จะรู้ได้อย่างไร ว่าเรากำลังถูกโจมตีแบบ DDoS

DDoS มีพัฒนาการเทคนิค เพื่อปั้มทราฟฟิคให้มีขนาดใหญ่ขึ้นเรื่อยๆ จากปี 2015 ได้พบ DNS Amplification (การปั้มทราฟฟิคให้ใหญ่ขึ้นด้วยการใช้ช่องโหว่ของ DNS Server) เพียง 300Gbps, ในปี 2017 มีเว็บไซต์ชื่อดัง ถูกโจมตีด้วย Mirai ขนาด 1Tbps และเร็วๆนี้การโจมตีได้มีขนาดใหญ่ขึ้นถึง 1.3Tbps โดยการอาศัยช่องโหว่ของ Memcached Server จากการตรวจสอบพบว่าเครื่องในประเทศไทยถูกใช้เป็นเครื่องมือโจมตีมากสุด

DDoS คืออะไร ทำไปเพื่ออะไร? มีแรงจูงใจอะไรในการโจมตี?

Distribute Denial of Service หรือ DDoS เป็นการโจมตี เพื่อให้เป้าหมายไม่สามารถให้บริการได้ ทำให้มีความสูญเสียจากการดาวน์ไทม์ที่เกิดขึ้น ส่งผลต่อความน่าเชื่อถือ ชื่อเสียง และรายได้ขององค์กร

แรงกระตุ้นที่ใช้ในการโจมตี มีหลายปัจจัย เช่น การหวังผลทางการเมือง, การแสดงพลังทางการเมือง, ความไม่พอใจของผู้ใช้บริการ หรือการกลั่นแกล้งทางธุรกิจ

และอีกตัวที่มาแรงแซงทางโค้ง ที่กลุ่มผู้ไม่หวังดี ใช้เป็นเครื่องมือในการหารายได้จากหน่วยงานต่างๆ นั้นก็คือDDoS for Bitcoin (DD4BC) หรือการเรียกค่าไถ่ ซึ่งหากไม่จ่ายเงิน ก็จะโดนโจมตี และการเรียกค่าไถ่นั้นก็จะมีการเพิ่มจำนวนเงินที่สูงขึ้นเรื่อยๆ ซึ่งมันไม่เป็นเรื่องดี สำหรับการทำธุรกิจในยุคปัจจุบัน

DD4BC หรือ DDoS for bitcoin คือการเรียกค่าไถ่ในโลกไซเบอร์ ที่คุณต้องเลือกว่าจะยอมจ่าย หรือจะยอมให้ระบบล่ม

จะรู้ได้อย่างไร ว่าโดนโจมตี?

เราจะแบ่ง DDoS Attack ออกเป็น 2 ประเภท

  1. การโจมตีในระดับ Layer 3/4 หรือ Volumetric Attack ตรวจจับได้ง่าย เห็นชัดเจน ว่ามี Incoming Traffic ขนาดใหญ่ที่ผิดปกติ เป็นขนาดที่ไม่เคยมีมาก่อน
  2. การโจมตีในระดับ Layer 7 หรือ Application Attack จะเน้นโจมตีไปยังเว็บเซิฟเวอร์โดยการส่งคำขอเป็นปริมาณที่มาก จนทำให้ระบบการทำงานหน่วง หรือทำให้ระบบหยุดทำงาน เมื่อตรวจสอบที่เซิฟเวอร์จะพบ High usage CPU/Memory และจากสถิติของ HTTP Request พบ Botnet มากถึง 70% ถ้าเว็บไซต์คุณเกิดหน่วงล่ะก็ อย่าเพิ่งอัพเกรดเครื่อง ให้จัดการบอทก่อนเลย

How to monitor DDoS Attack:

  • Setup Baseline
    • บันทึกและเก็บข้อมูลการใช้งาน Bandwidth Usage ทั้ง Incoming และ Outgoing Traffic
    • บันทึกและเก็บข้อมูลปริมาณ CPU/Memory
    • บันทึกและเก็บข้อมูลปริมาณ HTTP Request/Sec, Session/Sec, Log/Sec
    • บันทึก URL/Path ที่มีการเรียกใช้เป็นประจำจากผู้ใช้
  • Setup Monitoring & Notification
    • ตั้งค่า Threshold โดยอ้างอิงข้อมูลจาก Baseline และให้มีการแจ้งเตือนหากมีปัญหา
    • ตั้งค่า TCP, ICMP, HTTP Probe ไปยังเซอร์วิสที่ให้บริการ มีการแจ้งเตือนหากพบ Loss หรือ Return 503 Error

