[Guest Post] รู้จักกับการโจมตีแบบ DDoS และโซลูชันการป้องกันจาก NSFOCUS

การโจมตีแบบ DDoS ในปัจจุบัน แฮกเกอร์ได้พัฒนารูปแบบการโจมตีให้มีประสิทธิภาพสูงขึ้น มีความถี่มากขึ้น ปริมาณสูงขึ้น และมีความซับซ้อนเพิ่มมากขึ้น ทำให้อุปกรณ์รักษาความปลอดภัยแบบ ทุกองค์กรจำเป็นต้องมีโซลูชันสำหรับป้องกันการโจมตีแบบ DDoS เพื่อป้องกันความเสียหายที่จะเกิดขึ้นกับธุรกิจและ Network Infrastructure

การโจมตีแบบ DDoS คือ อะไร

การโจมตีแบบ Distributed denial of service (DDoS) เป็นการโจมที่มีการควบคุมเครื่องผู้ใช้หลายๆ เครื่อง ซึ่งเรียกว่า botnet โจมตีไปยังเป้าหมายพร้อมๆ กัน เพื่อให้เครื่องเซิร์ฟเวอร์หรือเว็บไซต์ปลายทางล่มและไม่สามารถให้บริการผู้ใช้งานคนอื่นได้

การโจมตีแบบ DDoS อาจจะเกิดขึ้นในช่วงระยะเวลาสั้นๆ เช่น 5 นาที ไปจนถึง 40 นาที โดยเฉลี่ย แต่ผลกระทบที่เกิดขึ้นอาจสร้างความเสียหายให้กับองค์กรมากกว่านั้น เนื่องจากส่งผลกระทบต่อการใช้งานของลูกค้า ตลอดจนรายได้ในช่วงที่โดนโจมตี รวมไปถึงความน่าเชื่อถือ และภาพลักษณ์ขององค์กร

 

 

จุดประสงค์ของการโจมตีแบบ DDoS

แฮกเกอร์ที่โจมตีด้วย DDoS มายังเครื่องเซิร์ฟเวอร์ปลายทาง มีจุดประสงค์หลายๆ อย่างด้วยกัน คือ

  • โจมตีเนื่องจากไม่เห็นด้วยกับนโยบายต่างๆ ขององค์กรหรือเพื่อต่อต้าน หรือแสดงความไม่พอใจ
  • กลุ่มคนที่ต้องการแสดงความสามารถ ต้องการแสดงความสนใจต่อคนรอบข้าง
  • การข่มขู่หรือบังคับเพื่อต้องการเรียกร้องสิ่งใดสิ่งหนึ่ง
  • การแข่งขันทางด้านธุรกิจ ที่ต้องการสร้างความเสียหายให้กับคู่แข่ง
  • สงครามไซเบอร์ระหว่างภาครัฐและหน่วยงานที่เกี่ยวข้อง หรือระหว่างประเทศ ซึ่งอาจะได้รับการสนับสนุนจากพันธมิตรที่อยู่ในฝ่ายเดียวกันในการโจมตีฝ่ายตรงข้าม

 

เปรียบเทียบการโจมตีแบบ DoS กับ DDoS

ข้อแตกต่างของการโจมตีแบบ DoS กับ DDoS คือ ปริมาณการโจมตี โดยการโจมตีด้วย DoS ธรรมดานั้น แฮกเกอร์จะใช้เครื่อง client เพียงเครื่องเดียวโจมตีผ่านทางช่องโหว่ของเครื่องปลายทาง หรือ flood เครื่องปลายทางด้วย request ปลอมจำนวนมากๆ เพื่อทำให้ resource ของเครื่องปลายทางไม่เพียงพอต่อการให้บริการผู้ใช้งานคนอื่นๆ เช่น RAM, CPU เป็นต้น

เมื่อเปรียบเทียบกับ DDoS ซึ่งจะเป็นการโจมตีจะมาจากเครื่อง client หลายๆ เครื่องกระจายอยู่ตามพื้นที่ต่างๆ และเป็นการยากที่จะเข้าไปแก้ไขหรือตรวจสอบในแต่ละเครื่อง เนื่องจากปริมาณการโจมที่ที่เยอะ

