loại hình tấn công khác nhau.
• 57% số vụ tấn công nhằm làm tràn bộ đệm giao thức UDP (Giao thức gói dữ liệu người dùng)
• Các vụ tấn công bằng TCP là loại hình tấn công thông dụng thứ 2, chiếm 20% trong quý này.
• Ngành dịch vụ CNTT/đám mây/SaaS, chiếm 52% hoạt động giảm thiểu, vẫn là ngành bị tấn công nhiều nhất trong 7 quý liên tiếp. Ngành Tài chính là ngành hứng chịu số vụ tấn công DDoS lớn thứ hai, chiếm 31% tổng số hoạt động giảm thiểu.

Mã độc tống tiền và các vụ tấn công với mục đích tống tiền

Trong môi trường số, ngày càng có nhiều các vụ tấn công với mục đích tống tiền và đây chính là cơn ác mộng của các bộ phận an ninh mạng. Mã độc tống tiền là một phần mềm độc hại được thiết kế để tấn công vào các hệ thống máy tính có mức độ rủi ro cao, mã hóa các file trên máy tính đó và tin tặc đòi tiền chuộc mới mở khóa những file đó cho người dùng.

Hiện nay, các công ty phải đối mặt với hai loại tấn công an ninh mạng trong đó có sử dụng hoạt động tống tiền và đòi tiền chuộc:

1. Tấn công đòi tiền chuộc: Tin tặc mã hóa các file trên mạng của một tổ chức bằng một mã độc tống tiền, chiếm quyền kiểm soát “con tin” dữ liệu đó và sẽ không mở khóa các file đó nếu nạn nhân không chấp nhận trả tiền chuộc.
2. Tấn công DDoS tống tiền: Tin tặc đe dọa một tổ chức bằng một vụ tấn công DDoS, trừ khi tổ chức đó chấp nhận trả tiền chuộc. Tấn công DDoS tống tiền là một mối đe dọa nghiêm trọng đối với bộ phận an ninh mạng trong suốt nhiều năm qua, và nó vẫn còn là động lực chính của nhiều vụ tấn công DDoS.

Hai vụ tấn công tống tiền mới đây trên phạm vi toàn cầu bằng mã độc WannaCry và NotPetya đã giúp cho cộng đồng hiểu rõ hơn về ảnh hưởng nghiêm trọng mà mã độc tống tiền có thể gây ra đối với những tài sản quan trọng của một tổ chức. Vụ tấn công bằng mã độc tống tiền WannaCry đã ảnh hưởng tới hơn 300.000 máy tính tại hơn 150 quốc gia.

Vụ tấn công bằng mã độc tống tiền NotPetya thậm chí còn có mức độ tàn phá lớn hơn. Nó lây lan nhanh hơn mã độc tống tiền WannaCry và gây ra “thiệt hại vĩnh viễn và không thể khôi phục lại được” đối với ổ cứng máy tính. Một báo cáo cho thấy rằng, trong năm 2016, gần một nửa số công ty Mỹ đã gặp phải một vụ tấn công bằng mã độc tống tiền.

Mã độc tống tiền là một mối đe dọa nghiêm trọng đối với các bộ phận an ninh bảo mật của doanh nghiệp bởi vì:

1. Dữ liệu đã bị mã hóa có thể bị mất đi vĩnh viễn.
2. Số tiền chuộc phải bỏ ra để trả cho tin tặc có thể rất lớn. Đã có một công ty web hosting Hàn Quốc từng phải trả số tiền chuộc tới hơn 1 triệu đô la (số tiền chuộc lớn nhất từ trước tới nay) để lấy lại quyền truy cập vào máy chủ của mình⁵.
3. Tuy nhiên, việc trả tiền chuộc không bảo đảm rằng tin tặc sẽ cung cấp một khóa giải mã⁶.
4. Việc trả tiền chuộc có thể làm tăng xác suất một công ty lại bị tấn công nữa trong tương lai⁷.

Các tổ chức trong những ngành kinh tế đòi hỏi độ sẵn sàng liên tục 24/7 (ví dụ như ngành tài chính) là những tổ chức nhạy cảm hơn với các vụ tấn công tống tiền và đòi tiền chuộc. Năm 2016, đã có nhiều công ty tài chính bị đe dọa bởi các vụ tấn công DDoS nếu không chịu trả tiền vào một ngày giờ nhất định. Tin tặc còn đe dọa phát tán mã độc tống tiền trên mạng của công ty nếu họ không chịu trả tiền chuộc¹⁰.

