รูปแบบการโจมตีแบบ Denial of Service , Distributed Denial of Service และ วิธีการป้องกัน
รูปแบบการโจมตีแบบ Denial of Service , Distributed Denial of Service และ วิธีการป้องกัน
DoS Attack (Denial of Service) หมายถึง การขัดขวางหรือก่อกวนระบบเครือข่ายหรือ Server จนทำให้เครื่อง Server หรือเครือข่ายนั้นๆไม่สามารถให้บริการได้ตามปกติ ซึ่งการโจมตีด้วยวิธีการ DoS Attack (Denial of Service) นั้นโดยทั่วไปนั้นจะกระทำโดยการใช้ทรัพยากรของ Server ไปจนหมด ยกตัวอย่างเช่น การส่ง Packet TCP/SYN เข้าไปหาเครื่องเป้าหมายโดยใช้ IP address ที่ไม่มีอยู่จริงในการติดต่อ ทำให้เครื่องเป้าหมายนั้นต้องสำรองทรัพยากรไว้ส่วนหนึ่งเพื่อรองรับการ เชื่อม ต่อที่กำลังจะเกิดขึ้น(ซึ่งไม่มีทางเกิดขึ้น)ดังนั้นเมื่อมีการเชื่อมต่อใน รูปแบบนี้เข้ามามากเรื่อยๆจะทำให้เครื่อง เป้าหมายนั้นเกิดการใช้ทรัพยากรไปจนกระทั่งหมดและยุติการให้บริการในที่สุด
DDoS (Distributed Denial of Service) คือการโจมตีในรูปแบบเดียวกันกับ DoS แต่จะต่างกัน
ตรงที่ว่าจะใช้หลายๆเครื่องช่วยในการทำซึ่งจะให้ผลลัพธ์ที่เป็นอันตรายและรวดเร็วมากกว่าการทำโดยใช้เครื่องเดียวมากนัก การโจมตีด้วยวิธีการ DDoS (Distributed Denial of Service) นี้นั้นการป้องกันเป็นไปได้ยากเพราะเกิดขึ้นจากหลายๆที่และหลายๆจุดซึ่งการโจมตีด้วยวิธีการ DDoS นี้นั้นจะเกิดขึ้นจากการที่ใช้ Bots ซึ่งเป็นโปรแกรมที่ทำหน้าที่บางอย่างโดยอัตโนมัติ เข้าไปฝังตัวอยู่ที่เครื่อง Computer ของเหยื่อโดยจะเปลี่ยนให้ computer เครื่องนั้นกลายเป็น Zombies เพื่อที่จะรอรับคำสั่งต่างๆจากผู้โจมตีโดยผ่านช่องทางต่างๆเช่น IRC เป็นต้น DDoS (Distributed Denial of Service) มักจะนำเครื่องมือที่จะใช้ในการโจมตีไปติดตั้งบนเครื่องที่ถูกเจาะไว้แล้ว ซึ่งมีจำนวนพอสมควร จากนั้นจึงจะระดมส่งข้อมูลในรูปแบบที่ควบคุมได้โดยผู้ควบคุมการโจมตีไปยังเหยื่อหรือเป้าหมายที่ต้องการ ซึ่งการโจมตีรูปแบบนี้มักจะก่อให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่จนผู้อื่นไม่สามารถใช้งานได้ตามปกติ หรือทำให้ระบบที่ถูกโจมตีไม่มีทรัพยากรเหลือพอที่จะให้บริการผู้ใช้ธรรมดาได้
การป้องกันการโจมตีแบบ DoS นั้น จะสามารถทำได้ก็ต่อเมื่อทราบวิธีของการโจมตีก่อน และการป้องกันการโจมตีในบางครั้งก็ไม่สามารถทำได้ในครั้งเดียว ขึ้นอยู่กับรูปแบบการโจมตี สถาปัตยกรรมของเป้าหมายที่ถูกโจมตี ซึ่งการป้องกันอาจจะได้ผลหรือล้มเหลวก็ขึ้นอยู่กับปัจจัยเหล่านี้คือ การมีคู่มือหรืเอกสารการใช้งานของระบบเป้าหมายที่ถูกโจมตี, การตรวจจับการโจมตีสามารถทำได้อย่างรวดเร็วและสามารถค้นหาต้นตอที่แท้จริงได้, มีวิธีดำเนินการสนองตอบเหตุการณ์ละเมิดความปลอดภัยอย่างเป็นขั้นตอน (incident response) และการป้องกันรูปแบบอื่นที่สามารถทำได้
การโจมตีแบบ DoS โดยทั่วไปมีจุดประสงค์เพื่อป้องกันไม่ให้ใช้งานหรือทำให้เกิดความเสียหายต่อการใช้งานคอมพิวเตอร์หรือทรัพยากรของระบบเครือข่าย สาเหตุที่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตมักจะถูกโจมตีแบบ DoS ก็เนื่องมาจาก 2 สาเหตุหลักคือ
• อินเทอร์เน็ตประกอบไปด้วยทรัพยากรที่มีอยู่อย่างจำกัดและสามารถถูกทำให้หมดเปลืองไปได้
โครงสร้างพื้นฐานของการเชื่อมต่อในโลกของอินเทอร์เน็ตนั้นประกอบไปด้วยทรัพยากรที่มีอยู่
อย่างจำกัด เช่น แบนด์วิดธ์ พลังในการประมวลผล(processing power) และพื้นที่ที่จำกัดของการ
เก็บข้อมูล ล้วนแต่เป็นเป้าหมายในการโจมตีแบบ DoS ซึ่งต้องการให้มีการใช้งานทรัพยากรที่มีอยู่
จนถึงขั้นที่ทำให้ระบบมีปัญหาได้ ระบบที่ได้รับการออกแบบให้มีทรัพยากรที่เหลือเฟือก็อาจจะ
สร้างความยุ่งยากในการโจมตีได้ แต่ในปัจจุบันก็ยังมีเครื่องมือและวิธีการที่จะสร้างความเสียหาย
ต่อระบบที่มีทรัพยากรอย่างเหลือเฟือได้เช่นกัน
• ความปลอดภัยในอินเทอร์เน็ตเป็นเรื่องที่ขึ้นต่อกัน
การโจมตีแบบ DoS ไม่จำเป็นต้องโจมตีที่ระบบของเหยื่อโดยตรง สามารถโจมตีไปที่ระบบซึ่งอยู่
นอกขอบเขตของระบบของเหยื่อได้ ในหลายๆ กรณี จุดที่ผู้โจมตีใช้โจมตีนั้นมักจะเป็นระบบที่ถูก
compromise โดยผู้โจมตีแล้ว ผู้โจมตีมักจะไม่ใช้ระบบของตนเองในการโจมตีต่อผู้อื่น เพราะอาจจะ
ถูกตรวจสอบถึงตัวได้โดยง่าย การป้องกันการโจมตีไม่เพียงแต่เป็นการป้องกันการใช้งานอินเทอร์
เน็ตในทางที่ผิด หากแต่ยังป้องกันไม่ให้มีการใช้ทรัพยากรเหล่านี้ไปโจมตีระบบของผู้อื่นต่อไป
การป้องกันการโจมตีแบบ DoS ยังเป็นเรื่องที่ยากและต้องศึกษากันอีก การทำ rate limiting, packet filetring, หรือใช้งาน tweaking software ก็สามารถลดผลกระทบที่เกิดจากการโจมตีแบบ DoS ได้ เช่น ทำให้เกิดการใช้ทรัพยากรน้อยกว่าที่มีอยู่ ในหลายๆ กรณี การป้องกันการโจมตีที่ได้ผลคือการ block source เพื่อป้องกันการโจมตีแบบต่อเนื่อง (ในกรณีที่สามารถสืบทราบ source address) แต่ในบางครั้งการโจมตีแบบ DoS สามารถปลอมแปลง source ip address ได้หรือสร้างการโจมตีแบบกระจาย DDoS ซึ่งก่อให้เกิดความยุ่งยากในการป้องกันเป็นอย่างยิ่ง
เทคโนโลยีการโจมตีแบบ DoS ก่อนหน้านี้มักจะใช้เครื่องมือง่ายๆ สร้างแพ็กเก็ตจากเครื่องเดียวส่งออกไปยังปลายทางที่เป็นเครื่องเดี่ยวๆ เมื่อเวลาผ่านไปก็มีเครื่องมือที่สามารถโจมตีหลายๆ เป้าหมายได้จากเครื่องๆ เดียว จากหลายๆ เครื่องๆ โจมตีไปยังเป้าหมายเครื่องเดียว และจากหลายๆ เครื่องๆ โจมตีไปยังหลายๆ เป้าหมายได้
ปัจจุบัน รูปแบบการโจมตีที่ CERT/CC ได้รับแจ้ง มักจะเป็นการส่งแพ็กเก็ตจำนวนมากไปยังเครื่องเป้าหมายจนเกินขีดจำกัด ซึ่งอาจจะก่อให้เกิดการใช้งานเครือข่ายจนเต็ม เช่น การส่ง flooding packet โดยปกติมักจะพบในรูปแบบการส่งแพ็กเก็ตจากเครื่องเดียวส่งออกไปยังปลายทางที่เป็นเครื่องเดี่ยวๆ และจากหลายๆ เครื่องๆ โจมตีไปยังเป้าหมายเครื่องเดียว มักจะไม่พบรูปแบบที่โจมตีไปยังเป้าหมายหลายๆ ที่พร้อมกัน
แพ็คเก็ตที่ถูกส่งเพื่อก่อให้เกิดการ flood มักจะถูกใช้มาตั้งแต่อดีตและยังใช้กันอยู่จนถึงปัจจุบันคือ
• TCP flood คือการส่งแพ็กเก็ต TCP ไปยังเครื่องเป้าหมาย เช่น SYN flood
• ICMP echo request/reply คือการส่งแพ็กเก็ต ICMP จำนวนมากไปยังเครื่องเป้าหมาย เช่น ping flood, smurf
• UDP flood คือการส่งแพ็กเก็ต UDP จำนวนมากไปยังเครื่องเป้าหมาย
การโจมตีแบบ flood มีจุดประสงค์เพื่อทำให้พลังในการประมวลผลหรือแบนด์วิดธ์ใช้ไปจนหมด ซึ่งขึ้นอยู่กับ ความเร็วในการส่งแพ็กเก็ตและจำนวนของข้อมูลที่ได้สัดส่วนกันพอดี ซึ่งเครื่องมือบางตัวมีการแก้ไขข้อมูลของแพ็กเก็ตก่อนที่จะส่งออกไปเพื่อเหตุผลบางอย่าง เช่น
• การแก้ไข Source IP address - หรือเรียกอีกอย่างว่าการทำปลอมไอพี (IP spoofing) โดยอาจจะปลอมเป็นไอพีของเป้าหมาย แล้วส่งแพ็กเก็ตไปยังตัวกลางจำนวนมาก ซึ่งตัวกลางจะส่งแพ็กเก็ตตอบกลับไปยังเป้าหมายที่ต้องการ
ตัวอย่างการโจมตีที่เห็นได้ชัดเจนคือ smurf หรือ fraggle
