DYN, INC. โดน DDOS ส่งผลให้ TWITTER, SPOTIFY, SOUNDCLOUD, GITHUB ล่ม
เมื่อเวลาประมาณ 4 ทุ่มของวันที่ 21 ตุลาคม ขณะที่ผมกำลังนั่งเล่น Twitter เพลินๆอยู่ ก็รู้สึกเอ๊ะ อยู่ดีๆก็ Tweet ไม่ได้ กด Refresh ใหม่ ปรากฏว่าเว็บขาวโพลนเลย มีแต่ข้อความที่กระจัดกระเจิงไม่เป็นระเบียบ กดอีกรอบ พัง กลับไปเล่น Facebook ปรากฏว่าเจอข่าวการถล่ม DDoS อันอย่างหนักหน่วง
DDoS ครั้งนี้ไม่ใช่ DDoS ที่หนัก คือเขาไม่ได้ยิงไปที่ Twitter, Spotify, Soundclound, GitHub ทุกๆเจ้านะ แต่เป็นการยิงที่ฉลาด คือยิงที่ไปที่ DNS Provider ชื่อว่า Dyn, Inc. ซึ่งเป็นคนให้บริการ DNS ให้แก่บริษัทใหญ่นี่แหล่ะ เลยทำให้เราเข้าเว็บไม่ได้
DDOS คืออะไร
DDoS ย่อมาจาก Distributed Denial of Service attack อธิบายในภาษาบ้านๆคือ ช่วยกันบึ้ม คือจินตนาการว่าคุณมีคอมพิวเตอร์เครื่องหนึ่ง คอมพิวเตอร์เครื่องนั้นทำอะไรได้บ้าง อ่า ผมให้มันทำงานโง่ๆเลยนะคือคิดเลขแต่คอมเครื่องนี้ มันคิดเลขได้แค่ 10 สมการพร้อมกัน
คำถามคือถ้าเราใส่ 11 สมการให้คอมพิวเตอร์เครื่องนี้คิดละ จะเกิดอะไรขึ้น ?
แล้วลองจินตนาการว่า คิดมีคอมพิวเตอร์หลายๆเครื่อง (ขอเรียกว่า Server) แล้ว Server นั้นรองรับการ “เปิดเว็บ” สูงสุด 1 ล้านคน
ถ้ามีคนมาเปิดเว็บคุณพร้อมกัน 2 ล้านคน จะเกิดอะไรขึ้น
รูปจาก https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/
อย่างแรก คือ เครื่องค้าง ไม่เพียงพอแต่จำนวนคนใช้ และอาจส่งผลให้ Server ล่มได้ในที่สุด
เกร็ดเพิ่มเติม : คำถามต่อมาคือ ไอ้คนทำ DDoS เนี่ย มันมีคอมพิวเตอร์เป็นล้านๆเครื่องเลยหรอ จะรวยอะไรขนาดนั้น
คำตอบคือ เปล่าครับ แฮกเกอร์เนี่ยได้กระจาย script ที่ใช้สำหรับ “เปิดเว็บ” ที่ Server ปลายทาง
โดยส่งในรูปแบบของมัลแวร์ กลายไปยังคอมพิวเตอร์ต่างๆทั่วโลก เพราะฉะนั้นคอมพิวเตอร์เครื่องไหนที่โดนมัลแวร์ตัวนี้ฝังไว้ มันก็จะรัน script ที่โดนฝัง ทำให้เป็นส่วนหนึ่งของกระบวนการ DDoS นี่เอง
ถ้าไม่เข้าใจก็คือ พูดแบบบ้านๆคือ
เขียน script ยิงเว็บ
โยนไปให้คนทั่วโลก
ให้คนทั่วโลกช่วยกันบึ้ม
บทสรุปคือ ช่วยกันบึ้ม
วีดีโอเพิ่มเติม
แสดงว่าการถล่มครั้งนี้ร้ายแรงมากๆ
TWITTER, SPOTIFY, SOUNDCLOUD, GITHUB ล่มเป็นบือ ?
