การโจมตีแบบ DoS (Denial of Service) และ DDoS (Distributed Denial of Service)

เป็นรูปแบบของการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่การทำให้เป้าหมายไม่สามารถใช้งานได้ โดยหลักการทั้งสองแบบเหมือนกัน คือการทำให้เป้าหมายได้รับปริมาณการใช้งานที่มากเกินไปจนไม่สามารถตอบสนองต่อผู้ใช้ได้

แต่ทั้งสองรูปแบบการโจมตียังมีความแตกต่างที่สำคัญระหว่างการโจมตีแบบ DoS และ DDoS คือแหล่งที่มาของปริมาณการใช้งาน โดยการโจมตีแบบ DoS เป็นการโจมตีจากแหล่งที่มาเพียงแหล่งเดียว ในขณะที่การโจมตีแบบ DDoS เป็นการโจมตีจากแหล่งที่มาจำนวนมากในเวลาเดียวกัน

การโจมตีแบบ DoS สามารถดำเนินการได้โดยใช้เทคนิคต่างๆ เช่น

• SYN flood attack: เป็นการโจมตีที่ส่งคำขอเชื่อมต่อจำนวนมากไปยังเป้าหมาย ซึ่งจะทำให้เกิดการเชื่อมต่อที่ค้างอยู่ในระบบของเป้าหมายจนไม่สามารถตอบสนองต่อผู้ใช้อื่นๆ ได้
• UDP flood attack: เป็นการโจมตีที่ส่งแพ็กเก็ต UDP จำนวนมากไปยังเป้าหมาย ซึ่งจะทำให้เกิดปริมาณการใช้งานที่มากเกินไปจนทำให้เป้าหมายไม่สามารถตอบสนองต่อผู้ใช้ได้
• ICMP flood attack: เป็นการโจมตีที่ส่งแพ็กเก็ต ICMP จำนวนมากไปยังเป้าหมาย ซึ่งจะทำให้เกิดปริมาณการใช้งานที่มากเกินไปจนทำให้เป้าหมายไม่สามารถตอบสนองต่อผู้ใช้ได้

การโจมตีแบบ DDoS สามารถทำได้โดยใช้เทคนิคต่างๆ เช่น

• Botnet: เป็นการโจมตีที่ใช้ประโยชน์จากอุปกรณ์คอมพิวเตอร์ที่ติดเชื้อมัลแวร์ ซึ่งจะควบคุมอุปกรณ์เหล่านั้นให้ส่งปริมาณการใช้งานจำนวนมากไปยังเป้าหมาย
• Application layer attack: เป็นการโจมตีที่ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ของเป้าหมาย ซึ่งจะทำให้เกิดการตอบสนองที่มากเกินไปจนทำให้เป้าหมายไม่สามารถตอบสนองต่อผู้ใช้ได้

‍

ตัวอย่างการโจมตี DOS and DDOS Attack

ตัวอย่างการโจมตีแบบ DoS

• SYN Flood เป็นการโจมตีระบบโดยการส่งแพ็กเก็ต SYN จำนวนมากไปยังเป้าหมาย ระบบเป้าหมายจะตอบสนองโดยส่งแพ็กเก็ต SYN-ACK กลับไปยังผู้โจมตี แต่เนื่องจากผู้โจมตีปลอมแปลงที่อยู่ IP ต้นทางสำหรับแต่ละแพ็กเก็ต ระบบเป้าหมายจึงไม่สามารถระบุได้ว่าแพ็กเก็ต SYN-ACK ใดถูกต้อง และอันใดไม่ใช่ เป็นผลให้ระบบเป้าหมายใช้ทรัพยากรทั้งหมดตอบสนองต่อแพ็กเก็ต SYN ปลอม และการรับส่งข้อมูลที่ถูกต้องไม่สามารถรับการตอบกลับได้
• Ping Flood เป็นการโจมตีระบบโดยการส่งแพ็กเก็ต ICMP Echo Request จำนวนมากไปยังเป้าหมาย ระบบเป้าหมายจะตอบสนองโดยส่งแพ็กเก็ต ICMP Echo Reply กลับไปยังผู้โจมตี แต่เนื่องจากผู้โจมตีส่งแพ็กเก็ต ICMP Echo Request จำนวนมาก ระบบเป้าหมายจึงไม่สามารถตอบสนองต่อแพ็กเก็ตทั้งหมดได้ เป็นผลให้ระบบเป้าหมายใช้ทรัพยากรทั้งหมดตอบสนองต่อแพ็กเก็ต ICMP Echo Request และการรับส่งข้อมูลที่ถูกต้องไม่สามารถรับการตอบกลับได้
• UDP Flood เป็นการโจมตีระบบโดยการส่งแพ็กเก็ต UDP จำนวนมากไปยังเป้าหมาย ระบบเป้าหมายจะตอบสนองโดยส่งแพ็กเก็ต UDP กลับไปยังผู้โจมตี แต่เนื่องจากผู้โจมตีส่งแพ็กเก็ต UDP จำนวนมาก ระบบเป้าหมายจึงไม่สามารถตอบสนองต่อแพ็กเก็ตทั้งหมดได้ เป็นผลให้ระบบเป้าหมายใช้ทรัพยากรทั้งหมดตอบสนองต่อแพ็กเก็ต UDP และการรับส่งข้อมูลที่ถูกต้องไม่สามารถรับการตอบกลับได้

ตัวอย่างการโจมตีแบบ DDoS

• DNS Amplification Attack เป็นการโจมตีระบบโดยการส่งคำขอ DNS ไปยังเซิร์ฟเวอร์ DNS จำนวนมาก จากนั้นเซิร์ฟเวอร์ DNS เหล่านั้นจะตอบกลับคำขอด้วยคำตอบ DNS ขนาดใหญ่ ส่งผลให้ผู้โจมตีสามารถส่งปริมาณการใช้งานจำนวนมากไปยังเป้าหมายได้
• HTTP Flood เป็นการโจมตีระบบโดยการส่งคำขอ HTTP จำนวนมากไปยังเป้าหมาย ส่งผลให้เป้าหมายไม่สามารถให้บริการ HTTP ได้
• ICMP Flood เป็นการโจมตีระบบโดยการส่งแพ็กเก็ต ICMP จำนวนมากไปยังเป้าหมาย ส่งผลให้เป้าหมายไม่สามารถให้บริการ ICMP ได้

การโจมตีแบบ DoS และ DDoS มักถูกใช้เพื่อวัตถุประสงค์ต่างๆ เช่น การเรียกร้องค่าไถ่ การประท้วงทางการเมือง การโจมตีทางการแข่งขัน เป็นต้น องค์กรต่างๆ ควรมีมาตรการป้องกันเพื่อลดความเสี่ยงจากการถูกโจมตีแบบ DoS และ DDoS เช่น การติดตั้งระบบป้องกันไฟร์วอลล์ การกรองทราฟฟิก และการตรวจสอบเครือข่ายอย่างสม่ำเสมอ

ตัวอย่างเหตุการณ์ที่เกิดขึ้นจริง

DOS

ตัวอย่างเหตุการณ์หนึ่งที่เกิดขึ้นในปี 2023 คือ การโจมตีแบบ DoS ที่มุ่งเป้าไปที่เว็บไซต์ของธนาคารแห่งหนึ่งในประเทศไทย โดยแฮกเกอร์ได้ส่งคำขอจำนวนมากไปยังเว็บไซต์ของธนาคารอย่างรวดเร็ว จนทำให้เว็บไซต์ล่มเป็นเวลาหลายชั่วโมง เหตุการณ์นี้ส่งผลกระทบต่อผู้ใช้บริการของธนาคารจำนวนมากที่ไม่สามารถเข้าถึงเว็บไซต์ของธนาคารเพื่อใช้บริการได้

ผลกระทบจากเหตุการณ์การโจมตีแบบ DoS ที่มุ่งเป้าไปที่เว็บไซต์ของธนาคารในปี 2023 นี้ ส่งผลกระทบต่อผู้ใช้บริการของธนาคารจำนวนมาก ดังนี้

