การป้องกัน DDoS/DoS สำหรับเว็บไซต์สาธารณะ

การป้องกัน DDoS/DoS สำหรับเว็บไซต์
เรื่อง DDoS/DoS เป็นเรื่องป้องกันยากแต่เราสามารถลดความเสี่ยงได้ ซึ่งทางทีมงานเราได้คิดค้นเทคนิคเรียกว่า
SRAN i[n] Block เป็นบริการหนึ่งของบริษัทโกลบอลเทคโนโลยี อินทรีเกรดเทค (www.gbtech.co.th) จัดทำขึ้นมาเพื่อวัถตุประสงค์ป้องกันเว็บไซต์ในประเทศไทยให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ อีกทั้งเสริมประสิทธิภาพให้เว็บไซต์ที่ใช้บริการมีการเข้าถึงข้อมูลได้อย่างรวดเร็ว ด้วยนิยามที่ว่า “Fast and Secure” โดยการให้บริการผ่านระบบคลาวด์คอมพิวติ้ง (Cloud Computing) โดยผู้ใช้งานไม่ต้องลงทุนด้านฮาร์ดแวร์และซอฟต์แวร์ และใช้งานได้ทุกระบบปฏิบัติการ ไม่ต้องเปลี่ยนค่าโค้ดของเว็บไซต์ เพียงแค่ปรับเปลี่ยนค่าดีเอ็นเอส (DNS) ในเครื่องเว็บเซิร์ฟเวอร์ ใช้เวลาไม่เกิน 10 นาที เว็บไซต์ของหน่วยงานท่านก็จะมีความมั่นคงปลอดภัยทางข้อมูลมากขึ้น หลีกเลี่ยงภัยคุกคามที่เข้าถึงเว็บไซต์ได้อย่างมีประสิทธิภาพ ประหยัดงบประมาณในการลงทุนป้องกันภัยเป็นลักษณะ Cloud Computer
ส่วนติดตั้งที่ Site งานเราจะใช้ร่วมกับอุปกรณ์ Net Optics รุ่น iBypass รวมเรียกบริการว่า

ด้วยเทคโนโลยีเครือข่ายอัจฉริยะที่ทางทีมงาน SRAN ได้พัฒนาขึ้นจะทำให้เว็บไซต์ที่ใช้บริการ iBlock สามารถหยุดยั้งภัยคุกคามที่เกิดขึ้นจากการโจมตีผ่านช่องทางเว็บแอฟลิเคชั่น (Web Application hacking) ไม่ว่าเป็นการโจมตีที่พยายามเข้าถึงระบบฐานข้อมูล , การโจมตี DDoS/DoS และอื่นๆ รวมมากกว่า 1,000 รูปแบบการโจมตี รวมถึงมีการให้บริการเสริมเพื่อทำการปิดกั้นการเข้าถึงข้อมูลด้วยชุดไอพีแอดเดรสแบบอำพรางตนเอง (Tor Network)  ซึ่งทำให้เว็บไซต์ของหน่วยงานมีความปลอดภัยจากนักโจมตีระบบมากขึ้น 

ภาพแสดงขั้นตอนการทำงานของ IN Block Services

ขั้นตอนที่ 1 ก่อนใช้บริการ SRAN IN Block เว็บไซต์ทั่วไปได้ถูกออกแบบมาให้มีการติดต่อสื่อสารแบบ Client – Server กล่าวคือมีการติดต่อผ่านอินเทอร์เน็ตแล้วเข้าเยี่ยมชมเนื้อหาบนเว็บไซต์ได้โดยตรง  เมื่อมีการจดทะเบียนชื่อโดเมนแนม และค่าไอพีแอดเดรสที่ได้จากผู้ให้บริการอินเทอร์เน็ต (ISP : Internet Services Provider) ซึ่งเป็นการติดต่อสื่อสารเว็บไซต์ทั่วไปโดยผู้ใช้งานจะสามารถเรียกข้อมูลได้โดยตรงโดยที่ไม่สามารถแยกแยะได้ว่าผู้ใช้งานดังกล่าวติดเชื้อหรือมีลักษณะถึงการโจมตีเว็บไซต์ เจาะระบบข้อมูล ซึ่งจะเห็นได้ว่าวิธีนี้ไม่ได้ช่วยในการป้องกันภัยที่อาจเกิดขึ้น ต่อมาได้มีการคิดค้นวิธีการป้องกันโดยนำเอาอุปกรณ์ป้องกันหรือเรียกว่า Web Application Firewall ที่เป็นฮาร์ดแวร์ Appliance มาติดตั้งอยู่หน้าเว็บไซต์ซึ่งกรณีนี้จะทำให้ผู้ใช้งานต้องลงทุนในการติดตั้งและซื้ออุปกรณ์มาป้องกันภัยด้วยงบประมาณสูง เป็นเหตุผลให้เกิดบริการ SRAN IN Block ขึ้นมาเพื่อให้เว็บไซต์มีความปลอดภัยและเข้าถึงข้อมูลรวดเร็ว อีกทั้งประหยัดงบประมาณไม่ต้องลงทุนซื้อฮาร์ดแวร์และซอฟต์แวร์

