พบ Amplification DDoS Attack 3 รูปแบบใหม่ ความรุนแรงสูงถึง 100 Gbps

akamai_logo

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยคุกคาม Amplification DDoS Attack รูปแบบใหม่ 3 แบบ ผ่านการใช้บริการ NetBIOS Name Server, RPC Portmap และ Sentinel Licensing Server ซึ่งพบว่ามีความรุนแรงสูงสุดถึง 100 Gbps

Amplification DDoS Attack คืออะไร

Amplification Attack เป็นรูปแบบหนึ่งของการโจมตี DDoS โดยที่แฮ็คเกอร์จะทำการปลอมหมายเลข IP ตัวเองเป็น IP เป้าหมาย แล้วส่ง Request ไปยัง DNS หรือ NTP Server ซึ่ง Request ที่ส่งไปนั้น ไม่ใช่เพื่อขอ solve name หรือ sync time ตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ขนาดใหญ่ เรียกว่ามีกำลังขยาย (Amplification Factor) จาก Request หลายเท่าตัว ซึ่ง Response ดังกล่าวจะถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ที่ถูกปลอมมาตั้งแต่แรก เมื่อใช้ร่วมกับ Botnet หลายพันเครื่อง ก็จะทำให้แบนวิธด์ของเป้าหมายเต็ม ประมวลผลการทำงานไม่ทัน จนไม่สามารถให้บริการได้

ntp_reflection_attack

พบ 3 DDoS รูปแบบใหม่ที่ใช้เซอร์วิสอื่น

Akamai ระบุว่า DDoS รูปแบบใหม่ทั้งสามที่ค้นพบนั้น มีความเชื่อมโยงกันอยู่ กล่าวคือ มีการใช้สคริปต์ภาษา C หน้าตาเหมือนกันเพื่อส่ง Request ปลอมไปปั๊มแบนวิธด์จากหลายๆเซิฟเวอร์ แล้วส่ง Reponse กลับไปยังเครื่องเป้าหมาย จึงคาดเดาว่าเป็นฝีมือแฮ็คเกอร์คนเดียวกันหรือกลุ่มเดียวกัน

  1. NetBIOS DDoS Attack – ใช้ NetBIOS Name Service (NBNS) ในการเพิ่มปริมาณแบนวิธด์ ถูกค้นพบครั้งแรกเมื่อเดือนมีนาคมถึงเดือนกรกฎาคมที่ผ่านมา จุดประสงค์ของ NetBIOS คือ ช่วยให้แอพพลิเคชันของแต่ละคอมพิวเตอร์สามารถติดต่อสื่อสารหากันและสร้างเซสชันเพื่อเข้าถึง Shared Resource ได้ ซึ่ง DDoS รูปแบบนี้ก่อให้เกิด Response ที่มีกำลังขยายประมาณ 2.56 – 3.85 เท่าจาก Request การโจมตีที่รุนแรงที่สุดที่ตรวจพบมีขนาด 15.7 Gbps
  2. RPC Portmap DDoS Attack – ปรากฏครั้งแรกเมื่อเดือนสิงหาคมที่ผ่านมา ซึ่ง RCP Portmap เป็นบริการที่บอก Client ว่า จะเรียกใช้ Open Network Computing Remote Procedure Call (ONC RPC) เวอร์ชันต่างๆอย่างไร จากการติดตามพบว่า กำลังขยายของ DDoS รูปแบบนี้สูงถึง 50.53 ส่งผลให้การโจมตีมีขนาดสูงสุดเกินกว่า 100 Gbps ซึ่งนับว่ารุนแรงมาก
  3. Sentinel DDoS Attack – Akamai พบ DDoS รูปแบบนี้ครั้งแรกที่มหาวิทยาลัย Stockholm เมื่อเดือนมิถุนายน เป็นภัยคุกคามที่เกิดขึ้นจากช่องโหว่ของ License Server สำหรับโปรแกรม SPSS ซึ่งมีกำลังขยายสูงถึง 42.94 อย่างไรก็ตาม พบว่ามีเซิฟเวอร์ที่ถูกใช้ขยายแบนวิธด์เพียงแค่ 745 เครื่องเท่านั้น ส่งผลให้ปั๊มแบนวิธด์ได้ไม่สูงมากนัก การโจมตีที่มีขนาดใหญ่ที่สุดกินแบนวิธด์เพียงแค่ 11.7 Gbps

UDP มีความเสี่ยง ควรปิดพอร์ทที่ไม่ใช้งาน

แม้ว่า Amplification DDoS Attack จะเป็นการโจมตีที่เริ่มพบเห็นได้ทั่วไป การใช้บริการของ NetBIOS Name Server, RPC Portmap และ Sentinel Licensing Server นับว่าเป็น DDoS รูปแบบใหม่ที่ไม่เคยพบมาก่อน ราวกับว่าไม่มีเซอร์วิสใดของ UDP ที่แฮ็คเกอร์ไม่สามารถนำมาใช้โจมตีได้ ดังนั้นแล้ว ผู้ดูแลระบบควรปิดพอร์ทที่ไม่ได้ใช้งานเพื่อป้องกันไม่ใช้เซิฟเวอร์ของตนเองตกเป็นเครื่องมือของแฮ็คเกอร์ในการปั๊มแบนวิธด์ได้

ที่มา: http://www.net-security.org/secworld.php?id=19039


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Arm เปิดตัว CPU และ GPU สำหรับอุปกรณ์พกพาใหม่ เพิ่มประสิทธิภาพและความปลอดภัย

Arm เปิดตัว CPU และ GPU สำหรับอุปกรณ์พกพาใหม่ ในรุ่น Flagship และ Premium เพิ่มประสิทธิภาพและความปลอดภัย

[Guest Post] งานแถลงข่าวกลุ่มย่อย ในหัวข้อ “The Culture of Innovation” การสร้างวัฒนธรรมของสตาร์ทอัพ กุญแจสู่การสร้างวัฒนธรรมด้านนวัตกรรม ของ อะเมซอน เว็บ เซอร์วิสเซส (ประเทศไทย)

วันที่ 28 มิถุนายน 2565 : Amazon เป็นแพลตฟอร์มที่สร้างสตาร์ทอัพที่ประสบความสำเร็จระดับโลกมากมาย เช่น Netflix, Stripe และ Airbnb ไปจนถึงสตาร์ทอัพในภูมิภาคเอเชียแปซิฟิค ไม่ว่าจะเป็น Grab, …