TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากเกิดเหตุการณ์ Dyn DNS ถูกโจมตีแบบ DDoS เมื่อวันศุกร์ที่ผ่านมา จนทำให้เว็บไซต์ชื่อดังหลายเว็บไม่สามารถเข้าถึงได้ ไม่ว่าจะเป็น GitHub, Reddit, Twitter และอื่นๆ จากการวิเคราะห์ Log ล่าสุด พบว่าสาเหตุเกิดจากกองทัพ Botnet ที่มาจากอุปกรณ์ IoT ตามบ้านที่ติดมัลแวร์ Mirai ประมาณ 100,000 เครื่อง
Scott Hilton รองประธานผู้บริหารฝ่ายผลิตภัณฑ์ ระบุใน Blog ว่า “เรากำลังทำการวิเคราะห์ข้อมูลที่ได้รับ แต่จากการประมาณ ณ ตอนนี้ คาดว่ามีอุปกรณ์ Endpoint [ที่เป็น Botnet] เข้าโจมตีมากถึง 100,000 เครื่อง เรายืนยันได้แล้วว่าปริมาณทราฟฟิคขนาดใหญ่มาจาก Botnet ที่ติดมัลแวร์ Mirai”
จากการตรวจสอบเบื้องต้นก่อนหน้านี้ ทาง Dyn DNS ระบุว่ามีหมายเลข IP ที่เกี่ยวข้องกับการโจมตีมากถึง 10 ล้านหมายเลข แต่ผลการวิเคราะห์ Log โดยละเอียดพบว่ามีเพียงส่วนหนึ่ง หรือก็คือประมาณ 100,000 เครื่องที่เป็นอุปกรณ์ตามบ้านที่เชื่อมต่ออินเทอร์เน็ต เช่น Webcam, Router และ Gadget อื่นๆ ที่โจมตีแบบ DDoS จริง ทำให้เกิดคำถามที่ว่า ด้วยจำนวนอุปกรณ์ที่น้อยกว่าที่คิดถึง 100 เท่า จะทำให้การโจมตีนี้ล่มระบบของ Dyn DNS ได้อย่างไร
Hilton ระบุว่า เหตุผลสำคัญที่ทำให้ไม่สามารถให้บริการได้ เนื่องจากเป็นการโจมตีแบบ Amplification Attack หรือก็คือโปรโตคอล DNS สามารถส่ง Request ที่มีขนาดใหญ่กว่าปกติหลายเท่าจาก Source ที่มีอยู่เท่าเดิมได้
“ยกตัวอย่างเช่น ผลกระทบจากการโจมตีก่อให้เกิดการ Retry (ซึ่งเป็น Request ปกติที่ถูกต้อง) ปริมาณมหาศาล เนื่องจาก Recursive Server พยายามที่จะรีเฟรช Cache ของตนเอง ส่งผลให้เกิดทราฟฟิคที่มีขนาดใหญ่กว่าปกติถึง 10 – 20 เท่าตัวจากหมายเลข IP จำนวนมาก ผลลัพธ์ที่ตามมาคือเกิด DNS Traffic Congestion” — Hilton อธิบาย
Hilton ยังระบุถึงสาเหตุที่ประเมินจำนวนหมายเลข IP ที่เกี่ยวข้องกับการโจมตีไว้มากถึง 10 ล้านหมายเลขในตอนแรกว่า มาจากปริมาณ DNS Retry จำนวนมหาศาลเหล่านี้ ซึ่งส่งผลให้เกิดความเข้าใจผิดเกี่ยวกับจำนวนอุปกรณ์ Endpoint ที่ใช้โจมตีจริง
นอกจากนี้ยังมีรายงานมาจาก 3rd Party ว่า ปริมาณทราฟฟิค DDoS ที่โจมตี Dyn DNS มีขนาดใหญ่ถึง 1.2 Tbps อย่างไรก็ตาม จนถึงตอนนี้ยังไม่สามารถพิสูจน์ได้ว่าเป็นเรื่องจริง
อ่านผลวิเคราะห์ Log ฉบับเต็มได้ที่ http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/
