ภูมิทัศน์ดิจิทัลกำลังเผชิญกับภัยคุกคามที่ไม่เคยปรากฏมาก่อน เนื่องจากการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ไปถึงระดับปริมาณที่ทำลายสถิติ โดยเหตุการณ์ล่าสุดพุ่งสูงถึงเกือบ 30 เทราเบิตต่อวินาที การเพิ่มขึ้นอย่างน่าตกใจจากเพียง 5 Tbps เมื่อหนึ่งปีที่แล้วนี้ ได้ผลักดันบริการบรรเทาผลกระทบถึงขีดจำกัดและเผยให้เห็นจุดอ่อนพื้นฐานในวิธีที่เราใชัปกป้องอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต ขณะที่การโจมตีขยายตัวทั้งในด้านขนาดและความซับซ้อน ชุมชนเทคโนโลยีกำลังต่อสู้กับคำถามที่ยากเกี่ยวกับความรับผิดชอบ การกำกับดูแล และอนาคตของโครงสร้างพื้นฐานอินเทอร์เน็ต
สถิติการโจมตี DDoS ล่าสุด:
- การโจมตี DDoS ที่ใหญ่ที่สุดที่บันทึกไว้เพิ่มขึ้นจาก 5 Tbps เป็นเกือบ 30 Tbps ภายในหนึ่งปี
- Cloudflare ป้องกันการโจมตีที่มีจุดสูงสุดกว่า 71 ล้านคำขอต่อวินาทีที่มุ่งเป้าไปยังแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัล
- Radware บันทึกการเพิ่มขึ้น 58% ของการโจมตี DDoS แบบเรียกค่าไถ่ในช่วงครึ่งแรกของปี 2023 เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว
- Akamai สังเกตเห็นการโจมตี DDoS จำนวน 18,973 ครั้งระหว่างวันที่ 7-11 สิงหาคม 2023 โดยมี 1,492 ครั้งที่มุ่งเป้าไปยัง Akamai Technologies B.V.
เหตุปัจจัยที่นำไปสู่การโจมตี DDoS ขนาดใหญ่
หลายปัจจัยที่มาบรรจบกันได้สร้างเงื่อนไขที่เหมาะเจาะให้การโจมตีขนาดใหญ่เหล่านี้เจริญเติบโต การนำการเชื่อมต่อบรอดแบนด์ที่อยู่อาศัยความเร็วสูงมาใช้อย่างกว้างขวาง โดยเฉพาะบริการไฟเบอร์ถึงบ้านที่มีความเร็วอัพโหลดสมมาตร ได้มอบแบนด์วิธมหาศาลให้ผู้โจมตีใช้ประโยชน์ ในขณะที่บ้านเรือนเคยมีความสามารถในการอัพโหลดที่จำกัด ตอนนี้เป็นเรื่องปกติที่การเชื่อมต่อที่อยู่อาศัยจะให้ความเร็วอัพโหลด 1-2 กิกะบิตต่อวินาที ซึ่งเพียงพอสำหรับอุปกรณ์ที่ถูกบุกรุกจำนวนค่อนข้างน้อยที่จะทำให้จุดเชื่อมต่อเครือข่ายหลักล้นหลาม
สิ่งที่ทำให้การระเบิดของแบนด์วิธนี้รุนแรงขึ้นคือ การแพร่หลายของอุปกรณ์อินเทอร์เน็ตของสรรพสิ่ง (IoT) ที่ไม่ปลอดภัย กล้องที่เชื่อมต่อเหล่านี้ อุปกรณ์สมาร์ทโฮม และระบบฝังตัวอื่นๆ มักจัดส่งมาพร้อมกับการป้องกันความปลอดภัยขั้นต่ำ รหัสผ่านเริ่มต้น และความสามารถในการอัปเดตที่จำกัด ดังที่ผู้แสดงความคิดเห็นหนึ่งระบุเกี่ยวกับอุปกรณ์ที่ติดเชื้อ แม้ว่าอุปกรณ์ IoT ที่ติดเชื้อเหล่านั้นจะถูกบูตใหม่และทำความสะอาดแล้ว พวกมันก็ยังจะถูกบุกรุกใหม่โดยสิ่งอื่นโดยทั่วไปภายในไม่กี่นาทีหลังจากที่เสียบกลับเข้าไป สิ่งนี้สร้างกลุ่มอุปกรณ์ที่มีช่องโหว่ถาวรที่ผู้โจมตีสามารถเกณฑ์เข้าระบบบอตเน็ตของพวกเขาได้อย่างต่อเนื่อง
