Hôm thứ Tư (28/2) vừa qua, dịch vụ lưu trữ dành cho các nhà phát triển phần mềm GitHub đã bị tê liệt bởi một cuộc tấn công từ chối dịch vụ (DDoS) có quy mô lớn nhất từ trước đến nay.
Các nhà chức trách đã đo được lưu lượng Internet lúc đỉnh điểm trong cuộc tấn công này ở mức 1,35 Terabits/giây! - Một con số "khủng khiếp", xưa nay chưa từng xảy ra.
Thế nhưng GitHub chỉ "tạm thời bị sập" trong vòng vài phút, và sau đó đã trở lại hoạt động bình thường mà không gặp vấn đề gì nghiêm trọng cả. "Sự may mắn" có được này là nhờ có Akamai - nhà cung cấp hệ thống bảo vệ DDoS, đã tìm cách bảo vệ thành công GitHub trước đợt tấn công khủng khiếp nói trên.
Bản đồ các máy chủ memcache đang hoạt động được tiết lộ trên thế giới. |
Tuy nhiên, theo tạp chí PCMag, cuộc tấn công nhằm vào GitHub mới đây có lẽ là "điềm báo" cho nhiều thứ khác sắp xảy đến, cũng tương tự như GitHub, thậm chí có thể ở mức độ lớn hơn. Bởi lẽ cơ sở hạ tầng IT được nhóm hacker dùng cho cuộc tấn công này rõ ràng đã được chuẩn bị kỹ càng, và có khả năng rất cao là "kỷ lục DDoS nhằm vào GitHub sẽ bị đạp đổ" trong thời gian ngắn sắp tới.
Trước đó, cả thế giới đã rúng động vì một cuộc tấn công DDoS với lưu lượng 1 Terabit đã xảy ra vào năm 2016. Khi đó, mạng botnet Mirai - "một đạo quân" gồm các máy tính bị nhiễm mã độc, đã tấn công đồng loạt một nhà cung cấp dịch vụ đám mây của Pháp, với lưu lượng đỉnh điểm 1,1 Tbps. Và botnet Mirai đã lây nhiễm hàng chục ngàn thiết bị IoT có liên quan để phục vụ cho cuộc tấn công này.
Nhưng cuộc tấn công nhằm vào GitHub mới đây lại khác. Nó không dựa vào bất kỳ botnet nào mà lợi dụng một thứ gọi là "máy chủ memcache", vốn thường được tích hợp vào một trung tâm dữ liệu.
Các máy chủ memcache vốn được thiết kế để làm bộ nhớ đệm dữ liệu và tăng tốc các ứng dụng web cũng như các trang mạng. Thế nhưng, công nghệ này lại có thể trở thành "gót chân Achilles" và trở nên cực kỳ nguy hiểm, vì nó khuếch đại lưu lượng một gói dữ liệu lên đến hơn 51.000 lần - nhà cung cấp dịch vụ bảo vệ DDoS Cloudflare cho biết.
"Tung ra một cuộc tấn công như vậy khá dễ dàng" - Cloudflare nhận định. Đầu tiên, kẻ tấn công sẽ "cấy" một gói dữ liệu lớn vào một máy chủ memcache mà chúng tìm được. Tiếp đến, chúng sẽ dùng cách "câu lệnh 'get' với địa chỉ IP của nạn nhân", để đánh lừa máy chủ memcache gửi gói dữ liệu đã được khuếch đại kia đến website đó. Sau đó, lưu lượng truy cập "khủng" - như một cơn lũ, sẽ ngay lập tức làm website nạn nhân bị quá tải và sập.
Điều đáng nói ở đây là rất nhiều máy chủ memcache vẫn đang chạy một cách công khai trên mạng Internet. Akamai đã phát hiện ra hơn 50.000 hệ thống máy chủ memcache có khả năng bị lợi dụng trên toàn cầu, và chúng chính là "mỏ vàng" mà các hacker có thể lợi dụng để thực hiện các kế hoạch tấn công DDoS sắp tới.
Để ngăn ngừa các vụ tấn công sắp tới, các nhà cung cấp dịch vụ bảo vệ DDoS hiện đang gấp rút kêu gọi chủ sở hữu của các máy chủ memcache công khai nhanh chóng thiết lập tường lửa bảo vệ, hoặc nếu cần thiết thì nên tắt bớt một số phần có nguy cơ bị lợi dụng trong chức năng của các máy chủ này.