เช็กยังไง เมื่อโดนโจมตีแบบ DDoS

14 ธันวาคม 2021

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

หลายคนคงเคยประสบพบเจอการโจมตีแบบ DDoS ที่เป็นข่าวโด่งดังกันมาบ้างแล้ว  แต่ก็ยังมีคำถามหรือความสงสัยกันอยู่บ้างว่า DDoS คือการโจมตียังไง แล้วจะรู้ได้ไงว่ากำลังโดนโจมตีแบบ DDoS อยู่ มาลองเช็กดูกันได้เลย

การโจมตีแบบ DDoS แบ่งเป็น 2 ระดับแบบเข้าใจง่าย แบบแรกก็คือ การโจมตีในระดับเลเยอร์ 3-4 หรือ Volumetric Attack ที่ตรวจจับได้ง่าย อย่างการฟลัดข้อมูลหรือ Traffic ในจำนวนมหาศาล เพื่อให้เซิฟเวอร์ทำงานอย่างหนักและหน่วงนั่นเอง และแบบที่สอง การโจมดีในระดับเลเยอร์ 6-7 หรือ Application Attack เป็นการโจมตีที่ซับซ้อนกว่าแบบแรก เพราะตรวจจับยากแต่โจมตีเฉพาะส่วนสำคัญของเว็บไซต์ ที่ทำให้กระทบต่อผู้ใช้งานจริงได้ทันที

นอกจากจะแบ่งการโจมตีของ DDoS แบบง่าย ๆ แล้ว เป้าหมายการโจมตีที่กระทบหลัก ๆ ก็สามารถแบ่งได้ 5 แบบ คือ 

  1. การโจมตีในระดับอุปกรณ์เครือข่าย ที่อาศัยความผิดพลาดของซอฟแวร์ในอุปกรณ์เครือข่าย ทำให้อุปกรณ์เป้าหมายใช้งานผิดปกติ เช่น ซอฟแวร์บนเราท์เตอร์ที่ทำให้เกิด Buffer Overrun ที่ทำให้ไม่สามารถใช้งานได้
  2. การโจมตีในระบบปฏิบัติการ ก็อาศัยช่องโหว่ของซอฟเเวร์เช่นกัน มาโจมตีระบบปฏิบัติการและโปรโตคอลในระบบ ทำให้ไม่สามารถใช้งานได้ อย่างเช่นการใช้ Ping of Death ที่ส่ง Packet ขนาดใหญ่กว่าปกติเข้าไป ทำให้ระบบปฏิบัตการใช้งานไม่ได้
  3. การโจมตีโปรแกรมและแอปพลิเคชัน โจมตีช่องโหว่ของโปรแกรมหรือแอปพลิเคชันโดยตรง ทำให้การใช้งานจะกินทรัพยากรของเครื่องมากเกินไป ส่งผลให้ไม่สามารถใช้งานโปรแกรมหรือแอปพลิเคชันตามปกติได้
  4. การโจมตีโดยการท่วมข้อมูล (Data Flood) การโจมตี้แบบนี้เป็นการส่งข้อมูลธรรมดาเข้าสู่ Bandwidth ของเครื่องแม่ข่าย จนข้อมูลเต็มและไม่สามารถใช้งานได้ตามปกติ อย่างเช่น การกด F5 กับเว็บไซต์ราชการ เป็นต้น
  5. การโจมตีไปที่การใช้งาน Protocal อาศัยคุณสมบัติของโปรโตคอลบางอย่างเพื่อโจมตีเป้าหมาย เช่นการแปลงรหัส IP (IP Address) เพื่อเปลี่ยนข้อมูล DNS ให้เรียกใช้งานข้อมูลผิดพลาด ไม่ตรงกับที่ตั้งค่าเอาไว้

อย่างไรก็ตามก็ยังมีวิธีตรวจสอบการโดนโจมตีแบบ DDoS ได้ ดังนี้

Setup Baseline

บันทึกเก็บข้อมูลการใช้งาน Bandwidth Usage ทั้ง Incoming-Outgoing Traffic และบันทึกข้อมูลปริมาณ CPU/MEMORY/HTTP Request/Sec, Session/Sec, Log/Sec

รวมถึงบันทึก URL/Path ที่ผู้ใช้งานมีการเรียกใช้ประจำ เพื่อกำหนดว่าค่าปกติ ที่เป็นอยู่มีค่าเท่าไหร่

Setup Monitoring & Notification

ตั้งค่า Threshold โดยอิงข้อมูลจากค่า Baseline รวมถึงตั้งค่า TCP, ICMP, HTTP Probe เพื่อแจ้งเตือนหากพบข้อมูลหรือค่าที่ผิดปกติจาก Baseline หรือพบ Loss-Return 503 error เป็นต้น

