1oQKO3
1oQKO3
1oQKO3
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
51<br />
สั่งการให้ Botnet ส่งคำร้องขอไปยัง Open<br />
DNS Resolver หลาย ๆ ตัวเพื่อทำการโจมตี<br />
ระบบเป้าหมายพร้อมกัน เกิดเป็นการโจมตีที่<br />
เรียกว่า DNS Amplification Attack ซึ่งเป็น<br />
เทคนิคหนึ่งของการโจมตีแบบ Distributed<br />
Denial-of-Service (DDoS) ที่ได้รับความ<br />
นิยมในปัจจุบัน ดังจะเห็นได้จากข่าวในเดือน<br />
มีนาคม 2556 เกี่ยวกับการโจมตีครั้งใหญ่ด้วย<br />
เทคนิคดังกล่าว โดยมีเป้าหมายเป็นระบบของ<br />
Spamhaus ซึ่งเป็นหน่วยงานไม่แสวงผลกำไร<br />
ที่มีภารกิจในการแก้ไขปัญหาสแปม ถึงแม้ว่า<br />
การโจมตีวิธีนี้จะไม่ได้ส่งผลกระทบร้ายแรงต่อ<br />
Open DNS Resolver โดยตรง แต่ถ้า Open<br />
DNS Resolver เหล่านี้ได้รับการตั้งค่าให้เหมาะ<br />
สมแล้ว ก็จะมีส่วนช่วยให้ระดับความรุนแรง<br />
ของการโจมตีด้วยเทคนิคดังกล่าวในภาพรวม<br />
ลดลงไปได้ อย่างไรก็ตาม นอกจากโพรโทคอล<br />
DNS แล้ว ก็ยังมีโพรโทคอลอื่น ๆ ที่อาจนำมา<br />
ใช้ในการโจมตีในลักษณะเดียวกันได้ เช่น NTP<br />
และ SNMP ซึ่งมักเป็นโพรโทคอลที่ทำงานอยู่<br />
บนโพรโทคอล UDP<br />
ในส่วนของสถิติภัยคุกคามประเภท Open<br />
DNS Resolver นั้น พบว่าได้รับแจ้งเฉลี่ยเกือบ<br />
60,000 หมายเลขไอพีต่อวันซึ่งเป็นตัวเลขที่<br />
ใกล้เคียงกับสถิติของ Botnet และในวันที่<br />
ได้รับรายงานมากที่สุดพบว่า มีจำนวนสูงถึง<br />
260,000 หมายเลขไอพี จากการตรวจสอบ<br />
กลุ่มหมายเลขไอพีตัวอย่างนั้น พบว่ามีทั้ง<br />
หมายเลขไอพีของเครื่องแม่ข่าย และเราเตอร์<br />
สำหรับองค์กรไปจนถึงเราเตอร์ที่ใช้ตามบ้าน<br />
ซึ่งสาเหตุที่ทำให้พบ Open DNS Resolver<br />
บนอุปกรณ์หลากหลายชนิด ในปริมาณมาก<br />
เช่นนี้ สันนิษฐานว่าอาจเกิดจากทั้งการตั้งค่า<br />
ระบบโดยผู้ดูแล รวมถึงการตั้งค่ามาตรฐานจาก<br />
ผู้ผลิตที่ไม่รัดกุมพอ อย่างไรก็ตาม การตรวจ<br />
สอบหมายเลขไอพีที่ได้รับรายงานทั้งหมดเพื่อ<br />
ประเมินสัดส่วนของ Open DNS Resolver<br />
จำแนกตามประเภทของอุปกรณ์นั้น ยังทำได้<br />
ยาก เนื่องจากยังไม่มีเครื่องมืออัตโนมัติที่<br />
สามารถตรวจสอบ และจำแนกประเภทของ<br />
อุปกรณ์ได้อย่างแม่นยำ อีกทั้งข้อมูล Open<br />
DNS Resolver ที่ไทยเซิร์ตได้รับแจ้งนั้นจะ<br />
ย้อนหลังไปประมาณ 1-2 วัน และหมายเลข<br />
ไอพีที ่ได้รับแจ้งส่วนหนึ่ง ก็เป็นหมายเลข<br />
ไอพีประเภท Dynamic ทำให้หมายเลขไอพี<br />
หนึ่ง ๆ ณ เวลาที่ทำการตรวจสอบนั้น อาจ<br />
เป็นของอุปกรณ์คนละตัวกับเมื่อเวลาที่ได้รับ<br />
แจ้งข้อมูล ดังนั้น ไทยเซิร์ตจึงได้พัฒนาระบบ<br />
สำหรับตรวจสอบอุปกรณ์ที่เป็น Open DNS<br />
Resolver ในประเทศไทยขึ้นมาเอง และคาด<br />
ว่าในอนาคตจะสามารถพัฒนาเครื่องมือ เพื่อ<br />
ตรวจสอบและรวบรวมข้อมูลรายละเอียดของ<br />
อุปกรณ์เหล่านี้ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น<br />
ไทยเซิร์ตได้พัฒนาระบบ<br />
สำหรับตรวจสอบอุปกรณ์<br />
ที่เป็น Open DNS<br />
Resolver ในประเทศไทย<br />
ขึ้นมาเอง และคาดว่าใน<br />
อนาคตจะสามารถพัฒนา<br />
เครื่องมือเพื่อตรวจสอบและ<br />
รวบรวมข้อมูลรายละเอียด<br />
ของอุปกรณ์เหล่านี้ได้อย่างมี<br />
ประสิทธิภาพมากยิ่งขึ้น