คู่มือฉบับย่อเพื่อทำความเข้าใจการโจมตี DDoS และวิธีการบรรเทาสาธารณภัย
เผยแพร่แล้ว: 2016-04-25ด้วยธุรกิจที่ต้องพึ่งพาอินเทอร์เน็ตเป็นอย่างมาก สิ่งสำคัญอย่างยิ่งคือต้องแน่ใจว่าคุณมีการป้องกัน DDoS ที่เหมาะสมจากการโจมตีทุกรูปแบบ การบุกรุกแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายเป็นรูปแบบการโจมตีเสมือนจริงที่ง่ายที่สุดรูปแบบหนึ่งที่จะดำเนินการด้วยเครื่องมือที่เข้าถึงได้ง่ายจำนวนมากขึ้นเรื่อยๆ แต่ยังก่อให้เกิดภัยคุกคามที่ใหญ่ที่สุดอีกด้วย การโจมตี DDoS สามารถทำได้โดยบริการเว็บที่เรียบง่าย แต่ก็สามารถทำลายเซิร์ฟเวอร์ที่เสถียรที่สุดได้ ออกแบบมาเพื่อครอบงำบริการด้วยการร้องขอ การโจมตีเหล่านี้ป้องกันการเข้าถึงของสาธารณะและหยุดการดำเนินการหรือการขายใดๆ ที่อาจเกิดขึ้น
ธุรกิจจำนวนมาก โดยเฉพาะอย่างยิ่งในขนาดที่เล็กกว่า ไม่สามารถสร้างการป้องกันที่เป็นอิสระต่อการโจมตีประเภทนี้ หรือรับเซิร์ฟเวอร์ DDoS Secure อย่างไรก็ตาม เมื่อภัยคุกคามจากการโจมตีเพิ่มขึ้น ความพร้อมใช้งานของความช่วยเหลือจากภายนอกก็เพิ่มขึ้นเช่นกัน ในรายงานการรักษาความปลอดภัยโครงสร้างพื้นฐานทั่วโลกประจำปี Arbor Networks ตระหนักถึงความต้องการที่สำคัญจากลูกค้าในการตรวจจับและป้องกัน DDoS มากถึง 74% จาก 4% เพียงเล็กน้อยของปีที่แล้ว
การโจมตี DDoS คืออะไรและคุณจะปกป้องธุรกิจของคุณจากการตกเป็นเหยื่อของการบุกรุกที่โหดเหี้ยมได้อย่างไร
วิธีการโจมตี DDos
ดูเหมือนง่ายในทางทฤษฎี การโจมตี DDoS สามารถใช้วิธีการต่างๆ ในการท่วมเซิร์ฟเวอร์ของคุณ ทำให้ยากต่อการระบุแหล่งที่มาและวิธีการบุกรุก
- Volumetric Attacks – การใช้แบนด์วิดท์ทั้งหมดของคุณเป็นวิธีที่ง่ายในการปิดบริการ ส่งคำขอจำนวนมากในเวลาเดียวกัน และแม้แต่เว็บเซิร์ฟเวอร์ที่เสถียรที่สุดก็สามารถถอดออกได้ โดยทั่วไปแล้วจะทำผ่าน "บ็อตเน็ต" ซึ่งเป็นชุดของคอมพิวเตอร์ที่ติดมัลแวร์นับพันจากทั่วโลกซึ่งควบคุมโดยแฮ็กเกอร์เพียงคนเดียว เมื่อเครื่องทั้งหมดเหล่านี้ถูกนำเข้าสู่เว็บไซต์เดียว ปริมาณการรับส่งข้อมูลที่มากเกินไปจะทำให้เซิร์ฟเวอร์ล่มและทำให้หน้าเว็บของคุณล่ม
- Application Layer Attacks – มีชั้นแนวตั้งเจ็ดชั้นที่ประกอบกันเป็นอินเทอร์เน็ต โดยแต่ละชั้นจะใช้โปรโตคอลที่แตกต่างกันในการส่งข้อมูล สิ่งนี้เรียกว่าโมเดลการเชื่อมต่อโครงข่ายระบบเปิด และเป็นการแสดงถึงวิธีการทำงานของเครือข่าย เลเยอร์สุดท้ายและเจ็ดของโมเดลนี้เรียกว่า Application Layer เลเยอร์ที่ 7 เป็นเลเยอร์ที่คุ้นเคยมากที่สุด และประมวลผลการสื่อสาร HTTP และ SMTP จากการท่องเว็บขั้นพื้นฐานและบริการอีเมล การโจมตี DDoS บนเลเยอร์ของแอปพลิเคชันปิดบังกิจกรรมที่เป็นอันตรายเนื่องจากเป็นพฤติกรรมของมนุษย์ที่แท้จริง ซึ่งพยายามที่จะครอบงำและใช้ทรัพยากรทั้งหมดในระดับนี้ เนื่องจากพวกมันพยายามเลียนแบบกิจกรรมจริง การโจมตีเหล่านี้จึงระบุได้ยากกว่ามาก
