ผู้เขียน หัวข้อ: คุณรู้จักการโจมตีจาก DoS(Denial of Service) ไหม  (อ่าน 13882 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ pa_net

  • Hero Member
  • *****
  • กระทู้: 508
  • หน้าที่ Admin คือ ทำได้ทุกอย่าง ยากเว้นดูแลใจตัวเอ
  • Respect: 0
    • ดูรายละเอียด
คุณรู้จักการโจมตีจาก DoS(Denial of Service) ไหม
« เมื่อ: มกราคม 29, 2009, 09:15:59 AM »
0
คือไม่มีอะไรครับ แค่อยากให้ความรู้เล็กๆน้อยแก่ ชุมชน Hosxp  ซึ่งตอนนี้ผมกำลังโดนโจมตีอยู่กำลังแก้ไขไปด้วย
 ;D ;D ;D :'(
Denial of Service (DoS) FAQ
Denial of Service (DoS) FAQ แปลและเรียบเรียงจาก Denial of Service (DoS) FAQ
FAQ (Frequently Ask Question) นี้มีเนื้อหาเกี่ยวกับการโจมตีแบบ denial of service (DoS) ในรายละเอียด มีลิงค์ไปยังซอฟท์แวร์ที่สามารถใช้เพื่อการโจมตีแบบ DoS ด้วย เราไม่สนับสนุนให้ใช้ซอฟท์แวร์นี้ อย่างไรก็ตามการมองกลับไปยังซอฟท์แวร์ที่ใช้สำหรับการโจมตีแบบ DoS ช่วยให้คุณสามารถหาหลักฐานของระบบ ที่ถูกละเมิดความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อคุณไม่มีชุดซอฟท์แวร์สำหรับการสแกนหาช่องโหว่ทางด้าน ความปลอดภัย
1.0 การโจมตีแบบ Denial of Service (DoS) คืออะไร ?
การโจมตีแบบ denial of service สามารถเข้าใจได้ง่ายและมีประสิทธิภาพมาก ผู้โจมตีพยายามทำให้ service (งานที่ทำ/หรือเสนอให้โดยเซิร์ฟเวอร์)ของไซต์นั้นไม่สามารถทำงานได้โดยการส่งคำร้องขอ(requests) ลักษณะเหมือนกับการที่เด็กน้อยอายุ 5 ขวบ พยายามดึงเสื้อขนสัตว์ของแม่อย่างไม่หยุดหย่อนในขณะที่เธอกำลัง คุยโทรศัพท์อยู่ คุณสามารถทำได้หลายอย่างในเวลาเดียวเท่านั้น เช่น ถ้าคุณมีเซิร์ฟเวอร์รับส่งเมลที่สามารถ รับและส่งเมล 10 ข้อความในหนึ่งวินาที ผู้โจมตีก็เพียงแต่ส่งข้อความไปยังเซิร์ฟเวอร์นั้น 20 ข้อความต่อหนึ่งวินาที อาจทำให้การติอต่อสื่อสารกับภายนอกที่ถูกต้อง(เช่นเดียวกันกับ การติดต่อสื่อสารที่ประสงค์ร้าย) ก็จะถูกตัดขาด หรืออาจทำให้เมลเซิร์ฟเวอร์อาจหยุดการตอบรับทั้งหมด โดยทั่วไปผู้โจมตีจะโจมตีเป้าหมายที่เด่นชัด เช่น เว็ปเซิร์ฟเวอร์ หรือเป้าหมาย ที่เป็นโครงสร้างพื้นฐาน เช่น เราเตอร์(router) และการเชื่อมโยงของเน็ตเวิร์ค
1.1การโจมตีแบบ Distributed Denial of Service (DDoS) คืออะไร ?