• การแก้ไข Source/Destination port - การแก้ไขค่า port ในแพ็กเก็ตของ TCP/UDP อาจจะสร้างความยุ่งยากสำหรับ packet filtering firewall ได้
• การแก้ไขค่า header ของ IP packet อื่นๆ - มีเครื่องมือบางตัวที่สามารถสุ่มเพื่อเปลี่ยนค่า IP header บางตัวได้
แพ็กเก็ตที่ถูกสร้างขึ้นและส่งผ่านเครือข่าย IPv4 นั้น จะสามารถส่งผ่านไปยังปลายทางได้ เนื่องจากไม่มีการตรวจสอบข้อมูลของแพ็กเก็ตในระหว่างการส่งต่อ (IPv4 เป็นส่งผ่านข้อมูลแบบ end to end) โดยทั่วไปผู้ที่สามารถสร้างแพ็กเก็ตได้จะต้องเป็นผู้ที่มีสิทธิ์สูงพอสมควรในเครื่องๆ นั้น
ในเดือนมิถุนายน 1999 เครื่องมือที่สร้างการโจมตีแบบ DDoS หรือการโจมตีจากหลายๆ ที่พร้อมกัน ได้ถูกพัฒนาและนำมาใช้ ซึ่งถือได้ว่าเป็นจุดเริ่มต้นของการพิจารณารูปแบบการโจมตีแบบ DoS เอกสารฉบับนี้จะมุ่งเน้นไปยังรูปแบบการพัฒนาของการโจมตีแบบ DoS และเครื่องมือที่สามารถนำมาใช้งานได้สำเร็จโดยผู้โจมตี
Trend
การศึกษาเรื่องรูปแบบ การโจมตีที่ผ่านมาและแนวโน้มรูปใหม่ๆ ที่จะเกิดขึ้นของการโจมตีนั้น จะแบ่งเป็น 3 ส่วนคือ Deployment, use และ impact
1. Deployment
รูปแบบการโจมตีตั้งแต่ช่วงปี 1999 จะเริ่มจากการเจาะเข้าไปในระบบที่มีช่องโหว่ แล้วจึงติดตั้งโปรแกรมที่ทำหน้าที่เป็น DDoS ลงไปในระบบดังกล่าว ดังนั้นจึงสามารถพบเห็นการเพิ่มขึ้นของการโจมตีแบบอัตโนมัติ การเลือกเป้าหมายนั้นมีทั้งแบบสุ่ม(blind targeting) และการเลือกเป้าหมายแบบเจาะจง(selective targeting) เช่น ระบบปฏิบัติการวินโดวส์และเราเตอร์ นอกจากนี้ยังพบว่าช่วงเวลาที่ใช้ระหว่างการค้นพบช่องโหว่ใหม่กับการคิดค้น exploit tool ออกมาเพื่อใช้งานช่องโหว่นั้นมีช่วงเวลาที่สั้นลง
Automation
เช่นเดียวกับรูปแบบการโจมตีอื่น การโจมตีแบบ DoS ในช่วงแรก จะใช้วิธีเจาะเข้าไปในระบบที่มีช่องโหว่จากนั้นจึงติดตั้งเครื่องมือด้วยตัวเอง ภายหลังได้มีการคิดค้นเครื่องที่ช่วยทำงานเหล่านี้ให้โดยอัตโนมัติ จุดเริ่มต้นของการโจมตีมักจะเริ่มจากการสแกนไปยังระบบของเป้าหมาย ซึ่งสแกนเนอร์จะแสดงรายชื่อโฮสต์ที่มีช่องโหว่ จากนั้นก็จะใช้ automated tool หรือเครื่องมือที่ใช้ในการรัน exploit บนโฮสต์ที่มีช่องโหว่ เพื่อครอบครองโฮสต์ดังกล่าว จากนั้นจึงจะติดตั้งเครื่องมือสำหรับโจมตีต่อไป หากพิจารณาในรายละเอียดจะพบว่า เครื่องมือของผู้โจมตีจะก่อให้เกิดแพ็กเก็ตจำนวนมาก โดยอาศัยเครือข่ายที่ตอบรับกับ IP direct broadcast packet (ผู้เรียบเรียง : ปกติผู้ดูแลเครือข่ายจะติดตั้งเครือข่ายให้ไม่ตอบรับกับ broadcast packet เพื่อป้องกันการถูกใช้เป็นตัวกลางในการโจมตีแบบ DoS) เช่น ผู้โจมตีสร้างแพ็กเก็ตจำนวนมากจาก Microsoft Internet Information Server (IIS) ที่มีช่องโหว่ซึ่งอนุญาตให้รันคำสั่งใน HTTP request ได้
ในปัจจุบันผู้โจมตีได้พัฒนาเครื่องมือที่สามารถสั่งงานโดยอัตโนมัติตั้งแต่เริ่มการสแกน การทำ exploit (หรือหาประโยชน์จากช่องโหว่ของระบบ) และติดตั้งเครื่องมือสำหรับโจมตี เครื่องมืออย่าง T0rnkit ถือได้ว่าเป็นเครื่องมือที่ประสบความสำเร็จมากตัวหนึ่ง แต่เครื่องมือแบบนี้ไม่มีคุณสมบัติในการกระจายตัวโดยอัตโนมัติแต่อย่างใด อย่างไรก็ตามก็มีหนอนอินเทอร์เน็ตบางตัว เช่น ramen ที่สามารถสแกน การทำ exploit ติดตั้งเครื่องมือสำหรับโจมตี และกระจายตัวต่อไปโดยอัตโนมัติ ซึ่งปัจจุบันได้เริ่มมีการนำเครื่องมือลักษณะดังกล่าวมาใช้งานด้วย
การกระจายตัวแบบอัตโนมัติมีด้วยกัน 3 รูปแบบคือ
• Central source propagation - กลไกการกระจายตัวแบบนี้จะต้องใช้ระบบที่ถูก compromised เรียบร้อยแล้ว จากนั้นจึงติดตั้งเครื่องมือหรือ attacker toolkit จากส่วนกลาง โดยมี script ที่ทำหน้าที่ควบคุมการติดตั้งและเริ่มวงจรเพื่อโจมตีที่อื่นต่อไป กลไกการรับส่งไฟล์จะใช้โพรโตคอล HTTP, FTP และ RPC เป็นส่วนใหญ่ ตัวอย่างที่เห็นได้ชัดคือ หนอนอินเทอร์เน็ตที่ชื่อ 1i0n
• Back-chaining propagation - กลไกการกระจายตัวแบบนี้จะต้อง compromise ไปยังเป้าหมายจาก attacker host แล้วจึงส่งต่อ attacker tool ไปยังเครื่องที่ถูก compromised ไปแล้วดังกล่าว ในบางกรณี attack tool จะสามารถเปิด port เพื่อรอรับ connection สำหรับขนส่งไฟล์ข้ามเครือข่าย หรือใช้ TFTP ข้อดีของการกระจายตัวแบบนี้คือสามารถคงอยู่ได้นานกว่าเพราะไม่มี single point of failure ตัวอย่างที่เห็นได้ชัดเจนกว่า หนอนอินเทอร์เน็ตที่ชื่อ ramen
• Autonomous propagation - ตัวอย่างที่เห็นได้ชัดเจนคือ Code red และ Morris ซึ่งเป็นหนอนอินเทอร์เน็ตที่กระจายตัวในปี 1988 การ exploit จะผสมกลไกการกระจายตัวเข้าไปด้วย ดังนั้นจึงไม่มีการรับส่งไฟล์จากภายนอกแต่อย่างใด
ในที่นี้ไม่ได้รวมการกระจายตัวผ่านทางไฟล์แนบ (attachment) ของอี-เมล์ เข้ามาเป็นวิธีในการกระจายตัว เพราะการกระจายตัวผ่านทางอี-เมล์ดังกล่าวจำเป็นต้องได้รับการกระตุ้นโดยผู้ใช้งานเสียก่อน (ผู้เรียบเรียง : ปัจจุบันมีไวรัสบางตัวที่ต้องการกระตุ้นจากผู้ใช้เพียงเล็กน้อย เช่น Nimda, Goner ที่ผู้ใช้แค่เพียงคลิ้กที่ subject ของอี-เมล์ก็สามารถกระจายตัวไปได้ ซึ่งอาศัยช่องโหว่ของโปรแกรม Microsoft Internet Explorer ในขณะที่ไวรัสแบบเก่าจำเป็นต้องได้รับการกระตุ้น โดยการรันไฟล์ที่แนบมาโดยผู้ใช้อย่างชัดเจน) ปัจจุบันจะเห็นการโจมตีที่มากขึ้นผ่านทางอี-เมล์ โดยพยายามลวงผู้ใช้งานให้เข้าใจผิดเกี่ยวกับชื่อไฟล์ที่แนบมาด้วย อย่างไรก็ตามการโจมตีในรูปแบบดังกล่าวถือได้ว่าเป็นการโจมตีแบบ social engineering ซึ่งไม่ได้ใช้เทคโนโลยีที่ซับซ้อนมากขึ้นแต่อย่างใด
Windows-based Attack Targets
การโจมตีแบบอัตโนมัติในหัวข้อด้านบนนั้นมักจะกระทำกับระบบปฏิบัติการที่เป็นยูนิกซ์เท่านั้น แต่เนื่องจากจำนวนผู้ใช้ระบบปฏิบัติการวินโดวส์ที่เพิ่มขึ้น และจำนวนช่องโหว่ที่เพิ่มมากขึ้น ทำให้ end-user กลายเป็นเป้าหมายของการเจาะเข้าไปเพื่อติดตั้ง DoS tool ในที่นี้จะพูดถึงรูปแบบในการเลือกเป้าหมายซึ่งมี 2 รูปแบบด้วยกันคือ การเลือกเป้าหมายแบบสุ่มและการเลือกเป้าหมายแบบเจาะจง หนอนอินเทอร์เน็ตที่กระจายตัวได้ด้วยตัวเองอย่าง Code Red, Code Red II และ Nimda ใช้วิธีการเลือกเป้าหมายแบบสุ่ม ซึ่งเป้าหมายที่สุ่มได้จะมีขนาดใหญ่ แต่เน้นหนักเฉพาะเป้าหมายที่อยู่ในเครือข่ายใกล้เคียงกันเท่านั้น ซึ่งบรรดาเครื่องมือหรือหนอนเหล่านี้ใช้หลักการพื้นฐานของการสุ่มค่าตัวเลขขึ้นมา ปัจจุบันมีการโจมตีทั้งต่อยูนิกซ์และวินโดวส์
การโจมตีที่มีพื้นฐานการเลือกเป้าหมายแบบสุ่มปกติแล้วจะทำเองโดยอัตโนมัติ และในช่วงของการโจมตีจะใช้มนุษย์มาเกี่ยวข้องเพียงเล็กน้อยหรือน้อยมาก ความสำเร็จของการโจมตีจะถูกจำกัดไว้ในระดับหนึ่ง เพราะเครื่องมือที่ใช้มักจะถูกออกแบบให้โจมตีช่องโหว่ในไม่กี่รูปแบบเท่านั้น การโจมตีที่มีพื้นฐานการเลือกเป้าหมายแบบเจาะจงมักจะไม่ใช้งานที่เป็นอัตโนมัติมากนัก และการเลือกเป้าหมายจะไม่ขึ้นอยู่กับช่องโหว่ด้วย เกณฑ์การเลือกเป้าหมายขึ้นอยู่กับลักษณะการเชื่อมต่อเครือข่าย แบนด์วิดธ์ที่มีการใช้งาน และแบนด์วิดธ์ที่เหลืออยู่มากกว่า เพราะผู้โจมตีจะใช้เป็นส่วนหนึ่งของการโจมตี DoS แบบกระจายหรือ DDoS
แต่ในปัจจุบันผู้โจมตีมักจะไม่ค่อยให้ความสนใจต่อเกณฑ์การเลือกเป้าหมายมากนัก ซึ่งจะเห็นว่าการเลือกเป้าหมายที่เป็น end-user ที่ใช้ระบบปฏิบัติการวินโดวส์กำลังเพิ่มจำนวนขึ้นสำหรับการเลือกเป้าหมายทั้งสองรูปแบบ และจากการพัฒนารวมทั้งการนำโค้ดมาใช้ใหม่ ทำให้เครื่องมือสำหรับโจมตีมีความสามารถในการโจมตีช่องโหว่ที่มีอย่างมากมายของวินโดวส์ ส่งผลให้มีการใช้งานเครื่องเหล่านั้นอย่างกว้างขวาง สาเหตุที่ผู้โจมตีมุ่งเป้าไปยังผู้ที่ใช้วินโดวส์ก็เนื่องจาก ผู้ใช้ส่วนใหญ่ไม่มีความรู้เกี่ยวกับ security ไม่ทราบวิธีป้องกันตัวเองจากการโจมตี ซึ่งแตกต่างจากผู้เชี่ยวชาญหรือผู้ดูแลระบบที่ยังสามารถป้องกันตัวเองได้ในระดับหนึ่ง เนื่องจากผู้โจมตีหันไปโจมตีผู้ใช้ที่ใช้วินโดวส์มากขึ้น CERT/CC จึงได้ให้คำแนะนำ เรื่อง Home Network Security เพื่อให้ความรู้กับผู้ใช้ตามบ้านทั่วไป คำแนะนำสำหรับผู้ใช้ตามบ้านที่ใช้วินโดวส์ก็คือ ให้ติดตั้ง personal firewall ซึ่งอาจจะเป็นซอฟแวร์หรือฮาร์ดแวร์ก็ได้
การเลือกเราเตอร์เป็นเป้าหมาย
มีการเพิ่มจำนวนของการโจมตีที่มุ่งเป้าไปที่เราเตอร์มากขึ้น เนื่องจากผู้ผลิตบางรายได้มีการตั้งค่า default password ไว้ หรือมีการติดตั้งที่ไม่ดีพอ ซึ่งทำให้ผู้บุกรุกสามารถครอบครองเราเตอร์ได้ มีเอกสารที่แสดงคำสั่งที่ควรจะถูกรันภายหลังจากผู้บุกรุกสามารถครอบครองเราเตอร์ได้ เพื่อแก้ไข configuration ของเราเตอร์ ผู้บุกรุกมักจะใช้เราเตอร์เป็นจุดในการสแกนระบบ หรือใช้เป็น proxy เพื่อติดต่อไปยัง IRC หรือใช้เป็นจุดในการสร้าง flooding DoS attack เราเตอร์เป็นเป้าหมายที่นิยมกันของผู้โจมตี เนื่องจากเป็นจุดที่มักจะอยู่นอกเหนือ security policy และไม่ได้รับการป้องกันเท่าที่ควร นอกจากนี้ยังมีโอกาสที่จะถูกค้นพบยังมีน้อย ความสำคัญของเราเตอร์เริ่มมีบทบาทมากขึ้นสำหรับการโจมตีแบบ DoS ซึ่งอยู่บนพื้นฐานของการโจมตีโดยตรงไปยัง routing protocols ที่เชื่อมเครือข่ายระหว่างกันบนอินเทอร์เน็ต
Time-To-Exploit is Shrinking
การโจมตีที่ดีจะพยายามลดเวลาที่จะใช้ในการเข้าโจมตี เพราะช่วงเวลาตั้งแต่มีการค้นพบช่องโหว่พร้อมกับการเข้าใช้ช่องโหว่(exploit) จนถึงการที่ผู้ดูแลระบบนำ patch มาติดตั้งเพื่อป้องกันระบบนั้นมีช่วงเวลาที่สั้นลง และเนื่องจากการที่มีเครื่องมือสำหรับโจมตีเป็นจำนวนมากทำให้การพัฒนาเครื่องมือเพื่อเข้าใช้งานช่องโหว่ใหม่ๆ ได้ตลอด นอกจากนี้ยังมีกลุ่มคนซึ่งมักจะซุ่มสร้างเครื่องมือสำหรับโจมตีใหม่ๆ ออกมาเรื่อยๆ เพื่อสร้างคุณค่าให้กับกลุ่มของตัวเอง เครื่องมือที่ถูกเผยแพร่สู่สาธารณะมักจะใช้ประโยชน์ไม่ค่อยได้เนื่องจากเก่าเกินไป แต่ผู้พัฒนาก็พยายามที่จะออกแบบเครื่องมือเพื่อเพิ่มอายุการใช้งานให้มากขึ้น
2.Use
อย่างที่กล่าวไว้ก่อนหน้านี้ว่าเราจะยังคงเห็นการโจมตีแบบ DoS รูปแบบเก่า คือโจมตีจากที่เดียวไปยังเป้าหมายหลายแห่งพร้อมกัน
Control Channels
รูปแบบการโจมตีแบบ DDoS ในก่อนหน้านี้จะเป็นการส่งคำสั่งควบคุมการโจมตีจากเครื่องควบคุม(intruder) ไปยัง agent หรือตัวกลาง(ซึ่งถูก compromise และติดตั้งเครื่องมือไว้แล้ว) เพื่อส่งแพ็กเก็ตจำนวนมากไปยังเป้าหมายพร้อมๆ กัน โดยทั่วไปตัวกลางจะเปิด port เพื่อรอรับคำสั่งโจมตีจากผู้ควบคุม และเช่นเดียวกันเครื่องควบคุมก็จะเปิด port ไว้เพื่อให้ตัวกลางรายงานค่าไอพีแอดเดร็สของตัวกลางเข้ามา โดยปกติค่า port ที่ใช้จะเป็นค่าที่แน่นอน และเป็น port ที่มีค่าสูงๆ
ตัวอย่างแสดงการใช้ port ของ Trinoo
• ผู้โจมตี --> เครื่องที่ทำหน้าที่ควบคุม; destination port 27665/tcp
• เครื่องที่ทำหน้าที่ควบคุม --> ตัวกลาง; destination port 27444/udp
• ตัวกลาง --> เครื่องที่ทำหน้าที่ควบคุม; destination port 31335/udp
เครื่องมืออื่นๆ อย่างเช่น Stacheldraht สามารถเข้ารหัสคำสั่งที่ใช้ในการสื่อสารได้ เพื่อป้องกันการถูกตรวจสอบจาก sniffer หรือ IDS
ก่อนหน้านี้เมื่อเครือข่ายถูกโจมตีด้วย DDoS มักจะถูกตรวจสอบและขัดขวางได้ง่าย เนื่องจากเครื่องที่ทำหน้าที่เป็นตัวกลางจะต้องทำหน้าที่รักษารายชื่อของเครื่องที่ทำหน้าที่ควบคุม ซึ่งก็คือรายชื่อไอพีแอดเดร็สของเครื่องเหล่านั้น เพื่อส่งแพ็กเก็ตไปลงทะเบียนกับเครื่องที่ทำหน้าที่ควบคุม ดังนั้นหากสามารถขัดขวางการทำงานของเครื่องที่ทำหน้าที่เป็นตัวกลางได้ ก็จะสามารถตรวจสอบได้ว่าเครื่องที่ทำหน้าที่ควบคุมมีไอพีใดบ้าง ในขณะเดียวกันเครื่องที่ทำหน้าที่เป็นเครื่องควบคุมก็จะมีรายชื่อไอพีของเครื่องที่เป็นตัวกลางอยู่ การค้นพบเครื่องที่ทำหน้าที่ควบคุมก็จะนำไปสู่การขัดขวางการโจมตีได้ และเนื่องจากทั้งเครื่องที่ทำหน้าที่ควบคุมและเครื่องที่เป็นตัวกลางจะต้องเปิด port เพื่อรอรับ connection มันจึงสามารถถูกค้นพบได้โดย network scanner นอกจากนี้ช่องทางการสื่อสารที่ใช้ระหว่างผู้โจมตีกับเครื่องที่ทำหน้าที่ควบคุม และเครื่องที่ทำหน้าที่ควบคุมกับเครื่องที่เป็นตัวกลาง จะสามารถถูกค้นพบและดักจับได้ด้วยเครื่องมือที่คอยจับตาดูเครือข่าย เช่น Intrusion detection System (IDS)
ข้อบกพร่องของเครื่องมือโจมตีแบบ DDoS รุ่นเก่า ทำให้มันไม่สามารถถูกใช้งานได้อย่างแพร่หลาย ไม่ว่าจะเป็นขั้นตอน deployment ซึ่งต้องอาศัยเวลา หรือแม้แต่การทำ automate deployment ก็ตาม การถูกค้นพบเพียงเครื่องเดียวอาจจะทำให้กระบวนการที่ทำมาทั้งหมดนั้นไม่สามารถใช้งานได้เลย ดังนั้นในปัจจุบันนี้จะพบเห็นแต่เพียงขั้นตอนของการ deployment ของเครื่องมือต่างๆ เท่านั้น
ในปัจจุบันพบว่าผู้บุกรุกได้ใช้โพรโตคอล Internet Relay Chat (IRC) เป็นช่องทางหลักของการสื่อสารเพิ่มมากขึ้น ซึ่งได้เปลี่ยนรูปแบบในการควบคุมการโจมตี โดยทำหน้าที่เป็นเครื่องที่ทำหน้าที่ควบคุมแทน ซึ่งมีข้อดีเนื่องจากสามารถรันบ็อท (bots) บนเครือข่าย IRC ได้ ทำให้ลดการพึ่งพามนุษย์ลงไปได้ การใช้เครือข่ายและโพรโตคอล IRC ทำให้ยากในการตรวจสอบที่มาของการโจมตีแบบ DDoS เนื่องจากเครื่องที่ทำหน้าที่เป็นตัวกลางสามารถส่งข้อมูลออกไปยังเครือข่าย IRC โดยใช้ port มาตรฐานได้ เช่น port 6667/tcp ซึ่งในกรณีนี้ตัวกลางไม่จำเป็นต้องเปิด port รอรับ connection ดังนั้นการใช้ network scanner ตรวจสอบก็ไม่สามารถตรวจจับได้ เมื่อผู้โจมตีต้องการสื่อสารไปยังเครื่องตัวกลางก็จะติดต่อไปยัง IRC server และใช้ช่องทางการสื่อสารของ IRC เพื่อควบคุมการทำงานของเครื่องตัวกลาง ซึ่งโดยปกติแล้วถ้าเครือข่ายมีนโยบายการรักษาความปลอดภัยที่ดีพอ เช่น การห้ามใช้งาน IRC port ก็จะสามารถดักจับและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้ แต่โดยทั่วไปแล้วมักจะมีการอนุญาตให้ใช้งาน IRC เนื่องจากเป็นความต้องการของผู้ใช้ การสืบสวนหาผู้โจมตีที่ใช้ช่องทางการควบคุมผ่านเครือข่ายและโพรโตคอล IRC นั้น ส่วนใหญ่มักจะไม่ประสบความสำเร็จ เพราะหากมีการค้นพบเครื่องที่ทำหน้าที่เป็นตัวกลางแล้ว การสืบสวนต่อไปมักจะสิ้นสุดลงที่ IRC server และทราบเพียงชื่อ channel ที่ใช้ในการควบคุมเท่านั้นเอง
Execution DoS Attacks
จากการเปลี่ยนแปลงของการโจมตีแบบ DoS การเพิ่มขึ้นของผู้ใช้อินเทอร์เน็ตทั้ง end-user/องค์กร และประสบการณ์ของการโจมตี จะเห็นได้ว่ามีการเพิ่มจำนวนของการโจมตีแบบ DDoS ขนาดใหญ่มากขึ้นเรื่อยๆ เครือข่ายขนาดใหญ่มีแบนด์วิดธ์และทรัพยากรที่มากขึ้น การโจมตีที่เกิดขึ้นก็ได้อาศัยทรัพยากรที่มากมายเหล่านี้ด้วย การทำ packet filtering หรือ rate limiting นั้นสามารถหยุดยั้งการโจมตีได้บางรูปแบบเท่านั้น ผู้โจมตีได้พยายามใช้โพรโตคอลหรือบริการที่มักจะอนุญาตให้ใช้งานเป็นพาหนะในการขนถ่ายข้อมูลผ่านไป การทำ packet filtering หรือ rate limiting โดยใช้วิธี anomalous (การตรวจจับโดยอาศัยหลักการสังเกตุความผิดปกติของเหตุการณ์ที่เกิดขึ้น โดยเปรียบเทียบกับเหตุการณ์ที่เป็นปกติ) เองก็ทำได้ยาก แต่อย่างไรก็ตามการใช้วิธีการทั้ง packet filtering และ rate limiting ก็ทำให้งานของผู้โจมตียากขึ้นไปอีกระดับหนึ่ง การปลอมไอพีแอดเดร็สในการโจมตีแบบ DoS มักจะไม่จำเป็น เพราะจำนวนเครื่องที่ใช้เป็น source ในการโจมตีมักจะมีจำนวนมากมาย ซึ่งอาจจะอยู่ในคนละ AS (autonomous system) กันก็ได้ และส่วนใหญ่มักจะถูกครอบครองได้อย่างง่ายดาย
3. Impact
Increased Blast zone
ปกติผลกระทบของการโจมตีแบบ DoS มักจะขึ้นกับความสามารถในการใช้งานทรัพยากรที่ยังหลงเหลืออยู่ มีวิธีและเครื่องมือมากมายที่สามารถทำลายเครือข่ายที่มีทรัพยากรเหลือเฟือได้ นอกจากนี้ยังมีผลกระทบข้างเคียงที่เกิดจากการโจมตีที่ไม่เกี่ยวข้องกับการใช้งานทรัพยากรหรือ resource ตัวอย่างที่เห็นได้ชัดเจนคือ ระบบการบันทึกล็อกซึ่งโดยปกติจะบันทึกข้อมูลที่เกี่ยวข้องกับเครือข่ายลงในระบบ เมื่อมีการกระจายของไวรัสบางตัว เช่น Code red, Nimda ก็อาจจะก่อให้เกิดปัญหากับระบบบันทึกข้อมูลซึ่งต้องบันทึกข้อมูลจำนวนมาก จนพื้นที่สำหรับเก็บข้อมูลมีไม่เพียงพอซึ่งอาจจะมีผลต่อการทำงานของระบบโดยรวมได้
สำหรับเครือข่ายที่เชื่อมต่อเครือข่ายอื่นผ่านทาง upstream network ที่มีการคิดค่าใช้จ่ายจากจำนวนข้อมูลที่ถูกส่งผ่าน ก็จะได้รับผลกระทบจากการโจมตีแบบ DoS ซึ่งจะก่อให้เกิดมีการส่งผ่านข้อมูลจำนวนมาก ทำให้อาจจะมีปัญหากับค่าใช้จ่ายที่ตามมาได้ ปัจจุบันมีความนิยมในการใช้งาน web hosting มากขึ้น ซึ่งหมายถึงการโจมตีต่อเว็บไซต์แห่งเดียว ก็จะทำให้เกิดผลกระทบต่อเว็บไซต์อื่นๆ ที่ใช้บริการอยู่บนเครื่องเดียวกันได้
สรุปรูปแบบของการโจมตี
การโจมตีเพื่อปฏิเสธการให้บริการพบเห็นได้ในหลายรูปแบบรวมทั้งจุดประสงค์ที่แตกต่างกัน สามรูปแบบคือ
1. การเข้าใช้หรือยึดครองทรัพยากรที่มีอย่างจำกัดหรือไม่สามารถสร้างขึ้นใหม่ได้โดยง่าย
2. การเข้าทำลายหรือเปลี่ยนแปลงข้อมูลการทำงานของระบบ
3. การเข้าทำลายหรือเปลี่ยนแปลงอุปกรณ์เครือข่ายหรือชื้นส่วนหนึ่งส่วนใดทางกายภาพ
1. การเข้าใช้หรือยึดครองทรัพยากรที่มีอย่างจำกัดหรือไม่สามารถสร้างขึ้นใหม่ได้โดยง่าย
อุปกรณ์คอมพิวเตอร์หริืออุปกรณ์เครือข่ายต้องการทรัพยากรในการทำงานเสมอ อาทิ : แบนด์วิดธ์ของเครือข่าย หน่วยความจำ พื้นที่ดิสก์ในการทำงาน เวลาการประมวลผลของซีพียู โครงสร้างข้อมูล การเข้าถึงทรัพยากรของอุปกรณ์เครือข่ายหรือเครื่องคอมพิวเตอร์บนเครือข่าย หรือทรัพยากรจำเป็นเช่น พลังงานไฟฟ้า ความเย็น ความชื้น หรือแม้กระทั้งน้ำ
1.1. การเชื่อมต่อเข้าระบบเครือข่าย
การโจมตีเพื่อให้ปฏิเสธการบริการมักพบเห็นบ่อยครั้งว่าเข้าข่ายการโจมตีในลักษณะนี้ ซึ่ง จุดประสงค์หลักคือเพื่อไม่ให้เครื่องคอมพิวเตอร์เป้าหมายหรืออุปกรณ์เครือข่ายเป้าหมายไม่สามารถสื่อสารกับเครือข่ายได้ ผลที่ตามมาคือเสมือนถอดสายแลนออกจากเครือข่าย ตัวอย่างเช่นการโจมตีแบบ "SYN Flood" ผู้โจมตีจะเริ่มกระบวนการร้องขอการสร้างการเชื่อมต่อกับเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายปลายทาง แต่ไม่ได้กระทำการให้ครบรูปแบบการร้องขอการเชื่อมต่อ ในขณะเดียวกันเครื่องคอมพิวเตอร์ปลายทางได้สำรองทรัพยากรของโครงสร้างของข้อมูลที่รองรับการร้องขอการเชื่อมต่อที่เกิดขึ้นใหม่นี้ เมื่อผู้โจมตีทำการโจมตีอย่างต่อเนื่อง ผลในท้ายที่สุดคือเครื่องคอมพิวเตอร์ดังกล่าวนี้จะไม่สามารถรองรับการร้องขอการเชื่อมต่อใหม่ใดๆ หลังจากนี้ได้อีก เนื่องจากไม่มีทรัพยากรในการรองรับเหลือให้ใช้งานได้อีก หรือเครื่องดังกล่าวพยายามจะรอการร้องขอการเชื่อมต่อแบบ "half-open" ทีไม่สมบูรณ์นี้ จะสังเกตเห็นได้ว่าการโจมตีแบบ "SYN Flood" ไม่ได้ขึ้นอยู่กับการเข้ายึดครองแบนด์วิดธ์ของเครือข่าย แต่เป็นการพยายามเข้ายึดครองหรือเข้าใช้โครงสร้างข้อมูลที่เกี่ยวข้องกับการรองรับการร้องขอเชื่อมต่อก่อนจะมีการสื่อสารเกิดขึ้นได้ ของเคอร์เนลของระบบปฏิบัติการบนเครื่องเป้าหมาย รูปแบบการโจมตีที่ส่งผลกระทบกับเครื่องเป้าหมายได้รุนแรงได้ระดับนี้ สามารถใช้เครื่อง PC เก่าบนโมเด็มความเร็วไม่สูงนักทำการโจมตีได้ ถือเป็นตัวอย่างที่ดีของการโจมตีแบบ "asymmetric attacks"
1.2. การใช้ทรัพยากรของเป้าหมายให้เป็นประโยชน์
ผู้บุกรุกสามารถใช้ทรัพยากรของเป้าหมายในการสร้างความเสียหายให้กับเป้าหมายเองได้ ผู้บุกรุกใช้ประโยชน์จากบริการ ECHO บนพอร์ต 7/UDP โดยการส่งแพ็กเก็ตไปยังพอร์ตดังกล่าวโดยการ spoof ไอพีแอดเดรสต้นทางเป็นไอพีของเครื่องอีกเครื่องที่เปิดพอร์ต CHARGEN หรือ 19/UDP ผลที่เกิดขึ้นก็คือบริการทั้ง ECHO และ CHARGEN บนแต่ละเครื่องจะทำการส่งแพ็กเก็ตไปมาจนแบนด์วิธเต็ม ทำให้เครื่องภายในเครือข่ายดังกล่าวหรือเครื่องที่เปิดบริการทั้งสองนี้ได้รับผลกระทบอย่างหลีกเลี่ยงไม่ได้
1.3. การใช้ทรัพยากรแบนด์วิธ
ผู้บุกรุกสามารถที่จะส่งแพ็กเก็ตจำนวนมากเข้ามาในระบบเครือข่าย ทำให้อัตราการใช้แบนด์วิธในช่วงเวลาดังกล่าวสูงขึ้นอย่างรวดเร็ว ซึ่งอาจจะทำให้ไม่สามารถใช้เครือข่ายในช่วงเวลาดังกล่าวไปชั่วขณะ ตัวอย่างเช่นการส่งแพ็กเก็ต ICMP ECHO จำนวนมาก ในทางปฏิบัติแล้วสามารถจะเป็นแพ็กเก็ตใดๆ ก็ได้ที่เครือข่ายอนุญาตให้ผ่านเข้ามาได้ ในปัจจุบันผู้บุกรุกมักใช้เครืองคอมพิวเตอร์มากกว่าหนึ่งเพื่อทำหน้าที่สร้างแพ็กเก็ตเหล่านี้จำนวนมากพร้อมๆ กันและทำการส่งเข้าเครือข่ายเป้าหมาย ยิ่งมีเครื่องในการสร้างแพ็กเก็ตมากเท่าใดยิ่งส่งผลเสียต่อเครือข่ายเป้าหมายมากขึ้นเท่านั้น เรียกการโจมตีในลักษณะนี้ว่า Distributed Denial of Service หรือ DDoS ทรัพยากรแบนด์วิธในเครือข่ายถือเป็นทรัพยากรจำกัดและไม่สามารถสร้างใหม่ได้โดยง่ายในเครือข่ายใดๆ สิ่งที่แตกต่างคือความมากน้อยในแต่ละระบบเครือข่าย ซึ่งขึ้นอยู่กับสภาพทางการเงิน หรือการบริการขององค์กรนั้น ดังนั้นแบนด์วิธถือเป็นเป้าหมายอันดับแรกเสมอสำหรับการโจมตีทั้งแบบ DoS หรือ DDoS ก็ตาม
1.4. การใช้ทรัพยากรประเภทอื่น
