สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

ไม่ทราบว่าเรียนสายอยู่กับคุณอะไร? จำนวนการโจมตี DDoS ของ VoIP พุ่งสูงขึ้นในปัจจุบัน

2021-10-01

อ่านเมื่อ 5 นาทีก่อน
โพสต์นี้ยังแสดงเป็นภาษาEnglish, 繁體中文, Français, Deutsch, 日本語, 한국어, Español, Indonesia, Tiếng Việt และ简体中文ด้วย

ตลอดเดือนที่ผ่านมา ผู้ให้บริการ Voice over Internet Protocol (VoIP) หลายรายได้กลายเป็นเป้าหมายของการโจมตีแบบ Distributed Denial of Service (DDoS) จากกลุ่มที่เรียกตนเองว่า REvil การโจมตีในลักษณะ Multi-vector นี้จะผสานการโจมตี L7 ที่พุ่งเป้าไปยังเว็บไซต์ HTTP ที่สำคัญๆ และ API Endpoint ต่างๆ รวมไปถึงการโจมตี L3/4 ที่พุ่งเป้าไปยังโครงสร้างพื้นฐานของเซิร์ฟเวอร์ VoIP และในบางครั้งการโจมตีเหล่านี้เป็นเหตุให้เกิดผลกระทบที่สร้างความเสียหายต่อบริการ VoIP ของเป้าหมาย รวมถึงความพร้อมให้บริการของเว็บไซต์/API

เครือข่ายของ Cloudflare สามารถปกป้องและเพิ่มความเร็วให้กับโครงสร้างพื้นฐานของเสียงและวิดีโอได้อย่างมีประสิทธิภาพเนื่องมาจากการเข้าถึงได้ทั่วโลก ชุดตัวกรองการรับส่งข้อมูลที่สลับซับซ้อน และมุมมองพิเศษเฉพาะต่อรูปแบบการโจมตีและข้อมูลภัยคุกคามเชิงลึก

หากคุณหรือองค์กรของคุณตกเป็นเป้าของการโจมตี DDoS การโจมตีเพื่อเรียกค่าไถ่ และ/หรือการกระทำเพื่อขู่กรรโชก โปรดขอความช่วยเหลือเพื่อปกป้อง Internet property ของคุณโดยทันที เราแนะนำว่าไม่ควรจ่ายค่าไถ่ และให้แจ้งหน่วยงานที่มีอำนาจตามกฎหมายในพื้นที่ของคุณทราบ

เสียง (รวมถึงวิดีโอ อิโมจิ การประชุม มีมรูปแมว และห้องเรียนทางไกล) ผ่านทาง IP

Voice over IP (VoIP) เป็นคำที่ใช้อธิบายกลุ่มของเทคโนโลยีที่ช่วยให้เกิดการสื่อสารข้อมูลมัลติมีเดียผ่านอินเทอร์เน็ต เทคโนโลยีนี้ทำให้สามารถใช้การโทร FaceTime หาเพื่อนของคุณ เรียนรู้ในห้องเรียนเสมือนผ่าน Zoom และแม้แต่โทรออกด้วยโทรศัพท์มือถือของคุณ “ตามปกติ”

หลักการที่อยู่เบื้องหลัง VoIP ก็เหมือนๆ กับโทรศัพท์ดิจิทัลผ่านเครือข่ายสลับวงจรแบบดั้งเดิม ข้อแตกต่างสำคัญคือสื่อข้อมูลที่เข้ารหัส เช่น เสียงหรือวิดีโอ จะถูกแบ่งเป็นหน่วยย่อยของบิตซึ่งส่งผ่านอินเทอร์เน็ตเป็น Payload ของแพ็คเก็ต IP ตามโปรโตคอลของสื่อข้อมูลที่กำหนดโดยเฉพาะ

Child on a video conference all

“การสลับแพ็คเก็ต” ของข้อมูลเสียงนี้ส่งผลให้การใช้ทรัพยากรเครือข่ายมีประสิทธิภาพเพิ่มขึ้นกว่าเดิมมาก เมื่อเทียบกับ “การสลับวงจร” แบบดั้งเดิม ด้วยเหตุนี้การโทรผ่าน VoIP จึงสามารถประหยัดค่าใช้จ่ายกว่าการโทรผ่าน POTS (“บริการโทรศัพท์ธรรมดาแบบเดิม”) เป็นอย่างมาก การเปลี่ยนมาใช้ VoIP สามารถช่วยให้ธุรกิจต่างๆ ลดค่าโทรศัพท์ลงได้กว่า 50% นั่นจึงไม่ใช่เรื่องแปลกที่องค์กรธุรกิจจำนวนหนึ่งในสี่ได้ปรับเปลี่ยนมาใช้เทคโนโลยี VoIP เป็นที่เรียบร้อยแล้ว VoIP มีความยืดหยุ่น สามารถปรับขนาดได้ และมีประโยชน์ในการเชื่อมโยงผู้คนเข้าหากันจากระยะไกลโดยเฉพาะอย่างยิ่งในระหว่างโรคระบาดครั้งใหญ่นี้