วิวัฒนาการทางเทคนิคของวิธีการโจมตี DDoS
ผู้โจมตีได้ปรับปรุงเทคนิคของพวกเขาอย่างมีนัยสำคัญเกินกว่าการโจมตีแบบวัดปริมาณง่ายๆ การโจมตีล่าสุดได้ใช้อาวุธโปรโตคอลเครือข่ายที่ปกติไม่เป็นอันตราย เช่น TCP Established Encryption Probes (TEEPs) ซึ่งโดยทั่วไปแล้วผู้ดำเนินการเครือข่ายใช้เพื่อตรวจสอบการสนับสนุนการเข้ารหัสในการเชื่อมต่อ TCP แพ็กเก็ตขนาดเล็กเหล่านี้สามารถเล็ดลอดผ่านการป้องกัน DDoS แบบดั้งเดิมที่ออกแบบมาเพื่อจับ payloads ที่เป็นอันตรายขนาดใหญ่ได้ และความคล้ายคลึงกับปริมาณการใช้งานที่ถูกกฎหมายทำให้การตรวจจับเป็นเรื่องท้าทายเป็นพิเศษ
พลวัตทางเศรษฐกิจก็เปลี่ยนไปเช่นกัน บริการ DDoS-for-hire ได้ลดอุปสรรคในการเข้าถึง ในขณะที่บอตเน็ต IoT ที่ซับซ้อนมอบพลังการประมวลผลแบบกระจายมหาศาลให้ผู้โจมตี ผู้โจมตีบางคนพบโอกาสที่ทำกำไรได้ในการกำหนดเป้าหมายภาคส่วนเฉพาะ รวมถึงแคมเปญการขู่กรรโชกต่อผู้ดำเนินการเซิร์ฟเวอร์ Minecraft และบริการเกมอื่นๆ ที่การหยุดทำงานส่งผลกระทบโดยตรงต่อรายได้
ปิดกั้นหรือจำกัดอัตราที่อยู่ IPv4 และคุณอาจปิดกั้นปริมาณการใช้งานที่ถูกกฎหมายบางส่วนหากเป็นที่อยู่ NAT ปิดกั้นที่อยู่ IPv6 เดียว... และคุณอาจค้นพบว่าผู้ใช้ควบคุมทั้ง /64 หรือ prefix อะไรก็ตาม
เวกเตอร์การโจมตี DDoS ที่พบบ่อย:
- HTTP Flood (31.7% ของการโจมตีที่ Akamai สังเกตพบ)
- UDP Flood (สูงสุดที่ 443.77 Gbps)
- TCP Established Encryption Probes Flood (TEEP Flood, สูงสุดที่ 318.85 Gbps)
- การโจมตีช่องโหว่ในการใช้งาน SSL/TLS
- การโจมตีแบบขยายผลผ่าน CDN
ความเครียดของโครงสร้างพื้นฐานและความท้าทายในการบรรเทาผลกระทบ
ขนาดของการโจมตีล่าสุดได้เผยให้เห็นข้อจำกัดในโครงสร้างพื้นฐานการบรรเทาผลกระทบ DDoS ในปัจจุบัน ผู้ให้บริการป้องกัน DDoS เฉพาะทางหลายรายต้องดิ้นรนกับความจุ edge ที่ไม่เพียงพอในการจัดการกับการโจมตีหลายเทราเบิต ส่งผลให้เกิดความเสียหาย collateral ที่เพิ่มขึ้นสำหรับลูกค้าของบริษัทโฮสติ้งขนาดเล็ก ในขณะที่โซลูชันระดับองค์กรเช่น Cloudflare's Magic Transit เสนอการป้องกันที่แข็งแกร่ง ราคาของพวกเขา - ซึ่งรายงานว่าเริ่มต้นที่ประมาณ 4,000 ดอลลาร์สหรัฐ ต่อเดือน - สร้างความกังวลเกี่ยวกับการเข้าถึงสำหรับองค์กรขนาดเล็กและบริการที่ไม่ใช่ HTTP
