DDoS ဆိုက်ဘာတိုက်ခိုက်မှုဆိုသည်မှာ

DDoS ခေါ် Distributed Denial of Service ဆိုတာကတော့ တစ်ခုထက်ပိုသော Source များမှ IP တစ်ခု သို့မဟုတ် Domain တစ်ခုကို အကြောင်းအမျိုးမျိုးဖြင့် Connection Traffic များစွာအသုံပြုပြီး ၎င်းအတိုက်ခိုက်ခံရသော Website/Server သို့မဟုတ် ဝန်ဆောင်မှု Service တစ်ခုခုကို နှောက်ယှက်ခြင်းဖြစ်စေ၊ Down သွားစေရန်ဖြစ်စေ၊ အခြားသူများဝင်ရောက်အသုံးပြုနိုင်ခြင်းမရှိစေရန် သို့မဟုတ် နည်းစေရန်ရည်ရွယ်ချက်နှင့် တိုက်ခိုက်ကြတာဖြစ်ပါတယ်။ သာမာန် DoS (Denial of Service) နဲ့ မတူသောအချက်ကတော့ DoS ဆိုသည်မှာ Source Address တစ်ခုတည်းမှ တိုက်ခိုက်ခြင်းဖြစ်ပြီး DDoS ကတော့ Source Address အများစုပေါင်းတိုက်ခိုက်ခြင်းဖြစ်လို့ ချက်ချင်းတားဆီးပိတ်ပင်ရန်ခက်ခဲပါတယ်။ အကြမ်းအားဖြင့် တိုက်ခိုက်မှုပုံစံအနေနဲ့ ဝန်ဆောင်မှုများကို ရပ်တန့်စေရန်တိုက်ခိုက်ခြင်း နှင့် ဝန်ဆောင်မှုများကို Flood ပြုလုပ်ခြင်းဆိုပြီး ၂ မျိုးခွဲခြားနိုင်ပါတယ်။ ဒီလိုမတူညီတဲ့ Source Address တွေကတဆင့် DDoS Attack ကို တိုက်ခိုက်ခြင်းဖြစ်ပြီး ၎င်း Source Address ပေါင်း ရာနှင့် ထောင်နှင့် ချီ၍ တိုက်ခိုက်တတ်ပြီး အတုပြုလုပ်ထားသော Source Address များကိုပါ ထည့်သွင်းတိုက်ခိုက်တတ်ပါတယ်။ DDoS တိုက်ခိုက်မှုတွေထဲက အကြီးမားဆုံးဖြစ်စဉ်တစ်ခုက ၂၀၁၆ ခုနှစ်အတွင်းဖြစ်ပွားခဲ့ပြီး ပမာဏအားဖြင့် 1.2 TB/s (1228.2 Gb/s) အထိ မြင့်တက်ခဲ့ဖူးပါတယ်။ ထူးခြားချက်အနေနဲ့ ဥပမာအားဖြင့် Spam Email များစွာပို့လွှတ်သော Email Bomb လိုမျိုး တိုက်ခိုက်မှုမျိုးကိုလည်း DDoS အနွယ်ဝင်ဖြစ်သည်ဟု မှတ်ယူနိုင်ပါသေးတယ်။

DDoS တိုက်ခိုက်မှု ဖြစ်ပွားရတဲ့ အခြေခံအကြောင်းအရာတွေ အများကြီးရှိပါတယ်။ ဒီလို DDoS တိုက်ခိုက်မှု ဖြစ်ပွားရတဲ့ အခြေခံအကြောင်းအရာတွေကတော့

