DDoS

DDoS : Distributed Denial of Service

DDoS คืออะไร ก่อนที่เราจะทราบว่า DDoS คืออะไรก็ต้องไปดูว่าชื่อเต็มคืออะไรกันก่อนนะ “Distributed Denial of Service” นี่คือชื่อเต็ม เป็นการประกอบกันสองคำคือ Distributed + Denial of Service

นั่นไงมีการรวมร่างกันเกิดขึ้น แสดงว่าก็ต้องมีร่างต้น ร่างต้นคือ Denial of Service ชื่อบอกตรงตัวครับคือการทำให้ใช้บริการไม่ได้แต่เวลาผมไปคุยกับใครเขามักจะเรียกกันอยู่ว่า “โดนยิง” หรือ “โดนบอม” ซึ่งเป็นกริยาที่แสดงถึงกำลังโดนโจมตีหรือโดนสอยอยู่นั่นเองแหละครับ แต่ DoS เป็นการโจมตีด้วยการใช้แค่ 1 เครื่องโจมตี แน่นอนมันไม่ค่อยร้ายแรงเท่าไหร่หรอก เดี๋ยวจะมีอธิบายในบทต่อไป

ดังนั้น DDoS ที่มีคำว่า Distributed ประกอบอยู่ด้วยก็แทนที่จะเป็นการยิงโดยใช้แค่เครื่องเดียวแบบ DoS ก็เป็นการใช้หลายเครื่องช่วยกันยิงเพื่อให้ระบบร่วง โดยส่งผลทำให้เกิดขนาดในการโจมตีที่ใหญ่และป้องกันได้ยากมากกว่าเดิมมากกกกกกกกกก อธิบายมาพอสมควรและเกี่ยวกับ DDoS ยังไงผมจะขอเริ่มเข้าสู่การอธิบาย infographic ดังด้านล่างนะครับ

1) Protocol ที่นิยมใช้ในการทำ DDoS มากที่สุดคือ UDP เหตุเพราะมันปลอมได้ ไม่จำเป็นต้องมีการพิสูจน์ตัวตนแบบ TCP เช่นเทคนิคพวก Amplification/Reflection กับช่องโหว่ของ Service พวก NTP, DNS, SNMP, SSDP, etc… พวกที่บอกมาเป็น UDP ทั้งนั้น รุนแรงและจับตัวยาก ไม่จำเป็นต้องมี botnet ด้วยนะขอบอก

2) อันนี้เป็นข้อมูลที่ทางเอสน็อครวบรวมจากเคสที่มี DDoS ที่มีต้นทางจากภายในประเทศ ตั้งแต่ Q4 2014 – Q1 2015 พบว่าเฉลี่ยที่เกิดการยิงจะอยู่ที่ 1.5Gbps และมากสุดที่พบคือ 7Gbps ถามว่าแรงไหม คงตอบว่ายังไม่เทียบเท่าต่างประเทศ แต่ขนาดการยิงแบบนี้ก็หวังผลได้ง่ายและเพราะส่วนใหญ่ระบบในไทยเชื่อมต่อกันแค่ 1Gbps เท่านั้น

3) เข้ามาสู่ชนิดของ DDoS แล้วทางผมอยากจะแบ่งการโจมตีออกมาเป็นสองประเภทใหญ่ๆ นั่นคือการยิงด้วยขนาดแบนวิดขนาดใหญ่หรือ Volumetric base Attack ซึ่งมีการพบว่าขนาดใหญ่ที่สุดก็ราวๆ 300-400Gbps เลยทีเดียวและการโจมตีด้วยจุดอ่อนของแอพพลีเคชั่นหรือ Application base Attack ซึ่งพบว่ามีแนวโน้มที่สูงขึ้นเรื่อยๆ และตัวที่เป็นเป้าหมายเยอะสุดก็คือ Web Application นั่นแหละ ง่ายๆก็ทำการส่ง HTTP request flood เข้าไปจนทำให้ connection เต็มจน CPU/Memory 100% กันเลยทีเดียว