ผู้ดำเนินการเครือข่ายเผชิญกับความท้าทายเฉพาะกับ Carrier-Grade NAT (CGNAT) ซึ่งผู้ใช้หลายคนแบ่งปันที่อยู่ IP สาธารณะเดียว สิ่งนี้ทำให้การกรองแบบเจาะจงทำได้ยาก เนื่องจากการปิดกั้น IP ที่ถูกบุกรุกอาจส่งผลกระทบต่อผู้ใช้ที่ถูกกฎหมายจำนวนมาก การอภิปรายเกี่ยวกับการนำ IPv6 มาใช้เน้นยั้งทั้งโซลูชันที่อาจเกิดขึ้นและความซับซ้อนใหม่ เนื่องจากพื้นที่ที่อยู่ที่มีความละเอียดมากขึ้นเสนอการกำหนดเป้าหมายที่ดีกว่าแต่ต้องจัดการกับรายการบล็อกที่ใหญ่กว่ามาก
การอภิปรายเกี่ยวกับการตอบสนองด้านกฎระเบียบและอุตสาหกรรม
ชุมชนแบ่งออกอย่างลึกซึ้งเกี่ยวกับโซลูชัน บางคนสนับสนุนให้มีการกำกับดูแลโดยรัฐบาลที่กำหนดมาตรฐานความปลอดภัยพื้นฐานสำหรับอุปกรณ์ IoT เช่น การกำจัดรหัสผ่านเริ่มต้น การกำหนดให้ต้องมีเฟิร์มแวร์ที่ลงนามแล้ว และการกำหนดระยะเวลาการอัปเดตความปลอดภัยภาคบังคับ คนอื่นๆ โต้แย้งเพื่อแนวทางทางเทคนิคมากขึ้น รวมถึงการกรองระดับ ISP การจำกัดแบนด์วิธ基于ฮาร์ดแวร์สำหรับอุปกรณ์ IoT หรือการปรับปรุงการให้ความรู้ผู้บริโภคเกี่ยวกับความปลอดภัยของอุปกรณ์
แรงจูงใจทางเศรษฐกิจในปัจจุบันทำงานขัดกับโซลูชันที่ครอบคลุม ISP มีแรงจูงใจจำกัดในการลงทุนในการป้องกันการโจมตีขาออก และผู้ผลิตอุปกรณ์เผชิญกับผลกระทบเพียงเล็กน้อยสำหรับการจัดส่งผลิตภัณฑ์ที่มีช่องโหว่ ขณะที่การโจมตีเริ่มก่อให้เกิดปัญหาด้านการดำเนินงานสำหรับ ISP เอง - ด้วยการโจมตีขาออกเทราเบิตต่อวินาทีที่ขัดขวางเครือข่ายของพวกเขา - การคำนวณอาจกำลังเปลี่ยนแปลง แต่การตอบสนองยังคงกระจายตัว
มองไปข้างหน้า: ความปลอดภัยในโลกที่เชื่อมต่อกันมากขึ้นเรื่อยๆ
ภัยคุกคาม DDoS ที่ทวีความรุนแรงขึ้นแสดงถึงความท้าทายพื้นฐานต่อความมั่นคงของอินเทอร์เน็ตที่ต้องการโซลูชันที่ประสานงาน across ผู้มีส่วนได้ส่วนเสียหลายฝ่าย การปรับปรุงทางเทคนิคในการออกแบบโปรโตคอล สถาปัตยกรรมเครือข่าย และความปลอดภัยของอุปกรณ์ จะต้องได้รับการเสริมด้วยแรงจูงใจทางเศรษฐกิจที่ให้รางวัลกับความปลอดภัยและลงโทษความประมาทเลินเล่อ ในขณะที่อุปกรณ์ที่เชื่อมต่อยังคงแพร่หลายในบ้านเรือน เมือง และโครงสร้างพื้นฐานที่สำคัญ ผลที่ตามมาของการไม่ลงมือทำก็รุนแรงมากขึ้น
การอภิปรายของชุมชนสะท้อนทั้งความเร่งด่วนและการปฏิบัติ - ตระหนักว่าโซลูชันที่สมบูรณ์แบบอาจหาได้ยาก แต่การปรับปรุงทีละน้อยในความปลอดภัยของอุปกรณ์ การตรวจสอบเครือข่าย และความสามารถในการบรรเทาผลกระทบ สามารถลดภูมิทัศน์ภัยคุกคามได้รวมกัน การโจมตีที่ทำลายสถิติในไม่กี่เดือนที่ผ่านมาเป็นเครื่องเตือนใจที่ชัดเจนว่าความปลอดภัยดิจิทัลส่วนรวมของเราขึ้นอยู่กับจุดที่อ่อนแอที่สุดในระบบนิเวศที่เชื่อมต่อของเรา
อ้างอิง: DDoS Brief: Akamai Mandates US$ TEEPs in Record DDoS