Khi được sử dụng riêng biệt để tấn công vào môi trường mạng của một tổ chức, các vụ tấn công DDoS và tấn công bằng mã độc tống tiền đã có thể gây thiệt hại rất lớn. Tuy nhiên, tội phạm mạng đang trở nên tinh vi hơn và chúng kết hợp các vụ tấn công DDoS với mã độc tống tiền để gây ra thiệt hại lớn hơn. Trong một vụ tấn công đã được công bố, một biến thể mã độc tống tiền đã không chế máy tính và dữ liệu của một tổ chức cho tới khi họ trả tiền chuộc. Trong lúc tin tặc chờ nạn nhân trả tiền chuộc, chúng đã sử dụng máy tính của tổ chức đó như là các mạng máy tính ma (botnets) để tổ chức các vụ tấn công DDoS vào các nạn nhân không phòng bị khác¹¹.

Vai trò của DNS trong việc phòng vệ chống lại các vụ tấn công bằng mã độc tống tiền

Các biện pháp kiểm soát Hệ thống Tên miền (Domain Name System – DNS) có thể đóng một vai trò quan trọng trong việc xác định và bảo vệ người dùng trước các vụ tấn công bằng mã độc và mã độc tống tiền. Khi công cụ phân giải DNS sử dụng các nguồn thông tin rủi ro an ninh bảo mật, những thông tin đó có thể được sử dụng để thiết lập các bộ lọc để chủ động phân tích và xác định cơ chế kết nối với máy chủ Chỉ huy và Điều khiển. Những bộ lọc đó có thể góp phần ngăn chặn quá trình mã hóa mà nhiều vụ tấn công bằng mã độc tống tiền sử dụng.

Trong Q1 2017, Verisign đã quan sát được số lượng các vụ tấn công đã giảm 23%, tuy nhiên, quy mô tấn công đỉnh điểm trung bình đã tăng 26% so với quý trước. Nhìn chung, quy mô tấn công trung bình đã gia tăng đáng kể kể từ Q1 2016, với mức đỉnh điểm trung bình vượt quá 10 Gigabit mỗi giây (Gbps).

Vụ tấn công DDoS lớn nhất và có cường độ cao nhất trong Q1 2017 là một vụ tấn công sử dụng nhiều loại hình, đạt đỉnh điểm trên 120 Gbps và khoảng 90 Mpps. Những kẻ tấn công đã gửi một lưu lượng truy cập lớn tới mạng lưới đối tượng vượt trên 60 Gbps trong hơn 15 giờ.

Những kẻ tấn công rất kiên trì với mục tiêu nhằm làm gián đoạn mạng của đối tượng mục tiêu bằng cách gửi lưu lượng tấn công hàng ngày trong hơn hai tuần. Vụ tấn công sử dụng loại hình chính là TCP SYN và TCP RST gồm nhiều mức độ khác nhau và sử dụng một trong những dấu hiệu kết hợp với Mirai IoT botnet. Vụ tấn công này còn bao gồm tấn công ngập lụt UDP và IP fragments nhằm gia tăng quy mô của nó.

Xu hướng tấn công DDOS chính và các quan sát:

• 57% các vụ tấn công DDoS được giảm thiểu bởi Verisign trong Q1 2017 đều sử dụng nhiều loại hình tấn công khác nhau.
• 46% các vụ tấn công DDoS sử dụng Giao thức gói dữ liệu người dùng (UDP Floods).
• Các vụ tấn công bằng TCP là loại hình tấn công thông dụng thứ 2, chiếm 33% trong quý này.
• Ngành dịch vụ CNTT/đám mây/SaaS, chiếm 58% hoạt động giảm thiểu, vẫn là ngành bị tấn công nhiều nhất trong 10 tháng liên tiếp. Ngành Tài chính là ngành hứng chịu số vụ tấn công DDoS lớn thứ hai, chiếm 28% tổng số hoạt động giảm thiểu. Đây là mức tăng lớn so với 7% trong quý trước.

Tuấn An

Nhìn chung, quy mô tấn công đỉnh điểm trung bình trong năm 2016 lớn hơn những năm trước. Verisign đã quan sát được sự gia tăng lên đến 167% về quy mô tấn công đỉnh điểm trung bình (16,1 Gbps) so với năm 2015 (6,02 Gbps).

