การปฏิเสธการให้บริการ (DoS) คืออะไร?

เผยแพร่แล้ว: 2023-03-08

หากเว็บไซต์ของคุณไม่สามารถเข้าถึงได้ ไฟล์บันทึกของคุณกำลังเต็ม และการใช้ทรัพยากรบนเซิร์ฟเวอร์ของคุณเต็ม คุณอาจกำลังอยู่ท่ามกลางการโจมตีแบบปฏิเสธการให้บริการ การโจมตีที่น่ารำคาญเหล่านี้สามารถสร้างความหายนะให้กับการดำเนินการทางการตลาดของคุณและส่งผลกระทบต่อความพร้อมใช้งานของไซต์ของคุณ หากคุณอยู่ท่ามกลางการโจมตีแบบ Denial of Service หรือการโจมตีแบบ Denial of Service แบบกระจาย ไม่ต้องกลัว มีวิธีต่างๆ ที่จะบรรเทาการโจมตีเหล่านี้และควบคุมสถานะทางดิจิทัลของคุณได้อีกครั้ง

การโจมตีแบบ Denial of Service เป็นหนึ่งในการโจมตีทางไซเบอร์ที่รู้จักกันเร็วที่สุดและพบบ่อยที่สุดที่กำหนดเป้าหมายเว็บไซต์และเว็บแอปพลิเคชัน ไม่สำคัญว่าคุณจะเป็นธุรกิจขนาดเล็กหรือองค์กรขนาดใหญ่ที่ติดอันดับ Fortune 100 เทคโนโลยีที่ให้บริการเว็บไซต์ของคุณต่อสาธารณะนั้นเหมือนกัน ขนาดธุรกิจของคุณไม่สำคัญสำหรับผู้โจมตีเมื่อพวกเขากำหนดเป้าหมายคุณด้วยการโจมตี DoS ผู้โจมตีที่มุ่งร้ายใช้วิธีการเดียวกันเพื่อขัดขวางธุรกิจของคุณ และมักมีแรงจูงใจที่คล้ายกัน ไม่ว่าธุรกิจของคุณจะเล็กหรือใหญ่เพียงใด

ในคำแนะนำที่ครอบคลุมเกี่ยวกับการโจมตีแบบปฏิเสธการให้บริการ คุณจะได้เรียนรู้วิธีการที่ผู้โจมตีใช้เพื่อทำลายเว็บไซต์และเครือข่ายทั้งหมด วิธีตรวจจับการโจมตีแบบ DoS หรือ DDOS ที่กำหนดเป้าหมายธุรกิจของคุณ วิธีลดการโจมตีให้สำเร็จ และมอบวิธีการที่คุณมั่นใจได้ เว็บไซต์ของคุณออนไลน์สำหรับลูกค้าของคุณ

การปฏิเสธการให้บริการ (DoS) คืออะไร?

การปฏิเสธการให้บริการคือการโจมตีทางไซเบอร์ที่ดำเนินการโดยการทำให้ระบบเต็มไปด้วยคำขอที่เป็นอันตรายโดยมีวัตถุประสงค์เพื่อลดความพร้อมใช้งานสำหรับผู้ใช้ที่ต้องการ การปฏิเสธบริการเป็นการโจมตีแบบสิ้นเปลืองทรัพยากร ซึ่งใช้ประโยชน์จากความสามารถที่จำกัดของบริการของเหยื่อเพื่อยอมรับและดำเนินการกับคำขอที่เข้ามา

การโจมตีแบบ DoS มีความหลากหลายสูงและสามารถกำหนดเป้าหมายระบบต่างๆ รวมถึงเว็บไซต์แต่ละแห่งและเว็บแอปพลิเคชัน เซิร์ฟเวอร์ เราเตอร์ และแม้แต่เครือข่ายทั้งหมด โดยไม่คำนึงถึงระบบเป้าหมาย การโจมตีแบบ Denial of Service อาจทำให้แฮงค์หรือหยุดทำงานเนื่องจากการใช้ทรัพยากรคอมพิวเตอร์ที่จัดสรร เช่น CPU และหน่วยความจำหมดลง

แม้ว่าการโจมตี DoS จะเป็นการโจมตีที่มุ่งร้าย แต่ก็ไม่ได้ใช้เพื่อยึดการควบคุมเว็บไซต์หรือเซิร์ฟเวอร์ของเหยื่อ เช่น การเขียนสคริปต์ข้ามไซต์ (XSS) หรือการฉีด SQL (SQLi) ผู้โจมตีมักจะใช้ทรัพยากรที่หมดไปเพื่ออำนวยความสะดวกในกิจกรรมที่เป็นอันตรายประเภทอื่นๆ เช่น การโจมตีด้วยกำลังดุร้าย ในทำนองเดียวกัน การโจมตีทางไซเบอร์อื่นๆ ที่ทำให้มีการใช้ทรัพยากรสูงในระบบของเหยื่ออาจจัดอยู่ในประเภทของการโจมตีแบบปฏิเสธการให้บริการ

การปฏิเสธการให้บริการ

การโจมตี DoS ทำงานอย่างไร

การโจมตีแบบ Denial of Service ดำเนินการโดยการสั่งให้คอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ที่ควบคุมโดยผู้โจมตี ส่งคำขอจำนวนมากไปยังระบบเป้าหมาย ซึ่งมักมีรูปแบบไม่ถูกต้อง ซึ่งจะทำให้เว็บเซิร์ฟเวอร์และทรัพยากรอื่นๆ ทำงานหนัก ซึ่งจะป้องกันคำขอที่ถูกต้องตามกฎหมาย เช่น คำขอจากลูกค้า ผู้มีโอกาสเป็นลูกค้า และผู้เยี่ยมชมไซต์รายอื่นๆ ไม่ให้ถูกดำเนินการ ซึ่งส่งผลให้ถูกปฏิเสธการให้บริการในที่สุด