• ไม่สามารถให้บริการได้: การโจมตี DoS ได้ทำให้เว็บไซต์ของธนาคารไม่สามารถให้บริการผู้ใช้ได้ ผู้ใช้ไม่สามารถทำธุรกรรมทางการเงิน, ตรวจสอบยอด, หรือทำธุรกรรมอื่นๆ ที่เกี่ยวข้องกับบริการของธนาคารได้.
• ทำให้เกิดความไม่พอใจจากลูกค้า: ผู้ใช้บริการที่ไม่สามารถเข้าถึงเว็บไซต์ของธนาคารเพื่อใช้บริการมีความไม่พอใจ และอาจส่งผลกระทบต่อภาพลักษณ์และความไว้วางใจของธนาคาร.
• สูญเสียรายได้: ธนาคารมีความสูญเสียทางการเงินจากการไม่สามารถให้บริการตามปกติได้ ไม่เพียงแต่จากรายได้ที่ลดลง, แต่ยังมีค่าใช้จ่ายในการกู้คืนและป้องกันการโจมตีในอนาคต.
• ความไม่มั่นคงของธนาคาร: เหตุการณ์ DoS ทำให้ระบบของธนาคารไม่มีความมั่นคง, ซึ่งอาจทำให้เกิดความขัดแย้งในการทำธุรกรรมทางการเงินและอาจก่อให้เกิดเหตุการณ์ยุติความสัมพันธ์กับลูกค้า.
• สูญเสียชื่อเสียง: เหตุการณ์ DoS ที่ทำให้เว็บไซต์ของธนาคารล่มนานนับชั่วโมงอาจส่งผลกระทบต่อชื่อเสียงของธนาคาร ทำให้บริษัทหรือองค์กรส่งเสริมความเชื่อมั่นต่อระบบของตนเองจะต้องเผชิญกับความไม่พอใจจากสาธารณชน.

DDOS

ตัวอย่างเหตุการณ์หนึ่งที่เกิดขึ้นในปี 2023 คือ การโจมตีแบบ DDoS ที่มุ่งเป้าไปที่เว็บไซต์ของกระทรวงด้านความปลอดภัยของไทย โดยแฮกเกอร์ได้ส่งคำขอจำนวนมากไปยังเว็บไซต์ของกระทรวงอย่างรวดเร็ว จนทำให้เว็บไซต์ของกระทรวงไม่สามารถให้บริการได้

ผลกระทบ
การโจมตีแบบ DDoS ที่มุ่งเป้าไปที่เว็บไซต์ของกระทรวง ส่งผลกระทบต่อประชาชนและหน่วยงานที่เกี่ยวข้อง เช่น

• การขัดขวางบริการ (Service Disruption): การโจมตี DDoS ที่มีปริมาณข้อมูลมหาศาลสามารถทำให้เว็บไซต์ของกระทรวงไม่สามารถให้บริการได้ ผู้ใช้ที่พยายามเข้าถึงเว็บไซต์จะพบว่าไม่สามารถทำได้ ทำให้บริการต่าง ๆ ที่เกี่ยวข้องกับกระทรวงด้านความปลอดภัยไม่สามารถใช้งานได้
• ความไม่พอใจจากประชาชน: การไม่สามารถเข้าถึงข้อมูลหรือบริการจากรัฐบาลอาจทำให้ประชาชนไม่พอใจและส่งผลกระทบต่อความพึงพอใจและความเชื่อมั่นในการให้บริการของรัฐบาล
• ความเสียหายทางด้านภาพลักษณ์: การโจมตี DDoS ที่สำเร็จอาจทำให้รัฐบาลเสียหายทางภาพลักษณ์, ซึ่งอาจส่งผลกระทบต่อความไว้วางใจของประชาชนและเกิดการลดเชื่อมั่นในด้านความปลอดภัยของข้อมูลรัฐบาล
• ค่าใช้จ่าย: หลังจากการโจมตีสิ้นสุดลง กระทรวงจะต้องสูญเสียค่าใช้จ่ายในการฟื้นฟูระบบ และป้องกันการเกิดเหตุการณ์แบบนี้ในอนาคต และอาจต้องทำการปรับปรุงระบบที่มีความปลอดภัยมากยิ่งขึ้น ทำให้ระบบมีประสิทธิภาพยิ่งขึ้น ซึ่งต้องมีค่าใช้จ่ายในการจัดการ

การโจมตีแบบ DDoS เกิดจากแฮกเกอร์ใช้อุปกรณ์คอมพิวเตอร์ที่โจมตีหลายเครื่องพร้อมกัน เพื่อส่งคำขอไปยังเว็บไซต์เป้าหมายเป็นจำนวนมาก ซึ่งจะทำให้เว็บไซต์เป้าหมายไม่สามารถให้บริการได้ สาเหตุของการโจมตีแบบ DDoS อาจเป็นเพราะแฮกเกอร์ต้องการ

