1oQKO3

Recommendations

Info

50 3.1.1.2 Open DNS Resolver นอกจาก Botnet แล้ว Open DNS Resolver ก็เป็นภัยคุกคามอีกประเภทหนึ่งที่ พบเป็นจำนวนมากในประเทศไทย โดย Open DNS Resolver คือเครื่องคอมพิวเตอร์หรือ อุปกรณ์เครือข่ายใด ๆ ก็ตามที่เปิดให้บริการ Recursive DNS แก่ผู้ใช้ทุกรายที่เข้ามาขอใช้ บริการ ทำให้ผู้ไม่หวังดีอาศัยหลักการทำงาน ในส่วนนี้โจมตีระบบด้วยการส่งคำร้องขอไปยัง Open DNS Resolver เป็นจำนวนมาก โดย ปลอมแปลงหมายเลขไอพีของตนให้กลายเป็น หมายเลขไอพีของระบบเป้าหมายที่จะโจมตี ทำให้เมื่อ Open DNS Resolver ดังกล่าวได้ รับคำร้องขอ จะส่งคำตอบกลับไปยังระบบ เป้าหมายที่ผู้ไม่หวังดีต้องการโจมตี และเมื ่อ ระบบที่ถูกโจมตี ได้รับข้อมูลเป็นจำนวนมาก จนกระทั่งแบนด์วิดท์ของเครือข่ายมีการใช้งาน รูปที่ 1 ลักษณะการโจมตีด้วยเทคนิค DNS Amplification Attack (ที่มา: secureworks.com) จนเต็ม ก็จะส่งผลให้ระบบดังกล่าวไม่สามารถ ให้บริการตามปกติต่อไปได้ ทั้งนี้สาเหตุสำคัญที่ทำให้ Open DNS Resolver สามารถนำไปใช้เป็นเครื่องมือใน การโจมตีมีอยู่ด้วยกัน 2 ส่วนคือ การเปิดให้ บริการแบบสาธารณะที่ไม่ว่าใครก็ตามสามารถ เข้ามาขอใช้บริการได้ และการเปิดใช้งานฟังก์ชัน Recursive DNS ซึ่งหมายความว่าระบบที่เปิด ใช้งานฟังก์ชันดังกล่าวจะเป็นผู้ค้นหาและส่งคำ ตอบสุดท้ายกลับไปยังผู้ใช้ โดยไม่ได้ส่งคำตอบ เป็นที่อยู่ของ DNS Server ตัวอื่นเพื่อให้ผู้ใช้ไป ร้องขอข้อมูลเพิ่มเติมเอง ด้วยสาเหตุข้อแรกที่ เป็นการเปิดช่องทางให้ผู้ไม่หวังดีสามารถเริ่ม ทำการโจมตีได้ ร่วมกับสาเหตุข้อที่สองที่เปิด โอกาสให้ผู้ไม่หวังดี สามารถส่งคำร้องขอที่ โดยทั่วไปมีขนาดเล็ก แต่ได้คำตอบที่มีขนาด ใหญ่กว่าหลายเท่ากลับมา ทำให้การโจมตี วิธีนี้สามารถทำได้ง่าย และมีประสิทธิภาพสูง โดยไม่จำเป็นต้องใช้ทรัพยากร ระบบจำนวนมาก โดยรูปแบบการโจมตีที่ผู้ไม่หวังดีนิยมใช้คือการ
51 สั่งการให้ Botnet ส่งคำร้องขอไปยัง Open DNS Resolver หลาย ๆ ตัวเพื่อทำการโจมตี ระบบเป้าหมายพร้อมกัน เกิดเป็นการโจมตีที่ เรียกว่า DNS Amplification Attack ซึ่งเป็น เทคนิคหนึ่งของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ได้รับความ นิยมในปัจจุบัน ดังจะเห็นได้จากข่าวในเดือน มีนาคม 2556 เกี่ยวกับการโจมตีครั้งใหญ่ด้วย เทคนิคดังกล่าว โดยมีเป้าหมายเป็นระบบของ Spamhaus ซึ่งเป็นหน่วยงานไม่แสวงผลกำไร ที่มีภารกิจในการแก้ไขปัญหาสแปม