DDoS Report Q1 2015

อัพเดทแนวโน้มของ DDoS Attack เพียงแค่คลิกเดียว!
สำหรับรายงาน State of Internet จากของ Akamai Q1 2015 มีรายงานเด่นๆ ดังนี้
1. SSDP Reflection กระโดดมาเป็นอันดับ 1 พุ่งพรวดมากๆ
แต่ก็ไม่เกินความคาดหมายนะ เพราะจำนวนอุปกรณ์ที่สามารถสร้าง SSDP ได้มีจำนวนเยอะมาก และไม่ค่อยมีอะไรป้องกันได้ด้วยสิ
2. Volume base Attack เติบโตกว่า Q4 2014 ที่แล้วกว่า 2%
3. อุตสาหกรรมเกมส์ ยังโดนเป็นอันดับที่ 1 ที่โดนโจมตีบ่อยมากที่สุด
ในขณะนี้รองลงมาเป็นผู้ให้บริการ Cloud, VPS, ISP, Finance, Media and Entertainment หรือแม้แต่ราชการก็ยังโดน ถ้าจะว่ากันภาพรวมนะ ไม่รอดซักอุตสาหกรรมที่มีการเชื่อมต่ออินเทอร์เน็ต
4. ประเทศจีน แซงประเทศสหรัฐอเมริกาขึ้นมาเป็นอันดับ 1 ในเรื่องของประเทศที่เป็นต้นทางการโจมตีมากที่สุด
5. เปรียบเทียบการโจมตีระหว่างปี Q1 2014 และ 2015 พบว่าจำนวนการโจมตีเติบโตขึ้น 116.5%

ที่มา: www.snoc.co.th/services/ddos-protection/

DDoS Impact 2015 สิ่งที่จะเกิดหลังจากเว็บล่ม

Service DOWN! 6 สิ่งที่จะเกิดหลังจากระบบร่วง เว็บล่ม
เว็บล่ม มีผลกระทบในเชิงลึกทั้งทางธุรกิจและชีวิตประจำวันโดยทางเราจะขออนุญาตแชร์เป็น 6 ข้อดังนี้
1. Brand/Customer confidence: ความเชื่อมั่นในสินค้าและบริการของแบรนด์
ความน่าเชื่อถือในสินค้าย่อมขึ้นอยู่กับความสามารถในการให้บริการ หากระบบไม่สามารถตอบสนองใช้งานได้ทันทีลูกค้าก็พร้อมที่จะเลือกรายอื่นทันที
2. Loss Revenue: รายได้หายไป! แม้จะเพียง 5 วินาที
จากสถิติพบว่าถ้าเปิดเว็บไซต์แล้วต้องรอเป็นเวลา 5-10 วินาทีจะทำให้คนเข้าเว็บไซต์อื่นทันที นั่นแสดงว่าลูกค้าเราหายไปทันทีที่เกิดปัญหา
3. Customer support: รับสายไม่ไหวแล้วววว มีแต่ลูกค้าโทรมา
นอกจากผู้ดูแลระบบที่ต้องมีงานหนักในการกู้ระบบแล้ว ในส่วนงานของบริการหลังการขายจะมีงานที่หนักมาก และสิ่งที่ตามมาคือค่าจ้างที่จะต้องจ่ายเพิ่มมากขึ้นเพื่อทำให้ Seat ในการบริการมีเพียงพอต่อการโทรเข้ามาของลูกค้า
4. Lost SEO and online marketing: ลงทุนการตลาดเพื่อเรียกลูกค้าเข้ามาชมสินค้า แต่ลูกค้าเข้าชมไม่ได้!
ปฏิเสธไม่ได้ว่าไม่มีใครทำ SEO หรือการตลาดออนไลน์ผ่านทาง Social เพื่อให้ลูกค้าเข้ามาเยี่ยมชมและเลือกใช้บริการ ซึ่งมูลค่าการลงทุนด้านการตลาดจะสูญเสียทันทีเมื่อลูกค้า Click… แล้วเข้าใช้งานไม่ได้ ซึ่งก็จะเชื่อมต่อกับข้อ (2) ลูกค้าจะรอเพียงแค่ 10 วินาทีเท่านั้น
5. Time/KPI/Bonus/Incentive: หมดกัน…
สำหรับบางคน เวลาคือสิ่งที่สำคัญที่สุด แต่สำหรับบางคนเป็น KPI ที่วัดประสิทธิภาพในการทำงาน ซึ่งจะวัดผลในเรื่องส่วนของผลตอบแทนไม่ว่าจะเป็น Bonus หรือ Incentive ซึ่งแน่นอนคงไม่สนุกแน่ถ้า เวลาก็หายไปและ KPI ก็ตกแถมไม่มีโบนัสซะอีก
6. Family: เวลาครอบครัว