ถ้ามีการใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อโจมตีเน็ตเวิร์คของคุณได้ผล การใช้คอมพิวเตอร์ 50 หรือ 5,000 เครื่อง อาจจะได้ผลมากกว่า (ทำให้ผู้โจมตีสามารถโจมตีเซิร์ฟเวอร์ของธุรกิจขนาดใหญ่ เช่น Yahoo! ได้) นอกจากนี้ยังทำให้การย้อนรอยหาต้นตอของเครื่องที่ผู้โจมตีใช้จริง ๆ ยังทำได้ยากกว่าอีกด้วย
ดูรายละเอียดเพิ่มเติมที่
http://www.all.net/books/dca/top.html
http://www2.axent.com/swat/news/ddos.htm
http://www.cert.org/reports/dsit_workshop.pdf
http://www.research.att.com/~smb/talks/nanog-dos/index.htm
http://www.icsa.net/html/communities/ddos/index.shtml
http://xforce.iss.net/alerts/advise43.php3
1.2การโจมตีแบบ Dos/DDos สามารถทำอันตรายต่อข้อมูลที่เป็นความลับได้หรือไม่ ?
โดยทั่วไปการโจมตีแบบ Dos และ DDoS ไม่ทำอันตรายต่อข้อมูลที่เป็นความลับโดยตรง โดยทั่วไปผู้โจมตี จะพยายามทำให้เซอร์วิสไม่สามารถใช้งานได้ ไม่ใช่การละเมิดระบบรักษาความปลอดภัยของเซอร์วิสนั้นโดยตรง อย่างไรก็ตามการโจมตีแบบ DoS/DDoS สามารถใช้เพื่อเบนความสนใจในขณะที่การโจมตีอีกชนิดหนึ่งที่เกิดขึ้น เพื่อละเมิดระบบรักษาความปลอดภัยจริง ๆ นอกจากนี้ผู้บริหารระบบดูเหมือนยังทำผิดพลาดในระหว่างการถูก โจมตีและอาจเป็นไปได้ที่จะเปลี่ยนค่าที่กำหนดไว้บางอย่างซึ่งทำให้เกิดช่องโหว่เพื่อการใช้ประโยชน์จากมัน เซอร์วิสอาจจำเป็นที่จะต้องหยุดการทำงานหรือเริ่มทำงานใหม่อีกครั้ง ถ้าทำอย่างไม่ถูกต้องปัญหาอาจเกิดขึ้นมาได้ เมื่อเปลี่ยนแปลงบางอย่างในเน็ตเวิร์คต้องมั่นใจว่าคุณเข้าใจผลการกระทบของสิ่งที่คุณกำลังทำ (อาจแตกต่างจาก สภาพปกติในขณะที่กำลังถูกโจมตี)
2.0 ใครเป็นผู้โจมตี Dos/DDoS และเพื่ออะไร ?
มีหลากหลายเหตุผลที่เกินกว่าจะกล่าวได้หมด แต่มีสองสามเหตุผลที่พอจะกล่าวให้เห็นภาพได้
2.1 ความอยากรู้อยากเห็น
ผู้โจมตีบางคนทำเพียงเพื่อการทดสอบหรือต้องการเล่นสนุกกับเครื่องมือที่พวกเขาดาวน์โหลดมาและไม่ได้ ตระหนักถึงความเสียหายที่พวกเขาสามารถก่อขึ้นมาได้
2.2 เจตนาร้าย
ผู้โจมตีบางคนไม่เห็นด้วยกับนโยบายของบริษัท หรือสีสันที่ใช้ในเว็ปไซต์นั้น และการโจมตีไซต์โดยปราศจาก เหตุผลที่แน่นอน เหมือนกับคนที่ชอบพ่นสเปรย์ตามกำแพงตึก
2.3 ผลประโยชน์ทางการเงิน
ถือเป็นฝันร้ายอย่างแท้จริง ยกตัวอย่างเช่น มีบริษัทหนึ่งที่อาจถูกโจมตีเพื่อให้เลื่อนการเปิดตัวบริการออนไลน์ หรือเพื่อทำลายความน่าเชื่อถือ ผู้โจมตีอาจได้รับการจ้างจากคู่แข่ง หรือจากความพยายามที่จะทำให้ มีผลกระทบต่อราคาหุ้นของบริษัทนั้น
3.0 ผู้โจมตีจะถูกจับกุมตัวหรือไม่ และมีโทษอย่างไรสำหรับการโจมตีแบบ DoS/DDos ?