ถามว่าร้ายแรงไหม ก็ร้ายแรงนะครับ
แต่ถามว่ามันไปไล่ถล่มทุกเว็บอย่างนี้หรอ คำตอบคือ ไม่ใช่อย่างแน่นอนครับ
ก่อนอื่นเรามาเข้าใจเรื่อง DNS กันก่อน
DNS
DNS ย่อมาจาก Domain Name System
รู้หรือไม่ครับว่าเวลาที่ Computer มันติดต่อสื่อสารกันเนี่ย Computer แต่ละเครื่องจะมีรหัสไปรษณีย์เป็นของตัวเองอยู่นะ
สมมุติคุณจะส่งจดหมายไปหาบ้านที่อยู่ไกลแสนไกลที่อเมริกาเนี่ย เวลาคุณส่ง คุณก็ต้องกรอก ชื่อผู้รับ-ชื่อผู้ส่ง เลขที่อยู่ไปรษณีย์บลาๆๆๆ ถึงจะส่งไปถึงเขา
ก็เหมือนเวลา Computer คุยกัน มันก็ต้องมีที่อยู่รหัสไปรษณีย์จ้า ซึ่งที่อยู่รหัสไปรษณีย์ของ Computer เวลาสื่อสารกันเนี่ย
172.217.22.174
203.151.13.168
199.16.156.102
อะไรประมาณนี้ ซึ่งเขาไม่นิยมเรียกรหัสไปรษณีย์ แต่จะเรียกว่า IP Address
แล้วเคยสงสัยบ้างหรือเปล่าว่า เวลาเราพิมพ์ google.com ลงบน keyboard เคาะ Enter เนี่ย มันรู้ได้ไงว่าต้องไปคุยกับคอมพิวเตอร์รหัสไปรษณีย์อะไร (หรือ IP ไหนนั่นเอง)
ซึ่งคอนเซ็ปมันคล้ายๆ กับเวลาที่คุณจะโทรศัพท์หาใครสักคนแหล่ะ เช่น คุณต้องการจะโทรหา สมพงศ์คุณรู้ว่า เขาเป็นใคร รู้ว่าชื่ออะไร แต่คุณไม่รู้ว่าเขาเบอร์อะไร เหมือนกันเป๊ะเลย กับที่เรารู้ว่า เว็บนี้อะคือเว็บ google.com นะ เป็น Search Engine แต่เราไม่รู้อ่ะ ว่ามัน IP Address คืออะไร
ทำไง ?
ก็ถามเพื่อนที่รู้จักสมพงศ์ แล้วก็ให้เพื่อนเอาเบอร์สมพงศ์มาให้ เหมือนกับคุณไปถามเพื่อนนั่นแหละ ว่า google.com มี IP เป็นอะไร แต่คราวนี้บริบทต่างกันละ ซึ่งไอ้เพื่อนที่คุณไปถามว่า google.com มัน IP address คืออะไรอะ เขานิยมเรียกกันว่า DNS
รูปจาก https://www.elie.net/blog/security/how-email-in-transit-can-be-intercepted-using-dns-hijacking
DNS ทำหน้าที่เหมือนสมุดหน้าเหลืองของโทรศัพท์เป๊ะๆเลย คือจะทำหน้าที่แปลงไอ้ชื่อเว็บเนี่ย ให้เป็นเลข IP address เพื่อใช้ในการติดต่อสื่อสาร
จะเกิดอะไรขึ้นถ้า DNS ล่ม
งั้นผมถามกลับว่า สมมุติคุณจะโทรหาสมพงศ์ แล้วเพื่อนของคุณที่มีเบอร์สมพงศ์เนี่ยมันแฮงค์ คุณจะโทรหาสมพงศ์ได้ไหม
ยกตัวอย่างให้เห็นภาพขึ้นชัดๆ
คุณต้องการจะเข้า Twitter.com แต่ว่า DNS มันล่มอะ เข้าได้หรือเปล่า
อาจจะมีคำถามต่อเนื่องมาว่า ทำไมเว็บอื่นๆยังเข้าได้ละ
คำตอบคือ เวลาคุณจะถามหาเบอร์สมพงศ์เนี่ย อาจจะถามเพื่อนชื่อสมหมาย แต่ถ้าเกิดวันนี้คุณอยากได้เบอร์ของอรทัย คุณอาจจะต้องไปถามพิมเสนแทน ซึ่งสมหมายอาจจะไม่รู้จักเบอร์ของอรทัยก็ได้