ที่มา: www.snoc.co.th/services/ddos-protection/

Attack of the year 2014: รู้ยัง! ว่าตัวไหนนนนนนนน

รู้ยัง!DDoS รูปแบบไหนที่ฮอตมากที่สุดในปี 2014
ตอบ: Reflection หรือ Amplification
ถาม: Reflection/Amplification มันคืออะไร?
ตอบ: เป็นเทคนิคการโจมตีที่อาศัยช่องโหว่ของ UDP ที่ทำให้สามารถปลอมการสื่อสารได้
ถาม: ทำไมถึงฮอตมากที่สุดล่ะ
ตอบ: เพราะมันง่าย และโจมตีได้ถึง 300Gbps สบายๆ
ถาม: เทคนิคนี้ยากง่ายขนาดไหน
ตอบ: ง่ายกว่าการโจมตีชนิดไหนๆที่ผ่านมา โดยเทคนิคเก่าๆจำเป็นต้อง มีบอทเน็ตจำนวนมหาศาล, มีผู้ร่วมดำเนินการมาก และสุดท้ายคือต้องรู้เทคนิคสูง แต่เทคนิคนี้ไม่จำเป็นเลย
ถาม: แล้วเขาทำอย่างไร
ตอบ: เทคนิคนี้อาศัยเพียงสองอย่าง 1) DNS server ที่เป็นแบบเปิด ความหมายคือใครก็ได้สามารถใช้งานได้ อัตราส่วนโดยประมาณคือ 100 เครื่องต่อ 1Gbps โดยสามารถหาได้ที่ Open Resolver Project 2) ระบบที่สามารถปลอมไอพีได้ (ซึ่งส่วนใหญ่ก็สามารถทำได้)
ถาม: แล้วอย่างไรต่อครับ เริ่มตื่นเต้นแล้ว!
ตอบ: ผู้ก่อการก็จะปลอม IP Address ของเป้าหมาย เช่นถ้าเขาต้องการโจมตี www.Snoc.co.th ก็ปลอมเป็น IP 111.223.56.4 แล้วไปกวาดถามหา DNS server ซึ่งแน่นอน DNS server ก็จะตอบกลับไปยังเว็บไซต์ของ Snoc ด้วยปริมาณข้อมูลมหาศาล จนทำให้ตัดการติดต่อกับอินเทอร์เน็ต
ถาม: แบบนี้เว็บ www.snoc.co.th ก็ร่วงสิ
ตอบ: อ้อ เว็บของเราป้องกันอยู่ครับ
ถาม: ป้องกันอย่างไรครับ?
ตอบ: เราใช้เทคนิคที่เรียกว่า Anycast ซึ่งเป็นเทคนิคที่ใช้การทำ Load Balance ที่เจ้าใหญ่ๆก็ทำกันเช่น Google DNS และด้วยเทคนิคนี้ก็ทำให้เราสามารถป้องกันการโจมตี DDoS ได้มากถึง 1.2Tbps เลยทีเดียว (แค่ในไทยเราก็ป้องกันได้มากกว่า 100Gbps แล้วนะ แอบบอก แอบบอก ^^)
ถาม: แล้วถ้าใครไม่มี Anycast ล่ะทำอย่างไร?
ตอบ: ทำใจ! อ้อไม่ใช่ครับ ก็ต้องลงทุนฮาร์ดแวร์ และเช่าแบนวิดจำนวนมหาศาลที่สามารถรองรับการโจมตีขนาดใหญ่นี้ได้ คำนวณแบบไซส์ขนาดกลางก็ราวๆ 10 ล้านบาทได้ครับ
ถาม: แพงขนาดนั้นเลยเหรออออออออออออ
ตอบ: นั่นเลยเป็นปัจจัยที่ทำให้เราเปิดให้บริการป้องกัน DDoS ในรูปแบบก้อนเมฆแห่งแรกในไทย โดยพาร์ทเนอร์กับทางต่างประเทศเพื่อช่วยกรองทราฟฟิคที่โดนบอมจากต่างประเทศ ซึ่งบอกได้เลยว่าถ้าใช้ของเรา ไม่ต้องห่วงว่า Bandwidth International ของคุณจะใช้งานไม่ได้!