ยากที่จะกล่าวได้ ผู้โจมตีส่วนใหญ่ไม่มีความเชี่ยวชาญสูงแต่อย่างใด แต่เครื่องมือที่พวกเขาใช้สามารถปกปิดร่องรอย ได้อย่างดี พวกเขาอาจถูกจับได้จากการเฝ้าดูที่ต้องใช้ความพยายาม และการอ้างอิงจากสิ่งที่บันทึกไว้ในระบบ และข้อมูลจากคนที่ชอบคุยโอ้อวดว่าไปโจมตีมา หรือจากการแจ้งให้ทราบจากผู้หวังดีใน IRC การตอบคำถามสื่อมวลชนของ FBI ในวันที่ 9 กุมพาพันธ์แถลงว่าเป็นไปได้ว่าอาจเป็นการลงโทษจำคุก 5-10 ปี
ดูรายละเอียดเพิ่มเติมที่
http://abcnews.go.com/sections/tech/DailyNews/yahoo000209.html - FBI press conference
4.0 ผมสามารถป้องกันระบบและเน็ตเวิร์คของผมจากการโจมตีแบบ DoS/DDoS ได้อย่างไร ?
โดยทั่วไปการปฏิบัติที่ดีในด้านการรักษาความปลอดภัยเป็นการป้องกันระยะยาวที่ดีที่สุด การปิดการใช้งานเซอร์วิส ที่ไม่จำเป็นทั้งหมด หมั่นอัพเดทซอฟท์แวร์ให้ทันสมัยอยู่เสมอ และการสมัคร maling list ที่เกี่ยวกับ การรักษาความปลอดภัยต่าง ๆ จะช่วยได้ การมีรายชื่อที่อยู่ที่สามารถติดต่อได้ในกรณีฉุกเฉินจะเป็นประโยชน์มาก ในช่วงเวลาที่เกิดเหตุการณ์ฉุกเฉิน ไม่มีสิ่งหนึ่งสิ่งใดเพียงอย่างเดียวที่คุณสามารถทำได้เพื่อหยุดการโจมตีแบบ DoS/DDoS (เช่น ไม่มีซอฟท์แวร์ "Anti DoS attack version 1.0" ถึงแม้ว่าผู้ผลิตซอฟท์แวร์จะอ้าง อย่างนั้นก็ตาม"
ดูรายละเอียดเพิ่มเติมที่
http://www.securityportal.com/topnews/yahoo20000208.html
http://all.net/journal/netsec/0004.html
http://www.cert.org/security-improvement/
4.1 การป้องกันเครื่องที่ใช้ติดต่อกับภายนอกเน็ตเวิร์คและเกตเวย์
เครื่องคอมพิวเตอร์ของเน็ตเวิร์คที่ใช้ติดต่อกับภายนอกผู้โจมตีมักสามารถเข้าถึงได้ และเป็นที่ที่เหมาะที่สุด สำหรับการโจมตี(ไซต์ส่วนใหญ่จะมีการเชื่อมโยงหนึ่งที่ต่อไปยังอินเทอร์เน็ต ถ้าทำให้มันหยุดทำงาน คุณก็ได้ทำให้เซอร์วิสที่มีในไซต์นั้นหยุดทำงานลงไปด้วย) มีมาตรการหลายอย่างที่คุณสามารถทำ เพื่อป้องกันเราเตอร์ที่อยู่ภายนอกได้ เช่น การกำหนดค่าของไฟร์วอล (เช่นการบล๊อก address ที่ปลอมขึ้น และการกำหนดค่าอื่น ๆ) และการป้องกันกลไกที่ใช้สำหรับ การส่งและรับข้อมูลเส้นทางการติดต่อ(routing information)จากภายนอก (เช่น BGP, OSPF, และอื่น ๆ )
ดูรายละเอียดเพิ่มเติมที่
http://securityportal.com/rfc/rfc2267.txt
