[Networking] อะไรคือ DDoS Attack ?
เมื่อพูดถึงคำว่า DDoS Attack หลายคนอาจจะงงว่า มันคืออะไร เป็นการโจมตีแบบไหน ซึ่ง
DDoS ย่อมาจาก Districuted Denial of Service ถ้าตอบอย่างเป็นหลักการคือ
การโจมตีโดยการแบ่ง (Distributed) ในแบบ Denial of Service (DoS) gเป็นจำนวนของการโจมตีเป็นแบบกระจาย
ๆ จำนวนมาก ๆ โดยมีเป้าหมาย หรือ Target เดียวกัน ซึ่งจะแตกต่างจาก DoS คือ DoS
จะเป็นการโจมตี จากเครื่องๆ เดียวนั่นเอง
เรียกว่าเป็นการรุม ไปยังเป้าหมายเดียวกัน ซึ่งจะคล้าย ๆ
กับบทความก่อนหน้านี้ [Networking] เมื่อคำถามเรื่อง การกด F5 ทำให้เว็บล่มได้บังเกิด โดย ชนิดของ DDoS Attack นั่น แบ่งออกเป็น 3 ชนิดใหญ่ ๆ
นั่นคือ
- Traffic Attack คือการส่งข้อมูลจำพวก TCP, UDP และ ICMP จำนวนมาก ๆ ไปยังเป้าหมาย เพื่อให้ท่อ หรือ Link เต็ม Traffic หรือ request ที่ใช้งานจริงนั้น ไม่สามารถใช้งานได้
- Bandwidth Attack คือการส่งข้อมูลขยะจำนวนมาก ๆ ไปยังเป้าหมาย เพื่อให้ ท่อ หรือ Link เต็ม ไม่สามารถใช้งานใด ๆ ได้
- Application Attack คือการส่งข้อมูล request ที่ระดับ Application layer ไปจำนวนมาก ๆ ถี่ ๆ เพื่อให้เกิด request จำนวนมากไปยังเครื่องเป้าหมาย โดยมีความต้องการให้เครื่องที่ตกเป็นเป้าหมายนั้น รับการตอบ request ไม่ไหว จนเกิด Service unavailable นั่นเอง (เปรียบง่าย คือการรัวปุ่ม F5 นั่นเอง)
วิธีที่ 1 กับ 2 จะคล้าย ๆ กัน
แต่แตกต่างกันตรงที่ ชนิดของข้อมูลที่กระหน่ำส่งเข้าไป
แล้วจะมีวิธีไหนได้บ้างมั๊ยที่จะแก้ไขปัญหา หรือป้องกันได้ ?
การแก้ไขปัญหา หรือป้องกัน สามารถทำได้ โดยการใช้อุปกรณ์พิเศษ
ที่เรียกว่า DDoS Attack Protection หรืออีกวิธีคือ การบีบการใช้งาน (Rate
Limit) บนอุปกรณ์ระบบเครือข่ายที่มีอยู่
แล้วมันเป็นอย่างไร แตกต่างกันบ้างมั๊ย
แน่นอนว่า อุปกรณ์ DDoS Attack Protection นั้น มีวิธี
(Method) ในการป้องกันที่มากกว่า ละเอียดกว่า ยกตัวอย่างเช่น IP Anomaly,
User Behavior, HTTP Challenge, Flood protection เป็นต้น ซึ่ง วิธีการเปล่านี้
สามารถกำหนดได้แบบยืดหยุ่น และเป็นการกรองเป็นลำดับขั้น แต่ท้ายสุดแล้ว ถ้าเป็น Traffic
ที่ใช้งานจริง
ไม่ใช้การโจมตี แต่มีจำนวนมาก ๆ เกินกว่าที่จะเปิดให้ใช้บริการได้
ก็จะใช้วิธีสุดท้ายคือทำ Rate Limit นั่นเอง
ตัวอย่างรูป จะเรียกว่าเป็น Multi Vector DDoS Protection
Methods
ตัวอย่างง่าย ๆ คือ มีถนนอยู่ แต่มีจำนวนรถจำนวนมาก ๆ การป้องกัน
ก็เสมือนว่ามีการตั้งด่าน โดย
ด่านแรก คัดกรอง จับเฉพาะรถมอเตอร์ไซค์ ที่ไม่สวมหมวกกันน๊อก
ด่านที่สอง จับเฉพาะรถที่ไม่ต่อภาษี ด่านที่สาม ตรวจจับผู้ขับขี่
ที่ไม่มีใบอนุญาตขับขี่
และด่านสุดท้าย บีบเลน จากถนน 5 เลน ให้เหลือ 2 เลน เป็นต้น
แล้วต้นกำเนิดของ DDoS Attack มาจากที่ไหน ?
โดยวันนี้ ยังไม่ทราบว่า ต้นกำเนิดมาจากที่ได้ แต่ กว่า 20% ของการโจมตีชนิด
DDoS Attack นั้น มาจาก อินเดีย และ จีน นอกจากนี้ ยังมีการโจมตีจากประเทศอื่นๆ ได้แก่ อิหร่าน, อินโดนีเซีย
รวมถึง สหรัฐอเมริกาด้วยเช่นกัน เพราะงั้นอุปกรณ์ที่ใช้ป้องกัน DDoS Attack ส่วนใหญ่จะมาจากประเทศจีน เพราะเค้าคุ้นเคยกับการโจมตีแบบนี้ รวมถึงอาจจะเป็นการสร้าง Demand และ Supply ด้วย
สำหรับ Gartner’s Magic Quadrant สำหรับ
DDoS Attack Protection มีมั๊ย ?
ณ วันนี้ (2015) ยังไม่มี แต่ Gartner ได้เริ่ม
Aware สำหรับ DDoS Attack Protection บ้างแล้ว
เนื่องจากก่อนหน้านี้ การโจมตี ยังคงเป็นการโจมตีไปยังอุปกรณ์รักษาความปลอดภัย
เช่น Firewall, IPS, Core Switch, Application Layer เป็นต้น
แต่ปัจจุบัน พวก Botnet, APT มามีบทบาทมากขึ้นเรื่อย ๆ ดังนั้น
รูปแบบการโจมตีก็เริ่มเปลี่ยนไป ดังนั้น
ในปีหน้า (2016) อาจจะได้เห็นว่ามี Magic Quadrant สำหรับ
DDoS Attack Protection ก็เป็นได้
