โอ๊ะโอ มาอีกแล้ว Application VS Volume DDoS Attack ใครจะเป็นที่นิยมมากกว่า
กันและแบบไหนมีพลังทำลายล้างมากกว่ากัน เรามาเริ่มกันเลยดีกว่าเริ่มจาก…
1. Application base Attack: นายคนนี้ทางผมใช้นินจาเป็นตัวแสดง
เรานึงถึงนินจาเรานึกถึงอะไรครับ นารุโตะ! หรือฮัตโตริ? (แต่ละตัวละครเนี่ยไม่อยากจะ
บอกเล้ย ว่าบอกอายุชัดๆ) จะเป็นใครก็แล้วแต่ แต่นินจาเก่ง มักจะได้รับการมอบหมาย
ให้ปฏิบัติภารกิจลับ
… ห้ามให้ใครรู้ว่าปฏิบัติการ
ใช่ครับนี่คือจุดเด่นของ Application base Attack โจมตีโดยที่ทำให้เกิดความเสียหาย
โดยที่เจ้าตัวไม่รู้เรื่องว่าโดนเข้าแล้ว… อาการเบาๆอาจจะเป็นแค่การเข้าใช้งานช้า
แต่ถ้าหนักเข้าก็ต้องถึงกับต้องรีสตาร์ทเซอร์วิสกันไปเลยทีเดียว ซึ่งถ้าสังเกตุกันดีๆจะพบว่า
Application base Attack นั้นจะโจมตีไปที่ Web Service เป็นหลักผ่านทางคำสั่ง
การขอใช้งานเช่น HTTP GET, POST หรือ PUSH โดยการโจมตีก็มีหลากหลายเทคนิค
เช่น Slowloris, RUDY หรือที่นิยมกันก็คือการทำ HTTP GET Flood
ส่งการร้องขอใช้งานทรัพยากรจำนวนมหาศาลเพื่อทำให้เครื่องแม่ข่ายทำงานไม่ไหว
แล้วก็น็อคกลางอากาศไปในที่สุด
ใครที่โจมตีประเภทนี้ได้บอกได้เลยว่าต้องมีเทคนิคและความรู้เฉพาะตัวค่อนข้างสูงถึงจะ
โจมตีจนให้เกิดความเสียหายได้ แต่ถึงแม้จะยากก็ไม่ได้ยากจนเกินไป และการโจมตี
ประเภทนี้มักจะไม่ตรวจพบจาก Network Layer (พูดง่ายๆคือมองหาจาก netflow
หรือ MRTG ไม่ค่อยเห็นเท่าไหร่) จำเป็นต้องไปดูจากจำนวน Session ที่วิ่งแทนถึง
จะตรวจสอบได้ แต่บางครั้ง Botnets มันก็แฝงเข้ามาโจมตีด้วยวิธีนี้ด้วยเช่นกัน
2. Volume base Attack: อยากจะเดากันอีกไหมว่าผมนึกถึงตัวการ์ตูนอะไร? ผมเชื่อว่า
หลายคนคงคิดถึงการ์ตูนเรื่องฟริ้นสโตนแน่ๆเลย (แอบดักอายุนะฮะ ^^) ซึ่งมนุษย์หินผมให้
เป็นตัวแทนของจอมพลังและความแข็งแกร่งครับ เทคนิคมีไม่มากขอแค่มีพลังพอ
คุณสมบัติของการโจมตีประเภทนี้คือ ลุย…เป็นทัพหน้า
ลุยเป็นทัพหน้าคืออะไร? ที่ผมเรียกการโจมตีนี้เป็นการลุยทัพหน้าคือเราจะเห็นได้ชัดครับว่า
ถูกโจมตี เพราะเมื่อมีการโจมตีด้วย Volume base แล้วจะพบว่ามีปริมาณ Bandwidth
ที่สูงผิดปกติมากกกกกกกก มากจริงๆ มากจนเห็นได้ชัด มากจนพูดไม่ออก มากจน
ต้องรีบจัดการ… โดยเทคนิคยอดนิยมอันดับ 1 พบว่าเป็น TCP SYN Flood คอยดูด resource