หากระบบอยู่ภายใต้การโจมตี DoS คำขอที่ถูกต้องตามกฎหมายที่ส่งไปยังระบบอาจถูกจัดคิวและถูกยกเลิกในที่สุด เนื่องจากไม่มีทรัพยากรในการประมวลผล เมื่อไปที่เว็บไซต์ การเห็นข้อความแสดงข้อผิดพลาดหมดเวลาของคำขอจะระบุว่าเบราว์เซอร์ล้มเหลวในการสร้างการเชื่อมต่อกับเซิร์ฟเวอร์เนื่องจากเว็บเซิร์ฟเวอร์ทำงานหนักเกินไป และไม่สามารถรับคำขอได้อีก

เมื่อดำเนินการโจมตี DoS ผู้โจมตีจะเลือกจุดอ่อนในระบบเป้าหมายและใช้มันเพื่อสร้างคำขอที่ส่งออกในลักษณะที่จะส่งผลให้มีการใช้แบนด์วิธมากขึ้นเพื่อแออัดและทำให้เว็บไซต์ตอบสนองช้าลง ขึ้นอยู่กับปลายทางเครือข่ายเป้าหมายหรือแอปพลิเคชันเฉพาะ การโจมตีแบบปฏิเสธการให้บริการสามารถใช้ประโยชน์จากขีดจำกัดที่มีอยู่ของจำนวนคำขอพร้อมกันที่สามารถประมวลผล จำนวนหน่วยความจำที่จัดสรรให้กับบริการเฉพาะ หรือขนาดของบัฟเฟอร์รับและเอาต์พุต เหนือสิ่งอื่นใด.

วัตถุประสงค์ของการโจมตี DoS มักเป็นมากกว่าการหยุดชะงักของบริการ

การโจมตีแบบ Denial of service มีจุดประสงค์เพื่อทำลายเว็บไซต์และบริการออนไลน์ด้วยการทำให้ทราฟฟิกที่เป็นอันตรายหลั่งไหลเข้ามาเพื่อวัตถุประสงค์ที่แตกต่างกัน การโจมตีแบบ DoS มีเป้าหมายที่ทรัพยากรจำนวนมากที่ผู้คนพึ่งพาในแต่ละวัน รวมถึงร้านค้าและตลาดออนไลน์ บริการทางการเงิน และสื่อต่างๆ

การโจมตีแบบ Denial of Service ดำเนินการด้วยเหตุผลหลักสามประการ:

  • กิจกรรมทางสังคม ผู้โจมตีอาจใช้การปฏิเสธการให้บริการเป็นวิธีการวิจารณ์นโยบายของบริษัทและลงโทษองค์กรที่แสดงพฤติกรรมที่ไม่พึงประสงค์
  • กรรโชก. ผู้โจมตีอาจพยายามหาประโยชน์จากความสามารถในการขัดขวางบริการของบริษัทโดยการเรียกร้องการชำระเงิน
  • การพิชิตส่วนแบ่งการตลาด การใช้แนวทางปฏิบัติทางธุรกิจที่ต่อต้านการแข่งขัน ธุรกิจต่างๆ อาจพยายามนำเว็บไซต์ของคู่แข่งออกเพื่อเพิ่มส่วนแบ่งการตลาด โดยเฉพาะอย่างยิ่งในช่วงเทศกาลวันหยุด

แม้ว่าเหตุผลข้างต้นยังคงใช้ได้ แต่การโจมตีแบบปฏิเสธการให้บริการได้พัฒนาและถูกนำมาใช้เพื่ออำนวยความสะดวกในการโจมตีทางไซเบอร์อื่นๆ ในทำนองเดียวกัน กิจกรรมที่เป็นอันตรายประเภทอื่นๆ อาจส่งผลให้เกิดการปฏิเสธการให้บริการ ไม่ใช่เรื่องแปลกที่อาชญากรจะใช้เทคนิคที่เป็นอันตรายหลายอย่างพร้อมกันเพื่อดำเนินการโจมตีทางไซเบอร์ที่ซับซ้อนที่สุด

ตัวอย่างเช่น การโจมตีด้วยกำลังเดรัจฉานและการโจมตีด้วยบัตรอาจนำไปสู่การหมดทรัพยากรเนื่องจากคำขอจำนวนมากที่ส่งไปยังเว็บไซต์ของเหยื่อเพื่อรับการเข้าถึงโดยไม่ได้รับอนุญาตหรือตรวจสอบความถูกต้องของข้อมูลที่ถูกขโมย ส่วนใหญ่แล้ว การโจมตีประเภทนี้จะดำเนินการจากหลายแหล่ง ซึ่งกลายเป็นการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย

การปฏิเสธการให้บริการ (DoS) และการปฏิเสธการให้บริการแบบกระจาย (DDoS) ความแตกต่างคืออะไร?

Denial of Service แทบจะไม่เกี่ยวข้องกับคอมพิวเตอร์เพียงเครื่องเดียวที่เป็นแหล่งที่มาของการโจมตี เพื่อขัดขวางการป้องกันที่พยายามกรองคำขอที่เป็นอันตรายออกจากคำขอที่ถูกต้อง ผู้โจมตีจะเลือกใช้ที่อยู่ IP ระบบ และตำแหน่งหลายแห่งเพื่อทำให้การตรวจจับทำได้ยากขึ้นมาก การโจมตี DDOS หรือ Distributed Denial of Service คือการโจมตีที่ใช้ระบบกระจายเพื่อกำหนดเป้าหมายเว็บไซต์หรือเครือข่ายของเหยื่อ การโจมตีแบบกระจายประเภทนี้ยากต่อการระบุและบรรเทา และนี่คือสิ่งที่ทำให้การโจมตีแบบ DoS และ DDoS แยกออกจากกัน