http://securityportal.com/rfc/rfc2644.txt
4.2 การป้องกันเซิร์ฟเวอร์อินเทอร์เน็ต
ให้ปิดการใช้งานเซอร์วิสที่ไม่จำเป็นทุกชนิดและตรวจให้แน่ใจว่าซอฟท์แวร์เป็นเวอร์ชันใหม่อยู่เสมอ ถ้าเป็นไปได้ควรให้มีไฟร์วอลอย่างน้อยหนึ่งไฟร์วอลที่อยู่ระหว่างเซิร์ฟเวอร์และอินเทอร์เน็ต ด้วยวิธีนี้ถ้ามีการโจมตีเซิร์ฟเวอร์คุณก็อาจจะบล๊อกมันได้ที่เซิร์ฟเวอร์ ตามความเป็นจริงแล้วถ้าผู้โจมตีรู้ว่าเขาสามารถ ระดมส่งข้อมูลเพื่อโจมตีแบนวิดธ์ของคุณได้ แล้วจะไม่มีวิธีใดเลยที่คุณสามารถแก้ไขในทางฝั่งเน็ตเวิร์คของคุณ สิ่งสำคัญสำหรับไซต์ส่วนใหญ่คือการกรองการติดต่อก่อนที่มันจะเข้ามายังการเชื่อมต่อของคุณ ซึ่งหมายความว่า ไฟร์วอลของคุณจะถูกโจมตี การโจมตีนี้อาจเป็นไปไม่ได้ถ้าการโจมตีมาจากคอมพิวเตอร์ที่มีมากไม่พอสำหรับการโจมตี (เช่น เป็นไปไม่ได้ที่จะกำหนดค่าให้ไฟร์วอลถึง 10,000 ค่าเพื่อรับการโจมตี)
4.3 การป้องกันเซิร์ฟเวอร์ที่อยู่ภายในเน็ตเวิร์คและเครื่องลูกข่าย
ทำได้โดยการป้องกันโดยใช้ไฟร์วอล ไม่ควรอนุญาตให้มีโฮสต์ภายนอกที่สามารถเข้าถึงโฮสต์ภายในเน็ตเวิร์คของคุณได้ ถ้าจำเป็นที่จะต้องการโฮสต์ภายนอกสามารถเข้าถึงได้ คุณควรพิจารณาใช้ Virtual Private Networking (VPN) เพื่อให้มันสามารถให้การเข้าถึงที่มีการรักษาความปลอดภัยมายังระบบ LAN ที่อยู่ภายใน
4.4.1 Cisco routers
ดูรายละเอียดที่นี่
http://www.cisco.com/warp/public/707/newsflash.html
http://www.cisco.com/warp/public/707/21.html
http://www.cisco.com/warp/public/707/22.html
4.4.2 Linux
ลีนุกซ์สนับสนุนซอฟท์แวร์ที่สามารถทำหน้าที่เป็นไฟร์วอลได้และลีนุกซ์เจ้าต่าง ๆ ก็มีซอฟท์แวร์เหล่านี้ให้มาด้วย IPCHAINS (ซอฟท์แวร์ไฟร์วอลสำหรับลีนุกซ์ในขณะนี้) สามารถบล๊อก packet ที่มุ่งร้ายได้หลากหลายชนิด และสามารถเซ็ตอัพเพื่อป้องกันเครื่องจากการ spoof สำหรับข้อมูลข่าวสารเกี่ยวกับ IPCHAINS และยูทิลิตี้ที่ช่วยทำให้การกำหนดค่าของมันง่ายขึ้น ดูที่
http://www.securityportal.com/lasg/firewall/index.html
คุณสามารถป้องกัน IP spoofing จากเครื่องอื่นได้อย่างง่ายดายโดยการเปิดการใช้งาน การตรวจสอบความถูกต้องของที่อยู่ของเครื่องที่ส่ง (source address verification) โดยใช้สคริปท์ rp_filter จาก IPCHAINS-HOWTO ในส่วนของ miscellaneous section