နိုင်ငံ နှစ်နိုင်ငံအကြား တင်းမာမှုများ
Hacker အဖွဲ့တစ်ဖွဲ့နှင့် တစ်ဖွဲ့အကြား တင်းမာမှုများ ပြဿနာ ဖြစ်ပွားမှုများ နှင့် ပြန်လည်လက်စားခြေမှုများ
Company အကြီး တစ်ခုနှင့် တစ်ခုအကြား ပြိုင်ဆိုင်မှုများ၊ လက်စားခြေမှုများ
အစွန်းရောက်အဖွဲ့ အချင်းချင်း ပြဿနာဖြစ်ပွားမှုများ ပြန်လည်လက်စားခြေမှုများ
ဆိုက်ဘာတိုက်ခိုက်မှုများ၏ ကနဦး ပထမအဆင့်တိုက်ခိုက်မှုများ
ဝန်ဆောင်မှုတစ်ခုခုအား ရပ်တန့်စေခြင်းကြောင့် ဖြစ်ပေါ်လာသောဟာကွက်ကိုအသုံးပြုပြီး ထပ်မံတိုက်ခိုက်မှုများ ပြုလုပ်ရန်အတွက်
သတင်းအချက်အလက် ဆက်သွယ်မှုကို ဖြတ်တောက်ရန်
အခြားလှုံ့ဆော်မှု အကူအညီတောင်းခံမှုကြောင့် ဝိုင်းဝန်းတိုက်ခိုက်ခြင်း
ဝါသနာအရ သို့မဟုတ် စမ်းသပ်လို၍ တိုက်ခိုက်ခြင်း
စသည့်အပြင် အခြား အကြောင်းအရာများကြောင့်လည်း တိုက်ခိုက်မှုတွေ ဖြစ်ပွားနိုင်ပါတယ်။

OSI Model ၏ Application Layer သို့ DDoS တိုက်ခိုက်ခြင်း

Application Layer Attack တွေကတော့ များသောအားဖြင့် Web Site များကိုတိုက်ခိုက်ခြင်း၊ Database Server များကိုတိုက်ခိုက်ခြင်း၊ Email Server များကို တိုက်ခိုက်ခြင်း၊ ဓါတ်ပုံဆိုင်ရာ Application များကို တိုက်ခိုက်ခြင်း၊ Network Monitoring System များကိုတိုက်ခိုက်ခြင်း စသည်တို့မှ ဦးတည်ချက် တစ်ခုတည်းအတွက် တိုက်ခိုက်တတ်ကြပါတယ်။ တစ်ခါတလေတွင်တော့ ၎င်းတို့နှင့်အတူ Network Layer ကိုတိုက်ခိုက်တဲ့ DDoS များပါ နောက်မှလိုက်၍ ပူးတွဲတိုက်ခိုက်လေ့ရှိပါတယ်။

အချိန်ပြည့် DDoS တိုက်ခိုက်ခြင်း

အချိန်ပြည့် DDoS တိုက်ခိုက်ခြင်းကတော့ ရက်သတ္တပတ် အနည်းငယ်ကြာတဲ့အထိ ဖြစ်ပွားနိုင်ပါတယ်။ အချိန်အကြာဆုံး အချိန်ပြည့် DDoS တိုက်ခိုက်မှုက မှတ်တမ်းတွေအရ ၃၈ ရက်အထိ ကြာခဲ့ပြီး စုစုပေါင်း သံသယရှိဖွယ် Network Traffic အနေနဲ့ 50 Peta bits (50,000 Giga bits) အထက်ရှိခဲ့ဖူးပါတယ်။ ဒီလိုတိုက်ခိုက်မှုပုံစံထဲမှာတော့ HTTP Flood ကို အဓိကထား အာရုံစိုက်တိုက်ခိုက်နေတဲ့အချိန်မှာ SQL Injection နှင့် XSS Attack များကိုပါ ပူးတွဲပြီး အချိန်ပြည့်တိုက်ခိုက်နေတတ်ကြပါတယ်။ တိုက်ခိုက်မှုပုံစံ ၂ မျိုးမှ ၅ မျိုးအတွင်း ပြောင်းလဲတိုက်ခိုက်နေတတ်ကြသလို SYN flood များကိုလည်း ကြားထဲမှာ ထည့်သုံးပြီး တိုက်ခိုက်တတ်ကြပါတယ်။ ထို့ပြင် ဒီလို အချိန်ပြည့် DDoS တိုက်ခိုက်မှုတွေမှာ တိုက်ခိုက်သူတွေက ၎င်းတို့ရဲ့တိုက်ခိုက်မှုကို ကာကွယ်သည့် စနစ်တွေကို ရှောင်ရှားရန်အတွက် မတူညီတဲ့ပစ်မှတ်တွေကို ခေတ္တတိုက်ခိုက်ပြီး တကယ့်ပစ်မှတ်ကို အချိန်ကြာကြာတိုက်ခိုက်တတ်ကြပါတယ်။ ဒီလိုတိုက်ခိုက်မှုတွေကိုတော့ အတွေ့အကြုံရင့်ကျက်ပြီး တိုက်ခိုက်မှုအတွက်လုံလောက်တဲ့ Resource ပမာဏ ရှိသောသူ သို့မဟုတ် အဖွဲ့များမှ ဦးဆောင်တိုက်ခိုက်တတ်ကြပါတယ်။