ข้อแตกต่างหลักระหว่าง Denial of Service และ Distributed Denial of Service คือขนาดและจำนวนอุปกรณ์ที่ใช้ในการโจมตี ในการดำเนินการโจมตี DDoS ผู้โจมตีมักจะใช้เครือข่ายแบบกระจายของคอมพิวเตอร์ที่ถูกบุกรุกที่เรียกว่าบ็อตเน็ต

การโจมตี DDoS สามารถกำหนดได้ว่าเป็นการโจมตีแบบใช้ทรัพยากรจนหมดโดยบอทขนาดใหญ่ ซึ่งขยายแนวคิดของการปฏิเสธการให้บริการโดยใช้ระบบคอมพิวเตอร์หลายระบบเพื่อทำการโจมตีเป้าหมายเดียว ไม่เพียงแต่ทำให้การโจมตีมีอันตรายมากขึ้น แต่ยังทำให้แทบจะเป็นไปไม่ได้เลยที่จะค้นพบตัวตนของผู้โจมตีที่อยู่เบื้องหลัง

บอตเน็ตกลายเป็นศูนย์กลางของการโจมตี DDoS ได้อย่างไร

บอตเน็ตถูกสร้างขึ้นโดยทำให้อุปกรณ์ที่ถูกบุกรุกติดมัลแวร์ประเภทที่จะแฝงตัวอยู่ในระบบจนกว่าคอมพิวเตอร์ของผู้โจมตีหรือที่เรียกว่าศูนย์บัญชาการและควบคุม (C2) จะส่งคำแนะนำเพิ่มเติม มัลแวร์บอตเน็ตสามารถติดอุปกรณ์ทุกประเภทและมักจะระบุและกำจัดได้ยาก ยิ่งไปกว่านั้น ไวรัสจะแพร่กระจายไปทั่วอย่างรวดเร็ว ขยายอำนาจของบ็อตเน็ตเฉพาะออกไปอีก

เจ้าของบ็อตเน็ตมักจะเช่าพลังการประมวลผลของเครือข่ายของอุปกรณ์ที่ถูกบุกรุกที่พวกเขาสร้างขึ้นให้กับผู้โจมตีรายอื่นบนเว็บมืด ซึ่งเป็นที่รู้จักกันทั่วไปว่าเป็นการโจมตีในฐานะบริการ สิ่งนี้ทำให้การโจมตีแบบปฏิเสธการให้บริการทำได้ง่ายและเข้าถึงได้มากกว่าที่เคย แม้ว่าการบังคับใช้กฎหมายจะประสบความสำเร็จในการกำจัดบอทเน็ตขนาดใหญ่หลายตัวในช่วงไม่กี่ปีที่ผ่านมา แต่บอทเน็ตยังคงเติบโตอย่างรวดเร็ว

การวัดขนาดของการโจมตีแบบปฏิเสธการให้บริการ

เนื่องจากการโจมตี DoS แสดงถึงลำดับของคำขอที่เป็นอันตรายที่ส่งไปยังปลายทางหนึ่งแห่ง คุณจึงสามารถวัดขนาดของพวกมันเพื่อทำความเข้าใจขนาดของพวกมันได้ ขนาดของการโจมตีแบบ Denial of Service คำนวณจากปริมาณการรับส่งข้อมูลที่ส่งไปยังระบบของเหยื่อ และโดยปกติจะวัดเป็นกิกะไบต์

นอกจากนี้ยังเทียบเท่ากับแบนด์วิดท์ที่ใช้โดยเครือข่ายคอมพิวเตอร์เป้าหมายในระหว่างการถ่ายโอนข้อมูลที่เริ่มต้นโดยผู้โจมตี การวิจัยแสดงให้เห็นว่าขนาดเฉลี่ยของการโจมตีแบบปฏิเสธการให้บริการในปี 2565 นั้นสูงกว่า 5 กิกะไบต์เล็กน้อย

3 ประเภทของการโจมตีแบบปฏิเสธการให้บริการ

การโจมตีแบบ Denial of service อาจแตกต่างกันไปขึ้นอยู่กับระบบเป้าหมายและวิธีการดำเนินการ แม้ว่าผู้โจมตีมักจะผสมผสานวิธีการต่างๆ เข้าด้วยกัน แต่การโจมตี DoS สามารถแบ่งออกได้เป็นสามประเภทกว้างๆ ได้แก่ การโจมตีด้วยช่องโหว่ การท่วมแบนด์วิธ และการท่วมการเชื่อมต่อ

การโจมตีด้วยช่องโหว่

การโจมตีช่องโหว่คือการโจมตีแบบ DoS ที่กำหนดเป้าหมายไปที่จุดอ่อนเฉพาะในระบบ มันเกี่ยวข้องกับการส่งข้อความที่สร้างขึ้นอย่างดีจำนวนหนึ่งไปยังระบบปฏิบัติการหรือแอปพลิเคชันที่มีช่องโหว่ซึ่งทำงานบนโฮสต์เป้าหมาย ด้วยลำดับแพ็กเก็ตที่ถูกต้อง บริการสามารถหยุดหรือทั้งโฮสต์สามารถบดขยี้ได้ การโจมตีด้วยบัฟเฟอร์ล้นเป็นหนึ่งในตัวอย่างที่โดดเด่นที่สุดของการโจมตีด้วยช่องโหว่

น้ำท่วมแบนด์วิธ

Bandwidth Flooding กำหนดเป้าหมายแบนด์วิดท์ของระบบเหยื่อโดยการทำให้โครงสร้างพื้นฐานท่วมท้นพร้อมกับร้องขอให้เซิร์ฟเวอร์หมดขีดความสามารถในการรับทราฟฟิกใดๆ จากเครือข่าย ผู้โจมตีส่งแพ็กเก็ตจำนวนมากไปยังระบบเป้าหมาย ซึ่งส่งผลให้ลิงก์การเข้าถึงของเป้าหมายอุดตัน ทำให้แพ็กเก็ตที่ถูกต้องเข้าถึงเซิร์ฟเวอร์ไม่ได้

Bandwidth Flooding ใช้ประโยชน์จาก Store และหลักการส่งต่อของการสลับแพ็กเก็ตเป็นส่วนใหญ่เพื่อให้บัฟเฟอร์เอาต์พุตล้นหลาม การจัดเก็บและการส่งไปข้างหน้ากำหนดว่าเราเตอร์ต้องได้รับแพ็กเก็ตทั้งหมดก่อนที่จะส่งต่อไปยังปลายทาง แต่ละแพ็กเก็ตถูกจัดเก็บไว้ในบัฟเฟอร์เอาต์พุต และพื้นที่บัฟเฟอร์มีจำนวนจำกัด หากบัฟเฟอร์เอาต์พุตเต็มไปด้วยแพ็กเก็ตที่รอการส่งข้อมูล จะส่งผลให้แพ็กเก็ตสูญหายและทำให้ระบบเป้าหมายไม่สามารถเข้าถึงได้

น้ำท่วมการเชื่อมต่อ

การโจมตี Connection Flooding Denial of Service มักกำหนดเป้าหมายบริการเฉพาะ เช่น เว็บหรือเมลเซิร์ฟเวอร์ ที่ใช้เพื่อให้การทำงานกับเว็บไซต์หรือเว็บแอปพลิเคชันบางอย่าง จากนั้นผู้โจมตีจะสร้างการเชื่อมต่อจำนวนมากไปยังโฮสต์เป้าหมาย ดังนั้นมันจึงหยุดรับคำขอที่ถูกต้องตามกฎหมายใดๆ SYN, HTTP, ICMP ท่วม และ Slowloris เป็นตัวอย่างของการโจมตีน้ำท่วมการเชื่อมต่อ

สิ่งสำคัญคือต้องสังเกตว่าทั้งสามประเภทไม่ได้แยกออกจากกัน และมีไว้เพื่อแยกการโจมตีแบบปฏิเสธการให้บริการตามแนวทางที่ผู้โจมตีใช้ ซึ่งเป็นส่วนหนึ่งของระบบที่พวกเขาเลือกที่จะกำหนดเป้าหมาย วิธีการเหล่านั้นกำหนดเส้นทางสำหรับอาชญากรที่จะใช้ ซึ่งแต่ละวิธีจะนำไปสู่การใช้ทรัพยากรคอมพิวเตอร์ของระบบของเหยื่อจนหมด

3 การโจมตี DoS หลักที่กำหนดเป้าหมาย WordPress

ในฐานะเว็บแอปพลิเคชันแบบไดนามิก WordPress อาศัยความสามารถของเซิร์ฟเวอร์ในการรับและประมวลผลคำขอที่เข้ามาเพื่อส่งเนื้อหาไปยังผู้เยี่ยมชมเว็บไซต์ และเว้นแต่ว่าผู้โจมตีต้องการโอเวอร์โหลดเซิร์ฟเวอร์ทั้งหมดโดยใช้การโจมตีแบบปฏิเสธการให้บริการระดับล่าง เช่น UDP หรือ ICMP น้ำท่วม ผู้โจมตีจะกำหนดเป้าหมายเซิร์ฟเวอร์ HTTP ที่รับฟังคำขอขาเข้าทั้งพอร์ต 80 (HTTP) และพอร์ต 443 (HTTPS) . ซึ่งน่าจะเป็น Apache, Nginx หรือ LiteSpeed

การโจมตีแบบปฏิเสธการให้บริการมีสามประเภทหลักที่ใช้เพื่อทำให้เว็บไซต์บางแห่งหยุดทำงานหรือทำให้เว็บไซต์ช้ามากโดยใช้วิธีการที่แตกต่างกัน: HTTP ท่วม SYN ท่วม และ Slowloris

HTTP น้ำท่วม

HTTP ท่วมท้นใช้ประโยชน์จากขีดจำกัดของจำนวนคำขอ HTTP ที่เว็บเซิร์ฟเวอร์เป้าหมายสามารถดำเนินการได้ภายในระยะเวลาหนึ่ง เรามาดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทำงานนี้กัน

เว็บเซิร์ฟเวอร์ทั้งหมดได้รับการกำหนดค่าในลักษณะที่จำกัดจำนวนการเชื่อมต่อพร้อมกันที่สามารถยอมรับได้และจำนวนคำขอ HTTP ที่สามารถดำเนินการได้ โดยเฉพาะอย่างยิ่ง มีการจำกัดจำนวนของกระบวนการที่เว็บเซิร์ฟเวอร์สามารถสร้างได้ และจำนวนคำขอที่แต่ละคำขอสามารถตอบสนองได้ก่อนที่จะมีการประมวลผลใหม่เข้ามาแทนที่

ตามค่าเริ่มต้น เว็บเซิร์ฟเวอร์จะสร้างกระบวนการจำนวนเล็กน้อย และจำนวนนี้จะเพิ่มขึ้นหากได้รับทราฟฟิกมากขึ้น นอกเหนือจากการใช้หน่วยความจำสูงแล้ว การสร้างกระบวนการ HTTP ใหม่บ่อยครั้ง ซึ่งเรียกว่าพนักงานร้องขอ จะนำไปสู่การใช้เวลา CPU เพิ่มขึ้นอย่างหลีกเลี่ยงไม่ได้

หากจำนวนคำขอที่เข้ามาเกินความจุรวมของเว็บเซิร์ฟเวอร์ บางคำขอจะถูกรอคิวและถูกทิ้งในที่สุด ซึ่งจะส่งผลให้เห็นข้อผิดพลาดการหมดเวลาการเชื่อมต่อในเบราว์เซอร์ ใน HTTP ท่วม ผู้โจมตีสามารถส่งคำขอ HTTP หลายพันรายการไปยังเว็บไซต์ของเหยื่อต่อวินาที