นอกเหนือไปจากแบนด์วิธของระบบเครือข่ายแล้ว ผู้บุกรุกสามารถทำให้ทรัพยากรอื่นของระบบที่กำลังให้บริการลดลงได้ เช่น โครงสร้างข้อมูลที่ใช้สำหรับเก็บข้อมูลโพรเซสในระบบ (หมายเลขโพรเซส พอยต์เตอร์ชี้ไปยังข้อมูลโพรเซส โพรเซสว่าง เป็นต้น) ผู้บุกรุกสามารถเขียนโปรแกรมหรือสคริปต์ให้ทำการการสำเนาตัวเองซ้ำแล้วซ้ำเล่าจนในที่สุด โครงสร้างในการเก็บข้อมูลโพรเซสไม่มีเหลือพอให้สร้างโพรเซสเพิ่มเติมได้อีก หรือระบบดังกล่าวจะไม่สามารถใช้งานได้ในที่สุด ระบบปฏิบัติการในปัจจุบันสามารถกำหนดโควตาของจำนวนโพรเซสที่อนุญาตให้ผู้ใช้ในระบบสร้างได้ แต่กระนั้นก็ยังขึ้นอยู่กับผู้ดูแลระบบในการกำหนดพารามิเตอร์เหล่านี้ด้วย ถ้าไม่มีการกำหนดก็เสมือนกับไม่ได้ใช้ประโยชน์จากระบบปฏิบัติการในการป้องกันตัวเองจากการโจมตีแบบ Denial of Service ที่สามารถเกิดขึ้น
ถึงแม้โครงสร้างข้อมูลในการเก็บข้อมูลโพรเซสจะเพียงพอ แต่ผลกระทบอาจจะเกิดต่อการประมวลผลของหน่วยประมวลผลกลางหรือซีพียู (CPU) เช่นเวลาที่เพิ่มขึ้นใช้ในการสลับการทำงานของโพรเซสในระบบ เวลาที่ใช้ในการสร้างโพรเซสจำนวนมาก ซึ่งมีผลทำให้ระบบโดยรวมช้าลงอย่างเห็นได้ชัด ขอให้ศึกษาตามคู่มือของระบบปฏิบัติการให้เข้าใจถ่องแท้ ในการตั้งค่าโควตาของจำนวนโพรเซสที่อนุญาตให้ผู้ใช้ในระบบสร้างได้ว่าสามารถทำได้หรือไม่ ทำได้อย่างไรและทำได้กี่วิธี รวมไปถึงมีข้อจำกัดอย่างไรบ้างต่อการใช้งานระบบนั้นๆ
ผู้บุกรุกยังสามารถใช้ทรัพยากรของหน่วยเก็บข้อมูลสำรองหรือดิสก์ในระบบได้ เช่น
• ส่งอีเมล์จำนวนมากเข้าสู่ระบบให้บริการอีเมล์
• มีความพยายามในการสร้างข้อความที่ส่งผลต่อการเก็บล็อกในระบบ ทำให้ระบบการเก็บล็อกมีข้อมูลเพิ่มขึ้นมาก จนไม่สามารถใช้งานได้
• อัพโหลดไฟล์ขึ้นบนระบบที่ให้บริการถ่ายโอนไฟล์แบบ Anonymous FTP ที่อนุญาตให้ผู้ใช้งานสามารถอัพโหลดไฟล์ขึ้นเซิร์ฟเวอร์ได้
• การนำไฟล์ไปวางไว้ในพื้นที่แชร์ไฟล์ร่วมกันในเครือข่าย โดยมีจุดประสงค์ในการใช้เนื้อที่จนเต็ม
ขอให้ระลึกไว้ว่า บริการหรือโปรแกรมใดที่อนุญาตให้สามารถเขียนลงดิสก์โดยไม่มีการควบคุมขอบเขตหรือปริมาณของข้อมูลที่อนุญาตให้เขียนได้ ถือเป็นจุดที่สามารถทำให้เกิด DoS ได้ทั้งสิ้น บางระบบกำหนดจำนวนครั้งสูงสุดที่สามารถล็อกอินผิดพลาด เมื่อครบจำนวน ระบบจะทำการดิสเอเบิลสถานภาพการล็อกอินเข้าสู่ระบบของผู้ใช้โดยทันที เช่นกำหนดให้พิมพ์รหัสผ่านผิดพลาดได้ไม่เกิน 3 หรือ 5 ครั้งถ้าผิดเกิดจำนวนระบบจะไม่อนุญาตให้ผู้ใช้ทำการล็อกอินได้อีก ต้องติดต่อผู้ดูแลระบบเพื่อขออนุญาตใช้งานอีกครั้งเป็นต้น การป้องกันระบบด้วยวิธีการนี้ทำให้ผู้บุกรุกสามารถใช้ในการทำให้ผู้ใช้ปกติในระบบไม่สามารถล็อกอินเข้าสู่ระบบได้ รวมถึงผู้ดูแลระบบเองก็อาจจะถูกเหมารวมไปในวิธีการเดียวกันนี้ เป็นสาเหตุให้ผู้ดูแลระบบเองก็ไม่สามารถล็อกอิืนเข้าสู่ระบบได้ด้วย ผู้ดูแลระบบต้องแน่ใจว่ามีระบบสำรองไว้เข้าสู่ระบบในกรณีที่เกิดเหตุการณ์นี้ขึ้น ควรจะศึกษาคู่มือระบบให้เข้าใจถึงการทำงานของการกำหนดจำนวนครั้งที่ผิดพลาดในการล็อกอินก่อนจะทำการดิสเอเบิลผู้ใช้นั้นๆ รวมถึงวิธีการแก้ไขเมื่อเกิดกรณีฉุกเฉินขึ้น นอกจากนี้ ผู้บุกรุกยังสามารถที่จะส่งแพ็กเก็ตที่ไม่เหมาะสมเข้ามาในระบบ เป็นสาเหตุให้ระบบเครือข่ายหรือเซิร์ฟเวอร์ไม่สามารถทำงานได้ตามปกติโดยไม่ทราบสาเหตุ ถ้าระบบพบอาการที่ไม่สามารถทำงานได้ตามปกติโดยไม่ทราบสาเหตุบ่อยครั้ง อาจจะเป็นข้อสังเกตถึงการโดนโจมตีในลักษณะนี้ก็เป็นได้
ยังมีอุปกรณ์อื่นนอกเหนือไปจากที่กล่าวมาแล้วอีก ที่สามารถจะถูกโจมตีแบบ DoS ได้อีกอาทิเช่น
• เครื่องพิมพ์
• อุปกรณ์เทปแบ็คอัพ
• อุปกรณ์การเชื่อมต่อเครือข่าย (Network Connection)
• อุปกรณ์อื่นที่มีทรัพยากรจำกัดในระบบ
2. การเข้าทำลายหรือเปลี่ยนแปลงข้อมูลการทำงานของระบบ
การคอนฟิกระบบที่ไม่เหมาะสมหรือไม่ถูกต้องมักเป็นสาเหตุหลักที่ทำให้ระบบทำงานได้ไม่เต็มประสิทธิภาพหรือมีช่องโหว่ด้านความปลอดภัย ผู้บุกรุกมักฉวยโอกาสของวิธีการแก้ไขคอนฟิกของระบบหรือทำลายคอนฟิกที่สำคัญต่อการทำงานของระบบ อันจะทำให้ระบบไม่สามารถให้บริการผู้ใช้งานได้ตามปกติ ตัวอย่างเช่น ผู้บุกรุกทำการแก้ไขตารางการหาเส้นทางของเครือข่าบหรือ Routing Table บนเราเตอร์ ทำให้เครือข่ายบางส่วนไม่สามารถส่งข้อมูลได้ถูกต้อง (ผู้ดูแลระบบน่าจะทราบดีว่าข้อมูล Routing Table มีความสำคัญมากต่อการส่งข้อมูลไปถึงปลายทางได้อย่างถูกต้อง) หรือผู้บุกรุกทำการแก้่ไขรีจิสทรีของระบบปฏิบัติการวินโดวส์ ย่อมส่งผลต่อการทำงานของแอพพลิเคชัน หรือระบบบางส่วนอย่างหลีกเลี่ยงไม่ได้ ผู้ดูแลระบบจะทราบดีว่าการแก้ไขคอนฟิกบนระบบนั้น มีผลต่อการทำงานต่อระบบโดยตรง ไม่ว่าการคอนฟิกนั้นจะเกิดจากการรู้เท่าไม่ถึงการของผู้ดูแลระบบ หรือความไม่เข้าใจอย่างถ่องแท้ต่อการทำงานของแอพพลิเคชันบอกระบบหรือตัวระบบเอง รวมถึงการแก้ไขด้วยความตั้งใจของผู้บุกรุกเองด้วย
3. การเข้าทำลายหรือเปลี่ยนแปลงอุปกรณ์เครือข่ายหรือชื้นส่วนหนึ่งส่วนใดทางกายภาพ
จุดประสงค์หลักในการโจมตีโดยการเข้าถึงทางกายภาพเป็นหัวข้อที่น่ากังวลในการประเมินความเสี่ยงของผู้บริหารองค์กรทางด้านความปลอดภัยของทรัพยากรที่มีอยู่จริง ควรมีนโยบายที่ชัดเจนในการควบคุมการเข้าถึงห้องเซิร์ฟเวอร์ ห้องเครือข่าย อุปกรณ์เครือข่าย สายเชื่อมต่อเครือข่าย ระบบแบ็คโบนหลักขององค์กร ระบบไฟฟ้าสำรอง ระบบควบคุมอุณหภูมิ ระบบควบคุมความชื้น และอุปกรณ์อื่นที่จำเป็นต้องการทำงานโดยรวมของระบบทั้งหมด ทุกๆ จุดที่เกี่ยวข้องกับอุปกรณ์ทางกายภาพที่มีอยู่จริงนั้น ควรจะมีนโยบายที่ชัดเจนและบังคับใช้ได้จริง มีกรณีศึกษาในหลายองค์กรที่การโจมตีด้วยความตั้งใจของผู้บุกรุกทำได้โดยเดินเข้าไปในห้องเซิร์ฟเวอร์และถอดสายเชื่อมต่อเครือข่ายหรือสายแลนออก ซึ่งส่งผลเสียตามมามาก ยิ่งองค์กรที่ให้บริการทางด้านการค้าขายอิเล็คทรอนิคส์ด้วยแล้ว ตัวเลขความเสียหายอาจจะขึ้นไปได้สูงมาก
When Deployment Becomes the Attack
เหตุการณ์ต่างๆ ที่เกิดขึ้น เช่น Code Red, Nimda ต่างแสดงให้เห็นว่า เครื่องมือที่ทำงานแบบอัตโนมัติเหล่านี้สามารถก่อให้เกิดการโจมตีแบบ DoS ได้ในหลายๆ ส่วนของอินเทอร์เน็ต การ scan และกระจายตัวของไวรัสเหล่านี้ไม่ใช่ปัญหาหลัก แต่ผลข้างเคียงที่เกิดขึ้นกลับกลายเป็นปัญหาหลัก โดยส่วนใหญ่ปัญหาจะเกิดขึ้นภายในเครือข่ายท้องถิ่น (local network) นอกจากนี้ยังไม่น่าเชื่อว่าจะมีอุปกรณ์บางตัวที่ได้รับผลกระทบจากไวรัสเหล่านี้ เช่น printer, DSL modem เหตุการณ์ที่เกิดขึ้นทั้งหมดนั้นสามารถทำให้ระบบที่เชื่อมต่อกับอินเทอร์เน็ตหยุดการทำงานไปได้อย่างง่ายดาย
วิธีการ DoS (Denial of Service) และ DDoS (Distributed Denial of Service) ที่เป็นที่นิยมในปัจจุบัน
• SYN Flood Attack คือการส่ง Packet TCP/SYN โดยใช้ IP ที่ไม่มีอยู่จริง
• Mail Bomb คือการส่ง Mail ที่มีขนาดใหญ่เป็นจำนวนมากเข้าไปเพื่อให้เนื้อที่ใน Mail box เต็ม
• Smurf Attack คือการส่งปลอม IP address เป็นของเครื่องเป้าหมายแล้วจึงส่ง Packet ping เข้าไปหา
• Broadcast Address เพื่อให้กระจาย Packet เข้าไปทุกเครื่องแล้วหลังจากนั้นเมื่อทุกเครื่องได้รับแล้ว