ขั้นตอนที่ 2 เมื่อใช้บริการ SRAN IN Block ผู้ให้บริการเว็บไซต์ต้องทำการเปลี่ยนค่า DNS ในเครื่องเว็บเซิร์ฟเวอร์ เพื่อชี้ค่าไปที่ SRAN IN Block Center ซึ่งจัดทำบนระบบคลาวด์คอมพิวติ้ง (Cloud Computing) เมื่อมีการอัพเดทค่า DNS ใหม่ ผู้ใช้งานทั่วไปเมื่อเปิดหน้าเว็บเพจที่ใช้บริการ SRAN IN Block ก็จะเข้าถึงข้อมูลได้อย่างปกติ แต่เพิ่มการป้องกันภัยและมีความรวดเร็วขึ้น “Fast and Secure”

ขั้นตอนที่ 3 ด้วยคุณสมบัติในการป้องกันการโจมตีระบบ (Web Application Firewall) , การอำพรางค่าไอพีแอดเดรสเพื่อวัตถุประสงค์โจมตีเว็บไซต์ ก็จะไม่สามารถทำได้โดยสะดวก ด้วยเทคโนโลยี SRAN IN Block จะทำให้ลดความเสี่ยงที่จะเกิดขึ้นต่อเว็บไซต์หน่วยงานของท่านได้ และมีการจัดเก็บค่า Log File เพื่อให้สอดคล้องกับกับกฎหมายในประเทศไทยตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

I[N] block จะทำให้เว็บไซต์และโดเมนของคุณปลอดภัยขึ้นด้วยคุณสมบัติดังต่อไปนี้

  1. ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (Web Application Security) โดยมีรูปแบบการป้องกันตามมาตรฐาน OWASP และรูปแบบการโจมตีมากกว่า 1,000 รายการ ซึ่งมีการโจมตีหลักๆ ที่เป็นภัยอันตรายต่อเว็บไซต์ดังนี้
  • การป้องกันการโจมตีลักษณะ XSS (Cross site scripting)
  • การป้องกันการโจมตีลักษณะ
  • การป้องกันการโจมตีลักษณะ RFI (Remote Files Inclusion) และการยิงโค้ด Exploit ที่มีผลกระทบต่อระบบ
  • การป้องกันการใส่ค่า character in request ที่ส่งผลกระทบต่อระบบเว็บไซต์
  • การป้องกันการพยายามเข้าถึงระบบโดยการสุ่มเดารหัสผ่าน (Brute Force Password)
  • การป้องกันการโจมตีชนิด DDoS/DoS
  • การป้องกันจากการใช้เครื่องมือตรวจสอบช่องโหว่(Security Scanner)
  • การป้องกันสแปมและบอทเน็ตในการเข้ามาสร้างความเสียหายแก่เว็บไซต์
  • มีความสามารถตรวจจับ bot/crawler ที่เข้ามาสอดแนมข้อมูลในเว็บไซต์และแยกประเภทของบอทได้ว่ามีที่มาจากที่ไหน
  1. ระบบป้องกันไอพีแอดเดรสที่ใช้ในการอำพรางตัวตน

เป็นฟังชั่นหนึ่งที่ช่วยลดความเสี่ยงจากนักโจมตีระบบที่มักจะต้องอำพรางค่าไอพีแอดเดรสของตนเองเพื่อทำการเจาะระบบ ทาง SRAN iBlock จึงจัดทำระบบ “IP Reputation” เพื่อทำการคัดกรองค่าไอพีแอดเดรสที่เคยมีประวัติการโจมตี ไม่ว่าเป็น ดังนี้

  • ไอพีที่เข้าบัญชีดำ ที่ติดในฐานข้อมูลกับหน่วยงานกลางที่เฝ้าระวังการโจมตี
  • ไอพีจากการใช้โปรแกรมทอร์เน็ตเวิร์ค (Tor network)
  • ไอพีที่เปิดมาใช้ค่าพร็อกซี่เซิร์ฟเวอร์ที่เปิดใช้แบบสาธารณะ จะมีการอัพเดทข้อมูลทุกวัน (Daily update)
  1. ระบบ CDN (Content Delivery Network)