4) ข้อมูลจาก State of Internet 2014 พบการโจมตีขนาดใหญ่สุดคือ 361 Gbps ลองมองภาพกันนะ ถ้าเราโดนขนาดนี้จะเป็นยังไง บรื๋อออออ

5) ข้อมูลจาก neustar 2014 พบว่ากว่า 87% ของผู้ที่โดน DDoS โจมตีจะโดนมากกว่า 1 ครั้งเสมอ พูดง่ายๆคือกลับมายิงอีกจนกว่าจะสะใจ ใครที่เคยลิ้มรสชาติของการโดนยิงคงจะพอทราบกันว่า มันมาเรื่อยๆ จนกว่าจะพอใจกันเลยแหละ ทนได้ก็ทน ทนไม่ได้ก็ต้องทนฟิ้ววววววว

6) เฮ้ย! Smart Phone, Tablet, Smart Device เอามายิง DDoS ได้ด้วยเหรอ… อันนี้ไม่แปลกเลย อุปกรณ์สมาร์ททั้งหลายเนี่ยก็เหมือนคอมพิวเตอร์ดีๆนี่แหละ พอติดไวรัส ก็อยู่ที่แฮคเกอร์และว่าจะสั่งให้อุปกรณ์ของคุณทำอะไรก็ได้ และแน่นอนสั่งให้สิ่งที่อยู่ในมือของคุณไปโจมตีใครก็ได้ด้วยเช่นกัน ซึ่งมีกรณีทำให้เครือข่ายมือถือล่มกันเลยทีเดียว

7) ค่าความเสียหายเฉลี่ยที่เกิดขึ้นกับการโดน DDoS จนระบบมีปัญหามากกว่า 40% เสียชั่วโมงละ 1 ล้านบาท ซึ่งค่าความเสียหายนี้ประกอบไปด้วย โอกาสทางการขาย การให้บริการ ค่าล่วงเวลา ค่าเสียหายทางการตลาดเป็นต้น เป็นเงินไม่น้อยเลยนะหากเกิดมาเพียงแค่ครั้งเดียว…

สุดท้ายหากท่านใดมีข้อเสนอแนะหรือสอบถามข้อมูลเพิ่มเติมติดต่อได้ที่ sales@snoc.co.th หรือช่องทาง https://www.facebook.com/securenoc ก็ได้และมีการทดสอบให้ฟรีไม่มีเงื่อนไข วันนี้ขอลาไปก่อนสวัสดีครับ

 Credit : http://www.snoc.co.th/infographics/ddos-is/

IMPI / IMPU

IMPI / IMPU : IP Multimedia Private Identity / IP Multimedia Public Identity

IP Multimedia Private Identity หรือ IMS Private Identity
IP มัลติมีเดีย ประจำตัวแบบส่วนตัว (IMPI) อ่านเก๋ๆว่า อิมปี้ เป็นตัวตนที่จัดสรรแบบไม่ซ้ำกันถาวรทั่วโลก เพราะค่าตัวเลขถึง15ตัว นั้นบ่งบอก ประเทศ3ตัว+เครือข่าย2ตัว+เบอร์อีก10ตัว ได้รับมอบหมายจากผู้ประกอบการเครือข่ายภายในบ้านและนำมาใช้ตัวอย่างเช่นการลงทะเบียน, การอนุมัติการบริหารและวัตถุประสงค์การบัญชี ผู้ใช้ IMS Subscriber จะมีเพียงหนึ่งค่า IMPI เมื่อเปรียบกับยุค2G/3G มันคือ IMSI นั้นเอง ตัวอย่าง IMPI  =  52005xxxxxxxxxx@ims.mnc005.mcc520.3gppnetwork.org : จะเห็นได้ว่า 520 ประเทศไทย 05dtac xxxxxxxxxxเป็นค่าตัวเลขขอเบอร์ ตามด้วย@โดเมนของผู้ให้บริการ

