สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

การบรรเทาผลกระทบจากการโจมตี Cloudflare ของบ็อต

2021-03-26

อ่านเมื่อ 5 นาทีก่อน
โพสต์นี้ยังแสดงเป็นภาษาEnglishและIndonesiaด้วย

คำว่า “บ็อต” บนอินเทอร์เน็ตเป็นอะไรที่ค่อนข้างโหลดได้พอสมควร ประสบการณ์ 'บ็อต' แรกสุดของฉันคือ บน IRC ที่บ็อตมีประโยชน์มาก โดยช่วยทำให้ช่องโปรดของคุณไม่ถูกผู้ใช้ที่ประสงค์ร้ายเข้าสวมรอยและเปิดให้ Game of Trivia ที่สนุกสนานเข้ามามีบทบาท ซึ่งเมื่อประมาณห้าปีที่แล้ว “บ็อต” มักจะนำมาอ้างถึงการแชทด้วยข้อความร่วมกับ AI และแพลตฟอร์ม/แอปการส่งข้อความว่าคือวิธีใหม่ในการโต้ตอบกับลูกค้า ทุกวันนี้ ความหมายแฝงส่วนใหญ่เกี่ยวกับบ็อตบนอินเทอร์เน็ต โดยเฉพาะอย่างยิ่งในพื้นที่ความปลอดภัยออกมาในทางลบ และเรามีผู้จำหน่ายหลายรายที่เสนอวิธีใหม่ในการตรวจจับและปิดกั้นบ็อต

บ็อตในรูปแบบที่ง่ายที่สุดคือซอฟต์แวร์อัตโนมัติที่นำมาใช้แทนการโต้ตอบของมนุษย์ ในตัวอย่างข้างต้น วิธีนี้ทำให้เราสามารถปรับขนาดกระบวนการให้เร็วขึ้นหรือครอบคลุมมากกว่าการดำเนินการโดยเจ้าหน้าที่เพียงครั้งเดียว บ็อตของเครื่องมือค้นหา มีอยู่เพราะเป็นไปไม่ได้ (หรืออย่างน้อยที่สุดก็ทำไม่ได้) ที่จะรวบรวมข้อมูลอินเทอร์เน็ตทีละชุด ประโยชน์ของสเกลนำมาใช้ทั้งด้านดีและด้านไม่ดีด้วยการโจมตีทรัพย์สินทางอินเทอร์เน็ต มีการใช้บ็อตอย่างกว้างขวางเพื่อโจมตี API ที่กำหนดค่าไม่ถูกต้อง ลบไซต์ หรือดูรายการข้อมูลประจำตัวที่ถูกนำไปเร่ขาย และดูว่าข้อมูลใดใช้กับอุปกรณ์ปลายทางการเข้าสู่ระบบ ก่อนจะขโมยข้อมูล

การแพร่ระบาดใหญ่ทั่วโลกทำให้เกิดการขาดแคลนไมโครชิปทั่วโลก โดยในปี 2020 ทั้ง Microsoft, Nvidia และ Sony ได้เปิดตัวอุปกรณ์เล่นเกมหรือการ์ดวิดีโอที่เป็นที่ต้องการมาก แต่มีสินค้าไม่เพียงพอ และสถานการณ์นี้คงอยู่ต่ออีกหลายเดือนหลังจากนั้น สภาพการณ์แบบนี้เกิดขึ้นกับกิจกรรมทุกแบบของบ็อต ตั้งแต่มือสมัครเล่นที่พยายามเข้าถึงหนึ่งในรายการเหล่านี้เพื่อใช้งานเอง ไปจนถึงนักสะสมที่พยายามกว้านซื้อในราคาขายปลีกเพื่อนำไปขายต่อในตลาดเปิดที่มีราคาสูงกว่ามาก บ็อตจะย้ายสินค้าคงคลัง แล้วจึงเขียนสคริปต์ผ่านกระบวนการเพิ่มในรถเข็น/ซื้อได้เร็วกว่าผู้ใช้ที่ถูกต้องตามกฎหมายซึ่งอยู่เบื้องหลังเบราว์เซอร์ ลักษณะนี้นำไปสู่ความคับข้องใจ นี่คือผลที่เกิดขึ้นน้อยที่สุด แต่ก็อาจทำให้เกิด Layer 7 DDoS บนแอปพลิเคชันที่รวมปัญหา สิ่งที่เกิดขึ้นคือ Nvidia ถูกบีบให้ยกเลิกการขายด้วยตนเองและย้อนกลับไปให้กับบ็อตในระหว่างการเปิดตัว แม้ว่าการเล่นเกมจะทำให้เสียสมาธิ แต่สถานการณ์แบบเดียวกันนี้ก็ส่งผลเสียต่อการกระจายวัคซีน

