Search
Close this search box.

การป้องกัน การโจมตีแบบ DDoS / DoS สำหรับเว็บไซต์สาธารณะ

การป้องกัน การโจมตีแบบ DDoS / DoS สำหรับเว็บไซต์สาธารณะ

เรื่อง DDoS/DoS เป็นเรื่องป้องกันยากแต่เราสามารถลดความเสี่ยงได้ ซึ่งทางทีมงานเราได้คิดค้นเทคนิคเรียกว่า SRAN i[n] Block เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทคจัดทำขึ้นมาเพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจาก ภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing)

โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น

หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัยเป็นลักษณะ Cloud Computer ส่วนติดตั้งที่ Site งานเราจะใช้ร่วมกับอุปกรณ์ Net Optics รุ่น iBypass รวมเรียกบริการว่า

 

การป้องกัน การโจมตีแบบ DDoS / DoS สำหรับเว็บไซต์

 

ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตีแบบ DDoS / DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น

 

การป้องกัน การโจมตีแบบ DDoS / DoS สำหรับเว็บไซต์สาธารณะ
ภาพแสดงขั้นตอนการทำงานของ IN Block Services

 

 

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block

เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง

เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสารเว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์เจาะระบบข้อมูล

ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง

เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

 

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block

ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing) เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

 

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall)

การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทยตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

 

SRAN I[N] block จะทำให้เว็บไซต์และโดเมนของคุณปลอดภัยขึ้นด้วยคุณสมบัติดังต่อไปนี้

1. ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (Web Application Security)

โดยมีรูปแบบการป้องกันตามมาตรฐาน OWASP และรูปแบบการโจมตีมากกว่า 1,000 รายการ ซึ่งมีการโจมตีหลักๆ ที่เป็นภัยอันตรายต่อเว็บไซต์ดังนี้

  • การป้องกันการโจมตีลักษณะ XSS (Cross site scripting)
  • การป้องกันการโจมตีลักษณะ
  • การป้องกันการโจมตีลักษณะ RFI (Remote Files Inclusion) และการยิงโค้ด Exploit ที่มีผลกระทบต่อระบบ
  • การป้องกันการใส่ค่า character in request ที่ส่งผลกระทบต่อระบบเว็บไซต์
  • การป้องกันการพยายามเข้าถึงระบบโดยการสุ่มเดารหัสผ่าน (Brute Force Password)
  • การป้องกันการโจมตีชนิด DDoS/DoS
  • การป้องกันจากการใช้เครื่องมือตรวจสอบช่องโหว่(Security Scanner)
  • การป้องกันสแปมและบอทเน็ตในการเข้ามาสร้างความเสียหายแก่เว็บไซต์
  • มีความสามารถตรวจจับ bot/crawler ที่เข้ามาสอดแนมข้อมูลในเว็บไซต์และแยกประเภทของบอทได้ว่ามีที่มาจากที่ไหน

 

2. ระบบป้องกันไอพีแอดเดรสที่ใช้ในการอำพรางตัวตน

เป็นฟังชั่นหนึ่งที่ช่วยลดความเสี่ยงจากนักโจมตีระบบที่มักจะต้องอำพรางค่าไอพีแอดเดรสของตนเองเพื่อทำการเจาะระบบ ทาง SRAN iBlock จึงจัดทำระบบ “IP Reputation” เพื่อทำการคัดกรองค่าไอพีแอดเดรสที่เคยมีประวัติการโจมตี ไม่ว่าเป็น ดังนี้

  • ไอพีที่เข้าบัญชีดำ ที่ติดในฐานข้อมูลกับหน่วยงานกลางที่เฝ้าระวังการโจมตี
  • ไอพีจากการใช้โปรแกรมทอร์เน็ตเวิร์ค (Tor network)
  • ไอพีที่เปิดมาใช้ค่าพร็อกซี่เซิร์ฟเวอร์ที่เปิดใช้แบบสาธารณะ จะมีการอัพเดทข้อมูลทุกวัน (Daily update)

 

3. ระบบ CDN (Content Delivery Network)