#!/bin/bash
# This is the best method: turn on Source Address
# Verification and get spoof protection on all current
# and future interfaces.
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Setting up IP spoofing protection..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "done."
else
echo PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE WORRIED.
echo "CONTROL-D will exit from this shell and continue system startup."
echo
# Start a single user shell on the console
/sbin/sulogin $CONSOLE
fi
ให้คุณสร้างไฟล์นี้ขึ้นเป็น /etc/rc.d/init.d/rp_filter (หรือที่อื่น ๆ ที่เหมาะสม) และจึงเปิดการใช้งานของมัน ให้ทำงานเวลาบูตเครื่องโดยการสร้าง symbolic link มาที่นี่ หรือเรียกจาก startup script คาดหวังว่า ในอนาคตผู้ผลิตจะเพิ่มมันเข้าไปให้เป็นมาตรฐานและเปิดการใช้งานให้เป็นค่าเริ่มต้น IPCHAINS-HOWTO อยู่ที่
http://www.linux.org/help/ldp/howto/IPCHAINS-HOWTO.html
4.4.3 Windows 95 / 98
โชคไม่ดีที่ Windows 95 / 98 ไม่มีลักษณะเด่นที่สามารถป้องกันการโจมตีได้ อย่างไรก็ตาม มีผลิตภัณฑ์เสริมหลายอย่างที่สามารถป้องกันคุณจากการโจมตีโดยทั่วไปได้ เราไม่ได้รับรองการทำงานซอฟท์แวร์เหล่านี้ เราเพียงแต่บอกถึงทางเลือกที่มีเท่านั้น
http://www.zonelabs.com/download_ZA.htm - ซอฟท์แวร์ ZoneAlarm ของ Zone labs แจกฟรี
http://www.mcafee.com/products/#Guard Dog - Guard Dog 2.0 ของ McAfee ราคา 29.95 เหรียญ สหรัฐ ฯ
http://www.networkice.com/Download/PURCHASE.HTM - BlackICE Defender ของ Network ICE ราคา 39.95 เหรียญ สหรัฐ ฯ
http://www.symantec.com/sabu/nis/ddos.html - Norton Internet Security 2000 ของ Symantec ราคา 53.95 เหรียญ สหรัฐ ฯ
4.4.4 Windows NT 4.0
Windows NT 4.0 มีลักษณะเด่นด้านไฟร์วอล แต่มันก็ไม่น่าเชื่อถือได้ 100 % เราแนะนำว่าคุณไม่ควรพึ่งมัน ให้เป็นเพียงมาตรการรักษาความปลอดภัยเพียงอย่างเดียว มีผลิตภัณฑ์ที่เกี่ยวกับไฟร์วอลสำหรับ NT หลายผลิตภัณฑ์ด้วย
http://www.networkice.com/Download/PURCHASE.HTM - BlackICE Defender ของ Network ICE ราคา 39.95 เหรียญ สหรัฐ ฯ สามารถทำงานในเซิร์ฟเวอร์แต่คุณจำเป็นต้องกำหนดค่า ให้มันอนุญาตการเข้าถึงบางอย่าง(โดยค่าเริ่มต้นมันจะบล๊อกการเข้าถึงส่วนใหญ่) Network ICE ได้ออกเวอร์ชันสำหรับเซิร์ฟเวอร์ในปีนี้ ราคา 50 เหรียญสำหรับการอัพเกรด หรือ 139.95 เหรียญสำหรับเวอร์ชันเต็ม
http://www.checkpoint.com/products/firewall-1/index.html - Firewall 1
4.4.5 Windows 2000
Windows 2000 (ที่เพิ่งออกมาไม่นานมานี้) มีลักษณะเด่นด้านไฟร์วอลที่ดีมาก(ดีกว่า NT 4.0 มาก) เหมาะสำหรับเครื่องของผู้ใช้งานปลายทาง(end user)และเซิร์ฟเวอร์ขนาดเล็กและขนาดกลาง สำหรับเซิร์ฟเวอร์ที่ใหญ่กว่าคุณอาจพิจารณาใช้ผลิตภัณฑ์เสริม การกำหนดค่าของไฟร์วอลทำได้โดยการใช้ Microsoft Management Console tools คุณอาจทำได้ผ่านคอมพิวเตอร์เครื่องอื่น(remotely) (แน่นอนว่าคุณต้องทำอย่างระมัดระวังเพราะมันอาจทำให้คุณหลุดจากการติดต่อกับเครื่องนั้นได้)
4.4.6 OpenBSD
OpenBSD มี IPF ให้มาด้วย มันทำหน้าที่กรอง packet ได้ดีมาก(แจกฟรี)
ข้อมูลข่าวสารเพิ่มเติมดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
4.4.7 NetBSD NetBSD มี IPF ให้มาด้วย มันทำหน้าที่กรอง packet ได้ดีมาก(แจกฟรี)
ข้อมูลข่าวสารเพิ่มเติมดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
4.4.8 FreeBSD
FreeBSD มี IPF ให้มาด้วย มันทำหน้าที่กรอง packet ได้ดีมาก(แจกฟรีด้วย)
ข้อมูลข่าวสารเพิ่มเติมดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
4.4.9 Solaris
Solaris สามารถใช้ IPF หรือผลิตภัณฑ์ไฟร์วอลเสริมอื่น ๆ
ข้อมูลเพิ่มเติมเกี่ยวกับ IPF ดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
http://www.checkpoint.com/products/firewall-1/index.html - Firewall 1
5.0 ผมสามารถป้องกันระบบและเน็ตเวิร์คของผมจากการถูกใช้เพื่อการโจมตีแบบ DoS/DDoS ในตอนนี้ได้อย่างไร ?
ใช้ไฟร์วอลเพื่อกั้นขวางเซอร์วิสที่ไม่จำเป็นทุกชนิด ปิดเซอร์วิสที่ไม่จำเป็นทุกชนิด วิธีนี้จะช่วยลดจำนวนของเซอร์วิส ที่อาจถูกโจมตีได้ เพื่อป้องกันให้การโจมตีทำสำเร็จยากที่สุดเท่าที่จะเป็นไปได้สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือ การใช้เซิร์ฟเวอร์ที่ทรงพลังที่สุดที่สามารถหาได้ และปรับแต่งซอฟท์แวร์(ในขณะที่ถูกโจมตี ถ้าจำเป็น) ให้สามารถรับมือกับการเชื่อมโยงมากที่สุดเท่าที่เป็นไปได้ ลดค่าของ timeout ในการเชื่อมโยงไปยังเซอร์วิส จะลดผลกระทบของการโจมตีได้ แต่การเชื่อมโยงที่ถูกต้องก็อาจล้มเหลวเช่นเดียวกันด้วย
6.0 ผมสามารถป้องกันระบบและเน็ตเวิร์คของผมจากการถูกใช้เพื่อการโจมตีแบบ DoS/DDoS ในอนาคตได้อย่างไร ?
