TTT Virtual Summit 2023

เตือน Amplification DDoS รูปแบบใหม่ ใช้เราท์เตอร์ตามบ้านในการโจมตี

July 9, 2015 Akamai, IT Knowledge, IT Trends and Updates, Products, Security, Threats Update, Web Security

akamai_logo

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยของการโจมตี DDoS รูปแบบใหม่ที่ใช้เราท์เตอร์ตามบ้านหรือธุรกิจขนาดเล็ก (SOHO Router) เป็นตัวเร่งปริมาณทราฟฟิค (Amplifier) เพื่อโจมตีเป้าหมาย หรือที่เรียกว่า Amplification Attack โดยใช้โปรโตคอลแลกเปลี่ยนข้อมูลเส้นทางเก่าแก่อย่าง RIPv1

Amplification DDoS Attack คืออะไร

Amplification Attack เป็นรูปแบบหนึ่งของการโจมตี DDoS โดยที่แฮ็คเกอร์จะทำการปลอมหมายเลข IP ตัวเองเป็น IP เป้าหมาย แล้วส่ง Request ไปยัง DNS หรือ NTP Server ซึ่ง Request ที่ส่งไปนั้น ไม่ใช่เพื่อขอ solve name หรือ sync time ตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ปริมาณมหาศาลและขนาดใหญ่ แล้วส่งกลับไปยังเป้าหมายแทน เมื่อใช้ร่วมกับ Botnet หลายพันเครื่อง ก็จะทำให้แบนวิธด์ของเป้าหมายเต็ม ประมวลผลการทำงานไม่ทัน จนไม่สามารถให้บริการได้

ntp_amp_ddos

ใช้เราท์เตอร์ที่ใช้ RIPv1 ในการเร่งปริมาณทราฟฟิคถึง 130 เท่า

แทนที่จะใช้โปรโตคอล DNS หรือ NTP ทาง Akamai ตรวจพบ DDoS ทราฟฟิคที่ใช้โปรโตคอล RIPv1 ซึ่งคาดว่าแฮ็คเกอร์ได้ทำการส่ง Request ไปยังกลุ่มเราท์เตอร์ที่ใช้ RIPv1 เพื่อให้เราท์เตอร์เหล่านั้นส่ง Response ซึ่งมีขนาดใหญ่กว่าหลายเท่าไปยังเป้าหมายที่ต้องการโจมตี จากการตรวจสอบ พบว่า Request ทั่วไปจะมีขนาด 24 Bytes แต่ Response จะมีขนาดใหญ่เป็นจำนวนเท่าของ 504 Bytes ซึ่งบางครั้งอาจใหญ่ถึง 10 เท่า (5,040 Bytes) ซึ่งทราฟฟิค DDoS ที่ตรวจจับได้มีค่าเฉลี่ยในการเร่งขนาดถึง 13,000 เปอร์เซ็น จากต้นทุน Request ขนาด 24 Bytes

รุมโจมตีด้วยทราฟฟิค 12.8 Gbps จากเราท์เตอร์ 500 เครื่อง

Akamai ระบุว่า จากการตรวจสอบการโจมตี DDoS ที่ใช้โปรโตคอล RIPv1 นี้ พบว่ามีขนาดใหญ่สุดที่ 12.8 Gbps โดยใช้เราท์เตอร์ประมาณ 500 เครื่องในการรุมโจมตีเป้าหมาย นอกจากนี้ Akamai ยังได้ทำการตรวจสอบอุปกรณ์ที่คาดว่ามีความเสี่ยงที่จะถูกใช้ในการโจมตีรูปแบบดังกล่าว มีปริมาณมากถึง 53,693 เครื่อง ซึ่งส่วนใหญ่เป็นเราท์เตอร์ที่ใช้งานตามบ้านหรือธุรกิจขนาดเล็ก

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบ RIPv1-based DDoS Attack แนะนำว่าผู้ใช้งานควรจำกัดการเข้าถึงพอร์ท UDP 520 ซึ่งเป็นพอร์ทของโปรโตคอล RIP และสำหรับผู้ที่ใช้เราท์เตอร์ที่ใช้งาน RIPv1 อยู่ แนะนำว่าให้เปลี่ยนไปใช้ RIPv2 แทน

ที่มา: Threat Advisory: RIPv1 Reflection DDoS โดย Akamai

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รีวิว : Acer Swift Go 14 แล็ปท็อปเพื่อธุรกิจที่ความคล่องตัว ขับเคลื่อนด้วย Intel Core i7 เจนเนอเรชัน 13 รุ่นล่าสุด

Acer Swift Go 14 จะเข้ามาเป็นคู่หูที่รู้ใจให้การทำงานในรูปแบบ Working from Anywhere มีความคล่องตัวมากยิ่งขึ้น ด้วยความบางเพียง 14.9 มม. มีน้ำหนักเบาถึง 1.25 กก. …

เอ็นทีทีเดต้า (ประเทศไทย) ผนึก 3 มหาวิทยาลัยชั้นนำ ปั้นคนไอทีทักษะ COBOL ป้อนตลาดขาดแคลน ค่าตอบแทนสูง อนาคตไกล [Guest Post]

เอ็นทีที เดต้า (ประเทศไทย) ภายใต้เครือบริษัท เอ็นทีที เดต้า คอร์ปอเรชัน จำกัด ผู้นำด้านธุรกิจดิจิทัลและบริการไอทีชั้นนำระดับโลก เดินหน้าโครงการ “NTT DATA Critical Resource Preparation” ปั้นบุคลากรไอทีให้มีทักษะ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand