สวัสดีเดือนธันวาคมครับ จะผ่านไปอีกปีแล้วเนอะ เรื่องอื่นๆ ค่อยมาว่ากันอีกที คราวนี้เรามาว่ากันเรื่องเซิฟเวอร์โดนยิงกันดีกว่า
พักหลัง AuditionPVS โดนถล่มกันไม่เว้นแต่ละวันกันเลยทีเดียว ดีนะไม่ 3 เวลาหลังอาหารแบบแต่ก่อน วิธีการยิงก็สุดแล้วแต่ไอคนยิงจะคิดมาได้ แต่ก็ป้องกันได้เกือบหมดแหละ
วิธีที่ฮิตแต่ก่อน DNS Amplification Attack
พี่ท่านเล่นเอาซะกราฟ Bandwidth พุ่งกันเลยทีเดียว ตอนนั้นผมเซท Firewall ผิดไปหน่อยจน Firewall ร่วงซะเองเวลาโดน dns amp มาหนักๆ แต่ตอนนี้ไม่เป็นอะไรแล้วแหละ วิธีนี้จะทำให้ Bandwidth เต็มเฉยๆ ครับ เพราะเป็น UDP Stateless Attack ทำให้ไม่มีผลกับ Application ใดๆ ในเครื่อง แต่ก็ปวดหัวเพราะ noc ด่าเอาเหมือนกัน เพราะยิงมาทีไม่ใช่มาเบาๆ เกือบ 5 Gbps แน่ะ แต่วิธีนี้พวกเกรียนไทยก็คงไม่ทำกันเองหรอก เพราะเครื่องไม้เครื่องมือในการยิงวิธีนี้ ต้องใช้ทักษะพอสมควร ส่วนใหญ่จะไปจ้างพวกเวป DDOS มากกว่า ก็ปล่อยๆ มันไป….
มาถึงตัวที่สอง TCP Syn Flood Attack
ตัวนี้ไม่ค่อยเจอนัก แต่ก็มีบ้าง ซึ่ง Layer 3 Firewall ก็ดรอปทิ้งได้หมด ยิงไม่ล่มอยู่แล้ว ขอข้ามไปละกัน
ตัวที่เจอกันจนถึงตอนนี้ HTTP Flood , TCP Flood
HTTP Flood เป็นวิธีที่ค่อนข้างนิยมในการโจมตีเวปไซต์ให้ล่มกันเลยทีเดียว โดยการโหลดหน้าเพจเดิมรัวๆ จน Web Down แต่ก็ถูกดักและบล๊อกได้ง่ายโดย Web Application Firewall (Layer 7) ครับ
ส่วน TCP Flood นี่ ไม่ค่อยเห็นมีใครใช้เท่าใหร่ เพราะหากเป็นการยิงแบบ 1-1 จะทำให้เครื่องคนยิงล่มซะเองมากกว่า ในกรณีที่เครื่องปลายทางแรงกว่า ในสมัยก่อนจึงไม่มีใครยิงแบบนี้กันครับ แต่นั่นกรณี 1-1 นะครับ ในกรณีที่เป็น 100-1 ผลจะร้ายแรงกว่านั้นมาก มาดูตัวอย่างกัน
อันนี้เป็นการ ddos ที่มาจากหลาย IP หรือที่เรียกกันว่า Botnet นั่นเอง คลิปวันที่ 19 ถ่ายตอน 5 ทุ่มกว่าๆ botnet น่าจะไปนอนกันหมดแล้ว Volume เลยไม่สูงมาก ต้องมาดูวันที่ 20 ซึ่งถี่กว่ามาก (ยิงมาตอนกำลังเขียนเอนทรี่นี้แหละครับ)
ถ้าหากไม่มีการป้องกัน TCP Flood Attack จะเป็นการโจมตีที่ค่อนข้างมีประสิทธิภาพพอสมควรเลยทีเดียว และก็ป้องกันได้ยากพอสมควร แต่ก็ไม่ยากเท่าใหร่หรอกครับหากเทียบกับ DNS Amp แค่มี Layer 3 Firewall ดีๆ ซักตัวก็กันได้แทบจะ 100% แล้วครับ
วันนี้ขอลาเท่านี้แหละครับ 😛
