เตือน Amplification DDoS รูปแบบใหม่ ใช้เราท์เตอร์ตามบ้านในการโจมตี

akamai_logo

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยของการโจมตี DDoS รูปแบบใหม่ที่ใช้เราท์เตอร์ตามบ้านหรือธุรกิจขนาดเล็ก (SOHO Router) เป็นตัวเร่งปริมาณทราฟฟิค (Amplifier) เพื่อโจมตีเป้าหมาย หรือที่เรียกว่า Amplification Attack โดยใช้โปรโตคอลแลกเปลี่ยนข้อมูลเส้นทางเก่าแก่อย่าง RIPv1

Amplification DDoS Attack คืออะไร

Amplification Attack เป็นรูปแบบหนึ่งของการโจมตี DDoS โดยที่แฮ็คเกอร์จะทำการปลอมหมายเลข IP ตัวเองเป็น IP เป้าหมาย แล้วส่ง Request ไปยัง DNS หรือ NTP Server ซึ่ง Request ที่ส่งไปนั้น ไม่ใช่เพื่อขอ solve name หรือ sync time ตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ปริมาณมหาศาลและขนาดใหญ่ แล้วส่งกลับไปยังเป้าหมายแทน เมื่อใช้ร่วมกับ Botnet หลายพันเครื่อง ก็จะทำให้แบนวิธด์ของเป้าหมายเต็ม ประมวลผลการทำงานไม่ทัน จนไม่สามารถให้บริการได้

ntp_amp_ddos

ใช้เราท์เตอร์ที่ใช้ RIPv1 ในการเร่งปริมาณทราฟฟิคถึง 130 เท่า

แทนที่จะใช้โปรโตคอล DNS หรือ NTP ทาง Akamai ตรวจพบ DDoS ทราฟฟิคที่ใช้โปรโตคอล RIPv1 ซึ่งคาดว่าแฮ็คเกอร์ได้ทำการส่ง Request ไปยังกลุ่มเราท์เตอร์ที่ใช้ RIPv1 เพื่อให้เราท์เตอร์เหล่านั้นส่ง Response ซึ่งมีขนาดใหญ่กว่าหลายเท่าไปยังเป้าหมายที่ต้องการโจมตี จากการตรวจสอบ พบว่า Request ทั่วไปจะมีขนาด 24 Bytes แต่ Response จะมีขนาดใหญ่เป็นจำนวนเท่าของ 504 Bytes ซึ่งบางครั้งอาจใหญ่ถึง 10 เท่า (5,040 Bytes) ซึ่งทราฟฟิค DDoS ที่ตรวจจับได้มีค่าเฉลี่ยในการเร่งขนาดถึง 13,000 เปอร์เซ็น จากต้นทุน Request ขนาด 24 Bytes

รุมโจมตีด้วยทราฟฟิค 12.8 Gbps จากเราท์เตอร์ 500 เครื่อง

Akamai ระบุว่า จากการตรวจสอบการโจมตี DDoS ที่ใช้โปรโตคอล RIPv1 นี้ พบว่ามีขนาดใหญ่สุดที่ 12.8 Gbps โดยใช้เราท์เตอร์ประมาณ 500 เครื่องในการรุมโจมตีเป้าหมาย นอกจากนี้ Akamai ยังได้ทำการตรวจสอบอุปกรณ์ที่คาดว่ามีความเสี่ยงที่จะถูกใช้ในการโจมตีรูปแบบดังกล่าว มีปริมาณมากถึง 53,693 เครื่อง ซึ่งส่วนใหญ่เป็นเราท์เตอร์ที่ใช้งานตามบ้านหรือธุรกิจขนาดเล็ก

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบ RIPv1-based DDoS Attack แนะนำว่าผู้ใช้งานควรจำกัดการเข้าถึงพอร์ท UDP 520 ซึ่งเป็นพอร์ทของโปรโตคอล RIP และสำหรับผู้ที่ใช้เราท์เตอร์ที่ใช้งาน RIPv1 อยู่ แนะนำว่าให้เปลี่ยนไปใช้ RIPv2 แทน

ที่มา: Threat Advisory: RIPv1 Reflection DDoS โดย Akamai


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