DDoS incident response plan:

  • List Online Asset เช่น Web Site, API Service, DNS, FTP เป็นต้น
    • Setup Priority ให้คะแนนความสำคัญของแต่ละ ระบบโดยสามารถใช้ปัจจัยดังต่อไปนี้
    • ความสูญเสียที่จะเกิดขึ้นทางตรง เช่น ปริมาณธุรกรรมที่หายไป เป็นต้น
    • ความสูญเสียที่จะเกิดขึ้นทางอ้อม เช่น ชื่อเสียง, ลูกค้าที่จะไม่กลับมาใช้บริการ, ปริมาณชั่วโมงการทำงานสูญเปล่า เนื่องด้วยพนักงานไม่สามารถเข้าใช้งานระบบได้
    • มูลค่าที่ใช้สร้างระบบนั้นๆขึ้นมา
  • ระบบที่ใช้ป้องกันในปัจจุบัน รองรับการโจมตีชนิดใดได้บ้าง สามารถบายพาสการป้องกันได้หรือไม่ และสำคัญที่สุดคือสามารถป้องกัน Volumetric Attack ได้มากน้อยขนาดใด
  • Test การทดสอบจะช่วยให้เรามั่นใจได้ว่า ระบบที่เราใช้งานอยู่มีความสามารถในการป้องกันได้เพียงใด ควรมีการทดสอบทั้งแบบ Volumetric และ Application Attack

ทั้งนี้เราได้เล็งเห็นความสำคัญของธุรกิจออนไลน์ที่มีความสำคัญมากในปัจจุบัน ด้วยแคมเปญ “Free DDoS Monitoring & Assessment” สามารถติดต่อสอบถาม เพื่อขอรับบริการได้ที่ sales@snoc.co.th, 02-690-3888 หรือ www.snoc.co.th

เกี่ยวกับเอสน็อค

เราจัดตั้งบริษัทเมื่อปี 2014 เพื่อลุยกับ DDoS Attack โดยเฉพาะ เมื่อย้อนกลับไปก่อนที่จะจัดตั้งบริษัท เราได้พบปัญหาการโจมตีที่เกิดขึ้น บ่อยครั้งถูกที่เล่นงาน ถูกโจมตีจนระบบไม่สามารถใช้งานได้เป็นเวลานานกว่า 12 ชั่วโมง และนั่นก็เป็นจุดเริ่มต้นของเรา ในการค้นคว้าเทคนิคและโนโลยี มาใช้ในการป้องกัน DDoS Attack

ในปี 2015 เราได้จัดตั้ง DDoS Scrubbing Center แห่งแรกในประเทศไทย (First Cloud Base DDoS Protection) ที่เชื่อมโยงกับระบบเดียวกันที่อยู่ทุกมุมโลก จนในปีนี้ 2018 เรามีความสามารถในการรองรับการโจมตีจากต่างประเทศได้มากถึง 1.44Tbps และรองรับการโจมตีในประเทศไทยได้มากถึง 600Gbps เราภูมิใจที่ได้ปกป้องภัยไซเบอร์ให้คนไทย ด้วยคนไทยด้วยกัน


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Blendata Coding Star 2022 มาร่วมค้นหา High Performance Data Engineer ตัวจริง เวทีที่คนสาย Data ห้ามพลาด! [20ส.ค.-10ก.ย.นี้]

Blendata ร่วมกับ TGGS จัดกิจกรรม Blendata Coding Star 2022: High Performance Data Engineer เวทีที่คนสาย Data ห้ามพลาด! …

Sophos Webinar: Getting Started With Threat Hunting

Sophos ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมงานสัมมนา Sophos Webinar เรื่อง "Getting Started With Threat Hunting" พร้อมแนะนำเครื่องมือ กรอบการทำงาน และแนวทางการค้นหาและไล่ล่าภัยคุกคามที่แฝงอยู่ในระบบเครือข่ายขององค์กร ในวันพุธที่ 24 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar