ทำความเข้าใจการโจมตี DDoS: คู่มือสำหรับผู้ดูแลระบบ WordPress

เผยแพร่แล้ว: 2019-10-10

Distributed Denial of Service (DDoS) เป็นการโจมตีประเภท Denial of Service (DoS) ซึ่งการโจมตีมาจากหลายโฮสต์แทนที่จะเป็นหนึ่ง ซึ่งทำให้ยากต่อการบล็อกมาก เช่นเดียวกับการโจมตี DoS วัตถุประสงค์คือการทำให้เป้าหมายไม่พร้อมใช้งานโดยการโอเวอร์โหลดในบางวิธี

โดยทั่วไป การโจมตี DDoS เกี่ยวข้องกับคอมพิวเตอร์หรือบอทจำนวนหนึ่ง ระหว่างการโจมตี คอมพิวเตอร์แต่ละเครื่องจะส่งคำขอให้โอเวอร์โหลดเป้าหมาย เป้าหมายทั่วไปคือเว็บเซิร์ฟเวอร์และเว็บไซต์ รวมถึงเว็บไซต์ WordPress ส่งผลให้ผู้ใช้บริการไม่สามารถเข้าถึงเว็บไซต์หรือบริการได้ สิ่งนี้เกิดขึ้นเนื่องจากเซิร์ฟเวอร์ถูกบังคับให้ใช้ทรัพยากรเพื่อจัดการกับคำขอเหล่านี้โดยเฉพาะ

เป็นสิ่งสำคัญสำหรับผู้ดูแลระบบ WordPress ในการทำความเข้าใจและเตรียมพร้อมสำหรับการโจมตี DDoS พวกเขาสามารถเกิดขึ้นได้ตลอดเวลา ในบทความนี้ เราจะสำรวจ DDoS ในเชิงลึกและให้คำแนะนำเพื่อช่วยดูแลไซต์ WordPress ของคุณให้ได้รับการปกป้อง

DDoS เป็นการโจมตีที่มุ่งเป้าไปที่การหยุดชะงักและไม่ใช่การแฮ็ก

สิ่งสำคัญคือต้องเข้าใจว่าการโจมตี DDoS ไม่ใช่การแฮ็ก WordPress ที่เป็นอันตรายในความหมายดั้งเดิม การแฮ็กหมายถึงผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงเซิร์ฟเวอร์หรือเว็บไซต์ที่ไม่ควรมี

ตัวอย่างของการแฮ็กแบบดั้งเดิมคือเมื่อผู้โจมตีใช้ช่องโหว่ในโค้ด หรือเมื่อพวกเขาใช้แพ็กเก็ตดมกลิ่นเพื่อขโมยรหัสผ่าน WordPress เมื่อแฮ็กเกอร์มีข้อมูลประจำตัวแล้ว พวกเขาสามารถขโมยข้อมูลหรือควบคุมเว็บไซต์ได้

DDoS มีจุดประสงค์ที่แตกต่างกันและไม่ต้องการการเข้าถึงที่มีสิทธิพิเศษ DDoS มีจุดมุ่งหมายเพื่อขัดขวางการทำงานปกติของเป้าหมาย ด้วยการแฮ็กแบบดั้งเดิม ผู้โจมตีอาจต้องการถูกมองข้ามไปชั่วขณะหนึ่ง ด้วย DDoS หากผู้โจมตีประสบความสำเร็จ คุณจะรู้ได้ทันที

ประเภทต่าง ๆ ของการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย

DDoS ไม่ได้เป็นเพียงการโจมตีประเภทเดียว มีรุ่นต่างๆ มากมายและทำงานแตกต่างกันเล็กน้อยภายใต้ประทุน ภายใต้หมวดหมู่ DDoS มีหลายประเภทย่อยที่สามารถจำแนกการโจมตีได้ รายการด้านล่างเป็นสิ่งที่พบได้บ่อยที่สุด

การโจมตี DDoS เชิงปริมาตร

การโจมตี DDoS เชิงปริมาตรนั้นตรงไปตรงมาในทางเทคนิค: ผู้โจมตีโจมตีเป้าหมายด้วยการร้องขอให้เกินความจุแบนด์วิดท์ การโจมตีเหล่านี้ไม่ได้กำหนดเป้าหมายไปที่ WordPress โดยตรง แทนที่จะกำหนดเป้าหมายระบบปฏิบัติการและเว็บเซิร์ฟเวอร์พื้นฐาน อย่างไรก็ตาม การโจมตีเหล่านี้มีความเกี่ยวข้องอย่างมากกับเว็บไซต์ WordPress หากผู้โจมตีประสบความสำเร็จ ไซต์ WordPress ของคุณจะไม่แสดงหน้าเว็บแก่ผู้เยี่ยมชมที่ถูกกฎหมายในระหว่างการโจมตี

การโจมตี DDoS เฉพาะที่จัดอยู่ในประเภทนี้ ได้แก่:

  • การขยาย NTP
  • UDP น้ำท่วม

การโจมตี DDoS ของเลเยอร์แอปพลิเคชัน

การโจมตี DDoS ของเลเยอร์แอปพลิเคชันมุ่งเน้นไปที่เลเยอร์ 7 ซึ่งเป็นเลเยอร์แอปพลิเคชัน ซึ่งหมายความว่าพวกเขามุ่งเน้นไปที่เว็บเซิร์ฟเวอร์ Apache หรือ NGINX และเว็บไซต์ WordPress ของคุณ การโจมตีในเลเยอร์ 7 จะได้รับ ผลตอบแทนที่คุ้มค่ามากขึ้น เมื่อพูดถึงความเสียหายที่เกิดขึ้นเมื่อเทียบกับแบนด์วิดท์ที่ใช้ไป

เพื่อให้เข้าใจว่าเหตุใดจึงเป็นเช่นนี้ เรามาดูตัวอย่างการโจมตี DDoS บน WordPress REST API การโจมตีเริ่มต้นด้วยคำขอ HTTP เช่น HTTP GET หรือ HTTP POST จากเครื่องโฮสต์เครื่องใดเครื่องหนึ่ง คำขอ HTTP นี้ใช้ทรัพยากรจำนวนเล็กน้อยบนโฮสต์ อย่างไรก็ตาม บนเซิร์ฟเวอร์เป้าหมาย อาจมีการดำเนินการหลายอย่าง ตัวอย่างเช่น เซิร์ฟเวอร์ต้องตรวจสอบข้อมูลรับรอง อ่านจากฐานข้อมูล และส่งคืนหน้าเว็บ

ในกรณีนี้ เรามีความคลาดเคลื่อนอย่างมากระหว่างแบนด์วิดท์ที่ผู้โจมตีใช้และทรัพยากรที่เซิร์ฟเวอร์ใช้ ความไม่เท่าเทียมกันนี้มักใช้ในระหว่างการโจมตี การโจมตี DDoS เฉพาะที่จัดอยู่ในประเภทนี้ ได้แก่:

  • น้ำท่วม HTTP
  • โจมตีช้า

การโจมตี DDoS ตามโปรโตคอล

การโจมตี DDoS ที่ใช้โปรโตคอลตามรูปแบบ ทรัพยากรที่ใช้ไอเสีย เดียวกันกับการโจมตี DDoS อื่นๆ อย่างไรก็ตาม โดยทั่วไปจะเน้นที่ชั้นเครือข่ายและการขนส่ง ซึ่งต่างจากบริการหรือแอปพลิเคชัน

การโจมตีเหล่านี้พยายามปฏิเสธบริการโดยกำหนดเป้าหมายอุปกรณ์ เช่น ไฟร์วอลล์ หรือสแต็ก TCP\IP ที่ทำงานอยู่บนเซิร์ฟเวอร์ของคุณ พวกเขาใช้ประโยชน์จากช่องโหว่ในวิธีที่สแต็กเครือข่ายของเซิร์ฟเวอร์จัดการแพ็กเก็ตเครือข่าย หรือวิธีการทำงานของการสื่อสาร TCP ตัวอย่างของการโจมตี DDoS ตามโปรโตคอล ได้แก่:

  • น้ำท่วมซิน
  • ปิงมรณะ

การโจมตี DDoS แบบหลายเวกเตอร์

อย่างที่คุณคาดไว้ ผู้โจมตีไม่ได้จำกัดตัวเองให้อยู่เพียงการโจมตีประเภทเดียว กลายเป็นเรื่องปกติมากขึ้นสำหรับการโจมตี DDoS เพื่อใช้แนวทางแบบหลายเวกเตอร์ การโจมตี DDoS แบบหลายเวกเตอร์เป็นเพียงสิ่งที่คุณคาดหวัง: การโจมตี DDoS ที่ใช้เทคนิคหลายอย่างเพื่อทำให้เป้าหมายออฟไลน์

ทำความเข้าใจการสะท้อนและการขยายใน DDoS

คำศัพท์สองคำที่เกิดขึ้นบ่อยครั้งในการโจมตี DDoS คือการสะท้อนและการขยาย ทั้งสองนี้เป็นเทคนิคที่ผู้โจมตีใช้เพื่อทำให้การโจมตี DDoS มีประสิทธิภาพมากขึ้น

การ สะท้อน กลับเป็นเทคนิคที่ผู้โจมตีส่งคำขอพร้อมที่อยู่ IP ปลอมไปยัง เซิร์ฟเวอร์ บุคคลที่สาม ที่อยู่ IP ปลอมคือที่อยู่ของเป้าหมาย ในระหว่างการโจมตีประเภทนี้ ผู้โจมตีมักใช้โปรโตคอล UDP ที่หลากหลาย นี่คือวิธีการทำงาน:

  1. ผู้โจมตีส่งคำขอ UDP พร้อมที่อยู่ IP ปลอม พูด IP ของไซต์ WordPress ของคุณไปยังเซิร์ฟเวอร์จำนวนมากที่เรียกว่าตัวสะท้อน
  2. ตัวสะท้อนจะได้รับคำขอและตอบกลับ IP ของไซต์ WordPress ของคุณทั้งหมดพร้อมกัน
  3. การตอบสนองของตัวสะท้อนแสงท่วมท้นไซต์ WordPress ของคุณ อาจทำให้ไซต์โอเวอร์โหลดและทำให้ใช้งานไม่ได้

การขยายเสียง ทำงานคล้ายกับการสะท้อน แม้ว่าจะใช้แบนด์วิดท์และทรัพยากรน้อยกว่า เนื่องจากคำขอที่ส่งไปยังตัวสะท้อนมีขนาดเล็กกว่าการตอบสนองที่ตัวสะท้อนส่งไปยังเป้าหมายมาก มันทำงานคล้ายกับที่เราเห็นด้วยการโจมตี Distributed Denial of Service ในเลเยอร์แอปพลิเคชัน

บทบาทของบ็อตเน็ตในการโจมตี DDoS

เคยสงสัยหรือไม่ว่าผู้โจมตีได้รับทรัพยากรเพื่อประสานงานการโจมตี?

คำตอบคือบ็อตเน็ต บ็อตเน็ตคือเครือข่ายหรืออุปกรณ์ที่ถูกมัลแวร์โจมตี ซึ่งอาจเป็นพีซี เซิร์ฟเวอร์ เครือข่าย หรืออุปกรณ์อัจฉริยะ มัลแวร์ช่วยให้ผู้โจมตีสามารถควบคุมโฮสต์ที่ถูกบุกรุกจากระยะไกลแต่ละโฮสต์

เมื่อใช้สำหรับ DDoS บ็อตเน็ตจะทำการโจมตีด้วยการปฏิเสธการบริการที่ประสานกันกับโฮสต์เป้าหมายที่กำหนด หรือกลุ่มของโฮสต์ กล่าวโดยย่อ: บ็อตเน็ตช่วยให้ผู้โจมตีใช้ประโยชน์จากทรัพยากรบนคอมพิวเตอร์ที่ติดไวรัสเพื่อทำการโจมตี ตัวอย่างเช่น กรณีนี้มีการใช้ไซต์ WordPress มากกว่า 20,000 ไซต์ในการโจมตี DDoS กับไซต์ WordPress อื่นในปี 2018 (อ่านเพิ่มเติม)

แรงจูงใจเบื้องหลังการโจมตี Distributed Denial of Service

“ทำไมผู้คนถึงทำการโจมตี DDoS” เป็นคำถามที่ดีที่จะถาม ณ จุดนี้ เราได้ตรวจสอบแล้วว่าทำไมแฮ็กเกอร์ที่เป็นอันตรายจึงกำหนดเป้าหมายไซต์ WordPress ของคุณในอดีต แต่มีจุดเดียวเท่านั้นที่มีผลกับ DDoS: hactivism หากมีคนไม่เห็นด้วยกับมุมมองของคุณ พวกเขาอาจต้องการเงียบเสียงของคุณ DDoS มีวิธีในการทำเช่นนั้น

การมองข้าม Hactivisim สงครามไซเบอร์ระดับรัฐหรือการโจมตีทางอุตสาหกรรมที่มีแรงจูงใจในเชิงพาณิชย์อาจเป็นตัวขับเคลื่อน DDoS ได้เช่นกัน และบ่อยครั้งที่ผู้โจมตีซุกซน วัยรุ่นกำลังสนุกสนานและใช้ DDoS สร้างความโกลาหล

แน่นอน หนึ่งในแรงจูงใจที่ใหญ่ที่สุดคือเงิน ผู้โจมตีอาจขอค่าไถ่เพื่อหยุดการโจมตีเว็บไซต์ WordPress ของคุณ อาจเป็นได้ว่ามีประโยชน์ในเชิงพาณิชย์หากไซต์ของคุณหยุดทำงาน ก้าวไปอีกขั้น มี DDoS สำหรับบริการเช่า!

ตัวอย่างในโลกแห่งความเป็นจริงของการปฏิเสธการบริการแบบกระจาย

การโจมตีแบบ Distributed Denial of Service ร้ายแรงเพียงใด? มาดูการโจมตี DDoS ที่มีชื่อเสียงในช่วงไม่กี่ปีที่ผ่านมากัน

GitHub (สองครั้ง!): GitHub ประสบปัญหา Denial of Service Attack ครั้งใหญ่ในปี 1015 ดูเหมือนว่าการโจมตีมุ่งเป้าไปที่โครงการต่อต้านการเซ็นเซอร์สองโครงการบนแพลตฟอร์ม การโจมตีส่งผลกระทบต่อประสิทธิภาพและความพร้อมใช้งานของ GitHub เป็นเวลาหลายวัน

จากนั้นในปี 2018 GitHub ก็ตกเป็นเป้าหมายของการโจมตี DDoS อีกครั้ง คราวนี้ผู้โจมตีใช้การโจมตีตาม memcaching พวกเขาใช้ประโยชน์จากวิธีการขยายสัญญาณและการสะท้อนกลับ แม้จะมีขนาดของการโจมตี ผู้โจมตีเพียงนำ GitHub ลงมาประมาณ 10 นาที

ประเทศเอสโตเนีย: เมษายน 2550 เป็นการโจมตีทางไซเบอร์ครั้งแรกที่รู้จักกับคนทั้งประเทศ ไม่นานหลังจากที่รัฐบาลเอสโตเนียตัดสินใจย้ายรูปปั้นทหารบรอนซ์จากใจกลางทาลลินน์ไปยังสุสานทหาร การจลาจลและการปล้นทรัพย์สินก็เกิดขึ้น ในเวลาเดียวกัน ผู้โจมตีได้เปิดตัวการโจมตีแบบปฏิเสธการให้บริการแบบกระจายหลายครั้งซึ่งกินเวลานานหลายสัปดาห์ ส่งผลกระทบต่อธนาคารออนไลน์ สื่อ และบริการภาครัฐในประเทศ

Dyn DNS: เมื่อวันที่ 21 ตุลาคม 2559 Dyn ประสบกับการโจมตี DDoS ขนาดใหญ่ เนื่องจากการโจมตี บริการ Dyn DNS จึงไม่สามารถแก้ไขข้อสงสัยของผู้ใช้ได้ ด้วยเหตุนี้ เว็บไซต์ที่มีการเข้าชมสูงหลายพันแห่ง รวมถึง Airbnb, Amazon.com, CNN, Twitter, HBO และ VISA ไม่สามารถใช้งานได้ การโจมตีประสานกันผ่านอุปกรณ์ IoT จำนวนมาก รวมถึงเว็บแคมและจอภาพสำหรับเด็ก

เคล็ดลับ WordPress ในการป้องกันการโจมตี DDoS

ในฐานะผู้ดูแลระบบ WordPress ส่วนบุคคล คุณไม่มีทรัพยากรและโครงสร้างพื้นฐานเพื่อป้องกันการโจมตี DDoS แม้ว่าโฮสต์เว็บของ WordPress จำนวนมากเสนอการบรรเทาการโจมตี DDoS บางประเภท ดังนั้นให้ถามเกี่ยวกับเรื่องนี้เมื่อเลือกผู้ให้บริการโฮสติ้งสำหรับเว็บไซต์ WordPress ของคุณ คุณยังสามารถใช้ WordPress / ไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) และเครือข่ายการจัดส่งเนื้อหา (CDN) เราได้รวม WAF และ CDN ไว้ในรายการเดียวเนื่องจากมีผู้ให้บริการ เช่น Sucuri ซึ่งให้บริการทั้งสองอย่างในโซลูชันเดียว