ที่มา: www.snoc.co.th/services/ddos-protection/

App VS Volume รู้ยัง! ตัวไหนโดนงัดมาใช้บ่อยสุด

 

โอ๊ะโอ มาอีกแล้ว Application VS Volume DDoS Attack ใครจะเป็นที่นิยมมากกว่า
กันและแบบไหนมีพลังทำลายล้างมากกว่ากัน เรามาเริ่มกันเลยดีกว่าเริ่มจาก…

1. Application base Attack: นายคนนี้ทางผมใช้นินจาเป็นตัวแสดง
เรานึงถึงนินจาเรานึกถึงอะไรครับ นารุโตะ! หรือฮัตโตริ? (แต่ละตัวละครเนี่ยไม่อยากจะ
บอกเล้ย ว่าบอกอายุชัดๆ) จะเป็นใครก็แล้วแต่ แต่นินจาเก่ง มักจะได้รับการมอบหมาย
ให้ปฏิบัติภารกิจลับ
… ห้ามให้ใครรู้ว่าปฏิบัติการ

ใช่ครับนี่คือจุดเด่นของ Application base Attack โจมตีโดยที่ทำให้เกิดความเสียหาย
โดยที่เจ้าตัวไม่รู้เรื่องว่าโดนเข้าแล้ว… อาการเบาๆอาจจะเป็นแค่การเข้าใช้งานช้า
 แต่ถ้าหนักเข้าก็ต้องถึงกับต้องรีสตาร์ทเซอร์วิสกันไปเลยทีเดียว ซึ่งถ้าสังเกตุกันดีๆจะพบว่า
 Application base Attack นั้นจะโจมตีไปที่ Web Service เป็นหลักผ่านทางคำสั่ง
การขอใช้งานเช่น HTTP GET, POST หรือ PUSH โดยการโจมตีก็มีหลากหลายเทคนิค
เช่น Slowloris, RUDY หรือที่นิยมกันก็คือการทำ HTTP GET Flood
 ส่งการร้องขอใช้งานทรัพยากรจำนวนมหาศาลเพื่อทำให้เครื่องแม่ข่ายทำงานไม่ไหว
แล้วก็น็อคกลางอากาศไปในที่สุด

ใครที่โจมตีประเภทนี้ได้บอกได้เลยว่าต้องมีเทคนิคและความรู้เฉพาะตัวค่อนข้างสูงถึงจะ
โจมตีจนให้เกิดความเสียหายได้ แต่ถึงแม้จะยากก็ไม่ได้ยากจนเกินไป และการโจมตี
ประเภทนี้มักจะไม่ตรวจพบจาก Network Layer (พูดง่ายๆคือมองหาจาก netflow
หรือ MRTG ไม่ค่อยเห็นเท่าไหร่)  จำเป็นต้องไปดูจากจำนวน Session ที่วิ่งแทนถึง
จะตรวจสอบได้ แต่บางครั้ง Botnets มันก็แฝงเข้ามาโจมตีด้วยวิธีนี้ด้วยเช่นกัน

