VNETWORK chống DDoS website những ngày đầu năm 2022
20 Tháng 1, 2022

VNETWORK chống DDoS website những ngày đầu năm 2022

Tấn công DDoS xảy ra ở bất kỳ lĩnh vực nào, cho dù là Thương Mại Điện Tử hay Tài Chính Chứng Khoán,... Bất kể nơi nào có các dịch vụ trực tuyến, đều có khả năng bị DDoS. Các nhà cung cấp dịch vụ bảo mật cũng không ngoại lệ. Cụ thể là vừa qua, VNETWORK - một trong những đơn vị hàng đầu về giải pháp bảo mật website, chống DDoS cũng gặp phải các tấn công mạng trong nhiều ngày liền. Vậy quá trình VNETWORK chống DDoS như thế nào, mời quý độc giả theo dõi.

Những thông báo nặc danh về tấn công DDoS vào VNETWORK

Từ ngày 04/01/2022 Công Ty VNETWORK đã nhận được một số tin nhắn nặc danh thông báo về việc website VNIS.vn đang bị tấn công.

Mặc dù website VNIS.vn đã được trang bị hệ thống bảo mật cao cấp với tường lửa Cloud WAF (Web Application Firewall) nhưng vẫn gặp phải sự cố downtime (ngừng hoạt động), dẫn đến gián đoạn truy cập cho người dùng.

Nguyên nhân chính cho việc downtime này xảy ra là do đội ngũ Kỹ Thuật của VNETWORK đang kiểm tra thử nghiệm công nghệ HTTP/3 trên hệ thống CDN (Content Delivery Network) của Công Ty. Do việc cấu hình HTTP/3 chưa hoàn chỉnh, dẫn đến tình trạng bộ lọc WAF bị ảnh hưởng. Hệ thống WAF không thể phát huy được toàn bộ các tính năng bảo mật toàn diện. Vì thế, khi tấn công DDoS xảy ra ở thời điểm nhạy cảm này, website đã bị downtime ngay lập tức (ngoại trừ các IP đã được whitelist).

Hệ thống ghi nhận lưu lượng truy cập đi qua CDN đạt đến mức 800.000 request/giây.

Lưu lượng thực tế được đổ xuống hệ thống WAF được ghi nhận chỉ còn khoảng 110.000 request/phút.

Nhờ có hệ thống giám sát SOC (Security Operation Center) giám sát 24/7 đã kịp thời cảnh báo và phát hiện sớm các dấu hiệu về tấn công. Đội ngũ Kỹ Thuật đã ngay lập tức tạm hoãn quá trình kiểm thử HTTP/3 và phục hồi lại hệ thống tường lửa Cloud WAF để kịp thời bảo vệ website.

Tấn công DDoS tiếp tục xảy ra vào những ngày tiếp theo

Ngày 05/01/2022 trang web VNIS.vn tiếp tục bị tấn công và rơi vào trạng thái downtime, lỗi 503 Service Unavailable xuất hiện. Câu hỏi đặt ra là tại sao Kỹ Thuật của VNETWORK đã phục hồi lại hệ thống tường lửa Cloud WAF để bảo vệ website mà hệ thống vẫn bị ảnh hưởng bởi các tấn công này.

Nguyên nhân downtime là do trong quá trình pentest (kiểm thử) đã xảy ra một số lỗi 403 và 400. Nguyên nhân là do trong quá trình chuyển đổi website VNIS.vn sang www.VNIS.vn đã xảy ra một số vấn đề về việc thay đổi host header. Chi tiết các lỗi và thời điểm được ghi nhận như sau:

1.www.VNIS.vn modify the Host Header to www.VNIS.vn at 10:06 PM(UTC+8).

2.VNIS.vn modify the Host Header to VNIS.vn at 10:17 PM(UTC+8).

3.www.VNIS.vn modify the Host Header to VNIS.vn at 10:28 PM(UTC+8).

Trong lúc Kỹ Thuật VNETWORK config origin server (cấu hình máy chủ gốc) khiến hệ thống Server tạm thời gián đoạn phục vụ. Các tấn công DDoS lại xảy ra vào đúng thời điểm nhạy cảm nhất dẫn tới website down time ngay lập tức.

Ngoài ra, còn có lỗi cookie trên dịch vụ CDN của VNCDN (VNETWORK Content Delivery Network) khiến trang web rơi vào vòng lặp vô tận.