ดูรายละเอียดได้ที่
http://www.ietf.org/internet-drafts/draft-moskowitz-hip-01.txt
http://www.ietf.org/internet-drafts/draft-moskowitz-hip-impl-00.txt
http://www.ietf.org/internet-drafts/draft-moskowitz-hip-arch-01.txt
7.0 ผมสามารถตรวจหาการโจมตีแบบ DoS/DDoS ที่โจมตีมาที่คอมพิวเตอร์ของผมได้อย่างไร ?
การติดต่อเข้ามาที่มีขนาดใหญ่ผิดปกติ เซิร์ฟเวอร์ทำงานหนักกว่าปกติในทันทีทันใด สิ่งเหล่านี้อาจเป็น สัญญาณของการถูกโจมตีแบบ DoS/DDoS ในแง่อื่นบางทีมันอาจแสดงให้เห็นถึงจุดที่มีการใช้งานหนัก ในเหตุการณ์ใด ๆ ก็ตาม คุณควรตรวจสอบการติดต่อและรูปแบบการใช้งาน ถ้าการติดต่อนั้นถูกต้อง คุณอาจจะต้องปรับค่าของเน็ตเวิร์คและเซิร์ฟเวอร์ของคุณหรืออาจเพิ่มอุปกรณ์เข้าไป ถ้าการติดต่อนั้นเป็นการโจมตี คุณก็จำเป็นที่จะต้องจัดการกับมันอย่างเหมาะสม มีระบบ Network Intrusion Detection Systems (NIDS) จำนวนมากที่สามารถตรวจพบการโจมตีอย่างมีเจตนาร้ายได้อย่างแม่นยำ พวกมันอาจทำงานคุ้มค่ากับการลงทุนถ้าคุณ install และดูแลรักษาอย่างถูกต้อง
8.0 ผมควรทำอย่างไรถ้าผมเป็นเป้าหมายของการโจมตีแบบ DoS/DDoS ?
ดูรายละเอียดที่
http://www.sans.org/y2k/DDoS.htm
9.0 ผมจะตรวจหาการโจมตีแบบ DoS/DDoS ที่มีต้นกำเนิดมาจากคอมพิวเตอร์ของผมได้อย่างไร ?
วิธีการหนึ่งที่มีประสิทธิภาพมากคือการใช้ไฟร์วอลกลั่นกรองการติดต่อสู่ภายนอกที่ไม่ได้มีต้นกำเนิดมาจาก เน็ตเวิร์คของคุณจริง ๆ (ข้อมูลถูกปลอมขึ้นมา - spoofed data) ถ้าคุณพบว่าการติดต่อแบบนี้พยายามที่จะ ผ่านออกจากไฟร์วอลของคุณ คุณมั่นใจได้ว่าโฮสต์ภายในของคุณถูกใช้เพื่อเจตนาร้าย พยายามย้อนกลับไปที่ เครื่องต้นกำเนิด ซึ่งไม่น่าจะยากเกินไป เนื่องจาก(ในทางทฤษฏี) เน็ตเวิร์คอยู่ในการควบคุมของคุณ และขึ้นอยู่กับนโยบายด้านการรักษาความปลอดภัยของคุณด้วย คุณอาจจะปิดเครื่องนั้นและทดสอบดู อีกวิธีหนึ่งที่มี ประสิทธิภาพคือการบล๊อกพอร์ตที่มักจะถูกใช้(เช่น 37337) เพื่อการควบคุมเครื่องที่ใช้พอร์ตนั้นจากเครื่องจากที่อื่น นอกจากนี้ผมแนะนำว่าคุณควรสแกนเน็ตเวิร์คของคุณเพื่อหาพอร์ตที่เปิดอยู่ โดยใช้เครื่องมือเช่น nmap หรือ saint ถ้ามีการเปลี่ยนแปลงใด ๆ เกิดขึ้นมันจะมันบอกให้คุณรู้และคุณใช้มาตรการที่เหมาะสมกับมัน มีเน็ตเวิร์คสแกนเนอร์ ที่ดีอีกตัวหนึ่งที่เรียกว่า Nessus มันสามารถหาช่องโหว่โดยทั่วไปส่วนใหญ่ได้ มันใช้ง่ายมาก