2. Volume base Attack: อยากจะเดากันอีกไหมว่าผมนึกถึงตัวการ์ตูนอะไร? ผมเชื่อว่า
หลายคนคงคิดถึงการ์ตูนเรื่องฟริ้นสโตนแน่ๆเลย (แอบดักอายุนะฮะ ^^) ซึ่งมนุษย์หินผมให้
เป็นตัวแทนของจอมพลังและความแข็งแกร่งครับ เทคนิคมีไม่มากขอแค่มีพลังพอ
 คุณสมบัติของการโจมตีประเภทนี้คือ ลุย…เป็นทัพหน้า

ลุยเป็นทัพหน้าคืออะไร? ที่ผมเรียกการโจมตีนี้เป็นการลุยทัพหน้าคือเราจะเห็นได้ชัดครับว่า
ถูกโจมตี เพราะเมื่อมีการโจมตีด้วย Volume base แล้วจะพบว่ามีปริมาณ Bandwidth
ที่สูงผิดปกติมากกกกกกกก มากจริงๆ มากจนเห็นได้ชัด มากจนพูดไม่ออก มากจน
ต้องรีบจัดการ… โดยเทคนิคยอดนิยมอันดับ 1 พบว่าเป็น TCP SYN Flood คอยดูด resource
 ของเครื่องแม่ข่าย
 สูงถึง 17% แต่ถ้าดูอันดับสองตามมาติดๆก็คือ SSDP 15%, UDP Fragment 14%, UDP
Flood และ DNS เท่ากันที่ 11% และสุดท้ายเป็น NTP 8%

จุดที่น่าสนใจคืออันดับ 2-6 เป็น UDP ทั้งหมดเลย และเหตุผลที่ UDP ยังเป็นที่นิยมนั่นคือเป็น
การสื่อสารแบบ State less หรือก็คือการส่งแบบไม่ต้องมีการตรวจสอบ ซึ่งทำให้สามารถ
ปลอมแปลงข้อมูลเช่น IP Address ได้ ซึ่งเทคนิคที่นิยมจนเป็น Talk of the Town
ก็คือ DNS Reflection หรือบ้างครั้งก็เรียกกันว่า DNS Amplification โดยในบทความวันนี้ได้นำ diagram
มาให้แต่ขอยกยอดไปต้นฉบับคราวหน้าเพื่อให้มีพื้นที่เต็มที่ แต่จะบอกว่าการโจมตีประเภท
 DNS Reflection หรือ DNS Amplification นี้คือว่าเป็น Attack of the Year 2014 กันเลยทีเดียว
แบบว่าจัดหนัก จัดเต็ม จุกจริงไรจริง วิ่งไปที่ไหนอัด Bandwidth ได้เต็มที่จริงๆ 300Gbps
 ก็มีให้เห็นกันแล้วพี่น้องงงงงง

แถมซักหน่อย ความเห็นส่วนตัวที่พบการโจมตีชนิด DNS Reflection หรือ DNS Amplification 
คือในประเทศไทยจะพบว่า DNS จะโจมตีมาบ่อยแต่ถ้ามาจากต่างประเทศมักจะเป็น SSDP
ใครเคยโดนแบบไหนก็ แชร์กันได้นะครับ

บทสรุป

สำหรับความนิยมจากการจัดอันดับจากทาง Akamai ผู้ชนะคืออออออออออออ
ฟริ้นสโตนนนนนน Volume base Attack!!!!!!!! เกือบ 90% ใช้ Volume base Attack
โจมตี แต่ก็นะ…ก็ทั้งง่าย ไม่ต้องมี Botnets ก็โดนได้และอีกครั้งที่ต้องเตือนกันคือส่วนใหญ่
แล้วถ้าไม่ได้ยิง Game Server เขาก็จะยิงกันไปที่ Web Server!!!

