ทำความรู้จักกับการโจมตีระบบแบบ DNS Amplification Attack (ดีเอ็นเอส แอมพลิฟีเค' เชิน แอคแท็ค)
DNS Amplification Attack หรือเรียกอีกอย่างว่า DNS Reflection Attack (ดีเอ็นเอส รีเฟลค'เชิน แอคแท็ค) เป็นเทคนิคในการโจมตีประเภท DDoS (ดีดอส) (Distributed Denial of Service (ดิสทิบิ้ว เดเนียล ออฟ เซอร์วิช)) มีการนำมาใช้โจมตีระบบอย่างแพร่หลาย ซึ่งความรุนแรงของการโจมตีลักษณะนี้สามารถทำให้ระบบล่มได้
สาเหตุที่เรียกว่า DNS Amplification หรือ DNS Reflection Attack นั้นก็มาจากลักษณะของการโจมตี ด้วยพื้นฐานของระบบ DNS (ดีเอ็นเอส) นั้นจะใช้ protocol UDP (โปรโตคอล ยูดีพี) ซึ่งเป็นการรับส่งข้อมูลแบบ stateless (สเทท'ลิส) คือสามารถส่งข้อมูลออกไปได้ตั้งแต่ packet (แพคเกจ) แรกที่ส่ง ดังนั้นจึงเกิดการปลอมแปลงได้ง่าย โดยผู้โจมตีจะทำการปลอมแปลงเป็น IP (ไอพี) ของเหยื่อ แล้วระดมส่งคำร้องขอทำการ resolve DNS (รีโซฟ ดีเอ็นเอส) ไปยัง DNS Server (ดีเอ็นเอส เซิร์ฟเวอร์) ที่ต่างๆ และเมื่อ DNS Server ได้รับคำร้องแล้ว ก็จะตอบกลับไปหา IP ตามที่ผู้โจมตีปลอมมา ทำให้ IP เป้าหมายที่จะโจมตีได้รับ packet DNS ปริมาณมหาศาล และที่บอกว่าเป็น Amplification Attack เพราะรูปแบบของคำร้อง DNS เหล่านี้ส่วนมากจะเป็น packet สั้นๆ แต่ขนาดของ packet ที่ DNS server จะต้องตอบกลับไปมีขนาดใหญ่มาก ทำให้ bandwidth (แบรนด์วิธ) ของเครื่องที่ถูกโจมตีเต็ม
สำหรับวิธีป้องกันอาจแบ่งออกเป็น 3 ส่วน ดังนี้
- ส่วนของ bandwidth และส่วนของการทำ stateful inspection (สเคทฟูล อินสเปคชั่น) คือหาเครื่อง firewall (ไฟล์วอล) หรือ server (เซิร์ฟเวอร์) ที่รองรับ bandwidth ปริมาณมากกว่าการโจมตีให้ได้แล้วจึงทำการ drop (ดรอป) ข้อมูลการถาม DNS
- แบบ stateful ทำโดยตั้งค่าว่าถ้า firewall ไม่เจอคำร้องสำหรับ DNS request (ดีเอ็นเอส รีเควส) นั้น ให้ทำการ drop reply (ดรอป เรปไทร์) ที่ได้รับนั้นทิ้ง
- เจ้าของ server ไม่ควรเปิด recursion resolve (รีเคอชั่น รีโซว) เพื่อไม่ให้เครื่อง server ของตัวเองกลายเป็นเครื่องที่ไปโจมตีเครื่องอื่นๆ ได้
ภาพประกอบบทความ: mfkocalar.com
