Máy chủ DNS của nhà cung cấp dịch vụ Internet Hàn Quốc bị tấn công

[CauUt37]

SK Broadband, một trong những nhà cung cấp dịch vụ truy cập Internet băng thông rộng lớn nhất Hàn Quốc đã bị tấn công từ chối dịch vụ (DDoS) cuối tuần qua, làm ngắt kết nối dịch vụ Internet trong suốt 1 giờ.

10:55 sáng thứ 7 (29/11), lưu lượng trên máy chủ DNS của SK Broadband tăng vọt lên 15 triệu gói mỗi giây (PPS), mức bình thường chỉ ở khoảng 1 triệu PPS. PPS là lượng giao dịch cơ sở dữ liệu (database transaction) thực hiện mỗi giây.


Nhóm điều tra thuộc bộ Khoa học đã xác nhận 1.030 địa chỉ IP được sử dụng trong cuộc tấn công DDoS này, và đang tiến hành phân tích log trên máy chủ DNS của SK.

Theo các bạn cách thức tấn công như thế nào mà chỉ với 1000 máy mà đánh sập được cả server DNS lớn nhất của một nước nhỉ???
Chi tiết các bạn có thể xem thêm bài viết gốc ở đây

 

Re: Máy chủ DNS của nhà cung cấp dịch vụ Internet Hàn Quốc bị tấn công

Theo mình thì mỗi máy tính trong số 1000 máy kia sẽ thực hiện giả mạo nhiều địa chỉ IP nguồn khi truy vấn đến máy chủ DNS của SK Broadband. Với mỗi truy vấn tuy là giả mạo như vậy, nhưng máy chủ DNS của SK vẫn phải dành một phần tài nguyên CPU để tính toán thời gian timeout của phiên kết nối, dành một phần bộ nhớ RAM để lưu trữ thông tin phiên kết nối. Khi số lượng truy vấn lớn thì máy chủ sẽ không còn tài nguyên để phục vụ các yêu cầu truy vấn hợp lệ nữa (bị DDoS).
Ngoài khả năng trên thì còn 1 cách nữa đó là mỗi máy tính trong 1000 máy này sẽ giả mạo địa chỉ IP nguồn thành IP của máy chủ DNS của SK. Sau đó thực hiện liên tiếp các truy vấn đến các máy chủ Open DNS trên Internet. Như các bạn đã biết, bản thân gói tin truy vấn có kích thước nhỏ nhưng dữ liệu trả về có kích thước lớn hơn rất nhiều lần. Do đó máy chủ DNS của SK bị quá tải khi phải xử lý một khối lượng rất lớn dữ liệu từ các Open DNS trả về.