DDoS attack အား ကာကြယ္ၿခင္း
DDoS attack အား ကာကြယ္ၿခင္း
DDoS ( Distributed Denial of Service) ဆုိတာ DoS ရဲ႕ Advanced Version တစ္ခုလုိ႔ ဆုိႏုိင္ပါတယ္။ ပစ္မွတ္ Server တစ္ခုကုိ flooding packets ေပါင္းမ်ားစြားအာ single network တစ္ခုကတင္ မဟုတ္ပဲနဲ႔ Multiple host or network ေတြကေနတုိက္ခုိက္တာပါ။
DDoS က ယေန႔ေခတ္အတြက္ ကုရာ နတၳိေဆးမရွိသလုိၿဖစ္ေနၿပီး မိမိသုံးတဲ႔ Server ရဲ႕ Security အားနည္း တာလည္း ၿဖစ္နိင္သလုိ site ရဲ႕ security ေစာင့္ၾကည့္မူ႔ေတြအားနည္းမူ႔ေၾကာင့္လည္း ၿဖစ္ပါတယ္။
တုိက္ခိုက္မူ႔က နည္းလမ္းမ်ဳိးစုံပါတယ္။
ဟုတ္ၿပီး ဒီေနရာမွာ ကၽြန္ေတာ္တုိ႔ Master, Slave and Victim ဆုိၿပီး သုံးပုိင္းခြဲၾကည့္ရေအာင္။
Master ဆုိတာ ပထမဦးစြာစတင္တုိက္ခုိက္တဲ႔ မူလတပ္ရင္းက ဆရာၾကီးေပါ႔။
Slave ဆုိတာက Master ရဲ႕ ခုိင္းေစခ်က္အရ ဘယ္ Host or ဘယ္ Network ေပါ႔ဗ်ာ..
Victim ဆုိတာကေတာ့ မိမိတုိက္ခုိက္မဲ႔ site ပါ။
Master ရဲ႕ ခုိင္းေစခ်က္အရ slaves ေတြက victim's site/machine အား တစ္ၿပိဳင္တည္းတုိက္ခုိက္ၾကတာပါ။
ဒီတုိက္ပြဲမ်ဳိးမွာ Master ရဲ႕ ပါ၀င္မူ႔ မရွိသေလာက္နဲပါးပါတယ္။
ဒါကုိ Distributed (or co-ordinated) attack လုိ႔ေခၚပါတယ္။
တုိက္ခုိက္မူ႔ကုိ က႑ ႏွစ္ရပ္ခြဲလုိ႔ရပါတယ္။
Master က တစ္ၿခား Network ေပၚက ကြန္ပ်ဴတာေတြကုိ vulnerable machines အၿဖစ္ အသုံးၿပဳၿခင္းပါ။
၄င္း စက္ေတြအား Master ရဲ႕ အသုံးခ်ခံ slave အၿဖစ္ DDoS tools ေတြ install လုပ္ထားၿပီး သတ္မွတ္တဲ႔ အခ်ိန္မွာ တစ္ၿပိဳင္တည္း လုပ္ေဆာင္ႏုိင္ေအာင္ပါ။
ဒါကုိ ပထမ ခ်င္းနင္းၿခင္း (Intrusion phase) လုိ႔ေခၚပါတယ္
ဒုတိယ အပုိင္းကေတာ့ Master ဟာ သူနဲ႔ အေပးအယူလုပ္ထား၊ သူခ်မွတ္ထားတဲ႔ hosts ေတြကုိ စတင္ရန္ အတြက္ အခ်က္ေပးမူ႔ကုိလုပ္ေဆာင္ပါတယ္။
ပထမအဆင့္ ခ်င္းနင္း၀င္ေရာက္ၿခင္း ေနရာမွာ Masterဟာသူ႔ရဲ႕ အသုံးခ်ခံ Slave ကုိရဖုိ႔ security အားနည္း တဲ႔ network အကာအကြယ္မရွိတဲ႔ စက္ေတြ ေတြကုိရွာပါတယ္။ အေရအတြက္ ကန္႔သတ္ခ်က္မရွိပါဘူး
DDoS မွာ slave ၿဖစ္သြားေစတဲ႔ factors ေတြကေတာ့
၁။ Vulnerable ၿဖစ္ေစေသာ software မ်ား application မ်ားကို မိမိရဲ႕ စက္၊ network မွာ install လုပ္ ထားၿခင္း။
၂။ Network configuration မ်ား အကာအကြယ္မရွိ ပြင့္ေနၿခင္း။
၃။ Hosts configured မ်ားမွာ seucrity မရွိၿခင္း။
၄။ Computer နဲ႔ network အား ေစာင့္ၾကည့္မူ႔မရွိၿခင္း။
၅။ software မ်ားကုိ Update လုပ္ထားၿခင္းမရွိၿခင္း။ တုိ႔ေၾကာင့္ၿဖစ္သည္။