• จึงตอบ Packet ไปหาเครื่องเป้าหมายซึ่งอาจเกิด Buffer Overflow ได้
• Fraggle Attack เหมือนกับ Smurf Attack แต่เปลี่ยนเป็นใช้ Packet ของ UDP แทน
• Ping of Death คือการส่ง Packet Ping ที่มีขนาดใหญ่เกินกว่าปกติเข้าไปที่เครื่องเป้าหมาย
• Teardrop Attack คือการส่ง Packet ที่ไม่สามารถประกอบได้ไปให้เครื่องเป้าหมายเพื่อให้เกิดความสับสน
• ICMP Flood Attack คือการส่ง Packet Ping เข้าไปที่เครื่องเป้าหมายเป็นจำนวนมาก
• UDP Flood Attack
รูปแบบการโจมตีและการป้องกัน
เครื่องมือที่ใช้โจมตีแบบ DDoS มีใช้กันอย่างแพร่หลายมานานหลายปีแล้ว และบรรดาผู้ผลิตเองต่างก็มีวิธีป้องกันการโจมตีเช่นเดียวกัน รูปแบบการโจมตีที่นิยมใช้กันก็มีอย่าง SYN flood, UDP flood, ICMP flood, Smurf, Fraggle เป็นต้น
SYN Flood
เป็นการโจมตีโดยการส่งแพ็คเก็ต TCP ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ (ผู้โจมตีสามารถปลอมไอพีของ source address ได้) เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายัง source ip address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source ip address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่อีกด้วย
การป้องกัน
Cisco Router
เราเตอร์ของ Cisco มีฟังก์ชันการทำงานชื่อ TCP Intercept ซึ่งถูกออกแบบมาเพื่อต่อต้านการโจมตีแบบ SYN flood โดย TCP intercept software จะพยายามสร้างการเชื่อมต่อกับ client หากสำเร็จการเชื่อมต่อดังกล่าวก็จะถูกส่งไปให้กับเครื่องให้บริการต่อไป ดังนั้นการโจมตีแบบ SYN flood จะไม่สามารถเข้าไปถึงเครื่องเป้าหมายจริงๆ ได้ และเราเตอร์ก็ถูกออกแบบให้รองรับการเชื่อมต่อได้มากกว่าเครื่องให้บริการ (server) อีกด้วย แต่ก็มีข้อเสียคือจะทำให้เราเตอร์ใช้ทรัพยากรมากกว่าปกติ
นอกจากนี้เราเตอร์ของ Cisco ยังมีฟังก์ชันชื่อ Committed Access Rate (CAR) ซึ่งใช้ในการจำกัดแบนด์วิดธ์ที่ใช้สำหรับแต่ละบริการได้ (แก้ไขได้ผ่านทาง extended access control list) ซึ่งไม่เพียงแต่ป้องกันการโจมตีแบบ SYN flood ยังป้องกันการเชื่อมต่อที่ถูกต้องไม่ให้ใช้แบนด์วิดธ์มากเกินไป ซึ่งข้อเสียในการนำไปใช้งานคือในขณะที่เครื่องเป้าหมายถูกโจมตีจะทำให้การเชื่อมต่อจากผู้ใช้ธรรมดาไม่สามารถทำได้ เทคนิคหนึ่งในการนำ CAR ไปใช้งานคือ การจำกัดการเข้าถึงโดยระบุเป็นจำนวน client ที่สามารถเข้าใช้งานได้
Checkpoint FW-1
FW-1 มีฟังก์ชั่นชื่อ SYN Defender ซึ่งถูกออกแบบมาเพื่อต่อต้านการโจมตีแบบ SYN flood โดยใช้หลักการเช่นเดียวกันกับ Cisco's TCP Intercept ซึ่งจะทำให้ SYN packet ถูกหยุดยั้งไว้ที่ FW-1 เช่นเดียวกันกับ Cisco's TCP Intercept ตัว FW-1 เองก็จะใช้ทรัพยากรมากกว่าปกติในการทำงานในลักษณะดังกล่าว
ICMP Flood
เป็นการส่งแพ็คเก็ต ICMP จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งานแบนด์วิดธ์เต็มที่
การป้องกัน
ระบบส่วนใหญ่สามารถทำงานได้โดยไม่ต้องใช้ ICMP Echo Request ซึ่งสามารถป้องกันการใช้งานได้โดยใช้คำสั่งที่เราเตอร์หรืออุปกรณ์กรองแพ็คเก็ตอื่นๆ
UDP Flood
เป็นการส่งแพ็คเก็ต UDP จำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่และ/หรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด โดยจะส่ง UDP packet ไปยัง port ที่กำหนดไว้ เช่น 53 (DNS)
การป้องกัน
เราเตอร์และอุปกรณ์กรองแพ็คเก็ตอื่นๆ สามารถ drop แพ็คเก็ตที่มุ่งโจมตีมายัง port ที่ไม่เป็นที่ต้องการได้ เช่น โจมตีมายัง port ที่ไม่ได้ให้บริการใน port ดังกล่าว ในกรณีที่เป็นการโจมตีเฉพาะ port ที่เปิดให้บริการ เช่น port 53 ก็สามารถป้องกันระบบเป้าหมายได้โดยใช้ CAR เพื่อจำกัดจำนวนข้อมูล
Smurf
ผู้โจมตีจะส่ง ICMP Echo Request ไปยัง broadcast address ในเครือข่ายที่เป็นตัวกลาง(ปกติจะเรียกว่า amplifier) โดยปลอม source ip address เป็น ip address ของระบบที่ต้องการโจมตี ซึ่งจะทำให้เครือข่ายที่เป็นตัวกลางส่ง ICMP Echo Reply กลับไปยัง ip address ของเป้าหมายทันที ซึ่งทำให้มีการใช้งานแบนด์วิดธ์อย่างเต็มที่
การป้องกัน
เช่นเดียวกันกับการโจมตีแบบ ICMP flood เราเตอร์และอุปกรณ์กรองแพ็คเก็ตอื่นๆ สามารถ drop ICMP Echo Reply ซึ่งในกรณีนี้ควร drop ICMP Echo Reply ที่ส่งเข้ามาโดยไม่ได้มีการส่ง ICMP Echo Request ออกไปก่อน ซึ่งการทำงานลักษณะนี้อาจจะทำให้อุปกรณ์ packet filtering ใช้ทรัพยากรเพิ่มขึ้น และในกรณีที่เกิดการโจมตีขึ้นแล้วยังสามารถบล็อก source ip address ของ ICMP Echo Reply ได้ เพราะผู้โจมตีไม่สามารถเปลี่ยนแปลงข้อมูลส่วนนี้ได้ สำหรับผู้ดูแลระบบทั่วไปควรป้องกันไม่ให้ระบบของตัวเองถูกใช้เป็น amplifier โดยการไม่ตอบสนองต่อแพ็คเก็ตที่ส่งเข้ามายัง broadcast address
Fraggle
เป็นอีกรูปแบบหนึ่งของการโจมตีแบบ Smurf โดยผู้โจมตีจะส่ง UDP Echo Request (UDP port 7) ไปยัง broadcast address ของ amplifier network โดยปลอม source ip address ไปเป็น ip address ของเป้าหมาย ซึ่งทำให้มีการใช้งานแบนด์วิดธ์อย่างเต็มที่ และ/หรือทำให้มีการใช้ทรัพยากรของเป้าหมายจนหมดไป ซึ่งการโจมตียังสามารถใช้ได้กับ UDP, TCP services อื่น เช่น Chargen อีกด้วย
การป้องกัน
สามารถป้องกันได้คล้ายๆ กับการป้องกันการโจมตีแบบ Smurf attack โดยใช้เราเตอร์หรืออุปกรณ์กรองแพ็คเก็ตอื่นๆ drop แพ็คเก็ต UDP/TCP ที่ใช้โจมตีเข้ามา หรืออาจจะใช้วิธีบล็อก source ip address ได้เช่นเดียวกัน สำหรับผู้ดูแลระบบทั่วไปควรป้องกันไม่ให้ระบบของตัวเองถูกใช้เป็น amplifier โดยการไม่ตอบสนองต่อแพ็คเก็ตที่ส่งเข้ามายัง broadcast address
อย่างไรก็ตามผู้ดูแลระบบควรยกเลิกการใช้งาน UDP, TCP service บางตัวเช่น Echo, Chargen, Discard ซึ่งไม่มีความจำเป็นในการใช้งานอีกแล้ว ซึ่งสำหรับเราเตอร์ของ Cisco แล้ว สามารถใช้คำสั่งด้านล่างนี้เพื่อยกเลิกบริการดังกล่าว
no service udp-small-servers
no service tcp-small-servers
การโจมตีแบบ Dos/DDos สามารถทำอันตรายต่อข้อมูลที่เป็นความลับได้หรือไม่
โดยทั่วไปการโจมตีแบบ Dos และ DDoS ไม่ทำอันตรายต่อข้อมูลที่เป็นความลับโดยตรง โดยทั่วไปผู้โจมตี จะพยายามทำให้เซอร์วิสไม่สามารถใช้งานได้ ไม่ใช่การละเมิดระบบรักษาความปลอดภัยของเซอร์วิสนั้นโดยตรง อย่างไรก็ตามการโจมตีแบบ DoS/DDoS สามารถใช้เพื่อเบนความสนใจในขณะที่การโจมตีอีกชนิดหนึ่งที่เกิดขึ้น เพื่อละเมิดระบบรักษาความปลอดภัยจริง ๆ นอกจากนี้ผู้บริหารระบบดูเหมือนยังทำผิดพลาดในระหว่างการถูก โจมตีและอาจเป็นไปได้ที่จะเปลี่ยนค่าที่กำหนดไว้บางอย่างซึ่งทำให้เกิดช่องโหว่เพื่อการใช้ประโยชน์จากมัน เซอร์วิสอาจจำเป็นที่จะต้องหยุดการทำงานหรือเริ่มทำงานใหม่อีกครั้ง ถ้าทำอย่างไม่ถูกต้องปัญหาอาจเกิดขึ้นมาได้ เมื่อเปลี่ยนแปลงบางอย่างในเน็ตเวิร์คต้องมั่นใจว่าคุณเข้าใจผลการกระทบของสิ่งที่คุณกำลังทำ (อาจแตกต่างจาก สภาพปกติในขณะที่กำลังถูกโจมตี)
ใครเป็นผู้โจมตี Dos/DDoS และเพื่ออะไร ?
