เช็กยังไง เมื่อโดนโจมตีแบบ DDoS

14 ธันวาคม 2021

IT Security

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

หลายคนคงเคยประสบพบเจอการโจมตีแบบ DDoS ที่เป็นข่าวโด่งดังกันมาบ้างแล้ว  แต่ก็ยังมีคำถามหรือความสงสัยกันอยู่บ้างว่า DDoS คือการโจมตียังไง แล้วจะรู้ได้ไงว่ากำลังโดนโจมตีแบบ DDoS อยู่ มาลองเช็กดูกันได้เลย

การโจมตีแบบ DDoS แบ่งเป็น 2 ระดับแบบเข้าใจง่าย แบบแรกก็คือ การโจมตีในระดับเลเยอร์ 3-4 หรือ Volumetric Attack ที่ตรวจจับได้ง่าย อย่างการฟลัดข้อมูลหรือ Traffic ในจำนวนมหาศาล เพื่อให้เซิฟเวอร์ทำงานอย่างหนักและหน่วงนั่นเอง และแบบที่สอง การโจมดีในระดับเลเยอร์ 6-7 หรือ Application Attack เป็นการโจมตีที่ซับซ้อนกว่าแบบแรก เพราะตรวจจับยากแต่โจมตีเฉพาะส่วนสำคัญของเว็บไซต์ ที่ทำให้กระทบต่อผู้ใช้งานจริงได้ทันที

นอกจากจะแบ่งการโจมตีของ DDoS แบบง่าย ๆ แล้ว เป้าหมายการโจมตีที่กระทบหลัก ๆ ก็สามารถแบ่งได้ 5 แบบ คือ 

  1. การโจมตีในระดับอุปกรณ์เครือข่าย ที่อาศัยความผิดพลาดของซอฟแวร์ในอุปกรณ์เครือข่าย ทำให้อุปกรณ์เป้าหมายใช้งานผิดปกติ เช่น ซอฟแวร์บนเราท์เตอร์ที่ทำให้เกิด Buffer Overrun ที่ทำให้ไม่สามารถใช้งานได้
  2. การโจมตีในระบบปฏิบัติการ ก็อาศัยช่องโหว่ของซอฟเเวร์เช่นกัน มาโจมตีระบบปฏิบัติการและโปรโตคอลในระบบ ทำให้ไม่สามารถใช้งานได้ อย่างเช่นการใช้ Ping of Death ที่ส่ง Packet ขนาดใหญ่กว่าปกติเข้าไป ทำให้ระบบปฏิบัตการใช้งานไม่ได้
  3. การโจมตีโปรแกรมและแอปพลิเคชัน โจมตีช่องโหว่ของโปรแกรมหรือแอปพลิเคชันโดยตรง ทำให้การใช้งานจะกินทรัพยากรของเครื่องมากเกินไป ส่งผลให้ไม่สามารถใช้งานโปรแกรมหรือแอปพลิเคชันตามปกติได้
  4. การโจมตีโดยการท่วมข้อมูล (Data Flood) การโจมตี้แบบนี้เป็นการส่งข้อมูลธรรมดาเข้าสู่ Bandwidth ของเครื่องแม่ข่าย จนข้อมูลเต็มและไม่สามารถใช้งานได้ตามปกติ อย่างเช่น การกด F5 กับเว็บไซต์ราชการ เป็นต้น
  5. การโจมตีไปที่การใช้งาน Protocal อาศัยคุณสมบัติของโปรโตคอลบางอย่างเพื่อโจมตีเป้าหมาย เช่นการแปลงรหัส IP (IP Address) เพื่อเปลี่ยนข้อมูล DNS ให้เรียกใช้งานข้อมูลผิดพลาด ไม่ตรงกับที่ตั้งค่าเอาไว้

อย่างไรก็ตามก็ยังมีวิธีตรวจสอบการโดนโจมตีแบบ DDoS ได้ ดังนี้

Setup Baseline

บันทึกเก็บข้อมูลการใช้งาน Bandwidth Usage ทั้ง Incoming-Outgoing Traffic และบันทึกข้อมูลปริมาณ CPU/MEMORY/HTTP Request/Sec, Session/Sec, Log/Sec

รวมถึงบันทึก URL/Path ที่ผู้ใช้งานมีการเรียกใช้ประจำ เพื่อกำหนดว่าค่าปกติ ที่เป็นอยู่มีค่าเท่าไหร่

Setup Monitoring & Notification

ตั้งค่า Threshold โดยอิงข้อมูลจากค่า Baseline รวมถึงตั้งค่า TCP, ICMP, HTTP Probe เพื่อแจ้งเตือนหากพบข้อมูลหรือค่าที่ผิดปกติจาก Baseline หรือพบ Loss-Return 503 error เป็นต้น