အကယ္၍ မိမိရ႕ဲ စက္ဟာ DDoS ရဲ႕ အသုံးခ်ခံ Slave တစ္ခု ၿဖစ္ေနၿပီဆုိရင္ မိမိဟာ ဒီၿပစ္မူ႔မွာ ၀င္ေရာက္ သြား ပါလိမ့္မယ္။ ဒါေၾကာင့္ မိမိရဲ႕ network security ကုိေစာင့္ၾကည့္ဖုိ႔လုိပါတယ္။
DDoS Attack သိဖုိ႔
၁။ မိမိ RUN လုိက္တဲ႔ programs ေတြက ေႏွးလာမယ္။
၂။ services ေတြ (ဥပမာ http) high rate က်လာမယ္။
၃။ မ်ားၿပားလွေသာ connection requests ေတြဟာ ကြဲၿပားတဲ႔ Networks ေတြကေန ၀င္လာမယ္။
၄။ မိမိရဲ႕ site ကုိလာေရာက္အသုံးၿပဳသူေတြက site ကုိ အသုံးၿပဳတဲ႔ ေနရာမွာ ေႏွးမယ္။
၅။ မိမိရဲ႕ စက္ဟာ CPU load ၿမင့္ေနလိမ့္မယ္။
(Following commands are for linux based)
မိမိဟာ ၄င္းတုိ႔ရဲ႕ တုိက္ခုိက္မူ႔ေအာက္မွာဆုိရင္
မိမိရဲ႕ CPU Load ကုိ check မယ္။
Check the load using the 'w' or the 'uptime' commands:
Code:
12:00:36 up 1 day, 20:27, 5 users, load average: 0.70, 0.70, 0.57
့
http ရဲ႕ processes ကုိေရမယ္။
Count the number of HTTP processes (it helps to know what your normal count is for comparison):
Code:
root@example.com >ps aux|grep -i HTTP|wc -l
23
ဘယ္ Network ေတြက ၀င္ေရာက္တုိက္ခုိက္တာလဲဆုိတာကုိသိဖုိ႔
server loaded မ်ားေနတဲ႔အခ်ိန္မွာ the number of connection may be above 100 ဒါမွမဟုတ္ DDoS တုိက္ခုိက္ေနတဲ႔အခ်ိန္မွာ အဲ႔ထက္ကုိမ်ားေနပါလိမ့္မယ္။
ဒါေၾကာင့္ ဘယ္ network ေတြက တုိက္ခုိက္ေနလဲဆုိတာကုိသိဖုိ႔အတြက္ ၿမန္ၿမန္ဆန္ဆန္ လုပ္ေဆာင္ဖုိ႔လုိပါတယ္။ ၄င္း Network address ဟာ ေသေရးရွင္ေရးေလာက္ အေရးၾကီးပါတယ္။
၀င္ေရာက္ေနေသာ connection ကုိၾကည့္ရန္
Code:
root@example.com > netstat -lpn|grep :80|awk '{print $5}'|sort
ပ်မ္းမွ်ၿခင္း host တစ္ခု, single IP တစ္ခုဟာ အၾကိမ္ ၃၀ ထပ္၀င္ေရာက္မူ႔မ်ားေနရင္ ဒါက တုိက္ခုိက္ေန တာပါ။ 'whois' command ကုိသုံးၿပီးၾကည့္ပါ။
ၿပီးရင္ တုိက္ခုိက္လာေသာ Attacking Network အား ပိတ္ပါ။
Code:
root@example.com > iptables -A INPUT -s -j DROP
DDoS ကုိ ဘယ္လုိကာကြယ္ရမလဲဆုိတာကုိေတာ့ ရာႏူန္းၿပည့္ ၿပီးေၿမာက္တဲ႔ ကာကြယ္ၿခင္း Technique မရွိေသးဘူးလို႔ ကၽြန္ေတာ္ယူဆထားတယ္။
DDoS ရဲ႕ အသုံးခ်ခံစက္ေတြက vulnerable software/ applications ေတြက တစ္ခ်ိန္ခ်ိန္မွာ / အခ်ိန္မေရြး ရန္ၿပဳလာႏုိင္ပါတယ္။
ဒါေၾကာင့္
၁။ ေကာင္းမြန္တဲ႔ security policy ကုိဖန္တီးပါ။
၂။ Gateway အ၀င္အထြက္ firewall ကုိ filtering လုပ္ပါ။
၃။ မိမိရဲ႕ Gateway / hosts မွာ host-based intrusion detection ကုိသုံးပါ
မိမိစက္အား slave အၿဖစ္မွ ကင္းလြတ္ေအာင္
၁။ DDoS tools and vulnerable applications မ်ား install လုပ္ထားၿခင္း ရွိမရွိစစ္ပါ။
