Imperva เตือน “Pulse Wave Attack” การยิง DDoS รูปแบบใหม่ ขนาดกว่า 350 Gbps

Incapsula ผู้ให้บริการโซลูชัน DDoS Mitigation ชื่อดังภายในเครือของ Imperva ออกรายงาน Global DDoS Threat Landscape Report ประจำไตรมาส 2 ของปี 2017 พบเทคนิคการโจมตีแบบ DDoS รูปแบบใหม่ที่มีขนาดใหญ่ถึง 350 Gbps โดยตั้งชื่อว่า “Pulse Wave Attack”

Incapsula ได้ทำการวิเคราะห์ข้อมูลการโจมตีแบบ DDoS ทั้งในระดับ Network และ Application รวมแล้วมากกว่า 15,000 ครั้งจากที่ตัวเองได้ช่วยลูกค้ารับมือตลอดไตรมาสที่ 2 ของปี 2017 พบว่าการโจมตีในระดับ Network มีแนวโน้มลดลงเร่อยๆ ตั้งแต่ปี 2016 ที่ผ่านมา เหลือเพียงประมาณ 196 ครั้งต่อสัปดาห์เท่านั้น ตรงข้ามกับการโจมตีในระดับ Application มีแนวโน้มเพิ่มขึ้นถึงประมาณ 1,000 ครั้งต่อสัปดาห์

การโจมตีที่มีขนาดใหญ่ที่สุดที่ Incapsula รับมือในไตรมาสที่ 2 มีขนาด 350 Gbps ถึงแม้ว่าจะไม่ได้ใกล้เคียงกับขนาดใหญ่ที่สุดที่เคยเกิดขึ้น แต่ Incapsula พบว่าการโจมตีนี้มีรูปแบบต่างจากการโจมตีแบบ DDoS ที่พบทั่วไป กล่าวคือ โดยปกติแล้วทราฟฟิกการโจมตีจะค่อยๆ เพิ่มขึ้นเรื่อยๆ จนถึงจุดสูงสุด จากนั้นจึงค่อยๆ ลดลง เป็นกราฟรูปสามเหลี่ยม หรืออาจจะลดลงทีเดียว เป็นกราฟรูปฟันเลื่อย (ดูรูปประกอบด้านล่าง) ซึ่งจังหวะที่ทราฟฟิกค่อยๆ มีขนาดใหญ่ขึ้นนั้นจะเป็นตัวบ่งชี้ถึงความสามารถในการควบคุมกองทัพ Botnet ของแฮ็คเกอร์

อย่างไรก็ตาม การโจมตีที่ Incapsula ค้นพบนี้ ทราฟฟิกจะเพิ่มขนาดจนถึงจุดสูงสุดอย่างรวดเร็ว แล้วก็ตกกลับลงมา จากนั้นก็กลับขึ้นไปมีขนาดสูงสุดใหม่อีกครั้ง เป็นอย่างนี้ซ้ำไปเรื่อยๆ ก่อให้เกิดเป็นลักษณะกราฟลูกคลื่น ทำให้ Incapsular เรียกรูปแบบการโจมตีนี้ว่า “Pulse Wave Attack” ซึ่งเริ่มปรากฏให้เห็นบ่อยครั้งในไตรมาสที่ผ่านมาแล้ว

“พวกเราตระหนักดีว่า เป็นเรื่องไร้สาระที่จะระบุว่า Botnet หยุดทำงานระหว่างช่วง ‘เงียบๆ’ ที่จริงแล้วช่วงเงียบเหล่านั้นเป็นสัญญาณที่ระบุว่าแฮ็คเกอร์เปลี่ยนเป้าหมายจากที่หนึ่งไปยังอีกที่หนึ่งอย่างทันทีทันใด โดยอาศัยความสามารถระดับสูงในการควบคุมทรัพยากรของตน สิ่งนี้ยังช่วยอธิบายได้ว่าทำไมการโจมตีถึงขึ้นสู่จุดสูงสุดได้อย่างรวดเร็วนัก” — Incapsula ระบุ

Pulse Wave Attack มีคุณสมบัติเด่น 4 ประการ คือ

• เพิ่มลดขนาดของทราฟฟิกที่ใใช้โจมตีได้อย่างทันทีทันใด หลังจากเริ่มโจมตี อาจใช้เวลาเพียงไม่กี่วินาทีก็มีขนาดถึงจุดสูงสุดแล้ว
• การโจมตีจะเป็นลักษณะลูกคลื่นซ้ำๆ ซึ่งทุกๆ 10 นาทีจะเกิดคลื่น 1 ลูกหรือมากกว่านั้น
• ระยะเวลาในการโจมตีไม่ต่ำกว่า 1 ชั่วโมง ซึ่งส่วนใหญ่จะดำเนินเป็นเวลาหลายชั่วโมงหรือถึงหลักวัน
• คลื่นโจมตีเพียงลูกเดียวก็เพียงพอที่จะล่มระบบเครือข่ายได้ (มีขนาดใหญ่กว่า 10 Gbps)

อ่านรายละเอียดเทคนิคการโจมตีแบบ Pulse Wave Attack

สถิติอื่นๆ ที่น่าสนใจในรายงาน ได้แก่

• จำนวนเหยื่อที่ถูกโจมตีซ้ำเดิมมีแนวโน้มเพิ่มขึ้นเรื่อยๆ จากปีที่ผ่านมา โดยเพิ่มจาก 43.2% ในไตรมาสที่ 2 ปี 2016 เป็น 75.8% ไตรมาสเดียวกันของปี 2017
• เว็บไซต์ในสหรัฐฯ ตกเป็นเหยื่อของการโจมตีมากที่สุด โดย 38% ถูกโจมตีซ้ำมากกว่า 6 ครั้งในช่วงไตรมาสที่ผ่านมา
• เว็บไซต์ทั่วโลกที่ถูกโจมตีแบบ DDoS โดยเฉลี่ยแล้วจะถูกโจมตีซ้ำมากถึง 11.5 ครั้ง
• ตุรกี ยูเครน และอินเดียมีจำนวน Botnet และปริมาณการโจมตีเพิ่มขึ้นกว่าไตรมาสแรกถึง 50 – 75%
• จีนยังคงเป็นอันดับหนึ่งของประเทศที่เป็นแหล่งกำเนิด DDoS คิดเป็น 63% ของ DDoS Requests ทั้งหมด และมี Botnet มากกว่า 306,000 เครื่อง

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://www.incapsula.com/ddos-report/ddos-report-q2-2017.html

ที่มา: https://www.incapsula.com/blog/q2-2017-global-ddos-threat-landscape-report.html