DoS (denial-of-service : การโจมตีโดยปฏิเสธการให้บริการ) คือการโจมตีทางไซเปอร์เพื่อพยายามทำให้เครื่องเป้าหมายใช้งานไม่ได้ อย่างชั่วคราวหรือถาวร! ส่วน DDoS (distributed denial-of-service : การโจมตีโดยปฏิเสธการให้บริการแบบกระจาย) คือการโจมตีแบบ DoS ที่มีต้นทางมากกว่า 1 เครื่องขึ้นไป และส่วนใหญ่จะมีมากถึง หลักร้อย-พันเครื่อง

ทำไม Attacker ถึงมีคอมพิวเตอร์เยอะขนาดนั้น?

นอกจาก Attacker หลายคนมี Servers ที่มีประสิทธิภาพสูงเป็นของตัวเองแล้ว ยังมี Attacker ที่อาศัยการฝัง Botnet, Zombies ลงใน คอมพิวเตอร์ หรืออุปกรณ์คอมพิวเตอร์ขนาดเล็ก เช่น Router ของเหยื่อที่มีความปลอดภัยต่ำ และไม่ค่อยมีการอัพเดทแพทช์เพื่ออุดช่องโหว่ เป็นการเปิดช่องทางให้ Attacker โจมตีช่องโหว่เหล่านั้นเพื่อแฝงมัลแวร์ลงไปในอุปกรณ์เพื่อใช้ควบคุมภายหลังได้



รูปแบบการโจมตีของ DDoS มีอะไรบ้าง?

โดย Methods ในการโจมตีนั้น มีค่อนข้างเยอะเลยทีเดียว ซึ่งผมจะยกตัวอย่าง Methods ที่ค่อนข้างได้รับความนิยมมา 10 ชนิดแล้วกันครับ ได้แก่

1. SYN Flood
เป็นการโจมตีโดยการส่ง แพ็คเก็ต TCP ที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายัง Source IP address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน Source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้ Bandwidth อย่างเต็มที่อีกด้วย

2. ICMP Flood
เป็นการส่งแพ็คเก็ต ICMP ขนาดใหญ่จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งาน Bandwidth เต็มที่

3. UDP Flood
เป็นการส่งแพ็คเก็ต UDP จำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้ Bandwidth อย่างเต็มที่ และหรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด โดยจะส่ง UDP packet ไปยัง port ที่กำหนดไว้ เช่น 53 (DNS)

4. Teardrop
โดยปกติเราเตอร์จะไม่ยอม ให้แพ็กเก็ตขนาดใหญ่ผ่านได้ จะต้องทำ Fragment เสียก่อนจึงจะยอมให้ผ่านได้ และเมื่อผ่านไปแล้วเครื่องของผู้รับปลายทางจะนำแพ็กเก็ตที่ถูกแบ่งออกเป็น ชิ้นส่วนต่าง ๆ ด้วยวิธีการ Fragment มารวมเข้าด้วยกันเป็นแพ็กเก็ตที่สมบูรณ์ การที่สามารถนำมารวมกันได้นี้จะต้องอาศัยค่า Offset ที่ปรากฏอยู่ในแพ็กเก็ตแรกและแพ็กเก็ตต่อๆ ไปสำหรับการโจมตีแบบ Teardrop นี้ ผู้โจมตีจะส่งค่า Offset ในแพ็กเก็ตที่สองและต่อ ๆ ไปที่จะทำให้เครื่องรับปลายทางเกิดความสับสน หากระบบปฏิบัติการไม่สามารถรับมือกับปัญหานี้ก็จะทำให้ระบบหยุดการทำงานในทันที

5. Land Attack
ลักษณะการโจมตีประเภทนี้ เป็นการส่ง SYN ไปที่เครื่องเป้าหมายเพื่อขอการเชื่อมต่อ ซึ่งเครื่องที่เป็นเป้าหมายจะต้องตอบรับคำขอการเชื่อมต่อด้วย SYN ACK ไปที่เครื่องคอมพิวเตอร์ต้นทางเสมอ แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่เป็นเป้าหมายนี้มี IP Address เดียวกัน โดยการใช้วิธีการสร้าง IP Address ลวง (โดยข้อเท็จจริงแล้วเครื่องของ Hacker จะมี IP Address ที่ต่างกับเครื่องเป้าหมายอยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ในการส่งแพ็กเก็ตที่ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม) ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่สามารถแยกแยะได้ว่า IP Address ที่เข้ามาเป็นเครื่องปัจจุบันหรือไม่ ก็จะทำการตอบสนองด้วย SYN ACK ออกไป หากแอดเดรสที่ขอเชื่อมต่อเข้ามาเป็นแอดเดรสเดียวกับเครื่องเป้าหมาย ผลก็คือ SYN ACK นี้จะย้อนเข้าหาตนเอง และเช่นกันที่การปล่อย SYN ACK แต่ละครั้งจะต้องมีการปันส่วนของหน่วยความจำเพื่อการนี้จำนวนหนึ่ง ซึ่งหากผู้โจมตีส่งคำขอเชื่อมต่อออกมาอย่างต่อเนื่องก็จะเกิดปัญหาการจัดสรรหน่วยความจำ

6. Smurf ผู้โจมตีจะส่ง ICMP Echo Request ไปยัง broadcast address ในเครือข่ายที่เป็นตัวกลาง (ปกติจะเรียกว่า amplifier) โดยปลอม Source IP address เป็น IP address ของระบบที่ต้องการโจมตี ซึ่งจะทำให้เครือข่ายที่เป็นตัวกลางส่ง ICMP Echo Reply กลับไปยัง IP address ของเป้าหมายทันที ซึ่งทำให้มีการใช้งาน Bandwidth อย่างเต็มที่

7. HTTP Flood
เป็นการโจมตีโดยอาศัย HTTP requests โดยผู้โจมตีจะระดมส่งข้อมูลขนาดใหญ่ผ่าน GET, POST เพื่อทำให้เซิร์ฟเวอร์เป้าหมายเกิดความเสียหายจนหยุดให้บริการไปในที่สุด

8. SSDP Flood การโจมตีแบบ SSDP จะเป็นการส่งแพ็คเก็ตเล็ก ๆ ที่มี Spoofed IP ไปยังเป้าหมาย เมื่อเป้าหมายได้รับแพ็คเก็ตก็จะเกิดความสับสนเกี่ยวกับข้อมูล และจะต้องพยายามที่จะทำความเข้าใจกับคำขอดังกล่าว การกระทำของเซิร์ฟเวอร์จะทำให้ทรัพยากรถูกใช้งานอย่างเต็มที่จนต้อง offline หรือ reboot ไป

9. ACK Fragmentation Flood
การโจมตีนี้จะมีการส่งแพ็คเก็ตที่แยกส่วนกัน โดยมีขนาด 1500 bytes ไปยังเซิร์ฟเวอร์เป้าหมาย ซึ่งการโจมตีแบบนี้จะช่วยให้ผู้โจมตีสามารถส่งแพ็คเก็ตเพียงไม่กี่อันที่ไม่เกี่ยวข้องกันเพื่อใช้แบนด์วิธเป็นจำนวนมาก การโจมตีนี้มีผลต่อเซิร์ฟเวอร์ทั้งหมดภายในเครือข่ายเป้าหมายด้วยการพยายามใช้ Bandwidth ที่มีอยู่ทั้งหมดในเครือข่าย

10. Session Attack
การโจมตีนี้จะเป็นการสร้าง Sessions TCP-SYN ระหว่าง Bot กับเซิร์ฟเวอร์เป้าหมาย Session ดังกล่าวจะยืดออกจนหมดเวลาและพยายามใช้ทรัพยากรของเซิร์ฟเวอร์ผ่านช่วงเวลาเหล่านี้ ซึ่งผลที่ได้คือ เป้าหมายจะปิดระบบอย่างสมบูรณ์ หรืออย่างน้อยก็จะทำให้ระบบทำงานล่าช้าลง


DDoS ในฐานะเครื่องมือแสดงออกทางการเมือง

การใช้ DDoS ในฐานะเครื่องมือแสดงออกทางการเมืองไม่ใช่ของใหม่แม้แต่น้อย สำหรับ Molly Sauter นักวิชาการจาก Berkman Center for Internet and Society ของมหาวิทยาลัย Harvard สหรัฐอเมริกา ระบุว่า การใช้ DDoS ในฐานะที่เป็นเครื่องมือแสดงออกทางการเมืองมีมาตั้งแต่ช่วงปี 1990 แล้ว ตัวอย่างเช่นการโจมตีของกลุ่ม Strano Network ที่คัดค้านนโยบายพลังงานนิวเคลียร์ของฝรั่งเศส ในปี 1995 ที่เจาะจงเข้าโจมตีเครื่องแม่ข่ายเว็บไซต์และบริการอื่นๆ ของหน่วยงานรัฐบาลฝรั่งเศสในขณะนั้นโดยตรง อย่างเช่น FTP, NNTP เป็นต้น