มีหลากหลายเหตุผลที่เกินกว่าจะกล่าวได้หมด แต่มีสองสามเหตุผลที่พอจะกล่าวให้เห็นภาพได้
1.ความอยากรู้อยากเห็น
ผู้โจมตีบางคนทำเพียงเพื่อการทดสอบหรือต้องการเล่นสนุกกับเครื่องมือที่พวกเขาดาวน์โหลดมาและไม่ได้ ตระหนักถึงความเสียหายที่พวกเขาสามารถก่อขึ้นมาได้
2.เจตนาร้าย
ผู้โจมตีบางคนไม่เห็นด้วยกับนโยบายของบริษัท หรือสีสันที่ใช้ในเว็ปไซต์นั้น และการโจมตีไซต์โดยปราศจาก เหตุผลที่แน่นอน เหมือนกับคนที่ชอบพ่นสเปรย์ตามกำแพงตึก
3.ผลประโยชน์ทางการเงิน
ถือเป็นฝันร้ายอย่างแท้จริง ยกตัวอย่างเช่น มีบริษัทหนึ่งที่อาจถูกโจมตีเพื่อให้เลื่อนการเปิดตัวบริการออนไลน์ หรือเพื่อทำลายความน่าเชื่อถือ ผู้โจมตีอาจได้รับการจ้างจากคู่แข่ง หรือจากความพยายามที่จะทำให้ มีผลกระทบต่อราคาหุ้นของบริษัทนั้น
การป้องกันและการโต้ตอบ (สรุป)
การโจมตีแบบ DoS ส่งผลกระทบถึงความสูญเสียทั้งในแง่ของเวลาและเงินสำหรับหลายองค์กร การประเมินผลกระทบและความเสี่ยงเป็นสิ่งที่องค์กรควรพิจารณาไว้เป็นอันดับแรก ตัวอย่างมาตรการในการลดผลกระทบหรือความเสี่ยง อาทิ
• ใช้กฏการฟิลเตอร์แพ็กเก็ตบนเราเตอร์เ้พื่อกรองข้อมูลตามรายละเอียดใน Appendix A ใน
CA-96.21.tcp_syn_flooding เพื่อลดผลกระทบต่อปัีญหาการเกิด DoS รวมถึงความเสี่ยงที่อาจจะเกิดจากบุคคลภายใน องค์กรเป็นต้นกำเนิดการโจมตีแบบ DoS ไปยังเครือข่ายเป้าหมายอื่นด้วย
• พิจารณาติดตั้งซอฟต์แวร์เพิ่มเติมในการแก้ไขปัญหาของการโจมตีโดยใช้ TCP SYN Flooding ตามรายละเอียดใน CA-96.21.tcp_syn_flooding ซึ่งจะช่วยให้ระบบยังสามารถทำงานได้ในสภาวะที่ถูกโจมตีได้ยาวนานขึ้น
• ปิดบริการบนระบบที่ไม่มีการใช้งานหรือบริการที่เปิดโดยดีฟอลต์ เ่ช่นบนเว็บเซิร์ฟเวอร์ไม่ควรเปิดพอร์ตให้บริการโอนย้ายไฟล์ผ่านโพรโตคอล FTP เป็นต้น หรือการปิดบริการ ECHO บนพอร์ต 7/UDP หรือ CHARGEN บนพอร์ต 19/UDP ซึ่งหลายระบบจะเปิดบริการนี้โดยดีฟอลต์หลังจากขั้นตอนการติดตั้งระบบปฏิบัติการเสร็จสิ้น จะช่วยลดปัญหาที่สามารถจะเกิดขึ้นได้จากบริการที่มากเกินความจำเป็นเหล่านี้ลงได้
• นำระบบการกำหนดโควตามาใช้ ไม่ว่าจะเป็นการกำหนดโควตาเนื้อที่ดิสก์สำหรับผู้ใช้ในระบบหรือสำหรับบริการในระบบ และควรพิจารณาการแบ่งพา์ร์ติชันออกเป็นส่วนเพื่อลดความเสียงหรือผลกระทบที่เนื้อทีบนพาร์ติชันใดๆ เต็มจะได้ไม่ส่งผลกระทบต่อข้อมูลหรือการทำงานของระบบบนพาร์ติชันอื่นไปด้วย รวมทั้งการกำหนดโควตาของการสร้างโพรเซสในระบบ (ถ้าระบบปฏิบัติการสนับสนุน) หรือโควตาในเรื่องอื่นที่มีผลต่อการใช้งานทรััพยากรในระบบล้วนเป็นสิ่งที่ควรนำมาใช้ และควรศึกษาคู่มือระบบเพื่อหลีกเลียงปัญหาที่อาจจะเกิดจากความเลินเล่อของผู้ดูแลระบบหรือการแก้ไขปัญหาเมื่อเกิดเหตุฉุกเฉินขึ้น
• สังเกตและเฝ้ามองพฤติกรรมและประสิทธิภาพการทำงานของระบบ นำตัวเลขตามปกติของระบบมากำหนดเป็นบรรทัดฐานในการเฝ้าระวังในครั้งถัดไป เช่นปริมาณการใช้งานดิสก์ ประสิทธิภาพการใช้งานหน่วยประมวลผลกลางหรือซีพียู ปริมาณทราฟฟิกที่เกิดขึ้นในช่วงเวลาหนึ่งเป็นต้น
• ตรวจตราระบบการจัดการทรัพยากรระบบตามกายภาพอย่างสม่ำเสมอ แน่ใจว่าไม่มีผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงได้ มีการกำหนดตัวบุคคลที่ทำหน้าที่ในส่วนต่างๆ ของระบบอย่างชัดเจน รวมถึงการกำหนดสิทธิในการเข้าถึงระบบอย่างรัดกุมด้วย ตัวอย่างเช่น เทอร์มินอลที่ไม่ได้เปิดให้ใช้งานมีการเปิดขึ้นหรือไม่ จุดเข้าถึงการเชื่อมต่อเข้าเครือข่าย อุปกรณ์สวิตซ์ อุปกรณ์เราเตอร์ ห้องเซิร์ฟเวอร์ ระบบควบคุมการเข้าใช้ห้องเครือข่าย สายสำหรับการเชื่อมต่อมีสภาพชำรุดหรือสภาพอันบ่งชี้ถึงสาเหตุที่ไม่ปกติหรือไม่ ระบบการถ่ายเทอากาศ ระบบไฟฟ้าสำรองทำงานเป็นปกติหรือไม่ เกิดไฟดับครั้งล่าสุดเมื่อกี่วันที่ผ่านมา ดับนานเท่าใด ระบบไฟฟ้าสำรองใช้งานได้เพียงพอหรือไม่ (อันนำไปเป็นสาเหตุในการพิจารณาอัพเกรดระบบไฟฟ้าสำรองได้) เป็นต้น
• ใช้โปรแกรม Tripwire หรือโปรแกรมใกล้เคียงในการตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นกับไฟล์คอนฟิกหรือไฟล์ที่สำคัญต่อการทำงานในระบบ
• พิจารณาติดตั้งเครื่องสำรองหรือ "hot spares" ที่สามารถนำมาใช้แทนเครื่องเซิร์ฟเวอร์ได้ทันทีเมื่อเกิดเหตุฉุกเฉินขึ้น เพื่อลดช่วงเวลาดาวน์ไทม์ของระบบ หรือลดช่วงเวลาที่เกิด Denial of Service ของระบบลง (การที่ไม่สามารถเข้าใช้งานระบบได้ ถือว่าเข้าสู่ภาวะของ Denial of Service เช่นเดียวกัน แม้ว่าจะเกิดจากสาเหตุของผู้บุกรุกหรือสาเหตุอื่นก็ตาม)
• พิจารณาติดตั้งระบบสำรองเครือข่าย หรือระบบป้องกันความสูญเสียการทำงานของระบบเครือข่าย หรือระบบสำรองเพื่อให้ระบบเครือข่ายสามารถใช้ได้ตลอดเวลา
• การสำรองข้อมูลบนระบบอย่างสม่ำเสมอ โดยเฉพาะคอนฟิกที่สำคัญต่อการทำงานของระบบ พิจารณาออกนโยบายสำหรับการสำรองข้อมูลที่สามารถบังคับใช้ได้จริง
• วางแผนและปรับปรุงนโยบายการใช้งานรหัสผ่านที่เหมาะสม โดยเฉพาะผู้ที่มีสิทธิสูงสุดในการเข้าถึงระบบทั้ง root บนระบบ UNIX หรือ Administrator บนระบบ Microsoft Window NT
จะปฏิบัติอย่างไรเพื่อป้องกันและแก้ไขการโจมตีเพื่อให้เกิดการหยุดการให้บริการแบบกระจาย
ในขณะนี้ยังไม่มีวิธีแก้ที่จะสามารถหยุดการโจมตีประเภทนี้ได้อย่างเด็ดขาด วิธีปฏิบัติที่ดีที่สุดในขณะนี้คือการทำให้เครื่องคอมพิวเตอร์และเครือข่ายมีความต้านทานจากการโจมตีที่สูงขึ้น ซึ่งจะเป็น การสร้างความอยู่รอด ให้กับคอมพิวเตอร์และเครือข่ายนั่นเอง ระบบทุกระบบย่อมมีขีดจำกัดในสมรรถภาพ และวิธีหนึ่งที่เราสามารถเพิ่มความอยู่รอดของระบบได้ก็คือการเพิ่มสมรรถภาพให้แก่ระบบ ซึ่งก็จะทำให้ระบบมีโอกาสที่จะอยู่รอดมากขึ้นเมื่อระบบถูกโจมตี บริษัทผู้ให้บริการเครือข่ายโทรศัพท์สามารถเพิ่มสมรรถภาพให้แก่ระบบโทรศัพท์ได้โดยเพิ่มจำนวนวงจรบริการคู่สายให้มากขึ้น ผู้ดูแลเว็บไซท์สามารถเพิ่มจำนวนของการเชื่อมต่อที่จะกระทำกับเว็บนั้นได้ โดยเพิ่มจำนวนเครื่องเว็บเซิร์ฟเวอร์ซึ่งก็จะช่วยเฉลี่ยจำนวนการเชื่อมต่อให้มากขึ้นและทำให้แต่ละเครื่องเซิร์ฟเวอร์เข้าถึงขีดจำกัดได้ช้าลง ยิ่งเครื่องคอมพิวเตอร์และเครือข่ายมีสมรรถภาพสูงเท่าใดโอกาสของความอยู่รอดจากการโจมตีเพื่อให้เกิดการหยุดการให้บริการแบบกระจายก็จะสูงขึ้นเท่านั้น ท่านสามารถช่วยป้องกันการโจมตีชนิดนี้ได้โดยป้องกันไม่ให้เครื่องของท่านกลายเป็นสมาชิกของเครือข่ายโจมตี ซึ่งก็สามารถกระทำได้โดยการปฏิบัติตามคำแนะนำด้านความปลอดภัยต่างๆ เช่นคำแนะนำในบทความ "การรักษาความปลอดภัยเครื่องคอมพิวเตอร์ของท่าน" นอกจากนี้ท่านควรสังเกตถึงความเปลี่ยนแปลงในประสิทธิภาพของเครื่องคอมพิวเตอร์หรือเครือข่ายของท่าน โดยตอบคำถามต่อไปนี้