วิธีการรับมือการโจมตีแบบ DDoS มีเทคนิคหลัก ๆ ที่ควรทำเป็นขั้นตอน ก็คือ 

  1. ลดความเสียหาย จำกัดขอบเขตการโจมตี จำกัดบริเวณความเสียหายที่โดนโจมตีให้ได้น้อยที่สุด โดยจำกัดการเข้าใช้ เพื่อป้องกันไม่ให้ผู้โจมตีมีตัวเลือกเพิ่มขึ้นในการโจมตี โดยการใช้ Content Delivery Networks (CDNs) หรือ Load Balancers เป็นเครื่องมือช่วยก็ได้ เพื่อให้มีเวลารับมือและวางแผนป้องกันได้ทันท่วงทีนั่นเอง
  1. ขยายพื้นที่ใช้งาน ตรวจสอบให้แน่ใจว่าผู้ให้บริการเซิฟเวอร์มีการรองรับการส่งผ่านข้อมูลขนาดใหญ่หรือให้บริการเซิฟเวอร์ที่รองรับข้อมูลจำนวนมหาศาลหรือเปล่า เพระาการโจมตีแบบ DDoS ก็คือการใช้ข้อมูลมหาศาลเพื่อให้เซิฟเวอร์ไม่สามารถใช้งานได้
  2. รู้ขนาดทราฟฟิค ตรวจสอบการส่งผ่านข้อมูลมาที่เซิฟเวอร์ว่าขนาดปกติเป็นเท่าไหร่ และขนาดไหนเป็นสถานการณ์ไม่ปกติ เพราะหากตรวจสอบหรือวิเคราะห์ข้อมูลได้ ก็จะตรวจจับการโจมตีได้เร็ว และวางแผนป้องกันได้อย่างมีประสิทธิภาพขึ้น
  1. ตรวจจับข้อมูลที่ซับซ้อนได้ไว อีกหนึ่งวิธีที่ใช้รับมือการโจมตีที่ซับซ้อน ก็คือการใช้เครื่องมือประเภท Web Application Firewall (WAF) เพื่อป้องกันการโจมตี อย่างเช่น SQL Injection เพื่อจัดประเภททราฟฟิคว่า มาจาก IP ที่เสี่ยงหรือไม่ปลอดภัยหรือไม่ ข้อมูลมาจากแหล่งที่มีความเสี่ยงหรือไม่ เพื่อให้สามารถวิเคราะห์ข้อมูลและแบบแผนทราฟฟิค เพื่อรองรับและวางแผนการป้องกันได้เหมาะสมกับการบริการได้มากขึ้น

นอกจากการตั้งค่า Baseline หรือแสดงผลการแจ้งเตือนแล้ว สิ่งที่ผู้ใช้ทั่วไปยังสามารถตรวจสอบด้วยตัวเองได้ง่าย ๆ ว่า Account ของเรารั่วไหลหรือเปล่า ก็เป็นสิ่งที่ควรทำ โดยเข้าไปเช็กที่เว็บไซต์ https://haveibeenpwned.com

ซึ่งเป็นเว็บไซต์ที่พัฒนาขึ้นโดย Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยชาวออสเตรเลีย เพื่อให้ผู้ใช้ทั่วไป จนถึงองค์กรขนาดใหญ่สามารถตรวจสอบได้ว่า เว็บไซต์ อีเมล์ เบอร์โทรศัพท์ รหัสผ่าน หรือผู้ใช้งานผ่านระบบปฏิบัติการ API โดนบุกรุก โดนเจาะข้อมูล ถูกเอาข้อมูลไปเผยแพร่ หรือมีโอกาสที่รหัสผ่านจะถูกแฮกได้ง่ายหรือไม่ รวมถึงข้อมูลที่มีโอกาสรั่วไหลจากการโจมตีโดย ไม่พึงประสงค์อีกด้วย 

วิธีเช็กก็ง่ายมาก เพียงแค่เข้าเว็บไซต์ดังกล่าว แล้วเลือกเมนูบาร์ที่ต้องการตรวจสอบ เว็บไซต์ก็จะแสดงผลขึ้นมาว่าอีเมล เบอร์โทรศัพท์ เว็บไซต์ หรือรหัสของคุณถูกแฮกหรือไม่

รวมถึงสามารถสมัครเพื่อแจ้งเตือนกรณีบัญชีของคุณถูกแฮก ระบบจะแจ้งเตือนไปยังอีเมลที่ลงข้อมูลไว้ทันที

อย่างไรก็ตามไม่ว่าจะการแฮกแบบปกติทั่วไป ไปจนถึงการโจมตีแบบ DDoS จะสามารถรับมือได้ง่ายขึ้นหากทำควบคู่กับแผนป้องกันอย่างเป็นระบบ รวมถึงมีการทดสอบระบบอยู่เป็นระยะ เพื่อรับมือกับรูปแบบการโจมตีที่เปลี่ยนไป ซึ่งมาพร้อมกับการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็วในอนาคต

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง