• มาทำความรู้จักกับ DDoS

    DoS หรือ DDoS คืออะไร ทำงานอย่างไร

    การโจมตี DoS ในอดีตจริงๆ มักจะเป็นที่เครื่องไม่สามารถทำงานตามข้อมูลที่ถูกส่งมาได้ ไม่ว่าจะเป็นการ ping of death ที่เป็นการส่ง packet ICMP ขนาดใหญ่จำนวนมาก ซึ่งเครื่องในสมัยก่อนไม่สามารถที่จะจัดการ packet ICMP ขนาดใหญ่กว่าปกติได้ เครื่องจะเกิดอาการแฮงค์และไม่สามารถให้บริการได้ เป็นต้น การโจมตีอีกประเภทคือการโจมตีที่ยังคงนิยมใช้อยู่ตั้งแต่อดีตจนถึงในปัจจุบันคือการทำให้ช่องทางการติดต่อสื่อสาร (Bandwidth) เต็มและให้เครื่องเป้าหมายใช้ทรัพยากรของเครื่องจนไม่สามารถให้บริการได้อย่างการโจมตีแบบ SYN Flood Attack โดยเป็นการโจมตีที่ส่ง TCP/SYN Packet จำนวนมากไปยังเครื่องเป้าหมาย เมื่อเครื่องเป้าหมายได้รับ ก็จะเปิดการเชื่อมต่อเป็น half-open connection จำนวนมาก แต่เครื่องผู้โจมตีจะไม่ทำตามกระบวนการ Three-way handshake จะยังคงค้างการรอรับการเชื่อมต่อต่อไป ทำให้เครื่องเป้าหมายใช้ทรัพยากรของเครื่องในการทำ half-open connection ไปจนหมด แล้วเครื่องเป้าหมายก็จะเกิดอาการช้า หรือไม่ตอบกลับไปยังเครื่องที่ต้องการใช้งานจริงๆ จนกระทั่งไม่สามารถให้บริการไปได้ในที่สุด ซึ่งสามารถแก้ไขได้โดยการใช้ระบบตรวจจับการโจมตี(Intrusion Detection System หรือเรียกสั้นๆว่า IDS, Intrusion Prevention System หรือเรียกสั้นๆว่า IPS) หรือการเพิ่มประสิทธิภาพฮาดแวร์ของเครื่อง และในเวลาต่อมาเมื่อเครื่องพัฒนาไปมากขึ้น การโจมตีแบบ DoS ก็เริ่มไม่เป็นผล ผู้โจมตีจึงได้เปลี่ยนวิธีใหม่เป็นการโจมตีแบบใช้เครื่องหลายๆเครื่องในการโจมตีพร้อมกันคือ Distribute Denial of Service(DDoS) โดยเครื่องหลายๆเครื่องนั้นมักถูกเรียกว่า Zombie, BOT โดยเป็นเครื่องที่ถูกฝัง malware ต่างๆไว้ให้ทำตามอย่างที่เครื่องผู้ปล่อย malware ดังกล่าวต้องการ

     

    image01

    DDoS สมัยใหม่

    การโจมตีแบบ DDoS นั้นเน้นหลักไปในเรื่องการพยายามทำให้ Bandwidth เต็ม ซึ่งก็สามารถสร้างความปั่นป่วนให้กับให้กับผู้ให้บริการพอสมควร แต่เนื่องด้วยประสิทธิภาพของโครงข่ายการส่งข้อมูลและระบบ IDS/IPS ที่มีการพัฒนาอย่างต่อเนื่อง ทำให้ลดภัยคุกคามทางด้านการโจมตีเหล่านี้ได้ไปมาก ผู้โจมตีจึงได้คิดวิธีการโจมตีแบบใหม่โดยเน้นไปที่หลักการ“การร้องขอข้อมูลขนาดเล็ก แต่ได้ก้อนข้อมูลขนาดใหญ่หลายเท่าตัวกลับมา” โดยการโจมตีที่มีนิยมในปัจจุบันคือ DNS DDoS Amplification Attack และ NTP DDoS Amplification Attack

     

    image02

    DNS DDoS Amplification

    ในช่วงปี 2013 – 2014 มีผู้ให้บริการหลายเจ้ารวมถึงระดับ ISP ได้พบการโจมตี DDoS แบบใหม่จำนวนมาก โดยการโจมตีดังกล่าวเป็นการโจมตีด้วยการสร้าง DNS request ที่มีการปลอมแปลง source IP เป็นเครื่องเป้าหมาย แล้วส่ง DNS Request ดังกล่าวจำนวนมากไปยังเครื่อง DNS ที่อนุญาตให้ทำ recursion(อีกชื่อหนึ่งคือ Open DNS Resolver)ได้ ซึ่งการทำ DNS recursion คือการยินยอมให้ผู้อื่นสามารถสอบถาม DNS เข้ามาได้ แล้วเครื่องดังกล่าวจะไปถาม DNS อื่นมาให้จนกระทั่งได้ข้อมูล โดย DNS Request ที่ส่งไปหา DNS นั้นมีขนาดน้อยมากเมื่อเปรียบเทียบกับ DNS Response ที่ DNS จะส่งกลับไปหาเครื่องเป้าหมาย

     

    References

    http://www.i-secure.co.th/

    Comments

    comments

Comments are closed.