Trong ba tháng đầu năm 2021 vừa qua, những hacker quả thật làm chúng ta trở nên rất bận rộn. Nhờ việc áp dụng công cụ phát hiện, giảm thiểu DDoS tự động của Cloudflare mà đã giảm thiểu các cuộc tấn công DDoS trên mạng lưới toàn cầu. Báo cáo này bao gồm thông tin chi tiết về xu hướng tấn công DDoS mà hệ thống của Cloudflare ghi nhận được. Để biết chi tiết hơn, hãy xem bài viết dưới đây.
Tần suất tấn công DDoS
Khi phân tích, chúng tôi đã tính toán tỷ lệ của “tần suất tấn công DDoS ” – phần trăm lượng traffic trong tổng lưu lượng truy cập). Điều này cho phép chúng ta bình thường hóa các điểm dữ liệu và tránh những ảnh hưởng về sau.
Ví dụ: một trung tâm dữ liệu có càng nhiều lưu lượng truy cập thì tỷ lệ tấn công cũng cao hơn.
Điểm nổi bật: layer DDoS attacks ở tầng ứng dụng
Trong Quý 1 năm 2021, quốc gia có tỷ lệ bị tấn công HTTP cao nhất là Trung Quốc. Tiếp theo là Hoa Kỳ, Malaysia và Ấn Độ.
Ngành viễn thông bị tấn công nhiều nhất. Kế đó là ngành Consumer Services, Security và Investigations, Internet và Tiền điện tử.
Những công ty BĐS bị tấn công nhiều nhất có trụ sở tại Trung Quốc, Mỹ và Maroc.
Điểm nổi bật: Các cuộc tấn công Network-layer DDoS
Cloudflare network, tần suất các cuộc tấn công DDoS xảy ra nhiều nhất ở các trung tâm dữ liệu ở Rwanda, Trung Quốc và Brunei.
Gần 44% trong tổng số các cuộc tấn công trong Quý xảy ra vào tháng Giêng.
Các mối đe dọa hàng đầu gồm các cuộc tấn công nhắm vào máy chủ tại Jenkins và TeamSpeak3 lần lượt tăng tương ứng từ 203% đến 940% theo quý.
Các mối đe dọa khác bao gồm tấn công theo giao thức QUIC nhằm cố đánh sập cơ sở hạ tầng của Cloudflare.
Các cuộc tấn công DDoS ở layers Ứng dụng
Các cuộc tấn công DDoS ở layers ứng dụng hay các cuộc tấn công HTTP DDoS, nhằm mục đích làm gián đoạn máy chủ HTTP và việc xử lý các request. Nếu quá nhiều yêu cầu tấn công một server, máy chủ sẽ loại bỏ các request hợp pháp hoặc thậm chí nó có thể bị sập.
Tần suất tấn công DDoS
Tần suất tấn công của DDoS theo ngành
Tần suất tấn công của DDoS theo mã nguồn quốc gia
Tần suất tấn tấn công của DDoS theo quốc gia mục tiêu
Các cuộc tấn công DDoS đòi tiền chuộc
Theo tỷ lệ những người trả lời phỏng vấn cho biết, các cuộc tấn công DDoS nhắm tới họ là để đòi tiền chuộc.
Các cuộc tấn công DDoS layers network
Các lớp ứng dụng bị DDoS tấn công bao gồm layers 7 của mô hình OSI mà người dùng đang truy cập, các cuộc tấn công layers network nhắm vào các lỗ hổng cơ sở hạ tầng mạng (chẳng hạn như in-line routers và servers của network khác) và liên kết Internet của chính hệ thống đó.
Số lượng các cuộc tấn công
Các cuộc tấn công DDoS layers network – Phân bổ theo tháng
Theo cơ sở dữ liệu hằng tháng, tháng 1 là tháng bị hacker tấn công nhiều nhất, chiếm 42% tổng số cuộc tấn công được ghi nhận.
Các cuộc tấn công DDoS layers network: Phân bố quy mô theo tháng
Theo cơ sở dữ liệu hằng tháng, tháng 1 là tháng bị hacker tấn công nhiều nhất, chiếm 42% tổng số cuộc tấn công được ghi nhận.
Các cuộc tấn công DDoS layers network: Phân bố độ lớn dung lượng theo tháng
Quy mô các cuộc tấn công
Có nhiều cách khác nhau để ước tính quy mô của một cuộc tấn công DDoS L3/4. Cách thứ nhất, ước tính bằng lượng traffic được đo bằng tốc độ bit (cụ thể là gigabit/giây). Một cách khác là số lượng gói thông tin mà nó truyền tải, được đo bằng tốc độ gói (cụ thể là gói/giây). Các cuộc tấn công với tốc độ bit cao sẽ ra gây bão hòa kết nối Internet, trong khi đó các cuộc tấn công tốc độ cao lại áp đảo router hoặc các thiết bị nội tuyến phần cứng khác.
Các cuộc tấn công DDoS layers network: Phân phối theo tốc độ gói
Các cuộc tấn công DDoS layers network: Phân phối theo tốc độ bit
Thời gian diễn ra các cuộc tấn công
Các cuộc tấn công DDoS layers network: Phân bố theo thời gian
Tấn công vector
Là phương pháp tấn công phổ biến mà hacker thường sử dụng. Trong Quý 1 năm 2021, các cuộc tấn công SYN flood tiếp tục diễn ra dưới hình thức tấn công vector, kế đó là là các cuộc tấn công khuếch đại RST, UDP và DNS.
Các cuộc tấn công DDoS layers network: Phân bố theo top các vector tấn công
Các mối đe dọa
Các xu hướng tấn công tăng nhanh đáng kể so với quý trước.
Các cuộc tấn công DDoS layers network: Top các vector tấn công mới nổi gần đây
Tần suất các cuộc tấn công DDoS theo trung tâm dữ liệu Cloudflare
Không giống các cuộc tấn công DDoS layers network, hacker thường giả mạo địa chỉ IP để làm xáo trộn vị trí của cuộc tấn công DDoS. Vì lý do này, khi phân tích các cuộc tấn công DDoS L3/4, chúng tôi phân lưu lượng truy cập theo vị trí trung tâm dữ liệu của Cloudflare – nơi cập nhật lượng traffic, chứ không theo địa chỉ IP nguồn. Cloudflare có thể khắc phục tình trạng này bằng cách hiển thị dữ liệu tấn công theo từng vị trí trung tâm dữ liệu Cloudflare – nơi ghi nhận các cuộc tấn công. Cloudflare tự hào có thể ghi nhận chính xác vị trí địa lý trong báo cáo vì chúng tôi có nhiều data center tại hơn 200 thành phố trên thế giới.
Các cuộc tấn công DDoS layers network theo quốc gia