Breaking News

ผลวิเคราะห์ชี้ Mirai Botnet 100,000 เครื่องเข้าโจมตี Dyn DNS

หลังจากเกิดเหตุการณ์ Dyn DNS ถูกโจมตีแบบ DDoS เมื่อวันศุกร์ที่ผ่านมา จนทำให้เว็บไซต์ชื่อดังหลายเว็บไม่สามารถเข้าถึงได้ ไม่ว่าจะเป็น GitHub, Reddit, Twitter และอื่นๆ จากการวิเคราะห์ Log ล่าสุด พบว่าสาเหตุเกิดจากกองทัพ Botnet ที่มาจากอุปกรณ์ IoT ตามบ้านที่ติดมัลแวร์ Mirai ประมาณ 100,000 เครื่อง

dyn_ddos_attack_1

Scott Hilton รองประธานผู้บริหารฝ่ายผลิตภัณฑ์ ระบุใน Blog ว่า “เรากำลังทำการวิเคราะห์ข้อมูลที่ได้รับ แต่จากการประมาณ ณ ตอนนี้ คาดว่ามีอุปกรณ์ Endpoint [ที่เป็น Botnet] เข้าโจมตีมากถึง 100,000 เครื่อง เรายืนยันได้แล้วว่าปริมาณทราฟฟิคขนาดใหญ่มาจาก Botnet ที่ติดมัลแวร์ Mirai”

จากการตรวจสอบเบื้องต้นก่อนหน้านี้ ทาง Dyn DNS ระบุว่ามีหมายเลข IP ที่เกี่ยวข้องกับการโจมตีมากถึง 10 ล้านหมายเลข แต่ผลการวิเคราะห์ Log โดยละเอียดพบว่ามีเพียงส่วนหนึ่ง หรือก็คือประมาณ 100,000 เครื่องที่เป็นอุปกรณ์ตามบ้านที่เชื่อมต่ออินเทอร์เน็ต เช่น Webcam, Router และ Gadget อื่นๆ ที่โจมตีแบบ DDoS จริง ทำให้เกิดคำถามที่ว่า ด้วยจำนวนอุปกรณ์ที่น้อยกว่าที่คิดถึง 100 เท่า จะทำให้การโจมตีนี้ล่มระบบของ Dyn DNS ได้อย่างไร

Hilton ระบุว่า เหตุผลสำคัญที่ทำให้ไม่สามารถให้บริการได้ เนื่องจากเป็นการโจมตีแบบ Amplification Attack หรือก็คือโปรโตคอล DNS สามารถส่ง Request ที่มีขนาดใหญ่กว่าปกติหลายเท่าจาก Source ที่มีอยู่เท่าเดิมได้

“ยกตัวอย่างเช่น ผลกระทบจากการโจมตีก่อให้เกิดการ Retry (ซึ่งเป็น Request ปกติที่ถูกต้อง) ปริมาณมหาศาล เนื่องจาก Recursive Server พยายามที่จะรีเฟรช Cache ของตนเอง ส่งผลให้เกิดทราฟฟิคที่มีขนาดใหญ่กว่าปกติถึง 10 – 20 เท่าตัวจากหมายเลข IP จำนวนมาก ผลลัพธ์ที่ตามมาคือเกิด DNS Traffic Congestion” — Hilton อธิบาย

Hilton ยังระบุถึงสาเหตุที่ประเมินจำนวนหมายเลข IP ที่เกี่ยวข้องกับการโจมตีไว้มากถึง 10 ล้านหมายเลขในตอนแรกว่า มาจากปริมาณ DNS Retry จำนวนมหาศาลเหล่านี้ ซึ่งส่งผลให้เกิดความเข้าใจผิดเกี่ยวกับจำนวนอุปกรณ์ Endpoint ที่ใช้โจมตีจริง

นอกจากนี้ยังมีรายงานมาจาก 3rd Party ว่า ปริมาณทราฟฟิค DDoS ที่โจมตี Dyn DNS มีขนาดใหญ่ถึง 1.2 Tbps อย่างไรก็ตาม จนถึงตอนนี้ยังไม่สามารถพิสูจน์ได้ว่าเป็นเรื่องจริง

อ่านผลวิเคราะห์ Log ฉบับเต็มได้ที่ http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/

ที่มา: http://www.theregister.co.uk/2016/10/27/how_many_internet_of_st_devices_knocked_out_dyn_fewer_than_you_expect/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Fortinet’s Management and Analytics

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย Fortinet Webinar Series EP #7 เรื่อง “Fortinet’s Management and Analytics” ที่เพิ่งจัดไป หรือต้องการรับชมซ้ำอีกครั้ง สามารถดูบันทึกวิดีโอย้อนหลังได้ที่นี่ครับ

สรุป Webinar ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX

ก่อนหน้านี้ทางทีมงาน VMware ได้มาเล่าเรื่องในหัวข้อ"ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX" ในงาน TechTalk Webinar ซึ่งก็ถือเป็นอีกหนึ่งหัวข้อที่ได้รับความสนใจจากผู้อ่านค่อนข้างมาก ทางทีมงาน TechTalkThai จึงขอนำเนื้อหามาสรุปเอาไว้ให้ผู้ที่อาจจะไม่มีเวลาชมคลิปเองได้อ่านกันสั้นๆ ดังนี้ครับ