ถึงแม้ว่า การโจมตีวิธีนี้จะไม่ได้ส่งผลกระทบร้ายแรงต่อ Open DNS Resolver โดยตรง แต่ถ้า Open DNS Resolver เหล่านี้ได้รับการตั้งค่าให้เหมาะ สมแล้ว ก็จะมีส่วนช่วยให้ระดับความรุนแรง ของการโจมตีด้วยเทคนิคดังกล่าวในภาพรวม ลดลงไปได้ อย่างไรก็ตาม นอกจากโพรโทคอล DNS แล้ว ก็ยังมีโพรโทคอลอื่น ๆ ที่อาจนำมา ใช้ในการโจมตีในลักษณะเดียวกันได้ เช่น NTP และ SNMP ซึ่งมักเป็นโพรโทคอลที่ทำงานอยู่ บนโพรโทคอล UDP ในส่วนของสถิติภัยคุกคามประเภท Open DNS Resolver นั้น พบว่าได้รับแจ้งเฉลี่ยเกือบ 60,000 หมายเลขไอพีต่อวันซึ่งเป็นตัวเลขที่ ใกล้เคียงกับสถิติของ Botnet และในวันที่ ได้รับรายงานมากที่สุดพบว่า มีจำนวนสูงถึง 260,000 หมายเลขไอพี จากการตรวจสอบ กลุ่มหมายเลขไอพีตัวอย่างนั้น พบว่ามีทั้ง หมายเลขไอพีของเครื่องแม่ข่าย และเราเตอร์ สำหรับองค์กรไปจนถึงเราเตอร์ที่ใช้ตามบ้าน ซึ่งสาเหตุที่ทำให้พบ Open DNS Resolver บนอุปกรณ์หลากหลายชนิด ในปริมาณมาก เช่นนี้ สันนิษฐานว่าอาจเกิดจากทั้งการตั้งค่า ระบบโดยผู้ดูแล รวมถึงการตั้งค่ามาตรฐานจาก ผู้ผลิตที่ไม่รัดกุมพอ อย่างไรก็ตาม การตรวจ สอบหมายเลขไอพีที่ได้รับรายงานทั้งหมดเพื่อ ประเมินสัดส่วนของ Open DNS Resolver จำแนกตามประเภทของอุปกรณ์นั้น ยังทำได้ ยาก เนื่องจากยังไม่มีเครื่องมืออัตโนมัติที่ สามารถตรวจสอบ และจำแนกประเภทของ อุปกรณ์ได้อย่างแม่นยำ อีกทั้งข้อมูล Open DNS Resolver ที่ไทยเซิร์ตได้รับแจ้งนั้นจะ ย้อนหลังไปประมาณ 1-2 วัน และหมายเลข ไอพีที ่ได้รับแจ้งส่วนหนึ่ง ก็เป็นหมายเลข ไอพีประเภท Dynamic ทำให้หมายเลขไอพี หนึ่ง ๆ ณ เวลาที่ทำการตรวจสอบนั้น อาจ เป็นของอุปกรณ์คนละตัวกับเมื่อเวลาที่ได้รับ แจ้งข้อมูล ดังนั้น ไทยเซิร์ตจึงได้พัฒนาระบบ สำหรับตรวจสอบอุปกรณ์ที่เป็น Open DNS Resolver ในประเทศไทยขึ้นมาเอง และคาด ว่าในอนาคตจะสามารถพัฒนาเครื่องมือ เพื่อ ตรวจสอบและรวบรวมข้อมูลรายละเอียดของ อุปกรณ์เหล่านี้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น ไทยเซิร์ตได้พัฒนาระบบ สำหรับตรวจสอบอุปกรณ์ ที่เป็น Open DNS Resolver ในประเทศไทย ขึ้นมาเอง และคาดว่าใน อนาคตจะสามารถพัฒนา เครื่องมือเพื่อตรวจสอบและ รวบรวมข้อมูลรายละเอียด ของอุปกรณ์เหล่านี้ได้อย่างมี ประสิทธิภาพมากยิ่งขึ้น
Page 3 and 4: 2013 ThaiCERT ANNUAL REPORT รา
Page 6 and 7: สารจากผู้กำ
Page 8 and 9: บทบาทของกระ
