Breaking News

ผลวิเคราะห์ชี้ Mirai Botnet 100,000 เครื่องเข้าโจมตี Dyn DNS

หลังจากเกิดเหตุการณ์ Dyn DNS ถูกโจมตีแบบ DDoS เมื่อวันศุกร์ที่ผ่านมา จนทำให้เว็บไซต์ชื่อดังหลายเว็บไม่สามารถเข้าถึงได้ ไม่ว่าจะเป็น GitHub, Reddit, Twitter และอื่นๆ จากการวิเคราะห์ Log ล่าสุด พบว่าสาเหตุเกิดจากกองทัพ Botnet ที่มาจากอุปกรณ์ IoT ตามบ้านที่ติดมัลแวร์ Mirai ประมาณ 100,000 เครื่อง

dyn_ddos_attack_1

Scott Hilton รองประธานผู้บริหารฝ่ายผลิตภัณฑ์ ระบุใน Blog ว่า “เรากำลังทำการวิเคราะห์ข้อมูลที่ได้รับ แต่จากการประมาณ ณ ตอนนี้ คาดว่ามีอุปกรณ์ Endpoint [ที่เป็น Botnet] เข้าโจมตีมากถึง 100,000 เครื่อง เรายืนยันได้แล้วว่าปริมาณทราฟฟิคขนาดใหญ่มาจาก Botnet ที่ติดมัลแวร์ Mirai”

จากการตรวจสอบเบื้องต้นก่อนหน้านี้ ทาง Dyn DNS ระบุว่ามีหมายเลข IP ที่เกี่ยวข้องกับการโจมตีมากถึง 10 ล้านหมายเลข แต่ผลการวิเคราะห์ Log โดยละเอียดพบว่ามีเพียงส่วนหนึ่ง หรือก็คือประมาณ 100,000 เครื่องที่เป็นอุปกรณ์ตามบ้านที่เชื่อมต่ออินเทอร์เน็ต เช่น Webcam, Router และ Gadget อื่นๆ ที่โจมตีแบบ DDoS จริง ทำให้เกิดคำถามที่ว่า ด้วยจำนวนอุปกรณ์ที่น้อยกว่าที่คิดถึง 100 เท่า จะทำให้การโจมตีนี้ล่มระบบของ Dyn DNS ได้อย่างไร

Hilton ระบุว่า เหตุผลสำคัญที่ทำให้ไม่สามารถให้บริการได้ เนื่องจากเป็นการโจมตีแบบ Amplification Attack หรือก็คือโปรโตคอล DNS สามารถส่ง Request ที่มีขนาดใหญ่กว่าปกติหลายเท่าจาก Source ที่มีอยู่เท่าเดิมได้

“ยกตัวอย่างเช่น ผลกระทบจากการโจมตีก่อให้เกิดการ Retry (ซึ่งเป็น Request ปกติที่ถูกต้อง) ปริมาณมหาศาล เนื่องจาก Recursive Server พยายามที่จะรีเฟรช Cache ของตนเอง ส่งผลให้เกิดทราฟฟิคที่มีขนาดใหญ่กว่าปกติถึง 10 – 20 เท่าตัวจากหมายเลข IP จำนวนมาก ผลลัพธ์ที่ตามมาคือเกิด DNS Traffic Congestion” — Hilton อธิบาย

Hilton ยังระบุถึงสาเหตุที่ประเมินจำนวนหมายเลข IP ที่เกี่ยวข้องกับการโจมตีไว้มากถึง 10 ล้านหมายเลขในตอนแรกว่า มาจากปริมาณ DNS Retry จำนวนมหาศาลเหล่านี้ ซึ่งส่งผลให้เกิดความเข้าใจผิดเกี่ยวกับจำนวนอุปกรณ์ Endpoint ที่ใช้โจมตีจริง

นอกจากนี้ยังมีรายงานมาจาก 3rd Party ว่า ปริมาณทราฟฟิค DDoS ที่โจมตี Dyn DNS มีขนาดใหญ่ถึง 1.2 Tbps อย่างไรก็ตาม จนถึงตอนนี้ยังไม่สามารถพิสูจน์ได้ว่าเป็นเรื่องจริง

อ่านผลวิเคราะห์ Log ฉบับเต็มได้ที่ http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/

ที่มา: http://www.theregister.co.uk/2016/10/27/how_many_internet_of_st_devices_knocked_out_dyn_fewer_than_you_expect/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fortinet เปิดตัว FortiGate 60F พร้อมชิปประมวลผล SOC4 เพิ่มสมรรถนะ SD-WAN ให้ถึงขีดสุด

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง ประกาศเปิดตัว FortiGate 60F ที่มาพร้อมกับชิปประมวลผล SOC4 สำหรับเพิ่มประสิทธิภาพการเชื่อมต่อ SD-WAN ไปอีกขั้น ในขณะที่ Throughput การใช้งานสูงกว่าคู่แข่งอื่นในท้องตลาดถึง 17 เท่า

เตือนช่องโหว่บนชิป Qualcomm ผู้ใช้ Android เสี่ยงถูกขโมยข้อมูล

Check Point ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บน Chipset ของ Qualcomm ที่ใช้งานบนสมาร์ตโฟนและแท็บเล็ตของ Android ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลสำคัญ แม้ว่าจะถูกจัดเก็บอยู่ในพื้นที่ที่มีการป้องกันเป็นอย่างดีของอุปกรณ์ได้