0140 | DDoS : UDP (Spoofed) Flood
Saturday, December 22nd, 2012 Posted in IP Network | No Comments »บทความนี้เป็นส่วนหนึ่งของเนื้อหาเกี่ยวกับ DDoS (Distributed Denial of Service) หรือการพยายามโจมตีเพื่อให้เครื่องแม่ข่ายล่มครับ
ซึ่งจะทยอยเขียนตามอารมณ์และโอกาส และถ้าโดนยิงบ่อยๆ ก็จะเขียนบ่อยขึ้น (เอ๊ะยังไง?)
และแน่นอนว่าที่มานี่ก็เพราะเพิ่งโดนไปสดๆ ร้อนๆ อีกทีเลย (ฮา) จริงๆ วิธีนี้เป็นวิธีการโจมตีที่เถื่อนและถึกที่สุดเท่าที่มีแล้วครับ ด้วยวิธีง่ายๆ คือ ถล่มมันให้ bandwidth เต็มครับ โดยส่ง packet ขนาดใหญ่มากๆ มาเยอะๆ แค่นั้นเองครับ ส่วนจะ spoof หรือปลอมแปลง IP ต้นทางด้วยหรือไม่ก็ขึ้นอยู่กับวิธีการยิงครับ
จริงๆ แล้วก็ไม่ได้เจาะจงว่าเป็น UDP เท่าไหร่หรอกนะครับ จะ protocol อะไรก็ได้ที่ไม่ใช่ TCP แต่ส่วนมากอาจโดน filter ทิ้งกันง่ายๆ และ UDP สามารถหาเครื่องต้นทางไว้ยิงได้ง่ายกว่ากันมาก (เจาะเว็บชาวบ้านเอา script php เล็กๆ ไปวางซักตัวก็สั่งยิงได้แล้ว อะไรประมาณนั้น) และที่สำคัญกว่านั้นคือ วิธีป้องกันมีแค่วิธีเดียวครับ คือเราต้องใหญ่กว่า !!!
….
หมายถึงปริมาณ bandwidth ที่มีน่ะนะครับที่ใหญ่กว่า เช่นสมมติว่า bandwidth ที่ยิงมามีขนาด 100mbps เราก็ต้องหา server หรือ firewall ที่รองรับ traffic ได้มากกว่า 100mbps แล้วก็ drop ที่ firewall ให้หมด มันทำได้แค่นี้แหละครับ… หรือถ้าหาไม่ได้จริงๆ (อย่างเช่นว่าโดนยิงมา 1gbps เลย) ก็อาจต้องขอความร่วมมือจาก isp ให้ช่วย block ให้ด้วยอีกทางครับ
อ้อ แล้วก็ ถ้าจับได้ว่ายิงมาจากเครื่องไหนก็เอา ip ไปหาเจ้าของเครื่อง+ ISP ต้นทาง แล้วส่งเมลไปด่า เพื่อกำจัดต้นตออีกทีจะช่วยลดปัญหาไปได้อีกพอควรเหมือนกันครับ