- การ โจมตีด้วยโปรโตคอล – แทนที่จะปิดบริการด้วยตัวเลขที่ชัดเจน การโจมตีโปรโตคอลมุ่งเน้นไปที่การอุดตันทรัพยากรโดยส่งคำขอ ping จากที่อยู่ IP ปลอม การโจมตีเหล่านี้ส่งคำขอไปยังเซิร์ฟเวอร์ของคุณด้วยที่อยู่ปลอมเหล่านี้ และเมื่อเซิร์ฟเวอร์ของคุณพยายามตอบสนอง พวกเขาจะนั่งรออย่างไม่รู้จบโดยหวังว่าจะได้รับการตอบกลับ หรือถูกส่งกลับพร้อมกับคำขอจำนวนมากโดยไม่จำเป็น สิ่งนี้ขัดขวางทรัพยากรจากการดำเนินการและดำเนินการตามคำขอและบริการอื่น ๆ
ทำไมคุณถึงต้องการการป้องกัน DDoS
ในรายงานความปลอดภัย Arbor Networks ระบุว่าการโจมตี DDoS เพิ่มขึ้นอย่างมากจากปีก่อนหน้า ในปี 2558 ผู้ให้บริการ 44% ตรวจพบการโจมตีมากกว่า 21 ครั้งต่อเดือน เพิ่มขึ้นจาก 38% ก่อนหน้านี้ ด้วยความต้องการการเชื่อมต่ออย่างต่อเนื่องและการเข้าถึงทันที ลูกค้าอาจถูกขัดขวางจากบริการของคุณ หากการโจมตี DDoS ทำให้เว็บไซต์ของคุณล่มอยู่เสมอ เฉพาะในอุตสาหกรรม VOIP เท่านั้น รายงานสรุปว่าจำนวนการโจมตี DDoS บนผู้ให้บริการได้เพิ่มขึ้นจากเพียง 9% ของการโจมตีทั้งหมดในปี 2014 เป็น 19% ในปี 2015
แรงจูงใจหลักที่อยู่เบื้องหลังการโจมตี DDoS ดูเหมือนจะเป็น "อาชญากรที่แสดงให้เห็นถึงความสามารถในการโจมตี" โดยมี "การเล่นเกม" และ "ความพยายามกรรโชกทางอาญา" ที่ตามมาไม่ไกลนัก ถูกแล้ว – การกรรโชกทางอาญา ไม่ใช่เรื่องแปลกที่แฮ็กเกอร์จะส่งการโจมตี DDoS เล็กๆ น้อยๆ ที่เตือนเป็นภัยคุกคาม ตามด้วยอีเมลเรียกค่าไถ่ที่มีภัยคุกคามจากการหยุดชะงักที่รุนแรงยิ่งขึ้นต่อบริการ
ไม่เพียงแต่พวกเขาสามารถขัดจังหวะบริการของคุณเท่านั้น แต่ Arbor Networks ยังสังเกตเห็นการเพิ่มขึ้นของการโจมตี DDoS ที่ใช้บ่อยขึ้นในฐานะหน้าจอควัน ความพยายามที่จะปกปิดการเปิดใช้งานที่เป็นอันตรายอื่นๆ เช่น การติดมัลแวร์ การขโมยข้อมูล หรือแม้แต่การฉ้อโกง
การบรรเทาสาธารณภัย DDoS ทำงานอย่างไร
โดยธรรมชาติแล้ว การโจมตี DDoS นั้นจัดการได้ยากมากในขณะที่กำลังเกิดขึ้น แนวป้องกันที่ดีที่สุดคือการปรับใช้และตั้งค่ามาตรการเชิงรุกเพื่อวิเคราะห์ข้อมูลที่เข้ามา และลดคำขอที่เป็นเท็จหรือมุ่งร้าย อย่างไรก็ตาม การเลือกการป้องกัน DDoS ที่ดีที่สุดอาจทำได้ยากพอๆ กับการโจมตี และเป็นสิ่งสำคัญที่จะต้องทราบไม่เพียงแต่คุณลักษณะของการป้องกันเหล่านี้เท่านั้น แต่ยังรวมถึงวิธีการและเครือข่ายสนับสนุนด้วย แม้ว่าบริการหนึ่งอาจมีคุณลักษณะและวิธีการที่ดีที่สุด แต่ไม่มีเครือข่ายสนับสนุนที่เหมาะสมที่สามารถจัดการกับปริมาณข้อมูลที่แท้จริงได้ การป้องกันจะล้มเหลว
- คุณถูกโจมตีหรือไม่?