Vụ tấn công DDoS lớn nhất và có cường độ cao nhất mà Verisign quan sát được trong quý 4 năm 2016 kết hợp nhiều loại hình tất công, đạt đỉnh điểm đến hơn 125 Gbps và khoảng 50 Mpps. Đây là một vụ tấn công cần được lưu ý bởi những kẻ tấn công rất kiên trì, liên tục gửi lưu lượng tấn công hàng ngày trong khoảng thời gian gần một tháng. Vụ tấn công này gồm có Tấn công Phản hồi qua Máy chủ tên miền (Domain Name System Reflection) và lưu lượng Giao thức điều khiển truyền tin trên mạng (Internet Control Message Protocol). Những kẻ tấn công đã chuyển đổi theo định kỳ giữa tấn công ngập lụt TCP SYN và TCP Reset đạt đỉnh điểm lên đến gần 70 Gbps và 50 Mpps. Vụ tấn công này còn bao gồm tấn công ngập lụt phân mảnh IP (IP fragments) nhằm gia tăng độ lớn của vụ tấn công.

Những xu hướng và quan sát quan trọng khác bao gồm: 86% các vụ tấn công DDoS được Verisign giảm thiểu trong quý 4 năm 2016 sử dụng nhiều loại hình tấn công khác nhau (trong đó, 65% các vụ tấn công sử dụng từ 3 loại hình tấn công trở lên); hơn 50% khách hàng gặp bị tấn công DDoS trong quý 4 năm 2016 đều bị nhắm đến nhiều lần; 52% các vụ tấn công DDoS thuộc loại tấn công ngập lụt bằng UDP; dịch vụ IT/Đám mây/SaaS, chiếm 49% trong tổng số hoạt động giảm thiểu, vẫn là các lĩnh vực bị nhắm đến thường xuyên trong 9 quý vừa qua. Khối Công hứng chịu mức độ tấn công lớn thứ 2, chiếm 32% hoạt động giảm thiểu. Đây là mức độ tấn công DDoS lớn nhất mà khối Công gặp phải kể từ khi Verisign bắt đầu thực hiện Báo cáo Xu hướng Tấn công DDoS đầu tiên vào quý 1 năm 2014

TUẤN AN

Các vụ tấn công ngập lụt sử dụng Giao thức gói dữ liệu người dùng (User Datagram Protocol – UDP) tiếp tục chiếm ưu thế trong Quý 3 năm 2016, chiếm 49% tổng số vụ tấn công trong quý này. Những vụ tấn công ngập lụt bằng UDP phổ biến nhất đã được giảm thiểu là các vụ tấn công phản hồi qua Hệ thống tên miền (Domain Name System – DNS), tiếp đến là qua Giao thức đồng bộ thời gian mạng (Network Time Protocol – NTP).

Đợt tấn công ngập lụt cường độ cao nhất trong Quý 3 năm 2016 là TCP SYN flood đạt đỉnh điểm khoảng 60 Gigabit mỗi giây (Gbps) và 150 triệu gói tin mỗi giây (Mpps). Vụ tấn công ngập lụt này là một trong những vụ tấn công có lượng gói tin truyền đi mỗi giây cao nhất mà Verisign từng quan sát được, vượt qua cả vụ tấn công trước đạt 125 Mpps đã được giảm thiểu bởi Verisign trong Quý 4 năm 2015.

Vụ tấn công lớn nhất trong Quý 3 năm 2016 đã tận dụng giao thức (IP protocol 47) Mã hóa Định tuyến (Generic Routing Encapsulation – GRE) và đạt đỉnh điểm lên đến 250+ Gbps và 50+ Mpps. Đây là lần đầu tiên Verisign quan sát được loại hình tấn công này trên cơ sở dữ liệu khách hàng của hãng.

Những xu hướng và quan sát quan trọng khác bao gồm:

• Mức tấn công đỉnh điểm trung bình trong năm 2016 tiếp tục có xu hướng gia tăng so với những năm trước. Mức tấn công đỉnh điểm trung bình trong Quý 3 năm 2016 đạt 12,78 Gbps, tăng 82% so với cùng kỳ năm ngoái.
• 41% các vụ tấn công DDoS tận dụng 3 hoặc nhiều loại hình tấn công khác nhau.
• Dịch vụ CNTT/Đám mây/SaaS, chiếm 37% trong tổng số hoạt động giảm thiểu, vẫn là các lĩnh vực bị nhắm đến thường xuyên nhất trong vòng 8 quý vừa qua, theo sau là lĩnh vực tài chính, chiếm 29%.