วิธีการรับมือการโจมตีแบบ DDoS มีเทคนิคหลัก ๆ ที่ควรทำเป็นขั้นตอน ก็คือ 

  1. ลดความเสียหาย จำกัดขอบเขตการโจมตี จำกัดบริเวณความเสียหายที่โดนโจมตีให้ได้น้อยที่สุด โดยจำกัดการเข้าใช้ เพื่อป้องกันไม่ให้ผู้โจมตีมีตัวเลือกเพิ่มขึ้นในการโจมตี โดยการใช้ Content Delivery Networks (CDNs) หรือ Load Balancers เป็นเครื่องมือช่วยก็ได้ เพื่อให้มีเวลารับมือและวางแผนป้องกันได้ทันท่วงทีนั่นเอง
  1. ขยายพื้นที่ใช้งาน ตรวจสอบให้แน่ใจว่าผู้ให้บริการเซิฟเวอร์มีการรองรับการส่งผ่านข้อมูลขนาดใหญ่หรือให้บริการเซิฟเวอร์ที่รองรับข้อมูลจำนวนมหาศาลหรือเปล่า เพระาการโจมตีแบบ DDoS ก็คือการใช้ข้อมูลมหาศาลเพื่อให้เซิฟเวอร์ไม่สามารถใช้งานได้
  2. รู้ขนาดทราฟฟิค ตรวจสอบการส่งผ่านข้อมูลมาที่เซิฟเวอร์ว่าขนาดปกติเป็นเท่าไหร่ และขนาดไหนเป็นสถานการณ์ไม่ปกติ เพราะหากตรวจสอบหรือวิเคราะห์ข้อมูลได้ ก็จะตรวจจับการโจมตีได้เร็ว และวางแผนป้องกันได้อย่างมีประสิทธิภาพขึ้น
  1. ตรวจจับข้อมูลที่ซับซ้อนได้ไว อีกหนึ่งวิธีที่ใช้รับมือการโจมตีที่ซับซ้อน ก็คือการใช้เครื่องมือประเภท Web Application Firewall (WAF) เพื่อป้องกันการโจมตี อย่างเช่น SQL Injection เพื่อจัดประเภททราฟฟิคว่า มาจาก IP ที่เสี่ยงหรือไม่ปลอดภัยหรือไม่ ข้อมูลมาจากแหล่งที่มีความเสี่ยงหรือไม่ เพื่อให้สามารถวิเคราะห์ข้อมูลและแบบแผนทราฟฟิค เพื่อรองรับและวางแผนการป้องกันได้เหมาะสมกับการบริการได้มากขึ้น

นอกจากการตั้งค่า Baseline หรือแสดงผลการแจ้งเตือนแล้ว สิ่งที่ผู้ใช้ทั่วไปยังสามารถตรวจสอบด้วยตัวเองได้ง่าย ๆ ว่า Account ของเรารั่วไหลหรือเปล่า ก็เป็นสิ่งที่ควรทำ โดยเข้าไปเช็กที่เว็บไซต์ https://haveibeenpwned.com

ซึ่งเป็นเว็บไซต์ที่พัฒนาขึ้นโดย Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยชาวออสเตรเลีย เพื่อให้ผู้ใช้ทั่วไป จนถึงองค์กรขนาดใหญ่สามารถตรวจสอบได้ว่า เว็บไซต์ อีเมล์ เบอร์โทรศัพท์ รหัสผ่าน หรือผู้ใช้งานผ่านระบบปฏิบัติการ API โดนบุกรุก โดนเจาะข้อมูล ถูกเอาข้อมูลไปเผยแพร่ หรือมีโอกาสที่รหัสผ่านจะถูกแฮกได้ง่ายหรือไม่ รวมถึงข้อมูลที่มีโอกาสรั่วไหลจากการโจมตีโดย ไม่พึงประสงค์อีกด้วย 

วิธีเช็กก็ง่ายมาก เพียงแค่เข้าเว็บไซต์ดังกล่าว แล้วเลือกเมนูบาร์ที่ต้องการตรวจสอบ เว็บไซต์ก็จะแสดงผลขึ้นมาว่าอีเมล เบอร์โทรศัพท์ เว็บไซต์ หรือรหัสของคุณถูกแฮกหรือไม่

รวมถึงสามารถสมัครเพื่อแจ้งเตือนกรณีบัญชีของคุณถูกแฮก ระบบจะแจ้งเตือนไปยังอีเมลที่ลงข้อมูลไว้ทันที

อย่างไรก็ตามไม่ว่าจะการแฮกแบบปกติทั่วไป ไปจนถึงการโจมตีแบบ DDoS จะสามารถรับมือได้ง่ายขึ้นหากทำควบคู่กับแผนป้องกันอย่างเป็นระบบ รวมถึงมีการทดสอบระบบอยู่เป็นระยะ เพื่อรับมือกับรูปแบบการโจมตีที่เปลี่ยนไป ซึ่งมาพร้อมกับการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็วในอนาคต

บทความที่เกี่ยวข้อง