Page 10: ก้าวต่อไปใน
Page 13 and 14: 13 บทที่ 3 รายง
Page 15 and 16: 15 สารบัญตารา
Page 17 and 18: 17 สารบัญรูปภ
Page 19 and 20: 19 สารบัญกราฟ
Page 21 and 22: 21 ในเบื้องต้
Page 24 and 25: ThaiCERT 2013 INFOGAPHIC 1) ผล
Page 26 and 27: 26 2013 KEY EVENT TIMELINE กิ
Page 28 and 29: 28 KEY EVENTS TIMELINE 2556 กิ
Page 30 and 31: 30 บทที่ 2. บริก
Page 32 and 33: บริการรับมื
Page 34 and 35: บริการแจ้งเ
Page 36: บริการตรวจส
Page 39 and 40: 39 ในปี 2556 พบว่
Page 41 and 42: 41 3.1.1 สถิติภัย
Page 43 and 44: 43 TOT True Internet Triple T Broad
Page 45 and 46: 45 จุดที่น่าส
Page 47 and 48: 47 ความสามารถ
Page 49: 49 ที่ควบคุม Botn
Page 53 and 54: 53 Unknown (IP address): 7.6% (Othe
Page 55 and 56: 55 brm3.go.th ru.ac.th cad.go.th mo
Page 57 and 58: 57 3.1.1.4 Spam, Brute Force แล
Page 59 and 60: 59 3.1.2 สถิติภัย
Page 61 and 62: 61 1000 800 Abusive content Availab
Page 63 and 64: 63 นอกจากนี้ย
Page 65 and 66: 65 3.2.1 กรณีพบกา
Page 67 and 68: 67 รูปที่ 5 พฤต
Page 69 and 70: 69 ในกรณีนี้ม
Page 71 and 72: 71 ไทยเซิร์ต ไ
Page 73 and 74: 73 ให้กับหน่ว
Page 75 and 76: 75 3.2.6 กรณีการต
Page 77 and 78: 77 4.1 ประชุม อบร
Page 79 and 80: 79 ต่าง ๆ ที่มี
Page 81 and 82: 81 ไปยังผู้ที
Page 83 and 84: 83 2-5 ธันวาคม 2556
Page 85 and 86: 85 เจ้าภาพจัด
Page 87 and 88: ITU Telecom World 2013 ผู้อ
Page 89 and 90: 89 GIAC Security Essentials (GSEC)
Page 91 and 92: 91 MIC (Ministry of Internal Affair
Page 93 and 94: 93 ปลอดภัย โดย
Page 95 and 96: 95 จากรายงานป
Page 97 and 98: 97 ชื่อหน่วยง
Page 99 and 100: 99 ชื่อหน่วยง
Page 101 and 102:
101 100k 10k 1k 100 BruCERT ID-SIRT
Page 103 and 104:
103
Page 105 and 106:
105 ด้วยสถานกา
Page 107 and 108:
107 เฉพาะหน่วย
Page 109 and 110:
4 การจัดทแผนค
Page 111 and 112:
111 Open Proxy Server ภัยค
Page 113 and 114:
113 ความพยายาม
Page 115 and 116:
115 คำศัพท์ ควา
Page 117 and 118:
117 คำศัพท์ Content M
Page 119 and 120:
119 ผู้ให้บริก
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
137 ISEC-T ตารางที่
Page 140:
140
show all

1oQKO3

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?