โปรโตคอลสำคัญที่อยู่เบื้องหลังการโทร VoIP ส่วนใหญ่คือ Session Initiation Protocol (SIP) ที่นำมาใช้กันอย่างกว้างขวาง เดิมทีกำหนดให้ SIP อยู่ใน RFC-2543 (1999) และออกแบบมาเพื่อทำหน้าที่เป็นโปรโตคอลแบบโมดูลาร์ที่มีความยืดหยุ่นเพื่อเริ่มต้นการโทร (“เซสชัน”) ไม่ว่าจะเป็นเสียงหรือวิดีโอ แบบสองฝ่ายหรือหลายฝ่ายก็ตาม

ความเร็วคือหัวใจหลักของ VoIP

การสื่อสารแบบเรียลไทม์ระหว่างผู้คนนั้นต้องให้ความรู้สึกเป็นธรรมชาติ รวดเร็วทันที และตอบสนองฉับไว ฉะนั้นแล้วคุณลักษณะสำคัญที่สุดอย่างหนึ่งของ VoIP ที่ดีก็คือความเร็วนั่นเอง ผู้ใช้งานจะสัมผัสสิ่งนี้จากเสียงที่ได้ยินเป็นธรรมชาติและภาพวิดีโอที่มีความละเอียดสูงโดยไม่ล่าช้าหรือสะดุด จึงมีการวัดและติดตามคุณภาพการโทรที่ผู้ใช้รับรู้อย่างใกล้ชิดโดยใช้เกณฑ์ชี้วัดอย่าง Perceptual Evaluation of Speech Quality และ Mean Opinion Score แม้ว่าโปรโตคอล SIP และโปรโตคอล VoIP อื่นๆ จะสามารถดำเนินการโดยใช้ TCP หรือ UDP เป็นโปรโตคอลพื้นฐานได้ แต่โดยทั่วไปแล้วมักเลือก UDP เนื่องจากเป็นโปรโตคอลที่เราเตอร์และเซิร์ฟเวอร์ประมวลผลได้รวดเร็วกว่า

UDP นั้นเป็นโปรโตคอลที่ไม่เสถียร ไร้สถานะ และพัฒนาขึ้นมาโดยไม่มีการรับประกันคุณภาพของการให้บริการ (QoS) นั่นหมายความว่าปกติแล้วเราเตอร์และเซิร์ฟเวอร์จะใช้หน่วยความจำและความสามารถเชิงคำนวณน้อยกว่าในการประมวลผลแพ็คเก็ต UDP ดังนั้นจึงสามารถประมวลผลจำนวนแพ็คเก็ตต่อวินาทีได้มากขึ้น การประมวลผลแพ็คเก็ตที่เร็วขึ้นย่อมส่งผลให้การประกอบ Payload (สื่อข้อมูลที่เข้ารหัส) ของแพ็คเก็ตไวขึ้น และด้วยเหตุนี้จึงมีคุณภาพการโทรดีกว่า

ภายใต้แนวทางปฏิบัติที่ว่า เร็วกว่าย่อมดีกว่า เซิร์ฟเวอร์ VoIP จะพยายามประมวลผลแพ็คเก็ตให้เร็วที่สุดเท่าที่จะทำได้โดยใช้หลักเกณฑ์มาก่อนได้ก่อน ด้วยเหตุที่ไร้สถานะ UDP จึงไม่รู้ว่าแพ็คเก็ตใดเป็นของการโทรใดในปัจจุบัน และแพ็คเก็ตใดพยายามเริ่มต้นการโทรใหม่ รายละเอียดดังกล่าวจะอยู่ในส่วนหัวของ SIP ในรูปแบบของการร้องขอและการตอบสนองซึ่งจะไม่ได้รับการประมวลผลจนกว่าจะอยู่ด้านบนของ Network Stack

