หาช่องทางแฮก (DDOS)
-การ โจมตีที่เกิดขึ้นมักจะทำให้เกิดการใช้งานแบนด์วิดธ์จนเต็มที่ เช่น SYN flood ถ้าหากทำการกรองแพ็คเก็ตที่ ISP ได้ ก็จะสามารถลดผลกระทบที่จะเกิดขึ้นได้
-ติดตั้ง hardware ที่มีขีดความสามารถสูงไว้ระหว่างเครือข่ายของ ISP กับของระบบที่ต้องการป้องกัน เช่น การติดตั้งเราเตอร์ประสิทธิภาพสูง ที่สามารถทำ filtering ได้
-โดยปกติการโจมตีแบบ DoS ผู้โจมตีมักจะโจมตีไปยังเป้าหมายโดยระบุเป็น ip address โดยตรง ไม่ได้ผ่านการทำ DNS lookup มาก่อน ดังนั้น เมื่อเกิดการโจมตีขึ้น ยังสามารถหาหนทางหลบหลีกการโจมตีดังกล่าวได้ 2 วิธีคือ 1. เปลี่ยน ip address เมื่อเกิดการโจมตี 2. เปลี่ยน ip address ไปเรื่อยๆ แม้จะไม่มีการโจมตี ซึ่งการกระทำทั้งสองรูปแบบก็มีข้อดีข้อเสียต่างกัน ในรูปแบบแรกจะต้องมีระบบตรวจจับที่ดี สามารถแจ้งเตือนผู้ดูแลระบบให้สามารถปรับเปลี่ยน ip address ได้อย่างรวดเร็ว จะเห็นว่ามีช่องว่างระหว่างการดำเนินงานอยู่ แต่ก็มียังมีข้อดีที่ผู้โจมตีจะไม่สามารถรู้แทกติกนี้จนกว่าจะเริ่มโจมตี ในขณะที่วิธีที่สองจะมีความยากลำบากในการเริ่มโจมตีมากกว่า
มีวิธีปฏิบัติที่ใช้ได้จริงซึ่งต้องการการแก้ไขเพียงเล็กน้อย และพยายามลดผลกระทบที่จะเกิดขึ้นกับผู้ใช้ให้น้อยที่สุด ดังนี้
1. การแก้ไข DNS
การแก้ไข DNS entries โดยเปลี่ยน ip address ของระบบที่กำลังถูกโจมตีไปเป็น ip address ใหม่ ให้พยายามลดค่า TTL ของ DNS record ให้น้อยที่สุดเท่าที่จะเป็นไปได้ และพิจารณาว่าควรย้าย DNS server ไปยังลิ้งค์อื่นที่ไม่ใช่ลิ้งค์เดียวกันกับระบบที่กำลังถูกโจมตี โดยพิจารณาได้จาก traffic ที่จะเกิดขึ้นจาก DNS server เครื่องนี้ นอกจากนี้ควรตรวจสอบ secondary DNS server ด้วยว่ามีความพร้อมในการทำงานหรือไม่หาก primary DNS server มีปัญหา
2. Network Address Translation
หากระบบที่ถูกโจมตีสามารถใช้งาน NAT ได้ ก็จะทำให้ง่ายในการเปลี่ยน ip address หากไม่มี NAT ถูกติดตั้งในระบบไว้แล้ว ก็ควรติดตั้งเพิ่มเติม โดยปกติแล้วเราเตอร์ก็มีความสามารถนี้ นอกจากนี้ควรพิจารณาถึงระบบที่สามารถทำ load balancing ได้ เพื่อกระจายภาระงานให้ทั่วถึง
3. filter ค่า ip address เดิม
traffic ที่เข้ามายัง ip address ตัวเดิมจะมีแค่ traffic ที่เกิดจากการโจมตี และจากผู้ใช้ที่ยังใช้ค่า DNS entry เก่าเท่านั้น(ซึ่งเกิดจากการกระจายตัวของ DNS entry นั้นจะต้องใช้เวลาซักระยะ) ดังนั้นจึงสามารถบล็อก traffic สำหรับ ip address นี้ได้ หากไม่ต้องการให้ traffic ของ ip address ชุดเดิมเข้ามาภายในระบบก็สามารถทำได้โดยการยกเลิก routing สำหรับ ip address เดิมเสีย
4. ใช้ ip address ชุดใหม่และลิ้งค์ที่แตกต่าง
มีวิธีแก้ไขที่ได้ผลอีกวิธีคือ การเปลี่ยนไปใช้ลิ้งค์ชุดใหม่และ ip address บล็อกใหม่ทั้งหมด หากผู้โจมตีหยุดการโจมตีและเปลี่ยนเป้าหมายเป็น ip address ชุดใหม่ ผู้ดูแลระบบก็สามารถเปลี่ยน ip address และลิ้งค์กลับไปเป็นลิ้งค์เดิมได้
5. การป้องกันการโจมตี DNS server
การป้องกันการโจมตีที่กล่าวมาด้านบนนี้ อาศัยฟังก์ชันการทำงานของ DNS server เพื่อกระจายข่าวการเปลี่ยน ip address ชุดใหม่ ดังนั้นผู้โจมตีอาจจะเปลี่ยนเป้าหมายมาเป็น DNS server ก็เป็นได้ โดยสามารถโจมตีมายัง port 53 ทั้ง UDP flood หรือ SYN flood ได้ มีวิธีป้องกันดังต่อไปนี้
วางเครื่อง primary DNS server ไว้ในลิ้งค์ที่แยกต่างหาก
สำรองข้อมูลของ primary DNS server ไปยังที่ตั้งแห่งใหม่
สร้าง secondary DNS server ไว้ในหลายๆ จุด บนลิ้งค์ที่แตกต่างกัน
ใช้ primary DNS server ที่ผู้อื่นมองไม่เห็น (unadvertised) และเชื่อมโยงไปยัง secondary DNS server โดยลิ้งค์ที่แยกต่างหาก
สร้าง non-advertised secondary DNS server ที่สามารถพร้อม advertise ได้ตลอดเวลา
6.ผู้โจมตี
หากผู้โจมตีเปลี่ยนเป้าหมายมาเป็น ip address ใหม่ตามที่กำหนด จะทำให้สามารถประมาณการณ์การตั้งรับได้ เช่น
เมื่อผู้โจมตีซึ่งควบคุมการโจมตีเปลี่ยนแปลงคำสั่ง ก็จะทำให้เพิ่มโอกาสในการตามจับตัวได้ง่ายขึ้น
หากมีการจับตาดู traffic จะทำให้เพิ่มโอกาสในการตามจับตัวได้ง่ายขึ้น
credit by bebeza11
ข้อมูลจาก ruk-com.in.th
ไม่มีความคิดเห็น:
แสดงความคิดเห็น