มีการวางระบบ เครือข่ายอัจฉริยะ จะติดตั้งระบบ ทำการเก็บค่าเรียกใช้งานหากมีการเรียกซ้ำก็สามารถเข้าถึงข้อมูลได้ทันที อีกทั้งยังตั้งระบบ SRAN iBlock อยู่ในประเทศที่สำคัญตามจุดต่างๆ ที่มีผู้ใช้บริการทั่วโลก ได้แก่ประเทศญี่ปุ่น ประเทศอังกฤษ ประเทศสหรัฐอเมริกา ประเทศสิงค์โปรและประเทศไทย เพื่อเพิ่มความเร็วในการเรียกดูเนื้อหาเว็บไซต์ในจุดที่ใกล้ที่สุด ของผู้ใช้งานเยี่ยมเข้าชมเว็บไซต์

  1. ระบบจัดเก็บบันทึกข้อมูลจราจร (Log Files)

มีการจัดเก็บ บันทึกข้อมูลจราจรหรือ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พร้อมทั้งสามารถสืบค้นหาข้อมูลลักษณะพฤติกรรมค่าไอพีแอดเดรส เพื่อใช้ในการหาผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว
โดยข้อมูลใน Log file สามารถบอกค่าได้ทั้ง 5W คือ Who , What , Where , When , Why ประกอบด้วย

  • วันเวลา(When)
  • ค่าไอพีแอดเดรส (Who)
  • สถานที่ ได้แก่ ชื่อผู้ให้บริการ ชื่อสถานที่ของค่าไอพีแอดเดรส ผ่านเทคนิค และการระบุพิกัดตำแหน่งผ่านแผนที่ภูมิสารสนเทศ (Where)
  • ค่าการเรียกค่าในเว็บไซต์ GET / POST และลักษณะการโจมตีเว็บไซต์ (What)
  • ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่ และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ(Why)


    ตัวอย่างการบริการ

    1. ตัวอย่างการแสดงค่า Log file ของเว็บ www.gbtech.co.th ที่ใช้บริการ SRAN In Block
       


       ภาพตัวอย่างการแสดงค่า Log file การเข้าถึงข้อมูลเว็บไซต์ทั้งการเข้าถึงข้อมูลที่ปกติไม่มีการโจมตีและการพบการโจมตี ซึ่งค่าที่แสดงใน Log สามารถระบุได้ 5W

      Who
      What
      IPAddress
      ค่าGET/POST ที่ URL path
      Where
      สถานที่ชื่อ ISP, ชื่อหน่วยงาน ชื่อเมืองและชื่อประเทศ
      When
      เวลา
      Why
      ลักษณะการโจมตีเว็บไซต์เมื่อเทียบฐานข้อมูลช่องโหว่และภัยคุกคามที่จะเกิดขึ้นต่อเว็บไซต์ที่ใช้บริการ
    2. ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี ด้วยการโจมตี SQL injection
      ตัวอย่างนี้เป็นข้อมูลจริงที่เกิดขึ้นกับเว็บไซต์ที่ใช้บริการ SRAN IN Block ได้แก่เว็บไซต์ www.gbtech.co.th เมื่อมีการเรียกข้อมูลที่มีลักษณะเป็นการโจมตีระบบ จากตัวอย่างในภาพจะเห็นว่านักโจมตีระบบใช้เทคนิคที่นิยมโจมตีเว็บไซต์หน่วยงานราชการในประเทศไทยคือการโจมตีแบบ “SQL injection” เมื่อนักโจมตีระบบใช้ชุดคำสั่งป้อนเข้าใส่ช่อง URL ในบราวเซอร์ ดังนี้ http://www.gbtech.co.th/site/html/search.php?lang=1-15UnION/**/SElecT%201,2,3,4… เมื่อคำสั่งเข้าสู่เว็บไซต์ที่ใช้บริการ SRAN IN Block จะปรากฏข้อความแจ้งเตือนไปยังนักโจมตีระบบ โดยมีข้อความที่หน้าจอ โดยมีทั้งภาษาไทยและอังกฤษว่า ภาษาอังกฤษ “You are not authorized to access this page. The system detected a possible attempt to compromise security.” ภาษาไทย “ขออภัยที่ไม่สามารถให้คุณเข้าเยี่ยมชมเว็บไซต์ได้ เพราะการเรียกข้อมูลของคุณอาจส่งผลต่อความปลอดภัยเว็บไซต์และมีความเสี่ยงต่อการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์”