น้ำท่วม SYN

SYN Flood เป็นการโจมตีแบบ DoS ที่ครอบงำเว็บเซิร์ฟเวอร์โดยใช้ประโยชน์จากการจับมือแบบสามทางที่ TCP ใช้งาน ซึ่งเป็นโปรโตคอลเลเยอร์การขนส่งพื้นฐานที่ใช้โดย HTTP และ HTTPS เนื่องจาก HTTPS อาศัย TLS ในการปรับปรุง TCP ซึ่งเพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับกระบวนการสร้างการเชื่อมต่อเริ่มต้นที่ขยายออกไปอย่างมีนัยสำคัญ การโจมตีแบบปฏิเสธการให้บริการส่วนใหญ่จึงดำเนินการผ่าน HTTP

ในขณะที่ HTTP ท่วมใช้เพื่อทำให้เซิร์ฟเวอร์ล้นด้วยคำขอ เป้าหมายหลักของ SYN ท่วมคือการทำให้ระบบจัดสรรทรัพยากรให้กับการเชื่อมต่อแบบเปิดครึ่งหนึ่งจนถึงจุดที่มีมากเกินไปที่จะตอบสนองคำขอที่ถูกต้องตามกฎหมาย เพื่อให้บรรลุเป้าหมายดังกล่าว ผู้โจมตีจะส่งกลุ่ม SYN ไปยังเว็บเซิร์ฟเวอร์

ส่วนใหญ่แล้ว โฮสต์ของผู้โจมตีจะอ้างถึงระบบที่ต่างไปจากเดิมอย่างสิ้นเชิงเนื่องจากระบบที่ส่งคำขอมาเพื่อหลอกลวงให้เซิร์ฟเวอร์ของเหยื่อส่งแพ็กเก็ตตอบรับไปยังปลายทางอื่น แทนที่จะเป็นคอมพิวเตอร์ที่เริ่มต้นการเชื่อมต่อ ด้วยวิธีนี้ หลังจากที่เซิร์ฟเวอร์ตอบกลับด้วยแพ็กเก็ตการตอบรับ ขั้นตอนที่สามของการจับมือกันจะไม่เสร็จสมบูรณ์

ด้วยจำนวนเซ็กเมนต์ SYN ที่เพิ่มขึ้นนี้ ทรัพยากรของเซิร์ฟเวอร์ของเหยื่อจะหมดลงอย่างรวดเร็ว เนื่องจากพวกมันถูกจัดสรรสำหรับการเชื่อมต่อแบบเปิดครึ่งหนึ่งจำนวนมาก ในขณะที่ผู้เยี่ยมชมเว็บไซต์ที่ถูกกฎหมายจะถูกปฏิเสธไม่ให้ใช้บริการ

ในระบบสมัยใหม่ ช่องโหว่นี้ได้รับการแก้ไขบางส่วนโดยการใช้ Syn Cookies ซึ่งเป็นกลไกที่ป้องกันการจัดสรรทรัพยากรให้กับการเชื่อมต่อก่อนที่จะได้รับส่วนตอบรับ และยืนยันว่ามาจากโฮสต์ที่คำขอถูกส่งมาในตอนแรก อย่างไรก็ตาม กลไกนี้ไม่ได้ป้องกันการเกิดน้ำท่วมของ Syn ได้อย่างเต็มที่ และการโจมตีเหล่านั้นยังคงเป็นภัยคุกคามต่อเว็บไซต์และเว็บแอปพลิเคชัน

สโลว์ลอริส

Slowloris เป็นการโจมตีแบบ Denial of Service ของชั้นแอปพลิเคชันอีกประเภทหนึ่งที่กำหนดเป้าหมายไปที่เว็บไซต์ WordPress มันทำให้เว็บเซิร์ฟเวอร์ช้าลงได้อย่างมีประสิทธิภาพโดยสร้างการเชื่อมต่อ HTTP หลายรายการจากที่อยู่ IP เดียวกันและเปิดค้างไว้ให้นานที่สุด

ตามค่าเริ่มต้น เว็บเซิร์ฟเวอร์จะยุติการเชื่อมต่อ HTTP หากไม่มีการส่งคำขอในช่วงระยะเวลาหนึ่ง เพื่อป้องกันสิ่งนี้และเปิดการเชื่อมต่อไว้ ผู้โจมตีจะส่งคำขอที่ไม่สมบูรณ์หรือผิดรูปแบบเป็นระยะๆ การยืดระยะเวลาของการเชื่อมต่อที่เป็นอันตรายแต่ละครั้ง การโจมตีแบบ Slowloris สามารถโอเวอร์โหลดระบบได้อย่างง่ายดาย และทำให้เว็บไซต์ของเหยื่อช้าลงอย่างมาก

จะตรวจจับการโจมตีโดยปฏิเสธการให้บริการได้อย่างไร

ตรงกันข้ามกับการโจมตีทางไซเบอร์อื่นๆ การโจมตีแบบ Denial of Service ค่อนข้างง่ายที่จะตรวจพบ โดยไม่คำนึงถึงทรัพยากรที่เป็นเป้าหมาย ต่อไปนี้คือกลุ่มตัวบ่งชี้ทั่วไปสามกลุ่มของการโจมตี DoS อย่างต่อเนื่องที่กำหนดเป้าหมายเว็บไซต์ เซิร์ฟเวอร์ หรือเครือข่าย

ตัวบ่งชี้ระดับเว็บไซต์

หากเว็บไซต์ของคุณตกอยู่ภายใต้การโจมตีแบบ Denial of Service คุณจะเห็นประสิทธิภาพที่ลดลงอย่างเห็นได้ชัด พร้อมด้วยทราฟฟิกที่เพิ่มขึ้นอย่างฉับพลัน เว็บไซต์อาจใช้เวลานานมากในการโหลดหรือส่งข้อความแสดงข้อผิดพลาด เช่น “ERR_CONNECTION_TIMED_OUT” หรือ “503 Service Unavailable”

ตัวบ่งชี้ระดับเซิร์ฟเวอร์

หากคุณมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของคุณ เมื่อเข้าสู่ระบบ คุณจะเห็นว่ามีภาระงานสูง ซึ่งหมายความว่ามีกระบวนการจำนวนมากที่เรียกร้องเวลา CPU อย่างแข็งขันเกินกว่าที่เซิร์ฟเวอร์จะจัดการได้ในปัจจุบัน หมายเลขโหลดแสดงถึงจำนวนกระบวนการที่รอความสนใจจาก CPU

เมื่อไซต์ WordPress ถูกโจมตี เมื่อตรวจสอบเพิ่มเติม คุณอาจสังเกตเห็นว่ามีการใช้กระบวนการ HTTP และ PHP มากเกินไป โปรดทราบว่าเซิร์ฟเวอร์ฐานข้อมูลของคุณใช้เวลา CPU มากในการประมวลผลการสืบค้น

ตัวบ่งชี้ระดับเครือข่าย

การตรวจสอบและบำรุงรักษาเครือข่ายอยู่ภายใต้ขอบเขตความรับผิดชอบของผู้ให้บริการโฮสติ้ง ซึ่งจำเป็นต้องตรวจสอบให้แน่ใจว่าเราเตอร์หลักสามารถประมวลผลทราฟฟิกขาเข้าทั้งหมดโดยไม่มีเวลาแฝงที่โดดเด่น การโจมตีแบบ DoS ขนาดเล็กนั้นไม่ค่อยถูกสังเกตและดำเนินการจากไซต์ของพวกเขา อย่างไรก็ตาม หากการโจมตีแบบปฏิเสธการให้บริการจำนวนมากพุ่งเป้าไปที่เว็บไซต์หรือเซิร์ฟเวอร์ และเริ่มส่งผลกระทบต่อโฮสต์อื่นๆ ผู้ให้บริการโฮสติ้งของคุณจะดำเนินการ

วิธีที่มีประสิทธิภาพที่สุดวิธีหนึ่งในการบรรเทาการโจมตีที่ส่งผลกระทบต่อเครือข่ายทั้งหมดคือการทำให้โฮสต์ที่ถูกโจมตีเป็นโมฆะจนกว่ากิจกรรมที่เป็นอันตรายจะสงบลง การกำหนดเส้นทางเซิร์ฟเวอร์เป็นโมฆะหมายถึงการลบเซิร์ฟเวอร์ออกจากเครือข่ายชั่วคราวโดยการทิ้งแพ็กเก็ตทั้งหมดที่กำลังมาถึง ดังนั้นจึงไม่สามารถเข้าถึงได้ทางอินเทอร์เน็ตอีกต่อไป

วิธีลดการโจมตี DoS ใน 3 ขั้นตอน

การลดการโจมตีแบบ Denial of Service เกี่ยวข้องกับการวิเคราะห์ทราฟฟิกขาเข้าและบล็อกคำขอที่เป็นอันตรายโดยการเปิดใช้กฎไฟร์วอลล์ที่เข้มงวดมากขึ้น และปฏิเสธการเข้าถึงที่อยู่ IP และช่วง IP บางอย่างด้วยตนเอง การรวมแนวทางทั้งสองนี้เป็นมาตรฐานอุตสาหกรรมสำหรับการจัดการกับการโจมตีทรัพยากรที่หมดไปอย่างต่อเนื่อง เรามาทบทวนกระบวนการทีละขั้นตอนกัน

วิเคราะห์ทราฟฟิกที่เข้ามา

การวิเคราะห์ทราฟฟิกขาเข้าตามเวลาจริงสามารถช่วยคุณประเมินสถานการณ์และระบุประเภทของการโจมตีแบบปฏิเสธการให้บริการที่ใช้ในการทำลายเซิร์ฟเวอร์ของคุณ เป็นการดีที่สุดที่จะให้ระบบเข้าถึงเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของคุณ แต่คุณยังสามารถใช้แหล่งข้อมูลอื่นๆ เช่น ไฟล์วอลล์บนเว็บแอปพลิเคชันบนระบบคลาวด์ที่บันทึกได้

ด้วยการเข้าถึงเซิร์ฟเวอร์แบบรูท คุณสามารถใช้เครื่องมือวิเคราะห์เครือข่าย เช่น Socket Statistics (ss) และ tcpdump รวมถึงบันทึกโดเมน (domlogs) ที่เว็บเซิร์ฟเวอร์ของคุณเก็บไว้ วิธีการนี้จะช่วยให้คุณเข้าใจปริมาณการเข้าชมที่เป็นอันตรายที่ส่งไปยังเซิร์ฟเวอร์ และเว็บไซต์และ URL ใดเจาะจงบนไซต์เหล่านั้นที่เป็นเป้าหมายของผู้โจมตี

ในกรณีที่มีการโจมตีแบบ Distributed Denial of Service การรับส่งข้อมูลที่เป็นอันตรายจะมาจากหลายแหล่ง อย่างไรก็ตาม การโจมตีส่วนใหญ่จะยังคงดำเนินการจากอุปกรณ์จำนวนค่อนข้างน้อย ในกรณีส่วนใหญ่ คุณควรสามารถระบุช่วง IP ที่ไม่เหมาะสมได้สองสามช่วง

เมื่อพูดถึงไซต์ WordPress การโจมตีแบบปฏิเสธการให้บริการมักกำหนดเป้าหมายไปที่หน้าเข้าสู่ระบบของผู้ดูแลระบบ WordPress และ XML-RPC เมื่อวิเคราะห์กิจกรรมล่าสุดของเว็บเซิร์ฟเวอร์ คุณจะเห็นคำขอ GET และ POST จำนวนมากที่ส่งตรงไปยัง wp-login.php, wp-admin และ xmlrpc.php