สำหรับฉบับนี้ขอจบด้วยการแนะนำตัวละครใหม่คือน้อง Blended น้องคนนี้มีสภาพเป็น
นักรบในอนาคต… ใช่ครับในอนาคตการโจมตีแบบ Blended จะมีมากขึ้นโดย
 Blended Attack แปลตรงตัวคือการการโจมตีแบบผสมผสาน… ไม่จำเป็นต้องมีแค่
เทคนิคเดียวแล้วในการโจมตี แต่ใช้เทคนิคเท่าที่แฮคเกอร์มี (แต่ส่วนใหญ่ขอบอกว่า
 จ้างเอาทั้งนั้น) ระดมใส่เข้าไปยังเป้าหมาย อย่างว่าครับ
 DDoS Distributed Denial of Service ก็คือการทำให้เป้าหมายร่วง ใช้งานไม่ได้
 เขาไม่สนวิธีการอยู่แล้ว

ฉบับสัปดาห์นี้ลาก่อน ขอให้ทุกท่านสุขภาพแข็งแรง อากาศเปลี่ยนแปลงบ่อย
อยู่ๆฝนก็ตก พักผ่อนเยอะๆนะคร๊าบบบบบบบบบบ

—— มันเกิดกับคุณได้เหมือนกัน! ——

ที่มา : www.snoc.co.th/services/ddos-protection/

HOW To DDoS Attacks

HOW TO DDoS … เผยแผน! โจมตีระดับโลก
หลายๆคนคงจะสงสัยอยู่ไม่น้อยว่าการโจมตีที่เรียกว่า DDoS เนี่ยเขาทำไปเพื่ออะไร และมีขั้นตอนการทำอย่างไรบ้าง วันนี้ทางเราจะนำเสนอ 3 ขั้นตอนที่ใช้โจมตี
1. Motivation แรงจูงใจ
ปัจจุัยที่ใช้ในการก่อเหตุแต่ละครั้งสิ่งสำคัญที่สุดคือแรงจูงใจที่อยากจะทำการโจมตี โดยทางเราขอเสนอเหตุจูงใจดังต่อไปนี้ครับ
- Hacktivism
หมายถึงกลุ่มลัทธิที่รวมตัวกันทำงานเป็นทีม สามารถเข้าจัดการโจมตีได้ทันทีเมื่อมีการสั่งการ ตัวอย่างในกรณีนี้คือการที่กลุ่ม Anonymous ประกาศจะจัดการกับกลุ่ม ISIS หรือกรณีที่กลุ่ม Lizard Squad โจมตี Play Station Network เป็นต้น

-


Competitors คู่แข่ง
แรงจูงใจชนิดนี้พบได้บ่อยในการทำธุรกิจออนไลน์ที่มีการแข่งขันสูง เป็นการโจมตีที่เกิดจากความต้องการให้ระบบของอีกฝ่ายล่ม! ไม่สามารถให้บริการได้ ซึ่งเมื่อใช้งานไม่ได้ ก็ส่งผลต่อความพึงพอใจของลูกค้า เป็นการบังคับให้ลูกค้าต้องเลือกไปใช้บริการของรายอื่น ส่วนคนที่เป็นฝ่ายถูกโจมตีนั้น ก็จะมีความเสียหายเกิดขึ้นและก็ขึ้นอยู่กับการแก้ไขและป้องกันจะรวดเร็วขนาดไหน และถ้าช้าลูกค้าก็จะไม่กลับมาอีกแล้ว…
- Angry Employees or Customers ความโกรธของพนักงานหรือลูกค้า
“ความโกรธ ไม่พอใจ” อารมณ์ที่ไม่เข้าใครออกใครจะทำให้เกิดสิ่งที่ไม่คาดคิดง่ายๆ แรงจูงใจชนิดนี้ผู้โจมตีจะต้องการระบายความโกรธแค้นที่มีต่อองค์กร หรือเกิดจากกระแสความโกรธของสังคมที่เกิดขึ้น ณ ช่วงเวลานั้นๆเช่นกรณีของสถานนีตำรวจเฟอกูสัน เป็นต้น