เมื่อคุณใช้ WAF หรือ CDN การรับส่งข้อมูลจะถูกกำหนดเส้นทางและกรองโดยบริการก่อนจะเข้าสู่เว็บไซต์ของคุณ การตั้งค่านี้สามารถโจมตีได้หลายครั้งในขณะที่จำกัดความเสียหายของผู้อื่น CDN บางรายการมีประโยชน์ที่ช่วยให้สามารถตรวจจับและตอบสนองต่อการโจมตี DDoS ได้ เนื่องจากพวกเขาสามารถได้รับประโยชน์จากการประหยัดต่อขนาดในระบบคลาวด์ CDN และ WAF ออนไลน์จึงสามารถปิดการโจมตีได้ พวกเขาเปลี่ยนเส้นทางไปยังเครือข่ายที่มีแบนด์วิดท์มากมายและมีเครื่องมือที่เหมาะสมในการจัดการ

การยับยั้งแฮกเกอร์และการโจมตี DDoS

อย่างไรก็ตาม ตามที่เห็นใน WordPress BruteForce Botnet มีแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยหลายประการที่คุณสามารถนำไปใช้บนเว็บไซต์ WordPress ของคุณ จึงไม่ดึงดูดความสนใจของผู้โจมตีและอาจเป็นการโจมตี DDoS:

  • อัปเดตไซต์ WordPress ของคุณอยู่เสมอ: การรักษาคอร์ WordPress ปลั๊กอิน ธีม และซอฟต์แวร์อื่น ๆ ทั้งหมดที่คุณใช้ล่าสุดจะช่วยลดความเสี่ยงของช่องโหว่ที่เป็นที่รู้จักซึ่งใช้กับคุณ การอัปเดตเว็บไซต์ของคุณยังช่วยลดโอกาสที่เว็บไซต์จะเป็นส่วนหนึ่งของบ็อตเน็ต
  • ใช้เครื่องสแกนเพื่อตรวจสอบช่องโหว่: การโจมตี DoS บางอย่างใช้ประโยชน์จากปัญหาอย่าง Slowloris ช่องโหว่นี้และข้อบกพร่องด้านความปลอดภัยอื่นๆ สามารถตรวจพบได้โดยเครื่องสแกนช่องโหว่ ดังนั้นเมื่อคุณสแกนเว็บไซต์และเว็บเซิร์ฟเวอร์ของคุณ คุณมักจะระบุช่องโหว่ที่การโจมตี DDoS อาจหาช่องโหว่ มีเครื่องสแกนที่หลากหลายที่คุณสามารถใช้ได้ เราใช้ WPScan Security Scanner ที่ไม่ล่วงล้ำสำหรับผู้ดูแลระบบ WordPress
  • ตรวจสอบบันทึกเพื่อปรับปรุงความปลอดภัยและระบุปัญหา: บันทึกการตรวจสอบ WordPress และบันทึกอื่นๆ สามารถช่วยระบุพฤติกรรมที่เป็นอันตรายได้ตั้งแต่เนิ่นๆ คุณสามารถระบุปัญหาที่อาจเกิดจากการโจมตี DDoS ผ่านบันทึกได้ เช่น รหัสข้อผิดพลาด HTTP ที่เฉพาะเจาะจง บันทึกยังช่วยให้คุณเจาะลึกและวิเคราะห์แหล่งที่มาของการโจมตีได้ มีไฟล์บันทึกหลายไฟล์ที่ผู้ดูแลระบบ WordPress สามารถใช้เพื่อจัดการและรักษาความปลอดภัยเว็บไซต์ของตนได้ดียิ่งขึ้น
  • การรับรองความถูกต้องของผู้ใช้ที่เข้มงวด: นี่อาจเป็นแนวทางปฏิบัติที่ดีที่สุดข้อสุดท้าย แต่มีความสำคัญพอๆ กับวิธีอื่นๆ ทั้งหมด ใช้นโยบายรหัสผ่าน WordPress ที่รัดกุมเพื่อให้แน่ใจว่าผู้ใช้เว็บไซต์ของคุณใช้รหัสผ่านที่รัดกุม ยิ่งไปกว่านั้น ให้ติดตั้งปลั๊กอินการตรวจสอบสิทธิ์แบบสองปัจจัยและใช้นโยบายเพื่อให้มีการตรวจสอบสิทธิ์แบบสองปัจจัย