มีการวางระบบ เครือข่ายอัจฉริยะ จะติดตั้งระบบ ทำการเก็บค่าเรียกใช้งานหากมีการเรียกซ้ำก็สามารถเข้าถึงข้อมูลได้ทันทีอีกทั้งยังตั้งระบบ SRAN iBlock อยู่ในประเทศที่สำคัญตามจุดต่างๆ ที่มีผู้ใช้บริการทั่วโลก ได้แก่ประเทศญี่ปุ่น ประเทศอังกฤษ ประเทศสหรัฐอเมริกา ประเทศสิงค์โปรและประเทศไทย เพื่อเพิ่มความเร็วในการเรียกดูเนื้อหาเว็บไซต์ในจุดที่ใกล้ที่สุด ของผู้ใช้งานเยี่ยมเข้าชมเว็บไซต์

4. ระบบจัดเก็บบันทึกข้อมูลจราจร (Log Files)

มีการจัดเก็บ บันทึกข้อมูลจราจรหรือ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พร้อมทั้งสามารถสืบค้นหาข้อมูล ลักษณะพฤติกรรมค่าไอพีแอดเดรส เพื่อใช้ในการหาผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว โดยข้อมูลใน Log file สามารถบอกค่าได้ทั้ง 5W คือ Who , What , Where , When , Why ประกอบด้วย

  • วันเวลา(When)
  • ค่าไอพีแอดเดรส (Who)
  • สถานที่ ได้แก่ ชื่อผู้ให้บริการ ชื่อสถานที่ของค่าไอพีแอดเดรส ผ่านเทคนิค และการระบุพิกัดตำแหน่งผ่านแผนที่ภูมิสารสนเทศ (Where)
  • ค่าการเรียกค่าในเว็บไซต์ GET / POST และลักษณะการโจมตีเว็บไซต์ (What)
  • ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่ และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ(Why)ตัวอย่างการบริการ

 

ตัวอย่างการแสดงค่า Log file ของเว็บ www.gbtech.co.th ที่ใช้บริการ SRAN In Block

ภาพตัวอย่างการแสดงค่า Log file การเข้าถึงข้อมูลเว็บไซต์ทั้งการเข้าถึงข้อมูลที่ปกติไม่มีการโจมตีและการพบการโจมตี ซึ่งค่าที่แสดงใน Log สามารถระบุได้ 5W

  • Who : .ใคร
  • What : IPAddressค่าGET/POST ที่ URL path
  • Where : สถานที่ชื่อ ISP, ชื่อหน่วยงาน ชื่อเมืองและชื่อประเทศ
  • When : เวลา
  • Why : ทำไม

 

ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ

ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี ด้วยการโจมตี SQL injection

ตัวอย่างนี้เป็นข้อมูลจริงที่เกิดขึ้นกับเว็บไซต์ที่ใช้บริการ SRAN IN Block ได้แก่เว็บไซต์ https://www.gbtech.co.th เมื่อมีการเรียกข้อมูลที่มีลักษณะเป็นการโจมตีระบบ

จากตัวอย่างในภาพจะเห็นว่านักโจมตีระบบใช้เทคนิคที่นิยมโจมตีเว็บไซต์หน่วยงานราชการในประเทศไทยคือการโจมตีแบบ “SQL injection” เมื่อนักโจมตีระบบใช้ชุดคำสั่งป้อนเข้าใส่ช่อง URL ในบราวเซอร์ ดังนี้ http://www.gbtech.co.th/site/html/search.php?lang=1-15UnION/**/SElecT%201,2,3,4…

เมื่อคำสั่งเข้าสู่เว็บไซต์ที่ใช้บริการ SRAN IN Block จะปรากฏข้อความแจ้งเตือนไปยังนักโจมตีระบบ โดยมีข้อความที่หน้าจอ โดยมีทั้งภาษาไทยและอังกฤษว่า ภาษาอังกฤษ “You are not authorized to access this page. The system detected a possible attempt to compromise security.”