၂။ Rkdet, Rootkit Hunter or chkrookit စသည္တုိ႔ၿဖင့္ မိမိစက္ရဲ႕ rootkit ကုိရွာပါ။
၃။ ေအာက္ပါ general security မ်ားအား စစ္ပါ။
* မိမိ systems အား up to date to minimize software vulnerabilities (kernel and software upgrades)
* rootkits မ်ားအား ရွာေဖြ စစ္ေဆးပါ
* port sniffing logs ေတြကုိ စစ္ပါ။
* ေနာက္ကြယ္ကေန ပုံးေအာင္းေနေသာ process အားစစ္ပါ
* Use auditing tools (i.e., Nessus, SAINT, or SARA)
* Check system binaries with, e.g., Tripwire to see if they've been changed since your last snapshot
* Email ရဲ႕ ၾကာခ်ိန္ကုိ စစ္ပါ။
* malicious ၀င္ေရာက္မူ႔အားစစ္ပါ
* Check /dev /tmp /var directories for odd files (i.e., '...', wrong permissions/ownership on device files, etc.)
* Backup ရဲ႕ အေၿခအေနကုိ စစ္ပါ
* မလုိအပ္ေသာ users and group မ်ားအား ၿဖဳတ္ပါ
* မလုိအပ္ေသာ Services မ်ားအား ၿဖဳတ္ပါ
* Check for SUID, SGID, and 'nouser' files on your system with the 'find' command
* မိမိ system ရဲ႕ memory and cpu အသုံးၿပဳမူ႔အားစစ္ေဆးပါ။
၄။ DSE (Dedicated Security Expert) အဖြဲ႔အား မိမိရဲ႕ Company/ အဖြဲ႔အစည္းအတြက္ဖြဲ႔စည္းထားပါ။
၅။ Host အားလုံးကုိ DSE မွ အၿမဲ စစ္ေဆးမူ႔ကုိၿပဳလုပ္ပါ။
၆။ တုိက္ခုိက္ ၀င္ေရာက္လာတတ္ေသာ network နဲ႔ host data တုိ႔အားစုစည္းထားပါ။
၇။ Install PortSentry to block scanning hosts.
၈။ Create awareness of security issues.
Summary:- ကုိ TweetyCoaster ရဲ႕ PHP DoS Shield ကုိေတာ့ လက္တစ္ေလာ ကၽြန္ေတာ္ စမ္းသုံးတဲ႔ သေဘာနဲ႔ ကၽြန္ေတာ္ရဲ႕ web clients ေတြတုိင္းမွာထည့္ထားတယ္.. အဟဲ... (စမ္းသုံးတယ္တာေၿပာတာ.. တစ္သက္လုံးပဲသံုးၿဖစ္ေတာ့မယ္ထင္တယ္)
ၿပီးေတာ့ တစ္ခ်ဳိ႕က ၿမန္မာ website ေတြ အတုိက္ခံရတယ္..ဘယ္ႏုိင္ငံနဲ႔ ဘယ္ႏိုင္ငံက ပူးတြဲၿပီးတုိက္တယ္.. ဒီလုိနဲ႔ အြန္လုိင္းမွာ ပြေနတာပဲ။ ဒါေၾကာင့္ Distributed ဆုိတဲ႔ သေဘာကုိ ကၽြန္ေတာ္ နားလည္ သေလာက္ ရွင္းၿပထားတာပါ... ေကာက္ခ်က္မလြဲေစခ်င္ဘူး... သူတုိ႔က အသုံးခ်ခံလုိက္ရတာပါ။
ေနာက္တစ္ခ်က္ တစ္ခ်ဳိ႕က အြန္လုိင္းမွာ လွည့္လည္ရင္း အလကားရတဲ႔ tools ေလးေတြနဲ႔ ဟက္ကာလုပ္ၿပီး စမ္းသပ္ခ်င္ၾကတာေလ.. ဒါေၾကာင့္ security လုံး၀မရွိတဲ႔ site ေတြက အနည္းငယ္ေလာက္နဲ႔ Down ကုန္တာပါ။
Posted by Unknown
on 5:14 PM. Filed under
Technology News
.
You can follow any responses to this entry through the RSS 2.0.
Feel free to leave a response