จุดแตกต่างอีกอย่างหนึ่งก็คือ การโจมตีแบบ DoS โดยส่วนใหญ่เป็นการใช้เครื่องมือหรือสคริปต์ในการสร้างทราฟฟิกปลอมเพื่อโจมตีไปยังปลายทาง ในขณะที่ การโจมตีแบบ DDoS นั้น เป็นการโจมตีจาก botnet ซึ่งเป็นเครื่องที่ติดมัลแวร์และกระจายอยู่ตามพื้นที่ต่างๆ และสามารถควบคุมการโจมตีจากแฮกเกอร์ได้

 

ประเภทของการโจมตีแบบ DDoS

การโจมตีแบบ DDoS สามารถแบ่งออกได้เป็น 2 กลุ่มหลักๆ คือ การโจมตีในระดับ Application Layer และการโจมตีในระดับ Network Layer

  • การโจมตีในระดับ Network Layer หรือการโจมตีด้วยปริมาณ (Volumetric Attack) เป็นการโจมตีในระดับ Layer 3 – Layer 4 เช่น UDP flood, SYN flood, NTP amplification, DNS amplification เป็นต้น โดยสามารถตรวจจับได้จากการสังเกตเห็นว่ามีทราฟฟิกปริมาณมากผิดปกติ ที่ไม่มีเคยมาก่อน
  • การโจมตีในระดับ Application Layer เป็นการโจมตีในระดับ application ที่มีการใช้งาน โดยเน้นการโจมตีไปยังเซิร์ฟเวอร์โดยส่งคำร้องขอเป็นปริมาณที่มาก เพื่อทำให้ระบบทำงานช้าลง หรือหยุดทำงาน ไม่สามารถให้บริการได้ เช่น HTTP flood, DNS query flood เป็นต้น

 

 

 

วิธีรับมือและป้องกันการโจมตีแบบ DDoS

เราไม่สามารถหยุดยั้งการโจมตีแบบ DDoS ไม่ให้เกิดขึ้นได้ เพราะเราไม่สามารถควบคุม botnet ที่แฮกเกอร์ใช้ได้ทั้งหมด แต่เราสามารถป้องกันไม่ให้การโจมตีนั้นสร้างความเสียหายให้กับ

  • ตรวจสอบและ monitor ทราฟฟิกอย่างต่อเนื่อง หากพบความผิดปกติ เช่น มีปริมาณทราฟฟิกเพิ่มมากขึ้นผิดปกติ หรือมี IP ที่มาจากต่างประเทศที่ไม่เคยมีประวัติการใช้งานมาก่อนเป็นจำนวนมาก อาจเป็นสัญญาณที่ระบบภายในองค์กรกำลังถูกโจมตีด้วย DDoS อยู่
  • ตรวจสอบและ update ข้อมูลข่าวสารทางด้าน Security อย่างสม่ำเสมอ ซึ่งอาจจะมีข้อมูลที่เกี่ยวข้องกับการโจมตีตลอดจนแนวโน้มต่างๆ ในธุรกิจที่เรากำลังดำเนินงานอยู่
  • พิจารณาใช้โซลูชันจำลองทดสอบการโจมตี เพื่อทดสอบ IT Infrastructure ขององค์กรว่าสามารถป้องกันการโจมตีได้หรือไม่
  • พิจารณาใช้โซลูชันป้องกันการโจมตีด้วย DDoS จาก NSFocus ที่สามารถตรวจสอบและป้องกันการโจมตีด้วย DDoS ได้อัตโนมัติโดยส่งผลกระทบต่อผู้ใช้งาน

 

