Khảo sát Global Surveyz cho biết tấn công mạng phổ biến nhất năm 2021 là tấn công DDoS với 50% trong tổng các báo cáo tấn công mạng, tiếp theo là SQL injection với 38% và ransomware là cuộc tấn công phổ biến thứ ba với 29%. Riêng ở Mỹ, tấn công ransomware nhắm mục tiêu chiếm đến 40%.
Tại VNETWORK, chúng tôi cũng trải qua nhiều cuộc tấn công DDoS. Gần đây nhất đó là ngày 20/01/2022, một cuộc tấn công DDoS được ghi nhận với khoảng 8 triệu request đã xảy ra trên website vnis.vn. Cuộc tấn công bắt đầu từ 8h40 đến 9h20 (kéo dài khoảng 40 phút).
Tấn công DDoS với tổng request khá lớn xấp xỉ 8 triệu request
Theo báo cáo của VNETWORK SOC (Security Operation Center), hầu hết lượng request đổ về trang web vnis.vn đã được hệ thống CDN của VNCDN xử lý. Đó đều là những nội dung đã được cache sẵn trên hệ thống CDN. Phần còn lại, gần 1 triệu request yêu cầu dữ liệu mới bắt buộc phải đi qua hệ thống lọc của tường lửa Cloud WAF VNIS. Lượng requests sạch cuối cùng đổ về server origin chỉ còn rất ít.
Lượng request đi qua hệ thống CDN của VNCDN đỉnh điểm là gần 4 triệu request
Lượng request tới WAF (Web Application Firewall) đỉnh điểm khoảng 140,000 request
Lượng request sạch đổ về Server gốc chỉ còn rất ít
Tổng request tới WAF còn khoảng gần 1 triệu request
Trong lúc tấn công, websitewww.vnis.vnkhông hề xuất hiện tình trạng lỗi nào liên quan tới: code 5xx (website vẫn hoạt động bình thường). Phần lớn các yêu cầu truy cập bất hợp pháp đều được hệ thống WAF yêu cầu xác thực ‘browser base’ (xác thực truy cập người dùng thực). Vì thế, hầu hết các requests xấu đều được tường lửa WAF chặn lại.
Không xuất hiện các lỗi 5xx
Theo phân tích của các kỹ thuật viên, dãy IP tấn công đều sử dụng nguồn IP quốc tế. Hacker cũng sử dụng nhiều kiểu tấn công với các phương thức như: GET (lấy dữ liệu mới từ server), HEAD, PUT…
Các IP quốc tế được hacker sử dụng trong cuộc tấn công
Các phương thức tấn công được sử dụng như GET, PUT, HEAD,…
Lượng request mỗi phút được WAF ghi nhận
Mặc dù hacker sử dụng nhiều hình thức tấn công khác nhau vào Website vnis.vn nhưng nó vẫn hoạt động bình thường. Nhờ có hệ thống Cloud WAF của VNIS kết hợp với trung tâm giám sát SOC nên mọi hoạt động tấn công đều bị kiểm soát chặt chẽ. Trong lúc hệ thống bị tấn công, kỹ thuật VNETWORK đã liên tục theo dõi thông qua hệ thống SOC và đưa ra các phương thức phòng chống kịp thời.