พบ Amplification DDoS Attack 3 รูปแบบใหม่ ความรุนแรงสูงถึง 100 Gbps

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยคุกคาม Amplification DDoS Attack รูปแบบใหม่ 3 แบบ ผ่านการใช้บริการ NetBIOS Name Server, RPC Portmap และ Sentinel Licensing Server ซึ่งพบว่ามีความรุนแรงสูงสุดถึง 100 Gbps

Amplification DDoS Attack คืออะไร

Amplification Attack เป็นรูปแบบหนึ่งของการโจมตี DDoS โดยที่แฮ็คเกอร์จะทำการปลอมหมายเลข IP ตัวเองเป็น IP เป้าหมาย แล้วส่ง Request ไปยัง DNS หรือ NTP Server ซึ่ง Request ที่ส่งไปนั้น ไม่ใช่เพื่อขอ solve name หรือ sync time ตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ขนาดใหญ่ เรียกว่ามีกำลังขยาย (Amplification Factor) จาก Request หลายเท่าตัว ซึ่ง Response ดังกล่าวจะถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ที่ถูกปลอมมาตั้งแต่แรก เมื่อใช้ร่วมกับ Botnet หลายพันเครื่อง ก็จะทำให้แบนวิธด์ของเป้าหมายเต็ม ประมวลผลการทำงานไม่ทัน จนไม่สามารถให้บริการได้

พบ 3 DDoS รูปแบบใหม่ที่ใช้เซอร์วิสอื่น

Akamai ระบุว่า DDoS รูปแบบใหม่ทั้งสามที่ค้นพบนั้น มีความเชื่อมโยงกันอยู่ กล่าวคือ มีการใช้สคริปต์ภาษา C หน้าตาเหมือนกันเพื่อส่ง Request ปลอมไปปั๊มแบนวิธด์จากหลายๆเซิฟเวอร์ แล้วส่ง Reponse กลับไปยังเครื่องเป้าหมาย จึงคาดเดาว่าเป็นฝีมือแฮ็คเกอร์คนเดียวกันหรือกลุ่มเดียวกัน

1. NetBIOS DDoS Attack – ใช้ NetBIOS Name Service (NBNS) ในการเพิ่มปริมาณแบนวิธด์ ถูกค้นพบครั้งแรกเมื่อเดือนมีนาคมถึงเดือนกรกฎาคมที่ผ่านมา จุดประสงค์ของ NetBIOS คือ ช่วยให้แอพพลิเคชันของแต่ละคอมพิวเตอร์สามารถติดต่อสื่อสารหากันและสร้างเซสชันเพื่อเข้าถึง Shared Resource ได้ ซึ่ง DDoS รูปแบบนี้ก่อให้เกิด Response ที่มีกำลังขยายประมาณ 2.56 – 3.85 เท่าจาก Request การโจมตีที่รุนแรงที่สุดที่ตรวจพบมีขนาด 15.7 Gbps
2. RPC Portmap DDoS Attack – ปรากฏครั้งแรกเมื่อเดือนสิงหาคมที่ผ่านมา ซึ่ง RCP Portmap เป็นบริการที่บอก Client ว่า จะเรียกใช้ Open Network Computing Remote Procedure Call (ONC RPC) เวอร์ชันต่างๆอย่างไร จากการติดตามพบว่า กำลังขยายของ DDoS รูปแบบนี้สูงถึง 50.53 ส่งผลให้การโจมตีมีขนาดสูงสุดเกินกว่า 100 Gbps ซึ่งนับว่ารุนแรงมาก
3. Sentinel DDoS Attack – Akamai พบ DDoS รูปแบบนี้ครั้งแรกที่มหาวิทยาลัย Stockholm เมื่อเดือนมิถุนายน เป็นภัยคุกคามที่เกิดขึ้นจากช่องโหว่ของ License Server สำหรับโปรแกรม SPSS ซึ่งมีกำลังขยายสูงถึง 42.94 อย่างไรก็ตาม พบว่ามีเซิฟเวอร์ที่ถูกใช้ขยายแบนวิธด์เพียงแค่ 745 เครื่องเท่านั้น ส่งผลให้ปั๊มแบนวิธด์ได้ไม่สูงมากนัก การโจมตีที่มีขนาดใหญ่ที่สุดกินแบนวิธด์เพียงแค่ 11.7 Gbps

UDP มีความเสี่ยง ควรปิดพอร์ทที่ไม่ใช้งาน

แม้ว่า Amplification DDoS Attack จะเป็นการโจมตีที่เริ่มพบเห็นได้ทั่วไป การใช้บริการของ NetBIOS Name Server, RPC Portmap และ Sentinel Licensing Server นับว่าเป็น DDoS รูปแบบใหม่ที่ไม่เคยพบมาก่อน ราวกับว่าไม่มีเซอร์วิสใดของ UDP ที่แฮ็คเกอร์ไม่สามารถนำมาใช้โจมตีได้ ดังนั้นแล้ว ผู้ดูแลระบบควรปิดพอร์ทที่ไม่ได้ใช้งานเพื่อป้องกันไม่ใช้เซิฟเวอร์ของตนเองตกเป็นเครื่องมือของแฮ็คเกอร์ในการปั๊มแบนวิธด์ได้

ที่มา: http://www.net-security.org/secworld.php?id=19039