Application Layer Floods တိုက်ခိုက်မှုများ

DoS ၏ ပုံစံကွဲလို့ယူဆနိုင်တဲ့ Buffer Overflow သည်လည်း Server တစ်ခုတွင် Running ဖြစ်နေသော Software တစ်ခုအား ရပ်တန့်သွားစေရန် သို့မဟုတ် စွမ်းဆောင်ရည် ကျဆင်းသွားစေရန် သို့မဟုတ် ၎င်း ဆာဗာ၏ Storage လုံးဝပြည့်သွားပြီး ဆက်လက်သုံးစွဲမရတော့စေရန် သို့မဟုတ် Memory ထဲတွင် ဆက်လက်သုံးစွဲလို့မရတော့အောင် ပြည့်သွားစေရန် သို့မဟုတ် CPU ၏ စွမ်းဆောင်ရည် ကျဆင်းသွားနိုင်စေရန်အတွက် တိုက်ခိုက်နိုင်ပါတယ်။

အခြား DoS ပုံစံကွဲတစ်ခုကို ဖေါ်ပြရမယ်ဆိုရင်တော့ Brute Force ပဲဖြစ်ပါတယ်။ Packet များစွာကို တိုက်ခိုက်ခံရမယ့် ဆာဗာသို့ပေးပို့ပြီး Bandwidth များ များစွာသုံးစွဲပြီး Network ဆက်သွယ်မှုများ နှေးလာအောင် သို့မဟုတ် ၎င်း ဆာဗာ၏ Resource များကို နှောက်ယှက်နိုင်ပါသေးတယ်။ Bandwidth ကို များစွာသုံးစွဲပြီး Network ဆက်သွယ်မှုများ နှေးလာအောင် သို့မဟုတ် ပြတ်တောက်သွားအောင် တိုက်ခိုက်သည့်ပုံစံမျိုးတွင်တိုက်ခိုက်သူသည် တိုက်ခိုက်ခံရမည့် ဆာဗာ သို့မဟုတ် Network ထက် Bandwidth ပိုမိုများပြားလေ့ရှိပြီး botnet များကိုအသုံးချ၍ တိုက်ခိုက်တတ်ကြသည်။