หลังจากนั้นก็มีการใช้ DDoS ในการประท้วงอยู่เรื่อยมา ตลอดจนถึงเครื่องมือในการใช้โจมตีเพื่อวัตถุประสงค์ทางการเมืองก็เปลี่ยนไปเรื่อย ในช่วงยุคปี 1990 การประท้วงด้วยการเข้าถึงเว็บไซต์ในลักษณะของการกด F5 แล้วทำให้เว็บไซต์ล่ม อาจจะเป็นสิ่งที่สะท้อนถึงความสำเร็จ แต่ในกรณีปัจจุบันอาจจะชี้วัดกันที่พลังหรืออิทธิพลที่เป็นผลต่อเนื่องจากการโจมตี ตัวอย่างเช่นการได้พื้นที่ในสื่อสารมวลชน Sauter ได้ชี้ให้เห็นว่ารูปแบบของการทำเช่นนี้ (virtual sit-in) แม้จะเป็นการแสดงออกทางการเมืองก็จริง แต่ก็ไม่มีอะไรมากเกินไปกว่านี้ กล่าวอีกอย่างคือ แม้จะเห็นผลว่าเว็บไซต์ล่มจริง แต่ก็ไม่สามารถมีความต่อเนื่องได้มากไปกว่าเว็บไซต์ล่ม และเรียกความสนใจจากสื่อมวลชน

ตัวอย่างในระดับนานาชาติที่เคยมีการใช้ DDoS ในการโจมตีเพื่อวัตถุประสงค์ทางการเมือง อย่างเช่น การโจมตีเว็บไซต์ของสำนักข่าว CNN เมื่อหนึ่งในผู้ประกาศข่าวได้แสดงความเห็นเกี่ยวกับการจัดงานโอลิมปิกที่ประเทศจีนเมื่อปี 2008 ออกอากาศและทำให้ชาวจีนไม่พอใจ จนนำไปสู่การโจมตีเว็บไซต์ของ CNN ในท้ายที่สุด หรืออย่างเช่นในกรณีที่เคยเกิดขึ้นของไทยซึ่งใช้วิธีการกด F5 จากผู้ใช้จำนวนมาก จนกระทั่งเว็บไซต์ของหน่วยงานราชการหลายแห่งไม่สามารถเข้าถึงได้

อ้างอิง: notebookspec.com, javapipe.com, blognone.com

บทความที่ถูกอ่านล่าสุด

ทำความรู้จักกับการโจมตีทางไซเบอร์ที่เรียกว่า DoS,DDoS

DoS (denial-of-service : การโจมตีโดยปฏิเสธการให้บริการ) คือการโจมตีทางไซเปอร์เพื่อพยายามทำให้เครื่องเป้าหมายใช้งานไม่ได้ อย่างชั่วคราวหรือถาวร! ส่วน DDo...

ที่อยู่: 3.233.220.21

ทดสอบความเร็วอินเทอร์เน็ต บนเว็บไซต์ speedtest.net

speedtest.net เป็นบริการทางอินเทอร์เน็ตที่จะแสดงความเร็วของอินเทอร์เน็ตในการ Download, Upload และค่า Ping ของผู้ใช้ โดยหลักการทำงานคือ เว็บไซต์จะส่ง p...

ที่อยู่: 118.174.197.130

ข้อแตกต่างระหว่าง http กับ https อันไหนดีกว่ากัน??

ก่อนแรกเรามาทำความรู้จักทั้งสองตัวนี้เลยดีกว่า http ย่อมาจาก HyperText Transfer Protocol เป็นโปรโตคอลหลักในการใช้งานเวิลด์ไวด์เว็บ โดยมีจุดประสงค์ในก...

ที่อยู่: 3.233.220.21

ถ่ายโอนไฟล์บน FTP Protocol ด้วย FileZilla Client/Server

File Transfer Protocol (FTP) เป็น Protocol เครือข่ายมาตรฐานสำหรับการถ่ายโอนไฟล์ระหว่าง Client กับ Server บนเครือข่ายคอมพิวเตอร์ Port 21 FileZilla เป็น Free ware ที่ผู้ใช้สามารถเลื...

ที่อยู่: 3.233.220.21

เรียนรู้การใช้งาน SQLmap สำหรับการโจมตีช่องโหว่ SQL Injection

สวัสดีครับในบทความนี้ผมจะพามาเรียนรู้การวิธีใช้ SQLmap เครื่องมืออำนวยความสะดวกสำหรับการยึดฐานข้อมูล MYSQL ที่มีช่องโหว่ SQL Injection กันนะครับ ...

ที่อยู่: 3.233.220.21


บทความแนะนำ

ตั้งค่าเว็บไซต์โดยใช้ .htaccess บน Linux Apache WebServer

สาเหตุของการเกิดช่องโหว่ SQL Injection และวิธีป้องกัน

ทำความรู้จักกับการ Forward Port และวิธีการ Forwarding Port

CName Record คืออะไร?

ยอดอ่านสูงสุด

แก้ปัญหา Disk และ CPU ขึ้น 100% ใน Task manager (Windows)

Hardware

Storage


พื้นที่ว่างคงเหลือ 841.25 GB

ติดตามเราบน Facebook