IP Multimedia Public Identity หรือ IMS Public Identity
IP มัลติมีเดีย ประจำตัวแบบสาธารณะ (IMPU) อ่านเก๋ๆว่า อิมปู้ จะถูกใช้โดยผู้ใช้ใด ๆ สำหรับการร้องขอการสื่อสารกับผู้ใช้อื่น ๆ (เช่นนี้อาจจะรวมอยู่ในแบบธุรกิจ) สามารถมีได้หลาย IMPU ต่อ IMPI ,IMPU นอกจากนี้ยังสามารถใช้งานร่วมกับโทรศัพท์เครื่องอื่นเพื่อให้ทั้งสองสามารถเข้าถึงได้ด้วยตัวตนเดียวกัน (เช่นหมายเลขโทรศัพท์เดียวสำหรับทั้งครอบครัว) เช่น ในการทำมัลติซิม ใส่ทั้งโทรศัพท์ ทั้งipad เพื่อให้ง่ายในการเรียกเก็บค่าบริการ ใช้หลายเครื่องจ่ายในเบอร์เดียว เมื่อเปรียบกับยุค2G/3G มันคือ MSISDN นั้นเอง ตัวอย่าง IMPU  =  sip:+66909999999@ims.mnc005.mcc520.3gppnetwork.org : จะเห็นได้ว่า ค่าแบบSIP +66รหัสประเทศไทย เบอร์ตัด0ตัวหน้าทิ้ง ตาม@โดเมนของผู้ให้บริการ

Credit : https://en.wikipedia.org/wiki/IP_Multimedia_Subsystem

Erlang

Erlang 

(เออร์แลงหรือหน่วยวัดปริมาณการใช้งานวงจรโทรศัพท์) ความหมาย : การวัดปริมาณการใช้งานของระบบโทรศัพท์ (1 Erlang เท่ากับ 3,600 วินาทีของการใช้งานในระยะเวลา 1 ชั่วโมง)

Credit : http://www.callcentermaster.com/index.php?lay=show&ac=article&Id=539616661&Ntype=1
Credit : http://thaitelecomkm.org/TTE/topic/attach/Principle_of_Traffic_Engineering_in_Circuit_Switching_and_the_Numbering_System/index.php

BHCA

BHCA : Busy Hour Call Attempts

คือ ซอฟต์สวิตซ์ที่สามารถรองรับและจัดการการใช้โทรศัพท์ได้มากหลายล้านเลขหมายต่อชั่วโมง
หรือเป็นหน่วยของ ความจุ ความหนาแน่น ของการใช้สายโทรศัพท์ เช่น Traffic Handing Capacity ได้เท่ากับ 2540 BHCA/BHCC

“BSS Vendor of the Year”แอมด็อคส์ เทอร์โบ ชาร์จจิ้ง (Amdocs Turbo Charging) ซึ่งเป็นเทคโนโลยีชาร์จจิ้งแบบเรียลไทม์ที่ทำงานเบ็ดเสร็จในตัว ช่วยให้ผู้ให้บริการสามารถนำเสนอบริการแบบผสมระหว่างระบบพรีเพด (prepaid) และระบบโพสท์เพด (postpaid) ได้โดยมีต้นทุนค่าใช้จ่ายด้านฮาร์ดแวร์ที่ถูกลง ทั้งนี้เทคโนโลยี เทอร์โบ ชาร์จจิ้ง ดังกล่าวได้สร้างสถิติใหม่ในอุตสาหกรรมนี้ในส่วนของขีดความสามารถแบบเรียลไทม์ ชาร์จิ้ง (real-time charging performance) โดยเพิ่มขีดความสามารถในการรองรับการใช้โทรศัพท์มากถึง 276 ล้านสาย ในช่วงชั่วโมงที่มีการใช้โทรศัพท์สูงสุด หรือที่เรียกว่า busy hour call attempts (BHCA)

Credit : http://www.ptt.co.th/blog/?p=196
Credit : http://47032rbacgroup11.blogspot.com/2007/08/ibm.html
Credit : http://www2.se-ed.com/technology/viewcontent.aspx?IDtopic=1888