การใช้ Bot Management บน cloudflare.com

Cloudflare Bot Management รุ่นปัจจุบันเปิดตัวในปี 2019 ซึ่งก็คือรุ่นที่มีการทดสอบผลิตภัณฑ์เป็นการภายในเพื่อดูว่าเราจะสามารถใช้ข้อมูลเครือข่ายของเราและการเรียนรู้ของระบบ (ML) เพื่อคาดการณ์ถึงความเป็นไปได้หรือไม่ได้ที่คำขอที่ให้ไว้จะแก้ปัญหาความท้าทาย ซึ่งในท้ายที่สุดแล้ว การทดสอบได้นำไปสู่ Bot Score แรกของเราและผลิตภัณฑ์ Bot Management ที่สมบูรณ์ ซึ่งได้ผ่านการปรับปรุงและการทำซ้ำหลายครั้ง และเป็นผลิตภัณฑ์ที่ประสบความสำเร็จอย่างมากในชุดเครื่องมือความปลอดภัยของลูกค้า ปัจจุบันเราได้ปรับปรุงผลิตภัณฑ์ตัวนี้เพิ่มเติมด้วย Super Bot Fight Mode สำหรับแผน Pro และ Business ของเรา

ในระหว่างขั้นตอนการพัฒนาภายในเบื้องต้น เราพบปัญหาหนึ่งในไซต์ที่ติดต่อกับลูกค้าของเราเอง ด้วยเหตุผลที่ยังไม่ชัดเจนนัก (แต่มีแนวโน้มว่าจะเป็นอันตราย) ผู้โจมตีจะกรอกข้อมูลขยะลงในแบบฟอร์มบนหน้า Landing Page ต่าง ๆ ของ Cloudflare ที่ซึ่งผู้ใช้ที่ลงทะเบียนไว้อย่างถูกต้องจะป้อนข้อมูลของตนเพื่อลงทะเบียนเข้าร่วมกิจกรรมหรือโปรโมชัน หรือเพื่อให้ทีมขายของเราติดต่อกลับ ในเบื้องต้น คือสร้างความรำคาญใจเพราะทีมต้องเข้ามาไล่เรียงข้อมูลและลบข้อมูลที่ไม่เกี่ยวข้องออกไป เราต้องย้อนกลับไปและระบุว่าข้อมูลใดที่ส่งมาอย่างถูกต้อง เมื่อปัญหาเพิ่มขึ้น ปัญหาก็จะทวีความสำคัญ จนส่งผลกระทบต่อผู้ให้บริการงานสนับสนุนของเรา (ซึ่งแบบฟอร์มมีความสัมพันธ์กัน) และเข้าสู่ CRM ของเราในที่สุด ตอนนี้ความรู้สึกจะเปลี่ยนจากความรำคาญสู่รูปแบบของ DDoS แอปพลิเคชัน ซึ่งต้องพิจารณาอย่างละเอียดถี่ถ้วนเมื่อจะหยุดเพื่อหลีกเลี่ยงข้อผิดพลาด เช่น การปิดกั้นการส่งข้อมูลที่ถูกต้อง

ปัญหามาถึงทีมวิศวกรของเรา และเห็นได้ชัดว่านี่เป็นที่ที่ดีในการเปิดตัวลูกค้ารายแรกและลองใช้ผลิตภัณฑ์ของเรา ในตอนแรก ผู้โจมตีไม่ได้พยายามปกปิดมากนัก พวกเขาใช้สคริปต์ที่พร้อมใช้งานทันที และบ่อยครั้งก็ไม่สนใจที่จะเปลี่ยนสัญญาณที่ชัดเจน เช่น ส่วนหัวของ User Agent หรือกระจายการโจมตีไปยัง IP หรือ ASN จำนวนมาก ขณะที่เราเพิ่มการวิเคราะห์พฤติกรรมลงในระบบและปรับโมเดล ML ผู้โจมตีก็ปรับยุทธวิธีของตน เมื่อเวลาผ่านไป เราจำเป็นต้องใช้เครื่องมือเต็มรูปแบบเมื่อผู้โจมตียังคงปรับตัว ตัวอย่างของการโจมตีล่าสุดมีดังต่อไปนี้ โดยในระหว่างการโจมตี การรับส่งข้อมูลอัตโนมัติเพิ่มขึ้นเป็น 7 เท่าจากปกติเป็นเวลาประมาณ 30 นาที การปรับขนาดน่าจะเป็นปัญหาสำหรับผู้ให้บริการดาวน์สตรีมของเรา ซึ่งในที่สุดเราก็ส่งการเรียก API เมื่อส่งแบบฟอร์ม ซึ่งในระหว่างการโจมตีครั้งนี้ ผลิตภัณฑ์ใหม่ของเราในชื่อ Anomaly Detection (ซึ่งเป็นพื้นฐานการตรวจจับการละเมิด API ของเรา) ได้ดำเนินการส่วนใหญ่ในการยกของหนัก ซึ่งคิดเป็น 42% ของการตรวจจับ