NHƯ QUỲNH

Dữ liệu này được thu thập trong quá trình làm giảm thiểu tác động của các cuộc tấn công, được Verisign tiến hành thay mặt hoặc cùng với khách hàng sử dụng Dịch vụ Phòng chống DDoS và Dịch vụ iDefense Security Intelligence của hãng từ tháng 7 đến tháng 9 năm 2014. Nhiều quan sát đáng chú ý đã được thực hiện, bao gồm sự gia tăng số lượng trung bình các đợt tấn công với mỗi khách hàng, khai thác các lỗ hổng SSDP mới được công bố gần đây và một số xu hướng mã độc nổi bật có khả năng sẽ góp phần làm tăng hoạt động tấn công DDoS trong tương lai.

Tuy nhiên, đáng chú ý nhất là sự gia tăng về tần suất các đợt tấn công DDoS có quy mô vượt quá 10 Gbps với hơn 20% tất cả các cuộc giảm thiểu. Trong đó, cuộc tấn công lớn nhất quan sát được (90 Gbps) xảy ra với một khách hàng trong lĩnh vực thương mại điện tử. Cuộc tấn công này thuộc kiểu User Datagram Protocol (UDP) flood, diễn ra trong vòng 30 phút hoặc ít hơn. Nó chủ yếu bao gồm lưu lượng reflective amplification attack Network Time Protocol (NTP). Hoạt động này nhằm làm gián đoạn khả năng thương mại trực tuyến quan trọng của khách hàng và đã được giảm thiểu thành công bởi Verisign.

Trong thời gian nghỉ lễ 2014, các ngành Thương mại Điện tử và Tài chính cần phải đặc biệt cảnh giác và chuẩn bị cho các cuộc tấn công DDoS trong suốt mùa doanh thu và thu hút khách hàng cao điểm của mình. Trong lịch sử, Verisign đã từng ghi nhận sự gia tăng trong hoạt động DDoS đánh vào các ngành này trong thời gian nghỉ lễ và dự báo rằng xu hướng này sẽ còn tiếp tục diễn ra. Điều này nhấn mạnh sự cần thiết phải có biện pháp phòng chống tấn công DDoS tiên tiến khác so với các giải pháp phòng thủ tiêu chuẩn là dự trữ quá nhiều băng thông và các công cụ giảm thiểu tại chỗ, những giải pháp này bị vô hiệu hóa tại thời điểm đợt tấn công DDoS vượt quá băng thông ngược dòng của một tổ chức, hoặc năng lực cung cấp dịch vụ Internet của họ.

Dưới đây là những điểm đáng chú ý về một số xu hướng được theo dõi trong Báo cáo Xu hướng DDoS Quý 3 2014:

• Các đợt tấn công DDoS có quy mô vượt quá 10 Gbps với hơn 20% tất cả các cuộc giảm thiểu.
• Những kẻ tấn công đã liên tục tấn công các khách hàng mục tiêu, trung bình mỗi khách hàng bị tấn công hơn ba lần riêng biệt.
• Lần đầu tiên, Verisign đã trực tiếp quan sát được những kẻ tấn công sử dụng một giao thức mới cho các đợt tấn công UDP reflection, đó là giao thức Simple Service Discovery Protocol (SSDP / UDP port 1900).
• Ngành bị tấn công thường xuyên nhất trong quý này là Truyền thông và Giải trí, chiếm hơn 50% tổng hoạt động giảm thiểu.
• Những đợt tấn công quy mô lớn nhất nhằm vào ngành Thương mại Điện tử, với đỉnh điểm lên đến hơn 90 Gbps.

Xem báo cáo đầy đủ tại đây, và báo cáo Xu hướng DDoS Q4 trong một vài tháng tới.

Để biết thêm chi tiết về các quan sát trong Q2, bao gồm chi tiết về cuộc tấn công lớn nhất (300 Gbps) Verisign đã làm giảm thiểu trong năm nay và cuộc tấn công lớn thứ 3 trên Internet từ trước tới nay, vui lòng truy cập tại đây.

TUẤN AN