Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ

เมื่อวันที่ 18 – 21 มิถุนายนมีความพยายาม DDoS Attack กับการให้บริการของ Cloudflare ซึ่งเกิดจากเครือข่ายของคนร้ายกว่า 316,000 ไอพีเข้ามารุมทึ้งบริการและเว็บไซต์ของ Cloudflare ไอพีเดียว อย่างไรก็ดีเชื่อหรือไม่ว่า Bot อัตโนมัติของ Cloudflare สามารถจัดการปัญหานี้ได้แบบหน้าตาเฉย ทำให้ทีมงานไม่ต้องตื่นมากลางดึก

สำหรับการโจมตีมีหลายเทคนิคของ TCP ทั้ง SYN Floods, ACK Flood และ SYN-ACK Flood โดยการโจมตีเกิดขึ้นหลายครั้งและกินเวลาหลายชั่วโมงในช่วงเวลาดังกล่าว โดยตัวเลขที่น่าสนใจคืออัตตราพีคอยู่ที่ 754 ล้านแพ็กเก็ตต่อวินาที ทางทีมงาน Cloudflare จึงได้สรุปการโจมตีที่เกิดขึ้นไว้ 3 รูปแบบดังนี้

• Bit Intensive – คนร้ายได้โจมตีให้เกิดจำนวนบิตต่อวินาทีสูง เพื่อทำให้ Bandwidth เต็ม โดยวิธีแก้ปัญหาเปรียบเสมือนการสร้างเขื่อนมากั้นแม่น้ำเพื่อจำกัด Capacity สูงสุดและให้บางส่วนไหลออกไปได้ อย่างไรก็ดี Service Provider อาจจะบล็อกหรือจำกัดความพยายามเกินขนาดออกไปบ้าง ซึ่งเป็นการปฏิเสธการให้บริการของผู้ใช้งานปกติด้วย โดยสรุปในกรณีนี้คนร้ายยิงทราฟฟิคเข้ามาสูงสุดที่ 250 Gbps และไม่ได้ทำต่อ แต่ยังไงท่อของ Cloudflare ก็รับได้ถึง 37 Tbps อยู่แล้ว
• Packet Intensive – คนร้ายพยายามสร้างจำนวนของแพ็กเก็ตต่อวินาทีให้ได้มากที่สุด ที่อัตราสูงสุดของการโจมตีนี้อยู่ที่ 754 ล้านแพ็กเก็ตต่อวินาที โดยการโจมตีนี้อุปกรณ์จะต้องเข้ามาประมวลผลแพ็กเก็ตแต่ละตัว ซึ่งเปรียบเสมือนต้องจัดการฝูงยุงขนาดใหญ่ทีละตัว และเป็นการทดสอบอุปกรณ์เครือข่ายใดก็ตามที่วาง In-line ขวางแนวการโจมตีนี้เช่น DDoS Mitigation, Router, Firewall, Switch และอื่นๆ หากจัดการได้ไม่ได้อาจทำให้เกิด Buffer Overflow ที่อุปกรณ์ได้
• HTTP Request – คนร้ายพยายามโจมตี L7 กับ Web Server ให้จัดการกับ Request ได้ไม่ทัน ทำให้ CPU หรือ Memory ของเครื่องเต็มจนค้างและไม่สามารถปฏิบัติงานปกติต่อได้ ซึ่งวิธีการนี้กิน Bandwidth น้อยกว่าการโจมตีแบบ Bit Intensive มาก

3 มาตรการจัดการ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที

Cloudflare มีมาตรการป้องกันการโจมตีลักษณะนี้อยู่ 3 ข้อคือ

1.) BGP Anycast กระจายทราฟฟิคออกระดับ Global ไปยังดาต้าเซ็นเตอร์ต่างๆ 

2.) มีระบบป้องกัน DDoS ของตัวเองที่ชื่อ Gatebot และ dosd ที่ช่วยดร็อปแพ็กเก็ตใน Linux Kernel ให้อยู่ในระดับที่จัดการได้

3.) มีระบบ L4 Load-balancer ของตัวเองที่ชื่อ Unimog ซึ่งคอยมอนิเตอร์สถานะและเมทริกซ์อื่นๆ เพื่อกระจายโหลดภายในดาต้าเซ็นเตอร์

ด้วยเหตุนี้เองหมายความว่าเมื่อ Cloudflare ตรวจพบการโจมตี DDoS ก็จะกระจายโหลดแบบ Global ไปยังดาต้าเซ็นเตอร์ หลังจากนั้นที่ระดับดาต้าเซ็นเตอร์ยังสามารถ Drop แพ็กเก็ตและ Load-balance ให้เซิร์ฟเวอร์ในฟาร์มช่วยกันทำงานได้ด้วย จึงไม่น่าแปลกใจที่เหตุการณ์ครั้งนี้เจ้าหน้าที่ของ Cloudflare ยังนอนหลับได้สบายดีตลอด 4 วัน

สำหรับ Gatebot นั้นเป็นระบบอัตโนมัติที่ออกมาตั้งแต่ปี 2017 ซึ่งสามารถเก็บตัวอย่างทราฟฟิคจากดาต้าเซ็นเตอร์กว่า 200 แห่งของ Cloudflare เพื่อตรวจสอบการถูกโจมตีและพฤติกรรมผิดปกติ รวมถึงยังค่อยสอดส่องสถานะการทำงานของเซิร์ฟเวอร์ลูกค้าด้วย หากพบเหตุการณ์ผิดปกติจะส่งคำสั่งอัตโนมัติไปจัดการโดยไม่ต้องอาศัยคนมาจัดการเลย องค์กรประกอบอีกตัวที่ชื่อ dosd (denial of service daemon) ถูกปล่อยมาเมื่อปีก่อนเพื่อเสริมศักยภาพของ Gatebot โดยจะรับมือกับปัญหาในระดับเซิร์ฟเวอร์หรือแต่ละดาต้าเซ็นเตอร์

ที่มา :  https://blog.cloudflare.com/mitigating-a-754-million-pps-ddos-attack-automatically/