- Protest การเมือง
กลุ่มเป้าหมายที่จะถูกโจมตีส่วนใหญ่จะเป็นกลุ่มที่เกี่ยวข้องกับการเมือง เช่น สื่อ เว็บไซต์ หรือแม้แต่การให้บริการของรัฐบาล (Government Service) ก็ตกเป็นเป้าหมายจากแรงจูงใจทางการเมืองเช่นกัน หรือในบางครั้งก็ลุกลามจนเป็นระดับ Cyberwar ดังเช่นกรณีของเกาหลีเหนือไม่สามารถใช้อินเทอร์เน็ตได้ทั้งประเทศ
- Money เงิน เงิน เงิน!
มีการใช้ DDoS เพื่อเป็นการขู่กรรโชกทรัพย์ก็มีให้เห็นบ่อยๆเหมือนกัน และเรื่องเงินก็มักจะไปเกี่ยวข้องกับคู่แข่งทางธรุกิจด้วยในบางครั้ง…
2. Identify target เล็งเป้าหมายที่จะใช้โจมตี
จะโจมตีทั้งทีก็ต้องเลือกที่กระทบต่อบริษัทมาที่สุดน่ะสิ! ดังนั้นอันดับหนึ่งที่ลอยลำมาเลยคือเว็บไซต์ เพราะผลของการโจมตีย่อมทำให้องค์กรนั้นๆสูญเสียความน่าเชื่อถือกระทบต่อชื่อเสียงได้เช่นกัน ส่วนอันดับสองเป็น DNS Server
3. Lunch attack ลุย…
การโจมตี DDoS ในปัจจุบันไม่จำเป็นต้องเป็นผู้เชี่ยวชาญและไม่จำเป็นต้องมี Botnets จำนวนมากอีกต่อไป ด้วยหลายๆเทคนิค Reflection Amplification ที่อาศัยจุดอ่อนของ UDP ก็สามารถสร้างการโจมตีได้มากกว่า 300Gbps หรือแม้กระทั่งการจัดหาคนรับจ้างโจมตี ก็มีเยอะมากในปัจจุบัน ราคาเริ่มต้นก็ไม่กี่สิบบาทเท่านั้น


หากต้องการสอบถามข้อมูล ปรึกษาเพื่อต้องการให้ออกแบบระบบป้องกัน ทดลองใช้ระบบของเรา หรือแลกเปลี่ยนข้อมูล สามารถติดต่อได้ที่ sales@snoc.co.th ได้เลยนะครับ

ที่มา: www.snoc.co.th/services/ddos-protection/

DoS VS DDoS อะไรแรงกว่า อะไรเจ๋งกว่า อะไรเจ็บกว่า เชิญชมมมมมม

 

วันนี้จะกล่าวกันเรื่อง DoS ท้าชน DDoS อะไรเจ็บ เจ๋ง แรงกว่ากันนนนน

เริ่มจากคุณสมบัติของ DoS [Denial of Service] กันก่อนเลยดีกว่า ว่ามีลักษณะการโจมตีเป็นอย่างไร

- จะใช้เครื่องเดียวโจมตีด้วย IP เดียวเดี่ยวๆ ดังนั้นความรุนแรงที่เกิดขึ้นจะมากหรือใหญ่ ก็อยู่ที่เครื่องที่ใช้โจมตีว่า แรงและเร็วขนาดไหน เราก็ประมาณไว้ว่าคงไม่เกิน 10Gbps ละกัน

- การจับได้ไล่ทัน ถ้าโจมตีมาด้วย Application Attack คงหาตัวยากแต่คงไม่เกินความสามารถของระบบตรวจสอบ แต่ถ้ามาเป็น Volume base [สมมุติว่ามาซัก 100Mbps] อันนี้จับไม่ยากเลย และการบล๊อคก็ง่ายเพราะมาแค่ไอพีเดียว รู้ไอพีก็จัดการซะ แจ้งให้ ISP ช่วยบล๊อคก็ได้กรณีแบบนี้

