Trong quý đầu năm 2019, một khách hàng đã tìm đến VNIS để nhận sự hỗ trợ cho trang web đang bị tấn công của họ.

Họ đã thử mọi cách để khắc phục nhưng tình hình lại ngày càng trở nên tệ hơn. Đây là một dạng biến thế của tấn công từ chối phân phối dịch vụ - DDoS, được gọi là tấn công CC (Challenge Collapsar).

Trong trường hợp này, chúng ta sẽ đi vào nghiên cứu chi tiết cuộc tấn công DDoS và xác định cụ thể hơn về loại hình thức tấn công CC để phân tích ra giải pháp nhằm giảm thiểu thiệt hại cho khách hàng.


Tấn công CC là gì?

Trên thực tế có vô vàn biến thể có gốc từ cuộc tấn công DDoS, trong đó CC được phân loại thành dạng tấn công lớp của DDoS gây ra trên các ứng dụng. Khi một cuộc tấn công CC xảy ra, nhiều yêu cầu HTTP liên tục được gửi tới cùng một lúc khiến cho máy chủ trở nên quá tải. Do đó, bộ phận Định Dạng Tài Nguyên Thống Nhất (URIs) phải thực hiện các thuật toán phức tạp, hoặc triển khai cơ sở dữ liệu nhằm giảm tải các nguồn tài nguyên của các trang chủ đang trong mục tiêu tấn công.

Hãy tưởng tượng việc một đội xe chiến đang ngắm pháo bắn và tấn công liên hoàn vào trang web của bạn.

Những kẻ tấn công sẽ giả dạng thành một trang web có số lượng lớn người truy cập vào mỗi ngày. Để làm được việc này cần phải có một cơ sở hạ tầng đủ mạnh để xử lý số lượng lớn dữ liệu. Do đó chúng đã hoạt động hết 100% công suất cho đến khi tất cả các yêu cầu truy cập thông thường bị chặn toàn bộ.

Thông tin thú vị: CC viết tắt cho "Challenge Collapsar". Các cuộc tấn công đầu tiên diễn ra vào năm 2004 bởi một hacker người Trung Quốc có bí danh là Kiki đã tạo ra một công cụ hack mang tên Collapsar có khả năng làm tê liệt bất kỳ máy chủ nào bằng cách gửi liên tục các yêu cầu HTTP.


Vụ tấn công CC (DDoS) lớn nhất từng được ghi nhận

Vị khách hàng trên đã cố gắng thử tất cả mọi biện pháp để giảm thiểu cuộc tấn công, ngay cả việc sử dụng phương pháp hạn chế DDoS dạng in-house cho đến mạng phân phối nội dung (CDN) mà nhà cung cấp dịch vụ cam đoan rằng chúng sẽ đem lại hiệu quả thành công, nhưng cuối cùng cả hai cũng đều đi đến thất bại. Bởi lẽ, trang web của vị khách này liên tục bị sập sau ít phút khởi động lại.

Khi bắt đầu điều tra vấn đề, chúng tôi thật sự choáng trước một cuộc tấn công DDoS có quy mô lớn như thế này. Cứ mỗi phút lại có đến 300 triệu yêu cầu được gửi dồn dập đến máy chủ. Hacker đã áp dụng thủ thuật "bắt chước người dùng" bằng việc giả dạng một số lượng lớn địa chỉ IP người dùng thông thường để gửi yêu cầu.

Tấn công trên mạng lưới khoảng 1.3 Tbps 

Tấn công trên ứng dụng xấp xỉ 300 triệu QPM

Cho dù đây là một cuộc tấn công khủng bố CC nhưng với khả năng của chúng tôi, việc ngăn chặn cuộc tấn công và khôi phục lại trang web của khách hàng đã hoàn toàn thành công.


Vậy, VNIS đã thực hiện cách gì để giảm thiểu cuộc tấn công?

Có 2 cách thức đã được sử dụng trong phương pháp phòng chống DDoS để chống lại cuộc tấn công CC này.

1. Hạn chế khu vực truy cập: VNIS đã tiến hành hạn chế lưu lượng truy cập ở các khu vực khác để đảm bảo hiệu suất cho người dùng tại khu vực, quốc gia đó, cũng như ngăn chặn lượng truy cập đến từ các quốc gia thường xuyên xảy ra các vụ tấn công mạng như Nga, Ukraine và Ấn Độ.

2. Kích hoạt thử thách dựa trên trình duyệt: Tường lửa ứng dụng web (WAF) của chúng tôi cho phép sử dụng các thuật toán để lọc ra các mẫu tấn công CC. Được xây dựng trên cơ sở hạ tầng đám mây toàn cầu, chúng tôi có thể tận dụng mọi tính năng thông qua Multi CDN để tự động phòng thủ trước cuộc tấn công. Đó chính là lý do vì sao chúng tôi có thể loại bỏ được 300 triệu yêu cầuu mỗi phút từ cuộc tấn công CC này.

Chiến lược này đòi hỏi chúng ta phải sỡ hữu một cơ sở hạ tầng vững chắc và mạnh mẽ. VNIS sử dụng Multi CDN với năng suất của hơn 2.300 PoP, đem đến dung lượng 2.600 Tbps. Điều này cung cấp cho chúng ta một mạng lưới toàn cầu với sức mạnh quy mô lớn của nhiều terabit-trên-giây giúp chống chọi lại mọi cuộc tấn công DDoS.

Bằng cách kết hợp việc sàng lọc hiệu quả với sức mạnh của mạng lưới, chúng tôi hoàn toàn giúp khách hàng của mình dễ dàng tránh khỏi các cuộc khủng bố tấn công CC và đưa trang web của họ hoạt động lại bình thường nhanh chóng.