เรายังต้องจัดการกับบ็อตบนแดชบอร์ดของเราใน API ที่ผู้ใช้เผชิญอยู่จำนวนมาก รูปแบบการละเมิดทั่วไปที่เราพบเห็นในช่วงหลายปีที่ผ่านมาคือผู้ใช้ที่ประสงค์ร้ายลงชื่อสมัครใช้โดเมนจำนวนมาก มักมาจาก TLD ฟรี และปรากฏให้เห็นในหลายบัญชี ผู้ใช้ใช้โดเมนเหล่านี้และมีส่วนร่วมในรูปแบบของสแปม Search Engine Optimization (SEO) เชื่อกันว่าวิธีหนึ่งที่คุณเพิ่มอันดับการค้นหาคือการมีไซต์จำนวนมากที่เชื่อมโยงไปยังโดเมนของคุณ นักส่งสแปม SEO ลงทะเบียนโดเมนจำนวนมาก และจัดทำบันทึกชื่อโฮสต์นับพันบันทึกไว้ภายใน จากนั้นจึงเรียกเก็บเงินจากเจ้าของเว็บไซต์ที่ไร้จรรยาบรรณเพื่อเชื่อมต่อข้ามจากแต่ละโดเมนเหล่านี้

นอกเหนือจากเรื่องหลอกลวงของ SEO แล้ว สิ่งนี้ยังนำแสดงให้เห็นว่าระบบของเรามีปัญหาทางเทคนิคสองประการ ประการแรก: หากสร้างโดเมนและระเบียนเหล่านี้พร้อม ๆ กันมากพอ สิ่งที่เกิดขึ้นคือ DNS Pump ระบบของเราออกแบบมาเพื่อผลักดันระเบียน DNS ของลูกค้าไปยังตำแหน่งที่ตั้งกว่า 200 ตำแหน่งในเวลาไม่กี่วินาทีเพื่อทำให้ช้าลง เราภาคภูมิใจที่ทำให้การเผยแพร่ DNS เป็นเรื่องราวมหัศจรรย์ และลูกค้าของเราก็เคยชินและต้องอาศัยความเร็วในระดับนี้ ประการที่สอง มีค่าใช้จ่ายในทางปฏิบัติเมื่อจัดเก็บบันทึกเหล่านี้ในเซิร์ฟเวอร์ Edge แต่ละเครื่องของเราโดยไม่มีจุดประสงค์อื่นใดนอกจากเพื่อหลอกให้เครื่องมือค้นหาคิดว่าเว็บไซต์เป็นที่นิยม

การละเมิดประเภทนี้ใช้ได้เฉพาะในระดับสเกลเท่านั้น นักส่งสแปม SEO จะต้องสามารถลงทะเบียนโดเมนจำนวนมากได้อย่างมีประสิทธิภาพและเป็นไปโดยอัตโนมัติเพื่อขายบริการของตน ดังนั้นเราจึงส่ง Bot Management ไปจัดการกับปัญหา เดิมทีเราทำให้ปัญหาช้าลงผ่านคุณสมบัติหนึ่งที่ชื่อ Rate Limiting หรือการจำกัดอัตราและป้องกัน IP ที่กำหนดไม่ให้ลงทะเบียนบัญชีจำนวนมากในช่วงเวลาสั้น ๆ แต่ผู้โจมตียังคงมีอยู่ เราท้าทายการสมัครบัญชีใหม่ที่ปรากฏขึ้นโดยอัตโนมัติผ่านผลิตภัณฑ์ Bot Management ของเรา และปัญหาก็หมดไปในทันที

