โอ๊ะโอ มาอีกแล้ว Application VS Volume DDoS Attack ใครจะเป็นที่นิยมมากกว่ากันและแบบไหนมีพลังทำลายล้างมากกว่ากัน เรามาเริ่มกันเลยดีกว่าเริ่มจาก…
1. Application base Attack: นายคนนี้ทางผมใช้นินจาเป็นตัวแสดง เรานึงถึงนินจาเรานึกถึงอะไรครับ นารุโตะ! หรือฮัตโตริ? (แต่ละตัวละครเนี่ยไม่อยากจะบอกเล้ย ว่าบอกอายุชัดๆ) จะเป็นใครก็แล้วแต่ แต่นินจาเก่ง มักจะได้รับการมอบหมายให้ปฏิบัติภารกิจลับ… ห้ามให้ใครรู้ว่าปฏิบัติการ
ใช่ครับนี่คือจุดเด่นของ Application base Attack โจมตีโดยที่ทำให้เกิดความเสียหายโดยที่เจ้าตัวไม่รู้เรื่องว่าโดนเข้าแล้ว… อาการเบาๆอาจจะเป็นแค่การเข้าใช้งานช้า แต่ถ้าหนักเข้าก็ต้องถึงกับต้องรีสตาร์ทเซอร์วิสกันไปเลยทีเดียว ซึ่งถ้าสังเกตุกันดีๆจะพบว่า Application base Attack นั้นจะโจมตีไปที่ Web Service เป็นหลักผ่านทางคำสั่งการขอใช้งานเช่น HTTP GET, POST หรือ PUSH โดยการโจมตีก็มีหลากหลายเทคนิคเช่น Slowloris, RUDY หรือที่นิยมกันก็คือการทำ HTTP GET Flood ส่งการร้องขอใช้งานทรัพยากรจำนวนมหาศาลเพื่อทำให้เครื่องแม่ข่ายทำงานไม่ไหวแล้วก็น็อคกลางอากาศไปในที่สุด
ใครที่โจมตีประเภทนี้ได้บอกได้เลยว่าต้องมีเทคนิคและความรู้เฉพาะตัวค่อนข้างสูงถึงจะโจมตีจนให้เกิดความเสียหายได้ แต่ถึงแม้จะยากก็ไม่ได้ยากจนเกินไป และการโจมตีประเภทนี้มักจะไม่ตรวจพบจาก Network Layer (พูดง่ายๆคือมองหาจาก netflow หรือ MRTG ไม่ค่อยเห็นเท่าไหร่) จำเป็นต้องไปดูจากจำนวน Session ที่วิ่งแทนถึงจะตรวจสอบได้ แต่บางครั้ง Botnets มันก็แฝงเข้ามาโจมตีด้วยวิธีนี้ด้วยเช่นกัน
2. Volume base Attack: อยากจะเดากันอีกไหมว่าผมนึกถึงตัวการ์ตูนอะไร? ผมเชื่อว่าหลายคนคงคิดถึงการ์ตูนเรื่องฟริ้นสโตนแน่ๆเลย (แอบดักอายุนะฮะ ^^) ซึ่งมนุษย์หินผมให้เป็นตัวแทนของจอมพลังและความแข็งแกร่งครับ เทคนิคมีไม่มากขอแค่มีพลังพอ คุณสมบัติของการโจมตีประเภทนี้คือ ลุย…เป็นทัพหน้า
ลุยเป็นทัพหน้าคืออะไร? ที่ผมเรียกการโจมตีนี้เป็นการลุยทัพหน้าคือเราจะเห็นได้ชัดครับว่าถูกโจมตี เพราะเมื่อมีการโจมตีด้วย Volume base แล้วจะพบว่ามีปริมาณ Bandwidth ที่สูงผิดปกติมากกกกกกกก มากจริงๆ มากจนเห็นได้ชัด มากจนพูดไม่ออก มากจนต้องรีบจัดการ… โดยเทคนิคยอดนิยมอันดับ 1 พบว่าเป็น TCP SYN Flood คอยดูด resource ของเครื่องแม่ข่าย สูงถึง 17% แต่ถ้าดูอันดับสองตามมาติดๆก็คือ SSDP 15%, UDP Fragment 14%, UDP Flood และ DNS เท่ากันที่ 11% และสุดท้ายเป็น NTP 8%
จุดที่น่าสนใจคืออันดับ 2-6 เป็น UDP ทั้งหมดเลย และเหตุผลที่ UDP ยังเป็นที่นิยมนั่นคือเป็นการสื่อสารแบบ State less หรือก็คือการส่งแบบไม่ต้องมีการตรวจสอบ ซึ่งทำให้สามารถปลอมแปลงข้อมูลเช่น IP Address ได้ ซึ่งเทคนิคที่นิยมจนเป็น Talk of the Town ก็คือ Reflection หรือบ้างครั้งก็เรียกกันว่า Amplification โดยในบทความวันนี้ได้นำ diagram มาให้แต่ขอยกยอดไปต้นฉบับคราวหน้าเพื่อให้มีพื้นที่เต็มที่ แต่จะบอกว่าการโจมตีประเภท Reflection Amplification นี้คือว่าเป็น Attack of the Year 2014 กันเลยทีเดียว แบบว่าจัดหนัก จัดเต็ม จุกจริงไรจริง วิ่งไปที่ไหนอัด Bandwidth ได้เต็มที่จริงๆ 300Gbps ก็มีให้เห็นกันแล้วพี่น้องงงงงง
แถมซักหน่อย ความเห็นส่วนตัวที่พบการโจมตีชนิด Reflection Amplification คือในประเทศไทยจะพบว่า DNS จะโจมตีมาบ่อยแต่ถ้ามาจากต่างประเทศมักจะเป็น SSDP ใครเคยโดนแบบไหนก็แชร์กันได้นะครับ
บทสรุป
สำหรับความนิยมจากการจัดอันดับจากทาง Akamai ผู้ชนะคืออออออออออออ ฟริ้นสโตนนนนนน Volume base Attack!!!!!!!! เกือบ 90% ใช้ Volume base Attack โจมตี แต่ก็นะ…ก็ทั้งง่าย ไม่ต้องมี Botnets ก็โดนได้และอีกครั้งที่ต้องเตือนกันคือส่วนใหญ่แล้วถ้าไม่ได้ยิง Game Server เขาก็จะยิงกันไปที่ Web Server!!!
สำหรับฉบับนี้ขอจบด้วยการแนะนำตัวละครใหม่คือน้อง Blended น้องคนนี้มีสภาพเป็นนักรบในอนาคต… ใช่ครับในอนาคตการโจมตีแบบ Blended จะมีมากขึ้นโดย Blended Attack แปลตรงตัวคือการการโจมตีแบบผสมผสาน… ไม่จำเป็นต้องมีแค่เทคนิคเดียวแล้วในการโจมตี แต่ใช้เทคนิคเท่าที่แฮคเกอร์มี (แต่ส่วนใหญ่ขอบอกว่า จ้างเอาทั้งนั้น) ระดมใส่เข้าไปยังเป้าหมาย อย่างว่าครับ DDoS Distributed Denial of Service ก็คือการทำให้เป้าหมายร่วง ใช้งานไม่ได้ เขาไม่สนวิธีการอยู่แล้ว
ฉบับสัปดาห์นี้ลาก่อน ขอให้ทุกท่านสุขภาพแข็งแรง อากาศเปลี่ยนแปลงบ่อย อยู่ๆฝนก็ตก พักผ่อนเยอะๆนะคร๊าบบบบบบบบบบ
—— มันเกิดกับคุณได้เหมือนกัน! ——
