Vụ con mèo của tôi báo cho tôi biết về một cuộc tấn công DDoS

 (dannyguo.com)
3 điểm bởi GN⁺ 2024-04-15 | 1 bình luận | Chia sẻ qua WhatsApp

Con mèo báo cho tôi biết về một cuộc tấn công DDoS

  • Khi tác giả còn làm việc tại một startup, công ty không có lịch trực on-call chính thức
    • Vì on-call là một việc rất mệt mỏi nên họ cố ý không triển khai
    • Thay vào đó, các thành viên trong nhóm cùng chú ý tới các cảnh báo khẩn cấp
  • Một ngày nọ vào khoảng 3 giờ sáng, tác giả tỉnh giấc vì con mèo đang chải lông trên đầu mình
    • Bản thân việc mèo chải lông không có gì lạ, nhưng trong 9 năm đây là lần đầu tiên nó làm vậy khi tác giả đang ngủ
  • Khi kiểm tra điện thoại, tác giả thấy rằng cảnh báo AWS CloudWatch đã xuất hiện vài phút trước đó
    • Đó là cảnh báo do các mục tiêu bất thường phía sau load balancer
  • Khi không thể truy cập website của công ty, tác giả kiểm tra dashboard giám sát
    • Có một lượng lớn request đổ vào từ nhiều địa chỉ IP, chủ yếu là IP ở nước ngoài
    • Sản phẩm của công ty chỉ dùng được trong phạm vi nước Mỹ, nên lưu lượng từ nước ngoài là điều không bình thường
    • Tác giả nhận ra đây là một cuộc tấn công từ chối dịch vụ phân tán (DDoS)
  • Ban đầu tác giả định chặn các địa chỉ IP ở cấp máy chủ, nhưng rồi nhớ ra rằng AWS WAF (Web Application Firewall) đã được cấu hình sẵn
    • Để xử lý tình huống gián đoạn ngay lập tức, tác giả tạo một rule chặn request từ các quốc gia khác
    • Biện pháp này đã chặn hàng trăm nghìn request, và website bắt đầu hoạt động trở lại
  • Sau đó, tác giả phát hiện rằng đúng vào thời điểm cuộc tấn công bắt đầu đã có một email gửi tới hộp thư hỗ trợ khách hàng
    • Người gửi, với ngữ pháp rất tệ, tuyên bố đã tìm ra một lỗ hổng trên website có thể đánh sập Apache dù thực tế công ty còn không dùng Apache
    • Họ nói sẽ cung cấp một "solution file" nếu được gửi 5.000 đô la Bitcoin, nhưng tác giả quyết định không trả lời
  • Tác giả vẫn khó tin vào thời điểm hoàn hảo mà con mèo đã đánh thức mình
    • Có thể đoán rằng điện thoại đã rung hoặc phát ra âm thanh do cảnh báo AWS nên con mèo thức dậy trước, nhưng ban đêm điện thoại đang ở chế độ không làm phiền
    • Vì vậy, tác giả thích tin rằng con mèo bằng cách nào đó đã cảm nhận được có vấn đề không thể đợi tới sáng
    • Đây là một cách dễ chịu hơn nhiều so với việc bị PagerDuty alarm đánh thức

Ý kiến của GN⁺

  • Đúng là ở giai đoạn đầu của startup rất khó thiết lập lịch trực on-call chính thức, nhưng ít nhất vẫn nên có hệ thống giám sát và cảnh báo cơ bản. Việc cả nhóm luôn trong trạng thái sẵn sàng 24/7 là không bền vững
  • Việc cấu hình sẵn AWS WAF dường như đã giúp xử lý tình huống khẩn cấp dễ dàng hơn. Đây là một ví dụ cho thấy tầm quan trọng của các biện pháp phòng ngừa trước những mối đe dọa bảo mật
  • Quyết định không trả lời email của kẻ tấn công là một lựa chọn sáng suốt. Nhượng bộ trước sự đe dọa có thể dẫn tới những vấn đề lớn hơn
  • Nếu triển khai hệ thống phát hiện bất thường dựa trên machine learning, có lẽ thuật toán có thể phát hiện sớm kiểu tấn công này thay cho mèo. Tuy vậy, có lẽ cũng không nên đánh giá thấp trực giác của thú cưng

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-04-15
Ý kiến trên Hacker News
  • Rất dễ xem nhẹ mối đe dọa từ nội bộ. Khi nhận email tống tiền với câu cú đáng ngờ và yêu cầu tiền chuộc bằng Bitcoin, tôi đã không nghĩ thủ phạm đứng sau vụ tấn công có thể là con mèo
  • Ở Kansas hầu như không có động đất, nhưng đây là trải nghiệm động đất duy nhất tôi còn nhớ:
    • Con mèo Xiêm cào vào mặt để đánh thức tôi dậy rồi ngồi ở mép giường gầm gừ (hành vi khác thường)
    • 30 giây sau bắt đầu rung lắc. Tôi không biết nó đã biết bằng cách nào, nhưng thật kỳ lạ. Nó qua đời vào năm 2020, và tôi vẫn nhớ nó
  • Có thể nó đã nhận ra màn hình chớp nháy ngay cả khi đang ở chế độ im lặng
  • Ở công việc đầu tiên của tôi, có một đồng nghiệp có thể phát hiện sự cố trên bảng điều khiển giám sát trước khi nó xảy ra. Anh ấy không thể giải thích chính xác là gì, nhưng cảm thấy có điều gì đó bất thường, và phần lớn là ngay sau đó cảnh báo sẽ vang lên
  • Yêu cầu tiền chuộc 5.000 USD thật nực cười. Khi bị tấn công DDoS vào năm 2016, tôi đã chuẩn bị Bitcoin nhưng quyết định phớt lờ. Thay vào đó tôi chi nhiều tiền hơn rất nhiều cho việc phòng vệ DDoS, nhưng không trả tiền cho bọn tống tiền là điều xứng đáng
  • Tôi đã cân nhắc trêu chọc bọn đe dọa, nhưng như vậy có thể khiến mình lọt vào radar của chúng nhiều hơn, nên rất rủi ro. Không phản hồi là cách duy nhất
  • Có người kể rằng con mèo trong nhà đã cảnh báo việc máy rửa bát bị rò rỉ. Khó mà kết luận nó đang cố cứu hay cố giết ai đó
  • Có thể con người nhạy cảm với điện trường và từ trường. Tôi từng ngủ trên đệm sưởi điện hoặc nệm nam châm thì hôm sau cơ thể thấy khó chịu, và nếu ở lâu trước màn hình CRT thì bị tiêu chảy. Sau khi chuyển sang LCD hoặc laptop thì các triệu chứng biến mất. Khi ngủ, nếu bên phải là bộ định tuyến không dây và bên trái là điện thoại thông minh đang phát YouTube, tôi sẽ mơ kỳ lạ và thức dậy sớm. Nhưng nếu để điện thoại sang bên phải thì triệu chứng giảm bớt
  • Tôi đoán con mèo cũng đã cảm nhận được điều gì đó mà không có âm thanh
  • Làm tôi nhớ đến cuốn sách The Dog Who Knew When Their Owners Were Coming Home
  • Tôi tưởng họ đã nối máy cho mèo ăn với báo thức, hóa ra là một giai thoại dễ thương. Tôi tò mò tên con mèo là gì
  • Liệu có cách nào chặn hoàn toàn tấn công DDoS không? So với các mối đe dọa khác, đây là kiểu tấn công cấp thấp mà ngay cả người không có kỹ năng hay kiến thức đặc biệt cũng có thể thực hiện chỉ bằng script hoặc dịch vụ