Cụ thể, khi chuyển đổi host header từ VNIS.vn sang www.VNIS.vn, một số truy cập cũ gửi vào VNIS.vn với cookies trước đó. Nó được redirect sang www.VNIS.vn thì gặp phải bộ lọc WAF chặn lại, yêu cầu gửi lại cookies mới. Quá trình request và phản hồi liên tục này đã tạo ra vòng lặp vô tận, khiến hệ thống sinh ra vô số các request.

Tổng lưu lượng request (do loop cookies và cả DDoS) vào Website VNIS.vn khi đi qua hệ thống CDN được ghi nhận đến hơn 8 triệu request/giây.

Lưu lượng thực tế đi xuống hệ thống WAF được ghi nhận chỉ còn 100,000 request/phút.

Lưu lượng đi qua hệ thống WAF khá cao nhưng hầu như không ảnh hưởng đến hiệu xuất hoạt động của server.

Tuy không ảnh hưởng đến server web, nhưng những request đang nhận cookie cũ sẽ không thể truy cập được vào website VNIS.vn tại thời điểm đang bị tấn công. Các Kỹ Thuật của VNETWORK đã nhanh chóng khắc phục các sự cố để quá trình chuyển đổi host header hoàn thành nhanh chóng.

Hệ thống cũng đã ghi nhận: ngoài các request bất hợp pháp bị chặn lại bởi tường lửa Cloud WAF, còn có các kiểu tấn công khác sử dụng phương thức (Method) cũng bị chặn đứng hoàn toàn.

Dưới đây là top 10 Method tấn công được hệ thống WAF ghi nhận và báo cáo.

Ngày thứ 3: Sự cố nghẽn truy cập từ phía Client dù Server vẫn hoạt động

Ngày 06/01/2022, Tấn công DDoS lại xảy ra khi tình trạng lỗi loop cookie vẫn còn khá nhiều. Nguyên nhân chính là do cấu hình cache trên CDN đã lưu trữ những cookie không hợp lệ, dẫn đến lỗi loop liên tục trên hệ thống CDN.

Lưu lượng đi qua CDN chạm ngưỡng hơn 800,000 request/giây.

Lưu lượng đi qua lớp WAF đạt mức 180,000 request/phút.

Total request do DDoS khá lớn nhưng không gây ảnh hưởng đến server gốc, chỉ ảnh hưởng đến client (người truy cập). Họ không thể truy cập vào website VNIS.vn ở thời điểm này do bị loop cookie.

Sau khi xác nhận được chính xác vấn đề, Kỹ Thuật của VNETWORK đã thực hiện update (cập nhật) lại hệ thống, xóa bỏ các cache (bộ nhớ tạm) và cookie cũ để khắc phục sự cố bị loop cookie sớm nhất.

Ngày thứ 4: VNETWORK ứng phó với lượng lớn các truy cập bất thường

Ngày 08/01/2022, website VNIS.vn gặp phải các tấn công DDoS lớn hơn. Tuy nhiên, hệ thống Origin Server (máy chủ gốc) vẫn không bị downtime trong bất cứ thời điểm nào.

Tổng requests qua hệ thống CDN được ghi nhận đạt đến 8 triệu request/giây

Tổng requests tới bộ lọc WAF đạt 160,000 request/phút

Mặc dù số requests đổ về WAF khá nhiều và phần lớn là do DDoS (khoảng 1,3 triệu request/phút), nhưng đều bị hệ thống WAF phát hiện và ngăn chặn.

Tất cả các request xấu đều bị chặn và Kỹ Thuật của VNETWORK đã hoàn thành quá trình fix (sửa chữa) lỗi.

Ngày thứ 5: Tấn công DDoS chia làm nhiều đợt

Ngày 09/01/2022, lần này VNETWORK không còn nhận các thông báo nặc danh về việc website bị tấn công nữa, tuy nhiên tình trạng loop cookie vẫn còn do chưa hết hạn cookie cũ.

Các tấn công DDoS lại xảy ra vào thời điểm này, khiến lưu lượng đi qua hệ thống CDN đạt mức hơn 4 triệu request/giây.

Lưu lượng qua bộ lọc WAF vào khoảng gần 200,000 request/phút.

Thông qua báo cáo từ hệ thống WAF, ta có thể thấy tin tặc đã chia ra tấn công thành nhiều đợt.

Phần lớn requests được redirect thông qua xác thực browser (trình duyệt web). Còn lại đa phần các request đều bị chặn ở các WAF rules (các tùy chỉnh quy tắc trong bộ lọc WAF).