Peer-to-Peer attack

HTTP POST Attack, ICMP Flood Attack နှင့် Nuke attack များ ကိုခန့်မှန်းရန်လွယ်ကူနိုင်သော်လည်း Peer-to-Peer attack ကတော့ စိတ်ဝင်စားဖို့ကောင်းပါတယ်။ Peer-to-Peer Server များ၏ လုံခြုံရေးယိုပေါက်များကိုအသုံးချကာ DDoS တိုက်ခိုက်ခြင်းဖြစ်ပြီး ဒီလို Attack ပုံစံတွင်တော့ Attacker အနေဖြင့် Botnet များလည်းမလိုသလို Client များကိုလည်း ချိတ်ဆက် စေခိုင်းရန်မလိုအပ်ပါဘူး။ Attacker အနေနဲ့ ဥပမာအားဖြင့် Peer-to-Peer File Sharing Server လိုမျိုးကို “Puppet Master” အသွင်ယူကာ ချိတ်ဆက်မည့် များစွာသော Client တွေကို တကယ့် File Sharing Service ကိုချိတ်ဆက်ခြင်းမပြုပဲ Attacker မှတိုက်ခိုက်လိုသည့် Website ကို ချိတ်ဆက်စေခြင်းဖြင့် ၎င်း Website သို့ Traffic များစွာ ရောက်ရှိသွားစေမှာပဲဖြစ်ပါတယ်။

SYN Flood Attack

SYN Flood Attack ကတော့ TCP/SYN Packet များစွာကို အတုပြုလုပ်ထားသည့် ပေးပို့သူ Address များဖြင့် တိုက်ခိုက်ခံရမည့် ဆာဗာသို့ ဆက်တိုက်ဆိုသလို ပေးပို့ခြင်းမှ ဖြစ်ပေါ်လာတာဖြစ်ပါတယ်။ TCP/SYN Packet တစ်ခုစီသည် Request တစ်ခုစီဖြစ်သောကြောင့် ဆာဗာအနေဖြင့် Request ကြောင့် တဝက်ပွင့်နေသော Connection များစွာကို ပြန်လည်ဖြေကြားရန် TCP/SYN-ACK Connection များစွာကို ပြန်လည်ဖွင့်ပေးရခြင်းကြောင့် Network Traffic များကို နှေးစေပြီး အခြား Client များ၏ ဆက်သွယ်မှုများကို လုံးဝပြတ်တောက်သွားစေသည့် တိုက်ခိုက်မှုပုံစံလည်းဖြစ်ပါတယ်။

DDoS ကိုကာကွယ်ခြင်း

Firewall/Router များဖြင့် ကာကွယ်ခြင်း

DDoS ကို Firewall များထဲတွင် Rules များရေးသားကာ Attack ၏ ပြင်းအားလျော့ကျသွားစေရန် ကာကွယ်နိုင်သည်။ သို့မဟုတ် Connection များကို လုံးဝ ဖြတ်တောက်ပစ်လိုက်နိုင်ပါတယ်။ သို့သော်လည်း Downtime ရှိ၍ မရတဲ့ Network တွေမှာတော့ လုံးဝဖြတ်တောက်လိုက်တဲ့အစား Firewall များတွင် သို့မဟုတ် Firewall များနှင့် ပူးတွဲပြီး Software သုံးကာ Attack Connection နှင့် ပုံမှန် Connection ကိုခွဲခြားပေးသည့် Device/Software များ IDS/IPS စနစ်များ တပ်ဆင်ကာ ကာကွယ်လေ့ရှိကြပါတယ်။ Router များအနေဖြင့်လည်း ACL များသတ်မှတ်ကာ Connection Rate Limit များကို တိုး၍ လျှော့၍ ကာကွယ်နိုင်မှာဖြစ်ပါတယ်။ ဥပမာအားဖြင့် IP Address တစ်ခုမှ Connection ချိတ်ဆက်မှုအတွက် တစ်မိနစ်လျှင် ချိတ်ဆက်မှု ၄ ခုသာ အများဆုံးလက်ခံပြီး ၄ ခုထက် ပိုသော Connection ချိတ်ဆက်မှုများကို မတုန့်ပြန်စေရန် ACL Rule ရေးသားထားခြင်းမျိုးဖြစ်ပါတယ်။ Managed Switch များတွင်လည်း ၎င်း ACL များထည့်သွင်းနိုင်သောကြောင့် Switch များတွင်လည်း DDoS ၏ တိုက်ခိုက်မှုပမာဏ လျော့ကျစေရန်အတွက် ကာကွယ်ထားနိုင်ပါတယ်။

Blackholing & Sinkholing