1. Cơ chế tấn công
vHost chặn vĩnh viễn hai giao thức ICMP và UDP do đây là vector tấn công phổ biến nhất trong các cuộc tấn công DDoS:
- ICMP Flood: Kẻ tấn công gửi liên tục hàng triệu gói ICMP Echo Request, làm cạn kiệt băng thông và tăng tải CPU do kernel phải xử lý từng gói tin.
- UDP Flood / DNS Amplification: Kẻ tấn công gửi lượng lớn gói UDP đến các port ngẫu nhiên, hoặc lợi dụng DNS resolver mở để khuếch đại lưu lượng phản hồi lên nhiều lần so với lưu lượng gốc.
Cả hai hình thức đều dẫn đến băng thông bị bão hòa và các dịch vụ TCP (HTTP, SSH, database) bị gián đoạn hoặc tê liệt.
2. Hệ quả
- Các công cụ dựa trên ICMP như
pingvàmtrsẽ không nhận được phản hồi - Hệ thống monitor sử dụng ICMP ping check sẽ báo false positive (down nhưng thực tế vẫn hoạt động bình thường)
3. Cách xác minh kết nối mạng
Do ICMP và UDP bị chặn ở tầng network, kết nối internet cần được xác minh qua giao thức TCP.
Lệnh kiểm tra:
curl -4 ifconfig.me # Check IPv4
curl -6 ifconfig.me # Check IPv6
Nếu lệnh trả về địa chỉ IP public, máy chủ đang hoạt động bình thường và có kết nối internet.
4. Lưu ý đối với hệ thống Monitor
Nếu hệ thống giám sát của bạn đang sử dụng ICMP ping check, cần chuyển sang TCP check để tránh cảnh báo false positive (báo down nhưng thực tế máy chủ vẫn hoạt động bình thường).