สิ่งสำคัญอันดับแรกคือต้องตรวจสอบว่าบริการของคุณตกเป็นเหยื่อของการโจมตี DDoS หรือไม่ การป้องกันจะต้องสามารถแยกแยะการรับส่งข้อมูลที่ดี (ลูกค้าของคุณ) ออกจากการรับส่งข้อมูลที่ไม่ดี (การโจมตี) หากบริการบรรเทาผลกระทบเพียงตรวจพบการรับส่งข้อมูลและปิดคำขอที่เข้ามาทั้งหมด แสดงว่าคุณมีปัญหาเดียวกันกับผู้ใช้ที่ถูกต้องตามกฎหมายที่ไม่สามารถเข้าถึงหน้าเว็บหรือบริการของคุณได้ นี่คือที่มาของบริการ Bot Discernment และ Deep Packet Inspection วิธีการเหล่านี้ได้รับการพัฒนาเพื่อแยกความแตกต่างระหว่างการรับส่งข้อมูลที่ดีและไม่ดี
-Redirect การจราจรที่ไม่ดี
เมื่อรับรู้แล้ว การรับส่งข้อมูลที่ไม่ดีจะต้องได้รับการบรรเทาและเปลี่ยนเส้นทางอย่างเหมาะสมจากเซิร์ฟเวอร์ของคุณ นี่คือจุดที่ความแข็งแกร่งและระดับของเครือข่ายการป้องกันเข้ามามีบทบาท ปิงที่ไม่ดีทั้งหมดจะถูกลบออกจากคุณ และกรองผ่านโครงสร้างพื้นฐานการบรรเทาผลกระทบ – ไปยังบริการป้องกัน การรับส่งข้อมูลที่ไม่ดีนั้นจะถูกกรองผ่านศูนย์ปฏิบัติการการรักษาความปลอดภัยของบริการป้องกันของคุณ ด้วยเครือข่ายที่อ่อนแอเกินไปและศูนย์น้อยเกินไป บริการป้องกันจะไม่สามารถรับมือกับคำขอที่หลั่งไหลเข้ามา โดยพื้นฐานแล้วสิ่งนี้จะทำให้การป้องกันการโจมตีที่แท้จริงเป็นโมฆะ ดังนั้นจึงเป็นสิ่งสำคัญที่จะเปรียบเทียบจำนวนและตำแหน่งของการดำเนินการด้านความปลอดภัยเหล่านี้ หรือการขัดถู ศูนย์เมื่อพิจารณาผู้ให้บริการการป้องกัน
- ใช้การป้องกันของคุณ
ด้วยบริการป้องกันส่วนใหญ่ที่ปรับแต่งได้ตามความต้องการของธุรกิจของคุณ วิธีการตั้งค่าและบำรุงรักษาการป้องกัน DDoS ของคุณอาจแตกต่างกันอย่างมาก ขึ้นอยู่กับระดับความสำคัญ การป้องกันของคุณสามารถทำงานได้ตลอดเวลาและเปิดตลอดเวลา ไม่ต่อเนื่องตามเวลาที่กำหนด หรือแม้แต่เปิดและปิด วิธีการปรับใช้ที่แตกต่างกันยังแตกต่างกันไปตามวิธีที่คุณต้องการให้บริการทำงาน ไม่ว่าจะเป็นบนคลาวด์ด้วยฮาร์ดแวร์ในสถานที่หรือรุ่นไฮบริดที่ใช้ทั้งสองอย่าง การเลือกวิธีการปรับใช้ที่เหมาะสมจะแตกต่างกันไปตามขนาดธุรกิจของคุณ ความเร่งด่วนในการป้องกัน และแม้แต่ความสามารถด้านไอที ฮาร์ดแวร์ในสถานที่อาจต้องการการสนับสนุนในสถานที่เพิ่มเติม และอาจมากเกินไปสำหรับทีมไอทีขนาดเล็กที่จะจัดการ ในขณะเดียวกันบริการคลาวด์ส่วนใหญ่จะได้รับการดูแลโดยผู้ให้บริการอย่างสมบูรณ์ และจะแจ้งเตือนคุณเมื่อมีการโจมตี แทนที่จะสลับการป้องกันเมื่อคุณทราบถึงการโจมตี
เปรียบเทียบ 6 DDoS Mitigation Solutions
ด้วยความเข้าใจอย่างถ่องแท้ว่าการโจมตี DDoS คืออะไรและจะบรรเทาได้อย่างไร จึงต้องวิเคราะห์ข้อเสนอโซลูชันต่างๆ ในตลาดอย่างใกล้ชิดเพื่อพิจารณาประสิทธิภาพ ดังที่ได้กล่าวไว้ก่อนหน้านี้ การป้องกันไม่เพียงแต่ใช้วิธีการป้องกันที่เหมาะสมเท่านั้น แต่ยังต้องมีการสนับสนุนเครือข่ายที่เพียงพอเพื่อบรรเทาการโจมตีใดๆ อย่างเหมาะสม นอกเหนือจากคุณสมบัติทั่วไปแล้ว สิ่งสำคัญคือต้องสังเกตจำนวนศูนย์ปฏิบัติการความปลอดภัยที่มีการป้องกัน ตลอดจนความจุของเครือข่าย