ของเครื่องแม่ข่าย
สูงถึง 17% แต่ถ้าดูอันดับสองตามมาติดๆก็คือ SSDP 15%, UDP Fragment 14%, UDP
Flood และ DNS เท่ากันที่ 11% และสุดท้ายเป็น NTP 8%
จุดที่น่าสนใจคืออันดับ 2-6 เป็น UDP ทั้งหมดเลย และเหตุผลที่ UDP ยังเป็นที่นิยมนั่นคือเป็น
การสื่อสารแบบ State less หรือก็คือการส่งแบบไม่ต้องมีการตรวจสอบ ซึ่งทำให้สามารถ
ปลอมแปลงข้อมูลเช่น IP Address ได้ ซึ่งเทคนิคที่นิยมจนเป็น Talk of the Town
ก็คือ DNS Reflection หรือบ้างครั้งก็เรียกกันว่า DNS Amplification โดยในบทความวันนี้ได้นำ diagram
มาให้แต่ขอยกยอดไปต้นฉบับคราวหน้าเพื่อให้มีพื้นที่เต็มที่ แต่จะบอกว่าการโจมตีประเภท
DNS Reflection หรือ DNS Amplification นี้คือว่าเป็น Attack of the Year 2014 กันเลยทีเดียว
แบบว่าจัดหนัก จัดเต็ม จุกจริงไรจริง วิ่งไปที่ไหนอัด Bandwidth ได้เต็มที่จริงๆ 300Gbps
ก็มีให้เห็นกันแล้วพี่น้องงงงงง
แถมซักหน่อย ความเห็นส่วนตัวที่พบการโจมตีชนิด DNS Reflection หรือ DNS Amplification
คือในประเทศไทยจะพบว่า DNS จะโจมตีมาบ่อยแต่ถ้ามาจากต่างประเทศมักจะเป็น SSDP
ใครเคยโดนแบบไหนก็ แชร์กันได้นะครับ
บทสรุป
สำหรับความนิยมจากการจัดอันดับจากทาง Akamai ผู้ชนะคืออออออออออออ
ฟริ้นสโตนนนนนน Volume base Attack!!!!!!!! เกือบ 90% ใช้ Volume base Attack
โจมตี แต่ก็นะ…ก็ทั้งง่าย ไม่ต้องมี Botnets ก็โดนได้และอีกครั้งที่ต้องเตือนกันคือส่วนใหญ่
แล้วถ้าไม่ได้ยิง Game Server เขาก็จะยิงกันไปที่ Web Server!!!
สำหรับฉบับนี้ขอจบด้วยการแนะนำตัวละครใหม่คือน้อง Blended น้องคนนี้มีสภาพเป็น
นักรบในอนาคต… ใช่ครับในอนาคตการโจมตีแบบ Blended จะมีมากขึ้นโดย
Blended Attack แปลตรงตัวคือการการโจมตีแบบผสมผสาน… ไม่จำเป็นต้องมีแค่
เทคนิคเดียวแล้วในการโจมตี แต่ใช้เทคนิคเท่าที่แฮคเกอร์มี (แต่ส่วนใหญ่ขอบอกว่า
จ้างเอาทั้งนั้น) ระดมใส่เข้าไปยังเป้าหมาย อย่างว่าครับ
DDoS Distributed Denial of Service ก็คือการทำให้เป้าหมายร่วง ใช้งานไม่ได้
เขาไม่สนวิธีการอยู่แล้ว
ฉบับสัปดาห์นี้ลาก่อน ขอให้ทุกท่านสุขภาพแข็งแรง อากาศเปลี่ยนแปลงบ่อย
อยู่ๆฝนก็ตก พักผ่อนเยอะๆนะคร๊าบบบบบบบบบบ
—— มันเกิดกับคุณได้เหมือนกัน! ——
No comments:
Post a Comment