โซลูชันการป้องกันจาก NSFOCUS

NSFOCUS มีโซลูชันสำหรับป้องกันการโจมตีจาก DDoS ทั้งแบบ On-Prem, Cloud และ Hybrid โดยมีเทคนิคป้องกันการโจมตีแบบ Multi-Layer โดยสามารถตรวจสอบข้อมูลทุก packet ซึ่งครอบคลุมการโจมตีแบบ Volumetric, Application และ Web Application สามารถรองรับการโจมตีผ่าน Protocol ที่หลากหลาย (Multi-Protocol Support) และมีเทคนิคการตรวจสอบการโจมตีขั้นสูง (Advanced Inspection) โดยสามารถติดตั้งได้ทั้งแบบ Inline และ Out of Path

โซลูชันสำหรับติดตั้งแบบ Inline

การติดตั้งแบบ Inline เราจะใช้เฉพาะอุปกรณ์ Anti-DDoS System (ADS) เพียงอย่างเดียวเท่านั้น โดยมี throughput เริ่มต้นตั้งแต่ 4 Gbps ไปจนถึง 240 Gbps รองรับ Network Interface 1G, 10G, 40G, 100G สามารถทำ cluster เพื่อขยาย throughput ให้เพิ่มตามความต้องการได้ ซึ่งมีข้อดี คือ ติดตั้งได้ง่ายและรวดเร็ว สามารถตรวจสอบและป้องกันการโจมตีทราฟฟิกได้ทั้งหมดแบบเรียลไทม์ โดยไม่ส่งผลกระทบต่อการใช้งาน

โซลูชันสำหรับติดตั้งแบบ out-of-path

การติดตั้งแบบ out-of-path จะ redirect ทราฟฟิกเข้าไปยังอุปกรณ์ Anti-DDoS System (ADS) เฉพาะกรณีที่มีการโจมตีเท่านั้น โดยประกอบไปด้วยอุปกรณ์ 3 ส่วนหลักๆ ด้วยกัน คือ

  • Network Traffic Analyzer (NTA) ทำหน้าที่ตรวจสอบและวิเคราะห์ทราฟฟิกในระบบเครือข่าย โดยหากตรวจสอบการโจมตี ระบบจะส่งข้อมูลไปยัง ADS เพื่อดำเนินการตามขั้นตอนต่อไป
  • Anti-DDoS System (ADS) เมื่อได้รับสัญญาณแจ้งเตือนจาก NTA แล้ว ADS จะส่งข้อมูลไปยัง Router ให้ Divert ทราฟฟิกมาวิ่งผ่าน ADS เพื่อ Mitigate การโจมตี
  • Anti-DDoS System Manager (ADS-M) ทำหน้าที่เป็นระบบบริหารจัดการจากศูนย์กลาง ตลอดจนเก็บรวบรวมข้อมูล log และสร้างรายงานการโจมตี

ในสภาวะปกติที่ไม่มีการโจมตี ทราฟฟิกทั้งหมดจะวิ่งตาม path ปกติโดยไม่ผ่านอุปกรณ์ ADS และทราฟิกจะวิ่งผ่าน ADS เฉพาะ IP/Subnet ที่ตรวจพบการโจมตีเท่านั้น ในขณะที่ทราฟฟิกปกติที่เหลือก็ยังสามารถวิ่งตาม path ปกติเหมือนเดิม ทำให้สามารถเริ่มต้นติดตั้ง ADS ด้วย throughput ที่ไม่สูงมากนัก แล้วค่อยขยายได้ในภายหลัง

โดยสรุปแล้วการโจมตีแบบ DDoS เป็นเรื่องสำคัญที่ทุกองค์กรต้องเตรียมการรับมือและหาโซลูชันในการป้องกันไว้ล่วงหน้า เพื่อให้สามารถรับมือ และไม่ให้ส่งผลกระทบต่อการใช้บริการของลูกค้า

 

หากท่านสนใจรายละเอียดเพิ่มเติมเกี่ยวกับ Anti DDoS Solution สามารถติดต่อทาง Distributor ได้โดยตรง โดยติดต่อได้ที่

Nextwave (Thailand) Co.,Ltd.

คุณไหมแพร Product Manager เบอร์โทร 090-9723842
Email : maiprae@nextwave.co.th
Website : https://www.nextwave.co.th/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