google.com อาจใช้ DNS hosting อันนึง DNS อาจชื่อสมหมาย มี IP ของ Google อยู่
twitter.com อาจใช้ DNS hosting อีกอัน DNS อาจชื่อพิมเสน มี IP ของ Twitter อยู่
กลับมาที่ข่าวหลัก
Twitter, Spotify, SoundCloud, GitHub (และเว็บบริการเจ้าอื่นๆอีกหลากหลายเจ้า) พวกเขาได้ใช้ DNS provider (ผู้บริการ DNS) อันเดียวกัน ที่ชื่อว่า Dyn, Inc. (Dyn DNS Company)
ซึ่ง Dyn เป็นผู้ให้บริการด้าน DNS เจ้าใหญ่มากๆและมีเว็บจำนวนมากใช้ผู้บริการ DNS เจ้านี้อยู่ แน่นอนครับว่า Dyn เนี่ย เจอ DDoS ถล่มครับ แล้วพอเจอถล่มหนักๆ เจอพลังของ DDoS ที่ส่งพลังมหาศาลมา มันก็เลยล่มครับ ซึ่งเดิมที Dyn เป็นคนที่ทำหน้าที่แปลง ชื่อเว็บ ให้เป็น IP address คราวนี้พอเจอ DDoS จนล่มนั้น ก็เลยไม่มีคนมาแปลง ชื่อเว็บ ให้เป็น IP address เลยทำให้เราไม่สามารถติดต่อสื่อสารได้กับ Twitter, Spotify, SoundCloud, GitHub ได้นั่นเอง
รูปประกอบ http://blog.neungkl.com/
นี่ไม่ใช่การโจมตี DDoS ที่หนักที่สุดนะครับ มีการโจมตี DDoS ที่ใหญ่กว่าซึ่งเพิ่งออกข่าวไปประมาณเดือนที่แล้ว เป็นการโจมตี DDoS ที่ใหญ่ที่สุดในประวัติศาสตร์
http://thehackernews.com/2016/01/biggest-ddos-attack.html
ซึ่งการโจมตีครั้งนี้ ไม่ใช่การโจมตีที่ใหญ่ที่สุดในประวัติศาสตร์นะครับ แต่โจมตีด้วยวิธีที่ชาญฉลาดจนทำให้อินเตอร์เน็ตเกือบครึ่งหนึ่งของโลกล่มเลยทีเดียว
แต่เหตุการณ์เมื่อวาน อาจจะมีเว็บบางเว็บโหลดได้อยู่ จริงๆ มันไม่ได้ล่มขนาดเว็บโหลดไม่ได้เลย แต่มันล่มลักษณะโหลดภาพไม่ได้ โหลดไฟล์บางอย่างไม่ได้ จนทำให้หน้าเว็บแสดงผลผิดเพี้ยน
CONCLUSION
นับว่าเป็นการโจมตี DDoS ที่ประหลาด คือไม่โจมตีที่ Target Server โดยตรง แต่โจมตีไปที่ DNS แทน ซึ่งผลกระทบที่ กระทบมากเลยนะ หลายเว็บเข้าไม่ได้เลย
ซึ่งก็ยังไม่ทราบจุดประสงค์ของคนโจมตีว่าเขาทำไปเพื่ออะไร (เพราะไม่ได้โจมตีที่เว็บใดเว็บนึงโดยตรง) อาจจะเป็นเพราะต้องการทำให้ Internet ล่มไปชั่วคราว แต่ผมก็ไม่แน่ใจ แต่ถ้าเขาเอามันส์ เขาก็ประสบความสำเร็จอยู่ระดับหนึ่งเลยนะ
บทความที่เกี่ยวข้อง 10 ล้าน IP Addresses !! จำนวน Botnet ที่โจมตี Dyn DNS
บทความที่เกี่ยวข้อง มาแล้ว!! กลุ่มแฮ็คเกอร์ประกาศความรับผิดชอบ ยิง DDoS ถล่ม Dyn DNS
ขอขอบคุณที่มา : Neungkl Studio
ข่าวสาร