« แก้ไขครั้งสุดท้าย: มกราคม 29, 2009, 09:24:04 AM โดย pa_net »
อดีต Admin Fort Chiraprawat Hospital Nakhonsawan ขึ้นระบบโดย BMS ทีม(น้องเกียง) มิ.ย. 2550
ปัจจุบัน เจ้าหน้าที่ไอที โรงพยาบาลโกรกพระ (ขนาด 30 เตียง) อ.โกรกพระ จ.นครสวรรค์ รพ.ขึ้นระบบเอง เมื่อปี 2551 ผมมารับช่วงต่อปี 2555
Server หลัก -
Server รอง  -
HOSxP Ver 3.55.1.19

ออฟไลน์ khetrat

  • Jr. Member
  • **
  • กระทู้: 56
  • PM BMS
  • Respect: 0
    • ดูรายละเอียด
Re: คุณรู้จักการโจมตีจาก DoS(Denial of Service) ไหม
« ตอบกลับ #1 เมื่อ: กุมภาพันธ์ 05, 2009, 09:37:05 AM »
0
DOS ส่วนใหญ่เดี๋ยวนี้มี Service pack ป้องกันได้ครับ OS เวอร์ชั่นใหม่ๆก็ออกมาป้องกันไว้แล้วครับ เช่น XP  ยิ่งมี Service pack ใหม่ๆยิ่งกันไว้แล้วครับ หรือ firewall เองการป้องกันพื้นฐานต้องกันไว้แล้วครับ เพราะการโจมตีของ
DOS ทั้งหมดเป็นการใช้ข้อบกพร่องของ Protocol TCP/IP เองในการโจมตี Service ที่รันอยู่บนคอมพิวเตอร์
ฉนั้น DOS จึงเป็นการมุ่งโจมตีที่เครื่องคอมพิวเตอร์เป็นหลัก  ---ปัจจุบันจึงไม่น่ากลัวเพราะมีการอุดรูรั่วต่างๆของโปรโตคอลใน OS หรือ service pack ใหม่ๆอยู่แล้วครับ

ปัจจุบันสิ่งที่น่ากลัวกว่า DOS และยังไม่มีการป้องกันได้ 100% ก็คือ
DDOS และ DRDOS ที่ยังป้องกันไม่ได้เพราะทั้งสองอย่างนี้ใช้ การทำงานพื้นฐานของ TCP/IP และเน้นไปในด้านการโจมตี Network และถ้าโดนแล้วโอกาศล่มมีมากถึง 80 % โดยที่ Router หรือ Firewall เองป้องกันได้ยากเพราะมีการร้องขอ ติดต่อจาก Device และ node ต่างๆเข้ามาจริง (node ต่างๆ คือ เครื่อง PC ของเราที่ใช้ต่อเน็ตนี่หละครับ แล้วโดนspyware ของคนที่ทำ DRdos ฝังตัวไว้(zombie) สรุปคือเครื่องที่เล่นเน็ตแล้วติดไวรัสนี่หละครับ) เวลา hacker จะถล่มใครก็ส่ง สัญญาณไปกระตุ้น zombie เหล่านั้น มีเป็นร้อยเป็นพันหรืออาจจะเป็นหมื่น พวก node เหล่านั้นก็จะร้องขอและติดต่อไปยัง เป้าหมาย ที่ไม่มีทางป้องกันตัวเองได้เลยเพราะเป็นการร้องขอจริง
ฉนั้น ถ้า neetwork ไหนที่โดน สามารถบรรเทาได้โดย มี Hardware firewall(กันได้แค่ระดับ package และ session layer) และ Software firewall(dynamics/smart firewall) ที่สามารถกันได้ถึงระดับ content(Application layer) ก็จะสามารถช่วยและบรรเทาการล่มลงได้