Dự báo và phòng chống tấn công DDoS nhắm vào ngành công nghiệp game online

Dự báo và phòng chống tấn công DDoS nhắm vào ngành công nghiệp game online

November 22, 2018 | vietsunshine

Bài viết của Daniel Smith, người đứng đầu nghiên cứu bảo mật, nhóm ứng phó khẩn cấp của Radware.

Một trong những vấn đề quan trọng nhất đối với ngành công nghiệp game trực tuyến là khả năng cung cấp dịch vụ trong khi các cuộc tấn công từ chối dịch vụ quy mô lớn (DDoS) vẫn là một diễn ra hàng ngày.

Thật không may, các cuộc tấn công từ chối dịch vụ đã và sẽ luôn là một phần của nền văn hóa chơi game, nhưng không phải mọi “mất điện” đều được coi là độc hại trong tự nhiên. Ví dụ khi hàng trăm ngàn người dùng cố gắng để đăng nhập đồng thời, nó tạo ra vấn đề lớn và có thể gây ra tình trạng từ chối dịch vụ. Đối với các nhà khai thác, vận hành các mạng này, việc xác định và giảm thiểu lưu lượng truy cập độc hại trong thời gian này là vô cùng khó khăn, ngay cả với các team có trình độ cao.

Tin tốt là hầu hết các cuộc tấn công thường có thể được dự báo cho phép các nhà khai thác thời gian chuẩn bị. Nói chung, điều làm cho các công ty trò chơi mục tiêu hấp dẫn đối với “DDoSers” là cơ sở người dùng khổng lồ và tác động tiềm năng của họ. Tội phạm thường bắt đầu chiến dịch tấn công DDoS trong một phiên bản mới, giải đấu hoặc khuyến mãi đặc biệt vì họ biết sẽ có sự gia tăng lưu lượng truy cập trên mạng cho phép họ gây ra lượng sát thương lớn nhất và tác động đến hầu hết người dùng.

Ví dụ, vào tháng 10 năm 2018, bản phát hành mới của Ubisoft, Assassin’s Creed: Odyssey, được nhắm mục tiêu vào ngày phát hành bởi một loạt các cuộc tấn công DDoS ngăn người dùng kết nối với máy chủ của trò chơi.

3 loại tấn công DDoS chủ yếu nhắm tới ngành công nghiệp game online.

Có rất nhiều lý do tại sao một người nào đó sẽ khởi động một cuộc tấn công từ chối dịch vụ chống lại một nền tảng chơi game trực tuyến, nhưng hầu hết có thể được phân loại thành một trong ba nhóm.

Tấn công DDoS để troll

Nhóm này tấn công với mục đích troll và phá hoại người chơi khác. Cuộc tấn công của họ thường đến vào những thời điểm quan trọng nhất khi các game thủ đang tìm cách tận dụng lợi thế của nội dung hoặc tiền thưởng cụ thể trong trò chơi. Những sự kiện này xảy ra vào những ngày và thời gian cụ thể và những kẻ tấn công sẽ cố ý nhắm mục tiêu các cuộc tấn công DDoS của họ trong những thời gian đã định.

Họ cảm thấy thích thú khi các game thủ thất vọng về dịch vụ và phản ứng các nhà phát hành trên mạng xã hội.

Tấn công DDoS với mục đích trả đũa

Nhóm thứ hai là những người tấn công trả thù. Ví dụ, khi Blizzard Entertainment đã cấm một nhóm lớn người dùng sử dụng kích hoạt tự động và aimbots, công ty đã bị một cuộc tấn công DDoS để trả đũa. Nhóm này tấn công mục tiêu của họ ngay lập tức sau lệnh cấm và mục tiêu duy nhất của nó là gây thiệt hại trực tiếp cho công ty.

Tấn công DDoS để tìm kiếm sự chú ý

Nhóm thứ ba của kẻ tấn công là những người tìm kiếm sự chú ý hoặc những kẻ trục lợi. Các cuộc tấn công tập trung vào việc làm gián đoạn giải đấu nhằm mang lại lợi ích cho người chơi hoặc tấn công nhằm mục đích quảng bá cho dịch vụ của họ. Bằng cách tung ra các cuộc tấn công, nhiệm vụ của họ là tạo ra lợi nhuận và sức mạnh trên mạng xã hội.

Các cuộc tấn công DDoS nhắm vào ngành công nghiệp game trong năm năm qua đã phát triển với tốc độ nhanh chóng chủ yếu là do việc chấp nhận các thiết bị Internet of Things (IoT) của người tiêu dùng.

Thông thường, các cuộc tấn công DDoS ngày nay nhắm vào ngành công nghiệp trò chơi thông qua các botnet IoT như Mirai. Chúng tạo ra các cuộc tấn công lớn gây ra các vấn đề nghiêm trọng không chỉ cho các nhà điều hành trò chơi và người dùng của họ, mà còn cho các nhà cung cấp dịch vụ, những người sẽ phải hấp thụ các cuộc tấn công dung lượng cao.