ภาษาไทย “ขออภัยที่ไม่สามารถให้คุณเข้าเยี่ยมชมเว็บไซต์ได้ เพราะการเรียกข้อมูลของคุณอาจส่งผลต่อความปลอดภัยเว็บไซต์ และมีความเสี่ยงต่อการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์”

 

ภาพแสดงหน้าจอเมื่อมีการโจมตีเว็บไซต์ผู้ใช้บริการจะมีการปิดกั้นและขึ้นข้อความเตือน

 

เมื่อมีการโจมตีที่ตรงตามเงื่อนไขก็จะพบว่า นักโจมตีระบบจะไม่สามารถเข้าถึงหน้าเพจและข้อมูลในเว็บไซต์ในลักษณะการเรียกข้อมูลนี้ได้ และในหน้าบริการจัดการ SRAN IN Block ก็จะพบ Log file ที่เห็นที่มาของการโจมตีดังนี้

 

ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบและสามารถใช้เป็นหลักฐานในการดำเนินคดีความได้

 

ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี Remote Exploit ผ่านช่องโหว่ของ WordPress

เนื่องจาก WordPress เป็น CMS (Content Management System) ที่คนไทยและทั่วโลกนิยมใช้กันในการจัดทำเป็นเว็บไซต์หน่วยงานเพื่อเผยแพร่ข้อมูลกันเป็นจำนวนมาก

ตัวอย่างการโจมตี “Virtual just in Time Patch : TimThumb Remote Code Execution Vulnerability Exploit attempt” ซึ่ง TimThumb เป็น Plugins หนึ่งของ WordPress เข้าโจมตีที่ http://www.gbtech.co.th/wp-content/themes/TheCorporation/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.agmcmortgage.com%2Fbad.php ก็จะพบหน้าแจ้งเตือนไปยังนักโจมตีระบบและระงับการเข้าถึงข้อมูลเว็บไซต์

 

ภาพหน้าจอแจ้งเตือนต่อนักโจมตีระบบเมื่อมีการพยายามโจมตีระบบด้วยการใส่โค้ดผ่านช่องโหว่ WordPress

 

แสดงค่าใน Log file จะพบวันเวลา และค่าไอพีแอดเดรสของนักโจมตีระบบ

ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบได้

 

 

ตัวอย่างการค้นหาข้อมูลการโจมตีจาก Log file

เมื่อผู้ใช้บริการ SRAN IN Block Services ต้องการค้นหาว่ามีค่าไอพีแอดเดรสของนักโจมตีระบบเว็บไซต์เกิดขึ้นเมื่อวันเวลาใดและเหตุการณ์อะไรนั้น

สามารถค้นหาได้ผ่านระบบสืบค้นซึ่งจะทำให้สืบหาการกระทำความผิดทางเทคโนโลยีได้อย่างสะดวกและรวดเร็วขึ้น

 

ตัวอย่างการค้นหา การโจมตีชนิด Cross Site Scripting

ภาพตัวอย่างการค้นหาความพยายามที่โจมตีเว็บไซต์ชนิด Cross site Scripting

 

ต้วอย่างการแสดงผลภาพรวมการโจมตีผ่านแผนที่ภูมิสารสนเทศ

ภาพการแสดงแผนที่การโจมตีจะทำให้ผู้ใช้บริการทราบว่าเว็บไซต์ของหน่วยงานเรานั้นถูกโจมตีจากประเทศใดบ้างซึ่งหากสีเข้มพบว่ามีการโจมตีสูง

 

 

จากภาพพบว่าเว็บไซต์ www.gbtech.co.th ถูกโจมตีจากประเทศไทยเป็นจำนวน 2,373 ครั้ง ข้อมูลของวันที่ 18 มิถุนายน 2556

 

รายงานภาพรวมการโจมตีเว็บไซต์ที่ใช้บริการ SRAN IN Block

ภาพลำดับการโจมตีเว็บไซต์ด้วยเทคนิคต่างๆ 20 อันดับโดยวัดค่าจากจำนวนครั้งที่โจมตีจากมากไปน้อย

 

การป้องการเข้าถึงข้อมูลเว็บไซต์จากการอำพรางค่าไอพีแอดเดรส

 

ภาพเมื่อทำการเปิดโปรแกรม Tor network เพื่อจะทำการอำพรางไอพีแอดเดรสของตนเอง จากภาพจะได้ค่า IP คือ 173.254.216.69

และเมื่อทำการเปิดเว็บไซต์ www.gbtech.co.th ก็จะถูกปิดกั้นและขึ้นข้อความเตือนเนื่องจากมีการอำพรางไอพีแอดเดรส

 

ปัจจุบันทั้งหมดอยู่ในบริการเรียกว่า

ที่ทางกลุ่ม SRAN Dev นำเสนอเพื่อเป็นทางเลือกหนึ่งในสินค้าบริการจากประเทศไทย