       ภาพแสดงหน้าจอเมื่อมีการโจมตีเว็บไซต์ผู้ใช้บริการจะมีการปิดกั้นและขึ้นข้อความเตือน เมื่อมีการโจมตีที่ตรงตามเงื่อนไขก็จะพบว่า นักโจมตีระบบจะไม่สามารถเข้าถึงหน้าเพจและข้อมูลในเว็บไซต์ในลักษณะการเรียกข้อมูลนี้ได้ และในหน้าบริการจัดการ SRAN IN Block ก็จะพบ Log file ที่เห็นที่มาของการโจมตีดังนี้

       ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบและสามารถใช้เป็นหลักฐานในการดำเนินคดีความได้

    3. ตัวอย่างการปิดกั้นการเข้าถึงเว็บไซต์จากการโจมตี Remote Exploit ผ่านช่องโหว่ของ WordPress
      เนื่องจาก WordPress เป็น CMS (Content Management System) ที่คนไทยและทั่วโลกนิยมใช้กันในการจัดทำเป็นเว็บไซต์หน่วยงานเพื่อเผยแพร่ข้อมูลกันเป็นจำนวนมาก ตัวอย่างการโจมตี “Virtual just in Time Patch : TimThumb Remote Code Execution Vulnerability Exploit attempt” ซึ่ง TimThumb เป็น Plugins หนึ่งของ WordPress เข้าโจมตีที่ http://www.gbtech.co.th/wp-content/themes/TheCorporation/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.agmcmortgage.com%2Fbad.php ก็จะพบหน้าแจ้งเตือนไปยังนักโจมตีระบบและระงับการเข้าถึงข้อมูลเว็บไซต์

       ภาพหน้าจอแจ้งเตือนต่อนักโจมตีระบบเมื่อมีการพยายามโจมตีระบบด้วยการใส่โค้ดผ่านช่องโหว่ WordPress

      แสดงค่าใน Log file จะพบวันเวลา และค่าไอพีแอดเดรสของนักโจมตีระบบ

       ภาพ Log file ที่พบการโจมตีระบบซึ่งจะสามารถระบุวันเวลา ค่าไอพีแอดเดรสนักโจมตีระบบ ระบบปฏิบัติการของนักโจมตีระบบ และ ชนิดบราวเซอร์ที่ใช้ในการโจมตีระบบได้

    4. ตัวอย่างการค้นหาข้อมูลการโจมตีจาก Log file
      เมื่อผู้ใช้บริการ SRAN IN Block Services ต้องการค้นหาว่ามีค่าไอพีแอดเดรสของนักโจมตีระบบเว็บไซต์เกิดขึ้นเมื่อวันเวลาใดและเหตุการณ์อะไรนั้น สามารถค้นหาได้ผ่านระบบสืบค้นซึ่งจะทำให้สืบหาการกระทำความผิดทางเทคโนโลยีได้อย่างสะดวกและรวดเร็วขึ้น
    5. ตัวอย่างการค้นหา การโจมตีชนิด Cross Site Scripting

       ภาพตัวอย่างการค้นหาความพยายามที่โจมตีเว็บไซต์ชนิด Cross site Scripting

    6. ต้วอย่างการแสดงผลภาพรวมการโจมตีผ่านแผนที่ภูมิสารสนเทศ


       ภาพการแสดงแผนที่การโจมตีจะทำให้ผู้ใช้บริการทราบว่าเว็บไซต์ของหน่วยงานเรานั้นถูกโจมตีจากประเทศใดบ้างซึ่งหากสีเข้มพบว่ามีการโจมตีสูงจากภาพพบว่าเว็บไซต์ www.gbtech.co.th ถูกโจมตีจากประเทศไทยเป็นจำนวน 2,373 ครั้ง ข้อมูลของวันที่ 18 มิถุนายน 2556

    7. รายงานภาพรวมการโจมตีเว็บไซต์ที่ใช้บริการ SRAN IN Block

       ภาพลำดับการโจมตีเว็บไซต์ด้วยเทคนิคต่างๆ 20 อันดับโดยวัดค่าจากจำนวนครั้งที่โจมตีจากมากไปน้อย

    8. การป้องการเข้าถึงข้อมูลเว็บไซต์จากการอำพรางค่าไอพีแอดเดรส 

       ภาพเมื่อทำการเปิดโปรแกรม Tor network เพื่อจะทำการอำพรางไอพีแอดเดรสของตนเอง จากภาพจะได้ค่า IP คือ 173.254.216.69 และเมื่อทำการเปิดเว็บไซต์ www.gbtech.co.th ก็จะถูกปิดกั้นและขึ้นข้อความเตือนเนื่องจากมีการอำพรางไอพีแอดเดรส

      ปัจจุบันทั้งหมดอยู่ในบริการเรียกว่า

       ที่ทางกลุ่ม SRAN Dev นำเสนอเพื่อเป็นทางเลือกหนึ่งในสินค้าบริการจากประเทศไทย