เปิดใช้งานการจำกัดอัตราและกฎไฟร์วอลล์ที่ก้าวร้าวมากขึ้น

ไฟร์วอลล์ทำหน้าที่เป็นแนวป้องกันด่านแรกสำหรับเว็บไซต์ของคุณในระดับต่างๆ ของโมเดลเครือข่ายการเชื่อมต่อระหว่างระบบเปิด (OSI) การเปิดใช้งานกฎไฟร์วอลล์ที่เข้มงวดมากขึ้นจะช่วยให้คุณบรรเทาการโจมตีแบบ Denial of Service ได้สำเร็จ

วิธีการทั่วไปรวมถึงการเปิดใช้งานการจำกัดอัตรา – การจำกัดจำนวนการเชื่อมต่อที่เปิดโดยที่อยู่ IP ในระยะเวลาที่กำหนด และกรองการรับส่งข้อมูลที่เข้ามาตามพารามิเตอร์อื่นๆ เช่น คะแนนชื่อเสียงของที่อยู่ IP ประเทศ ต้นกำเนิดและอื่น ๆ

ลดการโจมตีแบบ Denial of Service โดยใช้ไฟร์วอลล์ ConfigServer

หากคุณใช้ไฟร์วอลล์ ConfigServer (CSF) ซึ่งเป็นซอฟต์แวร์ไฟร์วอลล์ที่ใช้ iptables คุณสามารถให้คะแนนการจำกัดทราฟฟิกขาเข้าได้โดยการตั้งค่าคอนฟิกูเรชัน CT_Limit เป็นค่าที่ต้องการ การตั้งค่า CT_PORTS เป็น 80 และ 443 จะจำกัดการจำกัดอัตราบนพอร์ตที่เว็บเซิร์ฟเวอร์ของคุณกำลังรับฟังเท่านั้น CSF ยังให้คุณกำหนดค่า SYNFLOOD_RATE – จำนวนแพ็กเก็ต SYN ที่อนุญาตต่อที่อยู่ IP ต่อหนึ่งวินาที

โปรดทราบว่าการจำกัดอัตราที่รุนแรงจะส่งผลให้มีการบล็อกคำขอที่ถูกต้องอย่างหลีกเลี่ยงไม่ได้ ดังนั้น ควรใช้เฉพาะเมื่อเซิร์ฟเวอร์ของคุณถูกโจมตีและถูกปิดใช้งานไม่นานหลังจากการบรรเทาสำเร็จ เป็นการดีที่สุดที่จะให้ผู้ดูแลระบบที่มีประสบการณ์กำหนดค่ากฎไฟร์วอลล์เฉพาะใดๆ

ใช้ Cloudflare WAF เพื่อลดการโจมตี DoS

Cloudflare สามารถช่วยให้คุณลดการโจมตีแบบปฏิเสธการให้บริการในระดับเว็บไซต์ได้สำเร็จโดยการเปิดใช้งานโหมด 'ภายใต้การโจมตี' ที่เครือข่ายการจัดส่งเนื้อหานำเสนอ ในฐานะที่เป็นส่วนหนึ่งของเครื่องมือลดการโจมตีในตัว Cloudflare ใช้วิธีการวิเคราะห์ทราฟฟิกเพิ่มเติมและนำเสนอความท้าทายที่ใช้ JavaScript แก่ผู้เยี่ยมชมแต่ละราย

นอกจากนี้ Cloudflare ยังสามารถกรองทราฟฟิกที่เป็นอันตรายตามชุดกฎที่ได้รับการจัดการและคะแนนชื่อเสียง IP ที่รวบรวมจาก Project Honey Pot การตั้งค่าระดับความปลอดภัย Cloudflare เป็นสูงเพื่อบล็อกทราฟฟิกขาเข้าทั้งหมดที่มาจากที่อยู่ IP ที่มีคะแนนภัยคุกคามมากกว่า 0

บล็อกทราฟฟิกบอทที่เป็นอันตราย

แม้ว่ากฎของไฟร์วอลล์ที่ใช้ใหม่จะกรองคำขอที่เป็นอันตรายส่วนใหญ่ได้สำเร็จ แต่การบล็อกที่อยู่ IP และช่วง IP ที่ไม่เหมาะสมจะบังคับให้ระบบทิ้งแพ็กเก็ตทั้งหมดที่มาจากแหล่งเฉพาะโดยไม่ต้องให้ไฟร์วอลล์ตรวจสอบคำขอแต่ละรายการ การบล็อกการรับส่งข้อมูลที่เป็นอันตรายโดยการปฏิเสธการเข้าถึงเซิร์ฟเวอร์สำหรับที่อยู่ IP บางอย่างจะช่วยประหยัดทรัพยากรของเซิร์ฟเวอร์และช่วยให้เว็บไซต์ของคุณทำงานได้อย่างสมบูรณ์เร็วขึ้นมาก

จะป้องกันการปฏิเสธบริการได้อย่างไร? คำแนะนำ 3 อันดับแรกสำหรับ WordPress

ไซต์ WordPress ยังคงมีความสำคัญสูงสำหรับแฮ็กเกอร์และมักตกเป็นเป้าหมายของการปฏิเสธการให้บริการและการโจมตีด้วยกำลังดุร้าย และในขณะที่ระบบให้การป้องกันในระดับสูงจากการโจมตีด้วยมัลแวร์และการแทรกข้อมูล คุณจำเป็นต้องมีมาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีจากการใช้ทรัพยากรจนหมด

ด้านล่าง เราให้คำแนะนำด้านความปลอดภัย WordPress สามอันดับแรกเพื่อนำไปใช้เพื่อป้องกันการปฏิเสธบริการ การติดตั้งชุดกฎไฟร์วอลล์ที่มีการจัดการที่มีประสิทธิภาพ การกำหนดค่า HTTP/2 และการจำกัดการเข้าถึงการเข้าสู่ระบบ WordPress และ XMLRPC จะช่วยลดความน่าจะเป็นของการตกเป็นเหยื่อของ HTTP ท่วม SYN ท่วม และการโจมตี Slowloris