- และสุดท้ายความเสียหายที่เกิดขึ้นก็แปรผันกับความรุนแรง ซึ่งการโจมตีด้วย DoS มาเพียงแค่เครื่องเดียว ความรุนแรงก็มีจำกัด และเมื่อพบว่าไอพีอะไรโจมตีก็สามารถบล๊อคได้ ในมุมกลับกันผู้ที่โจมตีก็ต้องหาเครื่องหรือเปลี่ยนไอพีไปเรื่อยๆ ซึ่งก็คงไม่ใช่เรื่องง่ายที่ทำแบบนี้ ทำให้ความเสียหายที่เกิดขึ้นก็ไม่ได้มากมายอะไรซักเท่าไหร่

ดังนั้นขอสรุปพลังของ DoS คือ 1. ใช้โจมตีแค่เครื่องเดียว 2. ความรุนแรงจำกัด และ 3. ความเสียหายค่อนข้างเป็นวงแคบ จัดการได้ไม่ยากจนเกินไป

มาถึงคู่ต่อสู้อย่าง DDoS [Distributed Denial of Service] คือตัวนี้เนี่ยจากชื่อชั้นบอกได้เลยว่ามวยคนละน้ำหนักกัน คนละน้ำหนักอย่างไร ลุยกันเลย

- อย่างแรกเลยคือ DDoS โจมตีแบบรุมกันเลย โดยในต่างประเทศบ้างก็เปรียบเทียบ DDoS ว่าเหมือนซึนามิ มาทีนึงกวาดไปหมด แต่การทำ DoS เปรียบเสมือนมีด เงียบๆ เบาๆ ไม่รู้ตัว

- แน่นอนเมื่อจำนวนเครื่องที่ใช้โจมตีมีจำนวนมาก ความเสียหายและความรุนแรงจึงแปรผันตรง และเทคนิคที่นิยมกันใน 2014 คือReflection ที่ใช้ DNS NTP SSDP เป็นตัวโจมตี อยากจะบอกเลยว่าถ้าโดนที จุกแน่นอน…

สรุปเมื่อวัดกันตามน้ำหนักแล้ว DDoS รุนแรงกว่า และชนะไปในที่สุด ฮี้ววววววววว….(น่าดีใจไหมเนี่ย)

ที่มา: www.snoc.co.th/services/ddos-protection/

DDoS คือ… ส่งผลอะไรบ้าง… และ…

ก่อนที่เราจะทราบว่า DDoS คืออะไรก็ต้องไปดูว่าชื่อเต็มคืออะไรกันก่อน

DDoS ย่อมาจาก  “Distributed Denial of Service” เป็นการประกอบกันสองคำคือ Distributed + Denial of Service ชื่อบอกตรงตัวครับคือ การทำให้ใช้บริการไม่ได้ แต่เวลาผมไปคุยกับใครเขามักจะเรียกกันอยู่ว่า “โดนยิง” หรือ “โดนบอม”  ซึ่งเป็นกริยาที่แสดงถึงกำลังโดนโจมตีหรือโดนสอยอยู่นั่นเอง แต่ DoS เป็นการโจมตีด้วยการใช้แค่ 1 เครื่องโจมตี แน่นอนมันไม่ค่อยร้ายแรงเท่าไหร่หรอก ต้อง DDoS นี้สิ โหดกว่า เป็นการใช้หลายเครื่องช่วยกันยิงเพื่อให้ระบบร่วง  โดยส่งผลทำให้เกิดขนาดในการโจมตีที่ใหญ่และป้องกันได้ยากมาก

DDoS คืออะไร?? infographic รูปที่1

 

จาก infographic รูปที่1 อธิบายได้ว่า

1) Protocol ที่นิยมใช้ในการทำ DDoS มากที่สุดคือ UDP เหตุเพราะมันปลอมได้ ไม่จำเป็นต้องมีการพิสูจน์ตัวตนแบบ TCP เช่นเทคนิคพวก Amplification/Reflection กับช่องโหว่ของ Service พวก NTP, DNS, SNMP, SSDP, etc… พวกที่บอกมาเป็น UDP ทั้งนั้น รุนแรงและจับตัวยาก ไม่จำเป็นต้องมี botnet ด้วยนะขอบอก