Các chiến dịch DDoS này thường được thực hiện bởi những kẻ tấn công có hiểu biết từ cơ bản đến nâng cao an ninh mạng và ứng dụng. Nếu họ không thể làm ngập các máy chủ trò chơi, họ sẽ tìm thấy một nút cổ chai khác hoặc cố gắng nhắm mục tiêu các nhà cung cấp.

Trước khi phát hành gói Stormblood của Final Fantasy XIV vào tháng 6 năm 2017, công ty đã di dời các máy chủ của mình để cung cấp cho người dùng dịch vụ tốt hơn và tối ưu hóa tăng lên. Thật không may, những kẻ tấn công vẫn có thể xác định vị trí của các máy chủ mới và các cuộc tấn công DDoS xảy ra song song với ngày phát hành Stormblood. Các cuộc tấn công chống lại bản phát hành kéo dài trong vài ngày và cuối cùng đã leo thang từ việc nhắm mục tiêu các máy chủ trò chơi của Square Enix trực tiếp để tấn công các nhà cung cấp upstream của họ.

Những kẻ tấn công tiên tiến cũng có thể thay đổi liên tục các vector tấn công nhằm đánh bại các hệ thống giảm nhẹ ngày nay. Một trong những xu hướng nổi bật hơn trong năm 2017 là sự gia tăng các cuộc tấn công ngắn hạn, theo thời gian đã tăng lên về độ phức tạp, tần suất và thời gian. Chiến thuật bùng nổ thường được sử dụng chống lại các trang web chơi game và các nhà cung cấp dịch vụ do tính nhạy cảm của họ đối với khả năng cung cấp dịch vụ cho người dùng của họ. Các đợt lưu lượng truy cập cao hoặc ngẫu nhiên có lưu lượng truy cập cao có thể khiến cho các tổ chức được nhắm mục tiêu bị tê liệt gây ra sự gián đoạn dịch vụ nghiêm trọng cho người dùng.

Các cuộc tấn công DDoS quy mô lớn và tự nhiên cũng có tác động đáng kể đến các nhà cung cấp mạng, những người phải đối phó với các cuộc tấn công lưu lượng lớn được hướng vào khách hàng của họ. Loại gián đoạn này thường dẫn đến độ trễ và dịch vụ bị suy giảm ảnh hưởng đến các khách hàng doanh nghiệp khác của ISP khi cuộc tấn công tiêu thụ tài nguyên của nhà cung cấp.

Khi các cuộc tấn công DDoS tăng về lưu lượng, họ sẽ tiếp tục đặt ra một mối đe dọa không chỉ cho các nhà điều hành trò chơi, mà còn cho các nhà cung cấp mạng.

Việc xác định và nhắm mục tiêu có hệ thống của các dịch vụ này cho thấy những kẻ tấn công có động cơ có thể làm những gì. Một trong những bản phát hành chính cuối cùng của năm, Battlefield V, sẽ phát hành vào ngày 20 tháng 11. Dự kiến do nhu cầu cao, bản phát hành có thể gặp phải sự xuống cấp và suy giảm dịch vụ do của người dùng hoặc tệ hơn vì được nhắm mục tiêu bởi một loạt các cuộc tấn công DDoS. Bản phát hành cuối cùng của Battlefield 1 vào ngày 21 tháng 10 năm 2016, đã bị ảnh hưởng nghiêm trọng cùng với các dịch vụ chính khác trong ngày do tấn công từ chối dịch vụ đã được khởi chạy dựa trên cơ sở hạ tầng DNS được quản lý của Dyn.

Vì các cuộc tấn công này thường xảy ra đồng bộ với sự ra mắt của các giải đấu quan trọng, việc duy trì và kiểm tra các mạng là cần thiết để bảo vệ chống lại các loại tấn công này. Đối với ngành công nghiệp trò chơi trực tuyến và nhà cung cấp dịch vụ, điều quan trọng là phải kiểm tra hệ thống của họ trước các giải đấu và bản phát hành chính để có nhiều thời gian để xem xét và thực hiện các điều chỉnh cần thiết nếu cần để ngăn chặn ngừng dịch vụ. Hầu hết các cuộc tấn công nhắm mục tiêu ngành công nghiệp trò chơi có thể được dự báo, bạn có thể đảm bảo tính khả dụng của dịch vụ cho cả bạn và người dùng của bạn.

Daniel Smith là Giám đốc Nghiên cứu An ninh cho Đội Ứng phó khẩn cấp của Radware. Ông tập trung vào nghiên cứu bảo mật và phân tích rủi ro cho các lỗ hổng dựa trên mạng và ứng dụng.

Tags: ,