กำหนดค่าชุดกฎไฟร์วอลล์ที่มีการจัดการที่มีประสิทธิภาพ

ทั้ง Web Application Firewall (WAF) บนโฮสต์และบนคลาวด์รองรับการติดตั้งชุดกฎที่มีการจัดการที่แตกต่างกันซึ่งพัฒนาขึ้นโดยเฉพาะเพื่อป้องกันการปฏิเสธการบริการและการโจมตีทางไซเบอร์ที่เป็นอันตรายอื่น ๆ ชุดกฎที่มีการจัดการได้รับการดูแลโดยผู้ให้บริการความปลอดภัยที่รู้จักและรับการอัปเดตเป็นประจำ

ชุดกฎไฟร์วอลล์ที่มีการจัดการที่แข็งแกร่งที่สุดชุดหนึ่งคือชุดกฎหลัก OWASP ที่พัฒนาโดย OWASP Foundation ชุดกฎนี้เข้ากันได้กับโฮสต์และ WAF บนคลาวด์ส่วนใหญ่ รวมถึง ModSecurity ซึ่งเป็น Web Application Firewall (WAF) บนโฮสต์ที่ได้รับความนิยมสูงสุดซึ่งติดตั้งบนเซิร์ฟเวอร์ Linux

ใช้ HTTP/2

HTTP/2 เป็นข้อกำหนดใหม่ของโปรโตคอล HTTP ที่มุ่งลดเวลาแฝงและเพิ่มความเร็วในการจัดส่งเนื้อหาโดยแก้ไขข้อบกพร่องบางประการของรุ่นก่อน HTTP/2 ขจัดความจำเป็นในการเปิดการเชื่อมต่อหลายรายการเพื่อส่งหน้าเว็บเดียวโดยอนุญาตให้เว็บเซิร์ฟเวอร์ส่งการตอบสนองหลายรายการสำหรับคำขอเดียว

การใช้ HTTP/2 สามารถลดการใช้ทรัพยากรเซิร์ฟเวอร์ได้อย่างมาก ซึ่งส่งผลให้มีการปรับปรุงประสิทธิภาพที่สำคัญ สิ่งนี้สามารถช่วยต้านทานการโจมตีแบบปฏิเสธการให้บริการขนาดเล็กโดยไม่จำเป็นต้องเรียกใช้การป้องกันเพิ่มเติมใดๆ

ลดพื้นผิวการโจมตี

เรื่องความปลอดภัยของเว็บไซต์และมาตรการรักษาความปลอดภัยระดับเว็บไซต์มีความสำคัญอย่างยิ่ง

คุณสามารถป้องกันการโจมตีทางไซเบอร์ส่วนใหญ่ รวมถึงการปฏิเสธการให้บริการ โดยจำกัดการเข้าถึงพื้นที่ที่สำคัญของเว็บไซต์ WordPress ของคุณ เช่น XMLRPC และการเข้าสู่ระบบ WordPress ดังที่เราได้กล่าวไปแล้วก่อนหน้านี้ เป้าหมายเหล่านี้คือสองเป้าหมายที่พบบ่อยที่สุดของทั้งการโจมตีแบบ DoS และการโจมตีแบบเดรัจฉานบนไซต์ WordPress

แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress รวมถึงการปิดใช้งาน XML-RPC และจำกัดการเข้าถึงการเข้าสู่ระบบ WordPress เฉพาะรายการที่อยู่ IP และช่วง IP ที่เชื่อถือได้ การเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยมีความสำคัญเท่าเทียมกันในการป้องกันไม่ให้ผู้ประสงค์ร้ายเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาตและทำการปิดเว็บไซต์

เสริมการป้องกันของคุณด้วย iThemes Security Pro

iThemes ทำให้ทุกคนสามารถเข้าถึงความปลอดภัยของ WordPress ได้ iThemes Security Pro มี 30 วิธีในการปกป้องไซต์ WordPress ของคุณจากการโจมตีทางไซเบอร์ที่รู้จักทั้งหมด ด้วยการตรวจสอบความปลอดภัยขั้นสูงตลอดเวลาและการสแกนช่องโหว่ iThemes Security Pro จะดำเนินการในนามของคุณโดยอัตโนมัติเพื่อหยุดการโจมตีอัตโนมัติ บล็อกผู้ประสงค์ร้าย และปกป้องพื้นที่ที่สำคัญของเว็บไซต์ของคุณ

หากคุณจัดการไซต์ WordPress หลายไซต์ iThemes Sync Pro จะช่วยให้งานธุรการที่ทำเป็นประจำเป็นไปโดยอัตโนมัติโดยจัดทำแดชบอร์ดการจัดการเดียวพร้อมการตรวจสอบสถานะการออนไลน์และการวิเคราะห์ขั้นสูง และในขณะที่คุณมีผู้ช่วยเว็บไซต์ส่วนบุคคลเหล่านี้ในทีมของคุณ การฝึกอบรม iThemes จะช่วยให้คุณกลายเป็นผู้เชี่ยวชาญ WordPress และนำธุรกิจของคุณไปสู่อีกระดับ

ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดเพื่อรักษาความปลอดภัยและปกป้อง WordPress

ปัจจุบัน WordPress มีอำนาจมากกว่า 40% ของเว็บไซต์ทั้งหมด ดังนั้นจึงกลายเป็นเป้าหมายที่ง่ายสำหรับแฮ็กเกอร์ที่มีเจตนาร้าย ปลั๊กอิน iThemes Security Pro นำการคาดเดาออกจากความปลอดภัยของ WordPress เพื่อให้ง่ายต่อการรักษาความปลอดภัยและปกป้องเว็บไซต์ WordPress ของคุณ มันเหมือนกับการมีผู้เชี่ยวชาญด้านความปลอดภัยเต็มเวลาเป็นพนักงานที่คอยตรวจสอบและปกป้องไซต์ WordPress ของคุณอย่างต่อเนื่อง

รับ iThemes Security Pro