Tấn công DDOS ngày 25/26-3
Thời điểm bắt đầu: 10h tối ngày 25-3.
Kết thúc: 1h trưa ngày 26/3
Tình trạng mạng kết nối bị chậm, hiện tượng xảy ra trên tất cả các dải IP mà chúng tôi sử dụng, bao gồm: 188.40.68.xxx, 188.40.207.xxx, 188.40.226.xxx.
Theo như tình trạng trên, chúng tôi đã tiến hành việc chẩn đoán mạng và check các connect, đến 2h sáng vẫn không tìm được nguyên nhân.
Ghép nối sự kiện lỗi mạng với tình trạng tương tự vào ngày 16/3, nhận định có thể cả 2 tình huống không phải do lỗi mạng mà bị tấn công DDOS, botnet.
Thực hiện kiểm tra kết quả trên route, log các VPS thì lượng kết nối vẫn ở mức bình thường, đến 6h sáng phát hiện một dấu hiệu lạ là thời điểm mạng chậm nhưng lượng connect vẫn bằng thời điểm bình thường.
Sau khi kiểm tra chặt chẽ hơn đã phát hiện đây là một cuộc tấn công DDOS, botnet với kĩ thuật rất tinh vi, được nghiên cứu kĩ càng, đã đánh lừa được bộ lọc trên route của chúng tôi.
Cụ thể hacker đã gửi những connect lên toàn bộ các IP với lượng connect chia đều nhau nhưng mang packet rất lớn (lưu lượng in-traffic đo được luôn chiếm 8-9MB/s) làm nghẽn đường truyền mạng nhưng vẫn giữ lượng connect ở mức bình thường nhằm đánh lừa bộ lọc.
10h sáng 26/3, cơ bản đã có thể để các server online trở lại, nhưng để giải quyết dứt điểm nguy cơ bị tấn công lại, chúng tôi đã kiểm tra chặt chẽ một lần nữa các lưu lượng trên đưởng truyền.
Đến 1h trưa, các IP đã được gán trở lại để server hoạt động bình thường.