Tin tặc đã nâng cấp sức mạnh tấn công bằng nhiều methods.

Kỹ thuật của VNETWORK đã kịp thời update limit (cập nhật giới hạn) cho các kiểu tấn công method của tin tặc (ngăn chặn toàn bộ các kiểu tấn công với method mới)

Ngày thứ 6: Lưu lượng xấu đạt hơn 9 triệu request/phút

Ngày 10/01/2022, khi website VNIS.vn bị tấn công, nhờ có hệ thống WAF nên VNETWORK có thể chống DDoS hiệu quả và bảo vệ hệ thống server web không để xảy ra bất cứ trường hợp lỗi 5xx nào.
Ngoài ra, hệ thống còn báo cáo thêm một số lỗi không thể truy cập khi qua CF (Cloudflare). Nguyên nhân là do cấu hình jscookie và query string.

Lưu lượng requests qua CDN được ghi nhận đạt đến gần 10 triệu request/giây.

Lượng request đến WAF khoảng 200,000 request/phút

Tuy lượng request xấu đạt đến mức cực lớn (hơn 9 triệu request) nhưng nhờ có bộ lọc cloud WAF bảo vệ, nên hệ thống chống DDoS của VNETWORKvẫn có khả năng chịu tải và ngăn chặn các request không an toàn.

Lần tấn công DDoS này đã không thể khiến website VNIS.vn bị downtime vì khả năng bảo mật cao cấp của WAFMulti CDN. Ngoài ra, Kỹ Thuật của VNETWORK cũng đã xử lý triệt để phần loop redirect và đảm bảo tất cả các request đã được lọc sạch trước khi được gửi đến Server Web.

Cho đến thời điểm hiện tại, tuy vẫn còn một số cuộc tấn công DDoS xảy ra, nhưng hầu hết đều ở mức nhỏ lẻ và không đáng kể.

Để tư vấn giải pháp chống DDoS toàn diện, hãy để lại thông tin liên hệ của bạn dưới form đăng ký, các chuyên gia của chúng tôi sẽ hỗ trợ bạn.

Hãy để lại thông tin liên hệ, các chuyên gia của chúng tôi sẽ tư vấn cho bạn.

Bài Viết Liên Quan
Tấn công DDoS là gì và cách phòng chống DDoS hiệu quả
Vnetwork|13 Tháng 4, 2022
Tấn công DDoS là gì và cách phòng chống DDoS hiệu quả

Nexusguard vừa công bố các doanh nghiệp bị tấn công từ chối dịch vụ nhiều nhất tại Việt Nam lần lượt là VNPT, Viettel, FPT, Vietnamobile,… Các cuộc tấn công từ chối dịch vụ phân tán chủ yếu gây ra các thiệt hại về kinh tế, ảnh hưởng trải nghiệm người dùng cũng như giảm thiểu độ tin cậy của doanh ngh

Tấn công DoS là gì và cách phòng chống tấn công từ chối dịch vụ DoS/DDoS
Vnetwork|13 Tháng 4, 2022
Tấn công DoS là gì và cách phòng chống tấn công từ chối dịch vụ DoS/DDoS

Tấn công DoS là mối đe doạ an ninh mạng với hầu hết các doanh nghiệp lớn nhỏ. Để đối phó với vấn đề này, doanh nghiệp cần hiểu rõ về bản chất, động cơ tấn công của hacker cũng như những cách thức chống DoS/DDoS hiện nay là gì. Hãy cùng VNETWORK tìm hiểu qua bài viết sau.

Hơn 4 triệu request xấu bị chặn bởi hệ thống Anti DDoS của VNETWORK
Vnetwork|30 Tháng 11, 2022
Hơn 4 triệu request xấu bị chặn bởi hệ thống Anti DDoS của VNETWORK

Vào ngày 18/11/2022 vừa qua, nền tảng VNIS của VNETWORK đã phát hiện và ngăn chặn cuộc tấn công DDoS với hơn 4 triệu request xấu đang nhắm vào các khách hàng của VNETWORK.

© 2019 VNETWORK JSC. All Rights Reserved

VNETWORK Joint Stock Company

Phòng 23.06, Tầng 23, Tòa nhà UOA, 06 Tân Trào, Tân Phú, Quận 7, TP. Hồ Chí Minh

Enterprise Code: 0312353730 - 03/07/2013

Registration Division: Department of Planning and Investment of HCMC

Powered by VNETWORK