• สร้างความเสียหายต่อเว็บไซต์เป้าหมาย
• ขโมยข้อมูลหรือรหัสผ่านจากเว็บไซต์เป้าหมาย
• สร้างสถานการณ์ความตื่นตระหนกหรือสร้างความโกลาหล
• สร้างความขัดแย้งทางการเมือง

ข้อสังเกต DOS and DDOS Attack

ข้อสังเกตว่าโดนการโจมตีแบบ DoS และ DDoS มีดังนี้

• ปริมาณการใช้งานเพิ่มขึ้นอย่างผิดปกติ เป็นการสังเกตที่ง่ายที่สุด โดยการดูปริมาณการใช้งานในช่วงเวลาปกติและช่วงเวลาที่คาดว่าอาจมีการโจมตี หากพบว่าปริมาณการใช้งานเพิ่มขึ้นอย่างผิดปกติในช่วงเวลาดังกล่าว อาจเป็นไปได้ว่ากำลังถูกโจมตี
• ระบบหรือบริการทำงานช้าหรือหยุดทำงาน หากระบบหรือบริการทำงานช้าหรือหยุดทำงานอย่างกะทันหัน อาจเป็นไปได้ว่ากำลังถูกโจมตี
• บันทึกการรับส่งข้อมูลมีผิดปกติ หากตรวจสอบบันทึกการรับส่งข้อมูลแล้วพบว่ามีปริมาณการใช้งานจำนวนมากจากแหล่งที่มาที่ผิดปกติ อาจเป็นไปได้ว่ากำลังถูกโจมตี

• ปริมาณการใช้งานเพิ่มขึ้นอย่างผิดปกติ เป็นการสังเกตที่ง่ายที่สุด โดยการดูปริมาณการใช้งานในช่วงเวลาปกติและช่วงเวลาที่คาดว่าอาจมีการโจมตี หากพบว่าปริมาณการใช้งานเพิ่มขึ้นอย่างผิดปกติในช่วงเวลาดังกล่าว อาจเป็นไปได้ว่ากำลังถูกโจมตี
• ระบบหรือบริการทำงานช้าหรือหยุดทำงาน หากระบบหรือบริการทำงานช้าหรือหยุดทำงานอย่างกะทันหัน อาจเป็นไปได้ว่ากำลังถูกโจมตี
• บันทึกการรับส่งข้อมูลมีผิดปกติ หากตรวจสอบบันทึกการรับส่งข้อมูลแล้วพบว่ามีปริมาณการใช้งานจำนวนมากจากแหล่งที่มาที่ผิดปกติ อาจเป็นไปได้ว่ากำลังถูกโจมตี

วิธีป้องกัน DOS and DDOS Attack

วิธีป้องกันการโจมตีแบบ DOS และ DDoS มีดังนี้

1. ใช้ไฟร์วอลล์

ไฟร์วอลล์เป็นอุปกรณ์หรือซอฟต์แวร์ที่ทำหน้าที่กรองการรับส่งข้อมูลเครือข่าย ไฟร์วอลล์สามารถช่วยป้องกันการโจมตีแบบ DOS และ DDoS ได้โดยบล็อกการรับส่งข้อมูลที่เข้าข่ายเป็นภัยคุกคาม เช่น next-generation firewall

2. กรองทราฟฟิกขาเข้า

การกรองทราฟฟิกขาเข้าเป็นกระบวนการตรวจสอบการรับส่งข้อมูลขาเข้าก่อนที่จะอนุญาตให้เข้าสู่เครือข่ายของคุณ การกรองทราฟฟิกขาเข้าสามารถช่วยป้องกันการโจมตีแบบ DOS และ DDoS ได้โดยบล็อกการรับส่งข้อมูลที่ไม่ต้องการหรือน่าสงสัย

3. ใช้ Content Delivery Network (CDN)

CDN เป็นเครือข่ายศูนย์ข้อมูลทั่วโลกที่ทำหน้าที่จัดเก็บและส่งมอบเนื้อหาทางอินเทอร์เน็ต CDN สามารถช่วยป้องกันการโจมตีแบบ DOS และ DDoS ได้โดยกระจายโหลดการเข้าถึงเนื้อหาไปยังเซิร์ฟเวอร์หลายเครื่อง

4. เพิ่มความแข็งแกร่งให้เซิร์ฟเวอร์ของคุณ

เซิร์ฟเวอร์ที่แข็งแกร่งสามารถทนต่อการโจมตีแบบ DOS และ DDoS ได้ดีกว่า เซิร์ฟเวอร์ที่แข็งแกร่งควรมีการปรับปรุงต่อไปนี้:

