CDIC 2023

Imperva เตือน “Pulse Wave Attack” การยิง DDoS รูปแบบใหม่ ขนาดกว่า 350 Gbps

Incapsula ผู้ให้บริการโซลูชัน DDoS Mitigation ชื่อดังภายในเครือของ Imperva ออกรายงาน Global DDoS Threat Landscape Report ประจำไตรมาส 2 ของปี 2017 พบเทคนิคการโจมตีแบบ DDoS รูปแบบใหม่ที่มีขนาดใหญ่ถึง 350 Gbps โดยตั้งชื่อว่า “Pulse Wave Attack”

Incapsula ได้ทำการวิเคราะห์ข้อมูลการโจมตีแบบ DDoS ทั้งในระดับ Network และ Application รวมแล้วมากกว่า 15,000 ครั้งจากที่ตัวเองได้ช่วยลูกค้ารับมือตลอดไตรมาสที่ 2 ของปี 2017 พบว่าการโจมตีในระดับ Network มีแนวโน้มลดลงเร่อยๆ ตั้งแต่ปี 2016 ที่ผ่านมา เหลือเพียงประมาณ 196 ครั้งต่อสัปดาห์เท่านั้น ตรงข้ามกับการโจมตีในระดับ Application มีแนวโน้มเพิ่มขึ้นถึงประมาณ 1,000 ครั้งต่อสัปดาห์

การโจมตีที่มีขนาดใหญ่ที่สุดที่ Incapsula รับมือในไตรมาสที่ 2 มีขนาด 350 Gbps ถึงแม้ว่าจะไม่ได้ใกล้เคียงกับขนาดใหญ่ที่สุดที่เคยเกิดขึ้น แต่ Incapsula พบว่าการโจมตีนี้มีรูปแบบต่างจากการโจมตีแบบ DDoS ที่พบทั่วไป กล่าวคือ โดยปกติแล้วทราฟฟิกการโจมตีจะค่อยๆ เพิ่มขึ้นเรื่อยๆ จนถึงจุดสูงสุด จากนั้นจึงค่อยๆ ลดลง เป็นกราฟรูปสามเหลี่ยม หรืออาจจะลดลงทีเดียว เป็นกราฟรูปฟันเลื่อย (ดูรูปประกอบด้านล่าง) ซึ่งจังหวะที่ทราฟฟิกค่อยๆ มีขนาดใหญ่ขึ้นนั้นจะเป็นตัวบ่งชี้ถึงความสามารถในการควบคุมกองทัพ Botnet ของแฮ็คเกอร์

อย่างไรก็ตาม การโจมตีที่ Incapsula ค้นพบนี้ ทราฟฟิกจะเพิ่มขนาดจนถึงจุดสูงสุดอย่างรวดเร็ว แล้วก็ตกกลับลงมา จากนั้นก็กลับขึ้นไปมีขนาดสูงสุดใหม่อีกครั้ง เป็นอย่างนี้ซ้ำไปเรื่อยๆ ก่อให้เกิดเป็นลักษณะกราฟลูกคลื่น ทำให้ Incapsular เรียกรูปแบบการโจมตีนี้ว่า “Pulse Wave Attack” ซึ่งเริ่มปรากฏให้เห็นบ่อยครั้งในไตรมาสที่ผ่านมาแล้ว

“พวกเราตระหนักดีว่า เป็นเรื่องไร้สาระที่จะระบุว่า Botnet หยุดทำงานระหว่างช่วง ‘เงียบๆ’ ที่จริงแล้วช่วงเงียบเหล่านั้นเป็นสัญญาณที่ระบุว่าแฮ็คเกอร์เปลี่ยนเป้าหมายจากที่หนึ่งไปยังอีกที่หนึ่งอย่างทันทีทันใด โดยอาศัยความสามารถระดับสูงในการควบคุมทรัพยากรของตน สิ่งนี้ยังช่วยอธิบายได้ว่าทำไมการโจมตีถึงขึ้นสู่จุดสูงสุดได้อย่างรวดเร็วนัก” — Incapsula ระบุ

Pulse Wave Attack มีคุณสมบัติเด่น 4 ประการ คือ

  • เพิ่มลดขนาดของทราฟฟิกที่ใใช้โจมตีได้อย่างทันทีทันใด หลังจากเริ่มโจมตี อาจใช้เวลาเพียงไม่กี่วินาทีก็มีขนาดถึงจุดสูงสุดแล้ว
  • การโจมตีจะเป็นลักษณะลูกคลื่นซ้ำๆ ซึ่งทุกๆ 10 นาทีจะเกิดคลื่น 1 ลูกหรือมากกว่านั้น
  • ระยะเวลาในการโจมตีไม่ต่ำกว่า 1 ชั่วโมง ซึ่งส่วนใหญ่จะดำเนินเป็นเวลาหลายชั่วโมงหรือถึงหลักวัน
  • คลื่นโจมตีเพียงลูกเดียวก็เพียงพอที่จะล่มระบบเครือข่ายได้ (มีขนาดใหญ่กว่า 10 Gbps)

อ่านรายละเอียดเทคนิคการโจมตีแบบ Pulse Wave Attack

สถิติอื่นๆ ที่น่าสนใจในรายงาน ได้แก่

  • จำนวนเหยื่อที่ถูกโจมตีซ้ำเดิมมีแนวโน้มเพิ่มขึ้นเรื่อยๆ จากปีที่ผ่านมา โดยเพิ่มจาก 43.2% ในไตรมาสที่ 2 ปี 2016 เป็น 75.8% ไตรมาสเดียวกันของปี 2017
  • เว็บไซต์ในสหรัฐฯ ตกเป็นเหยื่อของการโจมตีมากที่สุด โดย 38% ถูกโจมตีซ้ำมากกว่า 6 ครั้งในช่วงไตรมาสที่ผ่านมา
  • เว็บไซต์ทั่วโลกที่ถูกโจมตีแบบ DDoS โดยเฉลี่ยแล้วจะถูกโจมตีซ้ำมากถึง 11.5 ครั้ง
  • ตุรกี ยูเครน และอินเดียมีจำนวน Botnet และปริมาณการโจมตีเพิ่มขึ้นกว่าไตรมาสแรกถึง 50 – 75%
  • จีนยังคงเป็นอันดับหนึ่งของประเทศที่เป็นแหล่งกำเนิด DDoS คิดเป็น 63% ของ DDoS Requests ทั้งหมด และมี Botnet มากกว่า 306,000 เครื่อง

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://www.incapsula.com/ddos-report/ddos-report-q2-2017.html

ที่มา: https://www.incapsula.com/blog/q2-2017-global-ddos-threat-landscape-report.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว