ในเดือนตุลาคม 2559 การโจมตี DDoS เกิดขึ้นบน Dyn ซึ่งเป็นผู้ให้บริการ มันทำให้การเข้าถึงอินเทอร์เน็ตของชายฝั่งตะวันออกของอเมริกาทั้งหมดเป็นง่อย เซิร์ฟเวอร์ของ Dyn ถูกโจมตีด้วยทราฟฟิกข้อมูลจำนวนมหาศาล และความเร็ว 2Tbps ถูกบันทึกเป็นอัตราการถ่ายโอนข้อมูล การสังเกตนั้นน่าตกใจและเป็นการยากที่จะบรรลุความเร็วดังกล่าวในเวลานั้น
อย่างไรก็ตาม เมื่อสัปดาห์ที่แล้ว การโจมตี DDoS ขั้นสูงได้รับการบันทึกที่อัตราข้อมูล 1.7Tbps ผลกระทบของการโจมตีนั้นมากกว่าการโจมตี Dyn ที่วางก่อนหน้านี้ประมาณ 50% ปริมาณการใช้ข้อมูลจำนวนมากซึ่งอาจทำให้เว็บไซต์หยุดทำงาน ผู้ใช้อินเทอร์เน็ต 680,000 รายใช้ทรัพยากรทั้งหมดเพื่อเข้าถึงเว็บไซต์เดียวกันพร้อมกัน
การโจมตี DDoS กลายเป็นขั้นสูงได้อย่างไร
แฮกเกอร์พบวิธีใช้ประโยชน์จาก Memcached ซึ่งเป็นซอฟต์แวร์ที่สร้างขึ้นเพื่อเร่งเวลาในการโหลดหน้าเว็บ Memcached caches ข้อมูลขนาดใหญ่ที่ผู้ใช้ต้องการเข้าถึงอีกครั้ง โดยทั่วไป Memcached จะให้บริการจากเซิร์ฟเวอร์ระยะไกล
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัย Memcached ไม่ควรไม่ได้รับการป้องกันเมื่อเชื่อมต่อกับอินเทอร์เน็ต อย่างไรก็ตาม จากข้อมูลของ Project Sonar web scanner โดย Rapid พบว่ามีอุปกรณ์ Memcached มากกว่า 140,000 เครื่องที่มีความเสี่ยง ผู้โจมตีใช้ประโยชน์จาก Memcached เพื่อขยายการโจมตีเป้าหมายที่ปฏิเสธการให้บริการ พวกเขาส่งข้อมูลขยะชิ้นเล็ก ๆ ไปยัง Memcached โดยเฉพาะซึ่งทำให้เซิร์ฟเวอร์ของเป้าหมายท่วมท้นด้วยข้อมูลจำนวนมหาศาล แฮ็กเกอร์สามารถเพิ่มผลกระทบของการโจมตีได้มากถึง 51,000 เท่าเมื่อใช้ Memcached
คุณจะหยุดได้อย่างไร
มีผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์มากมายที่ทำงานเกี่ยวกับวิธีหยุดการโจมตี DDoS ขั้นสูง ผู้เชี่ยวชาญด้านความปลอดภัยจาก Homeland Security กำลังพยายามค้นหาวิธีที่มีประสิทธิภาพในการปกป้องพลเมืองของสหรัฐอเมริกาจากการโจมตี DDoS ขั้นสูงและทรงพลัง แม้แต่บริษัทอย่าง Akamai และ Alphabet ก็เข้าร่วมการต่อสู้กับภัยคุกคามนี้ นอกจากนี้ ความก้าวหน้าที่น่าทึ่งได้เกิดขึ้นในการต่อสู้กับเทคนิคนี้ เนื่องจากเว็บไซต์ GitHub รอดพ้นจากการโจมตี DDoS ที่ใช้ Memcached หลัก ๆ หนึ่งครั้ง เว็บไซต์ประสบปัญหาการหยุดทำงานเป็นเวลา 5 นาที จากนั้นจึงกลับมาใช้งานได้
ผู้โจมตีกำลังขนส่งแพ็กเก็ตโปรโตคอล UDP ปลอมไปยังเซิร์ฟเวอร์ Memcached ส่งผลให้แพ็กเก็ต UDP กระจายไปยังเว็บไซต์เป้าหมาย Corero บริษัทรักษาความปลอดภัยได้ออกคำสั่ง kill switch ที่สั่งให้เซิร์ฟเวอร์ที่ถูกโจมตีทำการล้างข้อมูลด้วยคำสั่ง “flush all” มันล้างแพ็กเก็ตข้อมูลทั้งหมดออกเพื่อระงับการปะทุจากการโจมตีเซิร์ฟเวอร์ วิธีการแก้ไขได้รับการทดสอบบนเซิร์ฟเวอร์จริงและได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพหนึ่งร้อยเปอร์เซ็นต์ในการหยุดการโจมตี Memcached อย่างไรก็ตาม มีการระบุว่า Memcached เวอร์ชัน 1.5.5 ขาดการควบคุมปริมาณข้อความเครือข่ายที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ ดังนั้นจึงมีการเผยแพร่การอัปเดตใหม่ที่ทำให้โปรโตคอล UDP พิการ ตอนนี้คุณต้องเปิดใช้งานโปรโตคอล UDP อย่างชัดเจน ควรดาวน์โหลดการอัปเดตนี้เพื่อลดปัญหา
อย่างไรก็ตาม มีหลายองค์กรทั่วโลกที่อาจไม่สามารถปกป้องตนเองได้เช่น GitHub ด้วยอำนาจการยิงดังกล่าว ผู้โจมตีสามารถทำให้เกิดการหยุดทำงานที่สำคัญและเป็นอันตรายต่อพวกเขาทางการเงิน