2) อันนี้เป็นข้อมูลที่ทางเอสน็อครวบรวมจากเคสที่มี DDoS ที่มีต้นทางจากภายในประเทศ ตั้งแต่ Q4 2014 – Q1 2015 พบว่าเฉลี่ยที่เกิดการยิงจะอยู่ที่ 1.5Gbps และมากสุดที่พบคือ 7Gbps ถามว่าแรงไหม คงตอบว่ายังไม่เทียบเท่าต่างประเทศ แต่ขนาดการยิงแบบนี้ก็หวังผลได้ง่ายและเพราะส่วนใหญ่ระบบในไทยเชื่อมต่อกันแค่ 1Gbps เท่านั้น

3) เข้ามาสู่ชนิดของ DDoS แล้วทางผมอยากจะแบ่งการโจมตีออกมาเป็นสองประเภทใหญ่ๆ นั่นคือการยิงด้วยขนาดแบนวิดขนาดใหญ่หรือ Volumetric base Attack ซึ่งมีการพบว่าขนาดใหญ่ที่สุดก็ราวๆ 300-400Gbps เลยทีเดียวและการโจมตีด้วยจุดอ่อนของแอพพลีเคชั่นหรือ Application base Attack ซึ่งพบว่ามีแนวโน้มที่สูงขึ้นเรื่อยๆ และตัวที่เป็นเป้าหมายเยอะสุดก็คือ Web Application นั่นแหละ ง่ายๆก็ทำการส่ง HTTP request flood เข้าไปจนทำให้ connection เต็มจน CPU/Memory 100% กันเลยทีเดียว

DDoS คืออะไร?? infographic รูปที่2

จาก infographic รูปที่2 อธิบายได้ว่า

4) ข้อมูลจาก State of Internet 2014 พบการโจมตีขนาดใหญ่สุดคือ 361 Gbps ลองมองภาพกันนะ ถ้าเราโดนขนาดนี้จะเป็นยังไง บรื๋อออออ

5) ข้อมูลจาก neustar 2014 พบว่ากว่า 87% ของผู้ที่โดน DDoS โจมตีจะโดนมากกว่า 1 ครั้งเสมอ พูดง่ายๆคือกลับมายิงอีกจนกว่าจะสะใจ ใครที่เคยลิ้มรสชาติของการโดนยิงคงจะพอทราบกันว่า มันมาเรื่อยๆ จนกว่าจะพอใจกันเลยแหละ ทนได้ก็ทน ทนไม่ได้ก็ต้องทนฟิ้ววววววว

6) เฮ้ย! Smart Phone, Tablet, Smart Device เอามายิง DDoS ได้ด้วยเหรอ… อันนี้ไม่แปลกเลย อุปกรณ์สมาร์ททั้งหลายเนี่ยก็เหมือนคอมพิวเตอร์ดีๆนี่แหละ พอติดไวรัส ก็อยู่ที่แฮคเกอร์และว่าจะสั่งให้อุปกรณ์ของคุณทำอะไรก็ได้ และแน่นอนสั่งให้สิ่งที่อยู่ในมือของคุณไปโจมตีใครก็ได้ด้วยเช่นกัน ซึ่งมีกรณีทำให้เครือข่ายมือถือล่มกันเลยทีเดียว

7) ค่าความเสียหายเฉลี่ยที่เกิดขึ้นกับการโดน DDoS จนระบบมีปัญหามากกว่า 40% เสียชั่วโมงละ 1 ล้านบาท ซึ่งค่าความเสียหายนี้ประกอบไปด้วย โอกาสทางการขาย การให้บริการ ค่าล่วงเวลา ค่าเสียหายทางการตลาดเป็นต้น เป็นเงินไม่น้อยเลยนะหากเกิดมาเพียงแค่ครั้งเดียว…

ที่มา: www.snoc.co.th/services/ddos-protection/