Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

ผลวิเคราะห์ชี้ Mirai Botnet 100,000 เครื่องเข้าโจมตี Dyn DNS

หลังจากเกิดเหตุการณ์ Dyn DNS ถูกโจมตีแบบ DDoS เมื่อวันศุกร์ที่ผ่านมา จนทำให้เว็บไซต์ชื่อดังหลายเว็บไม่สามารถเข้าถึงได้ ไม่ว่าจะเป็น GitHub, Reddit, Twitter และอื่นๆ จากการวิเคราะห์ Log ล่าสุด พบว่าสาเหตุเกิดจากกองทัพ Botnet ที่มาจากอุปกรณ์ IoT ตามบ้านที่ติดมัลแวร์ Mirai ประมาณ 100,000 เครื่อง

dyn_ddos_attack_1

Scott Hilton รองประธานผู้บริหารฝ่ายผลิตภัณฑ์ ระบุใน Blog ว่า “เรากำลังทำการวิเคราะห์ข้อมูลที่ได้รับ แต่จากการประมาณ ณ ตอนนี้ คาดว่ามีอุปกรณ์ Endpoint [ที่เป็น Botnet] เข้าโจมตีมากถึง 100,000 เครื่อง เรายืนยันได้แล้วว่าปริมาณทราฟฟิคขนาดใหญ่มาจาก Botnet ที่ติดมัลแวร์ Mirai”

จากการตรวจสอบเบื้องต้นก่อนหน้านี้ ทาง Dyn DNS ระบุว่ามีหมายเลข IP ที่เกี่ยวข้องกับการโจมตีมากถึง 10 ล้านหมายเลข แต่ผลการวิเคราะห์ Log โดยละเอียดพบว่ามีเพียงส่วนหนึ่ง หรือก็คือประมาณ 100,000 เครื่องที่เป็นอุปกรณ์ตามบ้านที่เชื่อมต่ออินเทอร์เน็ต เช่น Webcam, Router และ Gadget อื่นๆ ที่โจมตีแบบ DDoS จริง ทำให้เกิดคำถามที่ว่า ด้วยจำนวนอุปกรณ์ที่น้อยกว่าที่คิดถึง 100 เท่า จะทำให้การโจมตีนี้ล่มระบบของ Dyn DNS ได้อย่างไร

Hilton ระบุว่า เหตุผลสำคัญที่ทำให้ไม่สามารถให้บริการได้ เนื่องจากเป็นการโจมตีแบบ Amplification Attack หรือก็คือโปรโตคอล DNS สามารถส่ง Request ที่มีขนาดใหญ่กว่าปกติหลายเท่าจาก Source ที่มีอยู่เท่าเดิมได้

“ยกตัวอย่างเช่น ผลกระทบจากการโจมตีก่อให้เกิดการ Retry (ซึ่งเป็น Request ปกติที่ถูกต้อง) ปริมาณมหาศาล เนื่องจาก Recursive Server พยายามที่จะรีเฟรช Cache ของตนเอง ส่งผลให้เกิดทราฟฟิคที่มีขนาดใหญ่กว่าปกติถึง 10 – 20 เท่าตัวจากหมายเลข IP จำนวนมาก ผลลัพธ์ที่ตามมาคือเกิด DNS Traffic Congestion” — Hilton อธิบาย

Hilton ยังระบุถึงสาเหตุที่ประเมินจำนวนหมายเลข IP ที่เกี่ยวข้องกับการโจมตีไว้มากถึง 10 ล้านหมายเลขในตอนแรกว่า มาจากปริมาณ DNS Retry จำนวนมหาศาลเหล่านี้ ซึ่งส่งผลให้เกิดความเข้าใจผิดเกี่ยวกับจำนวนอุปกรณ์ Endpoint ที่ใช้โจมตีจริง

นอกจากนี้ยังมีรายงานมาจาก 3rd Party ว่า ปริมาณทราฟฟิค DDoS ที่โจมตี Dyn DNS มีขนาดใหญ่ถึง 1.2 Tbps อย่างไรก็ตาม จนถึงตอนนี้ยังไม่สามารถพิสูจน์ได้ว่าเป็นเรื่องจริง

อ่านผลวิเคราะห์ Log ฉบับเต็มได้ที่ http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/

ที่มา: http://www.theregister.co.uk/2016/10/27/how_many_internet_of_st_devices_knocked_out_dyn_fewer_than_you_expect/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Secure Your Precious Data by Cisco Security & CSL

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย CSL Webinar เรื่อง “Secure Your Precious Data by Cisco Security” พร้อมเรียนรู้วิธีป้องกันและแนวทางปฏิบัติสำหรับองค์กรในการรับมือกับ Ransomware จากทาง Cisco …

Microsoft เตือนพบการโจมตีช่องโหว่ Zerologon แล้ว ผู้ใช้งานควรอัปเดตด่วน

Zerologon เป็นช่องโหว่ร้ายแรงระดับ 10/10 ในโปรโตคอล Netlogon ซึ่งถูกแพตช์ตั้งแต่สิงหาคมที่ผ่านมา และหลังจากหน่วยงานสำคัญต่างระดมแจ้งเตือนถึงความอันตราย วันนี้ Microsoft เองก็ประกาศอย่างทางการแล้วว่าพบการโจมตีจริงแล้ว จึงเตือนกันมาให้ผู้ดูแลระบบสำรวจตัวเองกันอีกครั้งครับ