ด้วยศูนย์ความปลอดภัยน้อยเกินไป หรือความจุของเครือข่ายน้อยเกินไป เครื่องมือบรรเทาปัญหาที่ดีที่สุดจะไม่สามารถป้องกันการโจมตีได้อย่างเหมาะสม เนื่องจากไม่มีที่ที่จะส่งปริมาณข้อมูล วิธีง่ายๆ ในการทำความเข้าใจเรื่องนี้คือการเชื่อมโยงกับตู้เก็บค่าผ่านทางสำหรับการข้ามสะพาน จุดเข้าด่วนที่ไม่ต้องให้รถหยุดและชำระค่าผ่านทางช่วยให้ผ่านเร็วขึ้น แต่ถ้าจำนวนจุดเข้า จำกัด ที่ 2 หรือ 3 เมื่อชั่วโมงเร่งด่วนมาถึงการไหลเข้าของรถยนต์จะถูกช่องทางเข้า จำกัด คะแนน หากไม่มีโครงสร้างพื้นฐานที่เหมาะสมเพื่อให้มีจุดเข้าใช้งานมากขึ้น ระบบก็จะล้นมือและประโยชน์ของระบบการชำระเงินที่เร็วขึ้นก็จะไร้ผล
การโจมตี DDoS นั้นยากต่อการจำลอง และการทดสอบแต่ละบริการป้องกันนั้นไม่สามารถทำได้ทั้งหมด เพื่อที่จะแยกย่อยข้อเสนอของผู้ให้บริการแต่ละราย เราจึงดึงข้อมูลจากหน้าเว็บของแต่ละคน ตลอดจนการวิจัยอิสระและการติดต่อกับผู้ให้บริการ ด้านล่างนี้ คุณจะพบแผนภูมิที่สรุปบริการที่โดดเด่นที่สุดและคุณลักษณะที่เทียบเคียงได้
 |  |  |  |  |  | |
| จำนวนศูนย์ปฏิบัติการรักษาความปลอดภัย | 4 | 42 | 4 | 27 | 3 | 5 |
| ความจุเครือข่าย (วัดเป็น TB ต่อวินาที) | 1 | ไม่มี | 1 | 1.5 | 0.5 | 1.7 |
| ไฟร์วอลล์ | ไม่ | ใช่ | ใช่ | ใช่ | ไม่ | ไม่ |
| การสังเกตบอทอัตโนมัติ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การตรวจสอบแพ็คเก็ตลึก | ใช่ | ไม่มี | ใช่ | ใช่ | ใช่ | ใช่ |
| การเปลี่ยนเส้นทาง DNS | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| เว็บพร็อกซี่ | ไม่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การตรวจสอบตามเวลาจริง | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การบล็อก IP | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| เปิดตลอดเวลา | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การปกป้องบนคลาวด์ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การป้องกันแบบไฮบริด | ใช่ | ไม่ | ไม่ | ใช่ | ใช่ | ใช่ |
| การตรวจสอบในสถานที่ | ใช่ | ไม่ | ไม่ | ใช่ | ไม่ | ไม่ |
| บริการลูกค้า 24/7 | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การสนับสนุนทางอีเมล | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| การสนับสนุนทางโทรศัพท์ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ |
| แชทสดทางเว็บ | ไม่ | ไม่ | ใช่ | ใช่ | ใช่ | ไม่ |
| ข้อมูลเพิ่มเติม | รายละเอียดเพิ่มเติม | รายละเอียดเพิ่มเติม | รายละเอียดเพิ่มเติม | รายละเอียดเพิ่มเติม | รายละเอียดเพิ่มเติม | รายละเอียดเพิ่มเติม |