• การใช้ฮาร์ดแวร์ที่มีประสิทธิภาพ
• การใช้ซอฟต์แวร์ที่อัปเดตอยู่เสมอ
• การตั้งค่าพารามิเตอร์เครือข่ายที่เหมาะสม

5. ตรวจสอบการรับส่งข้อมูลเครือข่ายของคุณ

การติดตามการรับส่งข้อมูลเครือข่ายของคุณจะช่วยให้คุณระบุการโจมตีแบบ DOS และ DDoS ได้อย่างรวดเร็ว การติดตามการรับส่งข้อมูลเครือข่ายของคุณสามารถทำได้โดยใช้เครื่องมือตรวจสอบการบุกรุกหรือระบบตรวจสอบความปลอดภัยอื่นๆ

นอกจากวิธีข้างต้นแล้ว ยังมีวิธีอื่นๆ ในการป้องกันการโจมตีแบบ DOS และ DDoS เช่น การฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์ การปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ และการรักษาความปลอดภัยเครือข่ายของคุณอย่างสม่ำเสมอ

ต่อไปนี้เป็นเคล็ดลับเพิ่มเติมในการป้องกัน DOS and DDOS Attack:

• ใช้ชื่อโดเมนที่กำหนดเองแทนที่อยู่ IP สาธารณะ
• ตั้งค่าการตรวจสอบความถูกต้องสองปัจจัย (2FA) สำหรับบัญชีผู้ใช้ทั้งหมด
• สำรองข้อมูลเว็บไซต์และข้อมูลของคุณเป็นประจำ
• แจ้งให้หน่วยงานบังคับใช้กฎหมายทราบหากเว็บไซต์ของคุณถูกโจมตี

การโจมตีแบบ DOS และ DDoS อาจเป็นอันตรายต่อธุรกิจและองค์กรต่างๆ การป้องกันตัวเองจากการโจมตีเหล่านี้เป็นสิ่งสำคัญเพื่อให้แน่ใจว่าเว็บไซต์และข้อมูลของคุณปลอดภัย

วิธีแก้ไข DOS and DDOS Attack

เมื่อโดนการโจมตีแบบ DOS หรือ DDoS แล้ว สิ่งสำคัญคือต้องรีบดำเนินการเพื่อแก้ไขการโจมตีและลดผลกระทบต่อเป้าหมาย วิธีแก้ไขการโจมตีแบบ DOS และ DDoS มีดังนี้

1. ระบุแหล่งที่มาของการโจมตี

ขั้นตอนแรกในการแก้ไขการโจมตีคือต้องระบุแหล่งที่มาของการโจมตี สามารถทำได้โดยการตรวจสอบปริมาณข้อมูลขาเข้าไปยังเป้าหมาย และดูว่ามาจากแหล่งใดบ้าง

2. บล็อกที่อยู่ IP ของผู้โจมตี

เมื่อระบุแหล่งที่มาของการโจมตีแล้ว ขั้นตอนต่อไปคือการบล็อกที่อยู่ IP ของผู้โจมตี วิธีนี้จะช่วยป้องกันไม่ให้ผู้โจมตีส่งข้อมูลไปยังเป้าหมายได้อีก

3. ปรับแต่งการตั้งค่าเครือข่าย

อาจจำเป็นต้องปรับแต่งการตั้งค่าเครือข่ายเพื่อลดผลกระทบจากการโจมตี เช่น การเพิ่มแบนด์วิดท์หรือลดจำนวนการเชื่อมต่อที่อนุญาตต่อ IP เดียว

4. ใช้บริการป้องกัน DDoS

หากเป้าหมายมีขนาดใหญ่หรือมีความสำคัญมาก อาจจำเป็นต้องใช้บริการป้องกัน DDoS บริการเหล่านี้สามารถช่วยกรองปริมาณข้อมูลขาเข้าที่ไม่ต้องการและป้องกันไม่ให้เป้าหมายตกเป็นเป้าหมายของการโจมตี

5. กู้คืนจากความเสียหาย

หากการโจมตีทำให้เป้าหมายเสียหาย อาจจำเป็นต้องกู้คืนจากความเสียหาย วิธีนี้อาจรวมถึงการกู้คืนข้อมูล การซ่อมแซมระบบ หรือการเปลี่ยนฮาร์ดแวร์