• เครื่องคอมพิวเตอร์ของท่านทำงานช้ากว่าปกติหรือไม่
• การเชื่อมต่อกับเครือข่ายอินเตอร์เน็ทช้ากว่าปกติหรือไม่
• ไฟแสดงสถานะการวิ่งของข้อมูลบนเคเบิ้ลโมเด็มติดอยู่ตลอดเวลาหรือเกือบตลอดเวลาหรือไม่
หากคำตอบในข้อใดข้อหนึ่งด้านบนนั้นคือ "ใช่" ก็อาจมีความเป็นไปได้ว่าเครื่องของท่านเป็นสมาชิกหนึ่งของเครือข่ายโจมตี ท่านควร
• ติดต่อผู้ดูแลระบบหรือผู้ให้บริการเครือข่ายอินเตอร์เน็ทของท่านและปฏิบัติตามคำแนะนำที่ได้รับ
• เพื่อเป็นการแก้ปัญหาเฉพาะหน้า พิจารณาปิดเครื่องคอมพิวเตอร์หรือเคเบิ้ลโมเด็มของท่านเพื่อหยุดการโจมตีนั้นอย่างน้อยก็เป็นการชั่วคราว
หากเครื่องคอมพิวเตอร์ของท่านเป็นหนึ่งในสมาชิกของเครือข่ายโจมตีก็หมายความว่าเครื่องของท่านถูกเจาะเข้ามาแล้วและได้รับการติดตั้งโปรแกรมสำหรับโจมตีเครื่องอื่นๆ ท่านจะต้องตรวจหาว่าผู้ที่บุกรุกเข้ามาในเครื่องของท่านได้ทำอะไรไปบ้างแล้วซ่อมแซมความเสียหายที่เกิดขึ้น การโจมตีเพื่อให้เกิดการหยุดการให้บริการแบบกระจายนี้นับว่าเป็นปัญหาใหญ่ของเครือข่ายอินเทอร์เน็ต ถึงแม้ว่าขณะนี้จะมีการศึกษาวิจัยเพื่อที่จะลดและกำจัดการโจมตีประเภทนี้ แต่ในเร็ววันนี้การโจมตีประเภทนี้ก็ยังคงมีแนวโน้มที่จะเกิดขึ้นอีก
Summary
ในช่วงหลายปีที่ผ่านมาปัญหาการโจมตีแบบ Denial of service ยังคงไม่ค่อยมีการเปลี่ยนแปลงมากนัก เครือข่ายที่มีทรัพยากรอยู่อย่างจำกัดและอ่อนแอมักจะถูกโจมตี ระบบต่างๆ ยังคงมีช่องโหว่ทั้งเก่าและใหม่ ผู้ผลิตยังคงผลิตสินค้าที่มีช่องโหว่ออกมา ผู้บริโภคก็ยังคงใช้งานสินค้าที่มีข้อบกพร่องต่อไป และยังมีข้อบกพร่องที่เกิดจากการตั้งค่าที่ผิดพลาดหรือการจัดการที่ไม่ดีพอ CERT/CC ยังจัดเก็บข้อมูลข้อบกพร่องและ exploit ที่เป็นวงจรควบคู่กัน ผู้ผลิตก็พยายามสร้างความรู้ความเข้าใจที่เกี่ยวข้องกับความปลอดภัยเสมอ แต่ผลลัพธ์สุดท้ายก็ยังมีระบบในอินเทอร์เน็ตอีกมากมายที่ยังมีช่องโหว่ที่สามารถใช้เป็นจุดในการโจมตีแบบ DoS ได้ การโจมตีแบบ DoS มีการเปลี่ยนแปลงเล็กน้อยตั้งแต่ปี 1999 เครื่องมือต่างๆ ที่ใช้โจมตีแบนด์วิดธ์ได้รับความนิยมและถูกนำไปใช้ โดยวิธีที่นิยมคือการส่ง packet stream เข้าไปยังระบบของเป้าหมาย มีการปรับปรุงอัลกอริทึมของการโจมตีแบบ DoS flooding แบบเก่าเพียงเล็กน้อยเท่านั้น เพราะการโจมตีแบบเก่านั้นยังสามารถใช้ได้ผลดี
สิ่งที่เปลี่ยนแปลงไปคือ เครื่องมือของผู้โจมตีมีวิธีการนำไปติดตั้งและเทคโนโลยีที่ใช้ รูปแบบการออกแบบและควบคุมการโจมตี และผลกระทบที่ได้รับจากการโจมตี
การใช้เทคโนโลยีแบบ automation ช่วยให้การกระจายตัวของหนอนอินเทอร์เน็ตสามารถทำได้ง่ายขึ้น ซึ่งสามารถพบเห็นเครื่องมือที่ทำงานแบบอัตโนมัติที่จะโจมตีระบบบนช่องโหว่ที่ได้กำหนดไว้แล้วรวมทั้งรูปแบบการเลือกเป้าหมายที่เป็นแบบสุ่ม การเลือกเป้าหมายแบบเจาะจงถูกนำไปใช้กับผู้ที่ใช้วินโดวส์เป็นหลัก และ router ก็กลายเป็นจุดหนึ่งที่มีผลกระทบค่อนข้างมากต่อระบบอินเทอร์เน็ต ในขณะที่ยังมีการโจมตีโดยใช้รูปแบบเก่า ก็มีผู้โจมตีส่วนหนึ่งหันไปใช้เครือข่ายและโพรโตคอล IRC ในการควบคุมการโจมตีแบบ DDoS และการส่ง packet flooding ก็ยังคงสามารถใช้โจมตีได้กับระบบโดยทั่วไป ซึ่งอาจจะมีการเลือกใช้ packet stream ที่มีอยู่หลายรูปแบบได้ การโจมตีแบบ DoS ยังคงเพิ่มขึ้นเรื่อยๆ และมีผลกระทบค่อนข้างมาก ผลกระทบข้างเคียงก็เป็นส่วนหนึ่งในนั้นด้วย การแพร่กระจายของหนอนอินเทอร์เน็ตบางตัวก็สามารถทำให้เกิดการโจมตีแบบ DoS ได้
Conclusion
การสร้างเครื่องมือสำหรับโจมตียังคงเป็นแนวโน้มที่เกิดขึ้นมานานและจะยังคงดำเนินต่อไป การตอบโต้กลับการโจมตีแบบ DoS ยังคงทำได้ยาก เครื่องมือที่สามารถทำงานได้โดยอัตโนมัติและสามารถจัดการได้ง่ายจะยังคงเป็นหัวข้อหลักในการพัฒนาเครื่องมือสำหรับโจมตี และการโจมตีแบบ DoS จะใช้ช่องโหว่ของโพรโตคอล เช่น routing protocol มากกว่าการโจมตีโดยใช้ packet flooding เอกสารฉบับนี้ไม่ได้ชี้แจงวิธีการป้องกันการโจมตี เพียงแต่ต้องการให้ตระหนักถึงเทคโนโลยีและรูปแบบที่ใช้ในการโจมตีมากกว่า หวังเป็นอย่างยิ่งว่ารูปแบบและแนวโน้มของการโจมตีที่จะเกิดขึ้นจากเอกสารฉบับนี้ จะสามารถช่วยให้ผู้ที่เกี่ยวข้องทราบได้ว่าควรจะมีการเปลี่ยนแปลง security policies หรือเทคโนโลยีที่จะช่วยให้ระบบมีความปลอดภัยมากยิ่งขึ้นอย่างไร
แหล่งที่มาของข้อมูล
1. http://www.viruscom2.com/hacker/man-in-the-middle-attack.html[/url]
2. http://www.viruscom2.com/hacker/distributed-denial-of-service.html[/url]
3. http://www.viruscom2.com/hacker/distributed-denial-of-service.html
4. http://www.astec-i.com/viewtopic.php?f=15&t=37
5. http://www.expert2you.com/view_article.php?art_id=1576
6. http://www.cert.org/homeusers/ddos.html
7. http://www.vajira.ac.th/kt/modules.php?name=News&file=article&sid=175
8. http://www.thaicert.nectec.or.th
9. http://www.microsoft.com/security
1 ความคิดเห็น:
1xbet korean - legalbet
1xbet korean. Best Live Casino. 1xbet is the most comprehensive live 1xbet casino provider, providing a 제왕 카지노 variety of gaming options. 1xbet has 메리트 카지노 주소 a
แสดงความคิดเห็น