อีกส่วนหนึ่งของแดชบอร์ดของ Cloudflare ที่เกี่ยวข้องกับบ็อต คือระบบการเรียกเก็บเงินของเรา ผู้โจมตีจะใช้ระบบประมวลผลบัตรชำระเงินของเราเพื่อทดสอบความถูกต้องของหมายเลขบัตรเครดิตที่ถูกขโมย ซึ่งช่วยให้พวกเขาใช้หรือขายบัตรเพื่อใช้ในการทำธุรกรรมอื่นที่มีราคาแพงกว่าในไซต์อื่นได้ ถือเป็นอีกครั้งที่ความเร็วและสเกลเป็นกุญแจสำคัญที่นี่ ผู้โจมตีไม่ต้องการทดสอบหมายเลขบัตรหนึ่งหรือสองหมายเลข แต่ต้องการทดสอบบัตรเครดิตหลายสิบหรือหลายร้อยใบและทำให้กระบวนการเป็นไปโดยอัตโนมัติ ทีมวิศวกรรมการเรียกเก็บเงินของเราใช้ Bot Management เพื่อกระตุ้นความท้าทายหรือปิดกั้นเมื่อผู้ใช้เพิ่มหรือเปลี่ยนวิธีการชำระเงินเพื่อหยุดการโจมตีนี้ ทีมเรียกเก็บเงินยังส่งคะแนนบ็อตไปยังระบบตรวจจับการฉ้อโกงของผู้ให้บริการชำระเงินบุคคลที่สามของเราด้วย (ผ่าน Cloudflare Workers) ซึ่งรวมคะแนนไว้ในการวิเคราะห์เพื่อการตรวจสอบธุรกรรมด้วยตนเอง

การสร้างรากฐานของข้อมูลทั่วโลก

ผลิตภัณฑ์ Bot Management ของเราประสบความสำเร็จ ซึ่งดูได้จากจำนวนของลูกค้าและปริมาณการรับส่งข้อมูลบนเครือข่ายของเรา เราอยู่ในตำแหน่งที่ไม่ซ้ำใครด้วยทรัพย์สินอินเทอร์เน็ตประมาณ 25 ล้านรายการ ที่ได้รับการคุ้มครองโดย Cloudflare เพื่อทำหน้าที่รวบรวมสัญญาณเหล่านี้และตีความออกมาเป็นข่าวกรองที่นำไปดำเนินการได้ การเปิดตัว Super Bot Fight Mode ในวันนี้ได้ขยายความสามารถนี้สู่ลูกค้าระดับ Pro และ Business แต่จะเพิ่มประสิทธิภาพในหมู่ผู้ใช้ Bot Management ทุกคนอีกด้วย ในขณะที่โซน Pro และ Business เริ่มท้าทายและปิดกั้นบ็อตโดยอิงจากสัญญาณของบ็อตโดยตรง ข้อมูลนี้จะฝึกโมเดลของเราได้โดยตรงมากขึ้นเมื่อเทียบกับข้อมูลที่อนุมานขึ้นที่เรานำมาใช้ท้าทายและปิดกั้นในเรื่องที่ไม่เกี่ยวกับบ็อต ความหลากหลายของสัญญาณและสเกลของข้อมูลบนแพลตฟอร์มทั่วโลกทำให้เรามั่นใจในความสามารถของเรา ไม่ใช่แค่ปิดกั้นบ็อตในวันนี้ แต่ในอนาคตด้วย

เรารู้สึกตื่นเต้นที่จะได้รับข้อมูลการตอบรับการเข้าใช้ก่อนใครจากลูกค้า Enterprise เกี่ยวกับการตรวจจับ API และโมเดลการละเมิดของเรา ทั้งนี้ API นำเสนอความท้าทายที่แตกต่างจากความท้าทายที่ได้จากคุณสมบัติที่เผชิญหน้าเว็บไซต์ แต่ประสบการณ์ของเราในการสร้างแพลตฟอร์ม Anomaly Detection สำหรับ Bot Management ทำให้เราสามารถใช้เทคนิคที่เกี่ยวข้องเพื่อระบุตำแหน่งข้อมูล API และตรวจจับความผิดปกติภายในการรับส่งข้อมูลอัตโนมัติ การรวมเทคนิคใหม่เหล่านี้เข้ากับพอร์ตโฟลิโอการรักษาความปลอดภัยที่มีอยู่ของเรานั้นแสดงให้เห็นว่าเรามีความมุ่งมั่นที่จะจัดหาเครื่องมือที่ดีที่สุดให้กับลูกค้าบนแพลตฟอร์มเดียว ไม่ว่าพวกเขาจะมีการรับส่งข้อมูลใดในโดเมนก็ตาม การผสมผสานเครื่องมือทั้งหมดของเราช่วยให้ตอบสนองได้อย่างยืดหยุ่นเช่นกัน ลูกค้าสามารถปิดกั้นการโจมตี DDoS และบ็อตบางตัว ท้าทายบ็อตที่มีแนวโน้ม และใช้การจำกัดอัตราเพื่อกำหนดเป้าหมายของการรับส่งข้อมูล API ที่น่าสงสัย

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
Security WeekBot ManagementBotsAttacks

ติดตามบน X

Sergi Isasi|@sgisasi
Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง

20 พฤศจิกายน 2567 เวลา 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

02 ตุลาคม 2567 เวลา 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....