เมื่ออัตราของแพ็คเก็ตต่อวินาทีเพิ่มขึ้นจนเกินขีดความสามารถของเราเตอร์หรือเซิร์ฟเวอร์ แนวทางปฏิบัติที่ว่า_เร็วกว่าย่อมดีกว่า_จึงกลายเป็นข้อเสียเปรียบ แม้ว่าระบบสลับวงจรแบบดั้งเดิมจะปฏิเสธการเชื่อมต่อใหม่เมื่อเต็มขีดความสามารถของระบบแล้ว และพยายามรักษาการเชื่อมต่อปัจจุบันโดยไม่ให้มีข้อบกพร่อง แต่เซิร์ฟเวอร์ VoIP ซึ่งรีบเร่งประมวลผลแพ็คเก็ตให้ได้จำนวนมากที่สุดจะไม่สามารถรับมือกับแพ็คเก็ตหรือการโทรทั้งหมดได้เมื่อเกินขีดความสามารถของระบบ ด้วยเหตุนี้จึงส่งผลให้เกิดเวลาแฝงและการหยุดชะงักของสายที่กำลังโทร รวมถึงทำให้การโทรออกหรือรับสายใหม่ล้มเหลว

หากไม่มีการปกป้องอย่างเหมาะสม การรีบเร่งเพื่อสร้างประสบการณ์การโทรที่ยอดเยี่ยมจะมาพร้อมต้นทุนด้านความปลอดภัย ซึ่งผู้โจมตีก็เรียนรู้ที่จะใช้ประโยชน์จากสิ่งนี้

การโจมตีเซิร์ฟเวอร์ VoIP ด้วย DDoS

ผู้โจมตีสามารถใช้ประโยชน์จาก UDP และโปรโตคอล SIP ในการกระหน่ำจู่โจมเซิร์ฟเวอร์ VoIP ที่ไม่มีการปกป้องด้วยแพ็คเก็ต UDP จำนวนมหาศาลที่สร้างขึ้นมาเป็นพิเศษ วิธีการหนึ่งที่ผู้โจมตีกระหน่ำจู่โจมเซิร์ฟเวอร์ VoIP คือโดยการทำให้หลงเชื่อว่าเริ่มต้นการโทร โดยในแต่ละครั้งที่มีการส่งคำขอเริ่มต้นการโทรที่ประสงค์ร้ายไปหาเหยื่อ เซิร์ฟเวอร์ของเหยื่อจะใช้ความสามารถเชิงคำนวณและหน่วยความจำเพื่อยืนยันความถูกต้องของคำขอนั้นๆ หากสามารถสร้างการเริ่มต้นการโทรเป็นจำนวนที่มากพอ ผู้โจมตีก็จะสามารถกระหน่ำจู่โจมเซิร์ฟเวอร์ของเหยื่อ และป้องกันไม่ให้เซิร์ฟเวอร์ประมวลผลการโทรปกติได้ และนี่คือเทคนิค DDoS แบบคลาสสิกที่ใช้กับ SIP

อีกรูปแบบหนึ่งของเทคนิคนี้คือการโจมตี SIP แบบ Reflection โดยใช้คำขอเริ่มต้นการโทรที่ประสงค์ร้าย เช่นเดียวกับเทคนิคก่อนหน้านี้ อย่างไรก็ดี ในรูปแบบนี้ผู้โจมตีจะไม่ส่งทราฟฟิกประสงค์ร้ายไปหาเหยื่อโดยตรง แต่ผู้โจมตีจะส่งทราฟฟิกไปยังเซิร์ฟเวอร์ SIP ที่ไม่รู้จักหลายพันเซิร์ฟเวอร์แบบไม่เจาะจงโดยกระจายไปทั่วทั้งอินเทอร์เน็ต และปลอมแปลงแหล่งที่มาของทราฟฟิกประสงค์ร้ายว่ามีต้นทางมาจากเหยื่อที่ต้องการโจมตี ด้วยเหตุนี้เอง เซิร์ฟเวอร์ SIP หลายพันเซิร์ฟเวอร์จึงเริ่มต้นส่งการตอบกลับที่ไม่ได้ร้องขอไปหาเหยื่อ ซึ่งต้องใช้ทรัพยากรด้านการคำนวณเพื่อทำการแยกแยะว่าเป็นสิ่งปกติหรือไม่ เหตุการณ์นี้อาจทำให้เซิร์ฟเวอร์ของเหยื่อขาดแคลนทรัพยากรที่จำเป็นเพื่อประมวลผลการโทรปกติด้วย ส่งผลให้เกิดการปฏิเสธให้บริการผู้ใช้ในวงกว้าง หากไม่มีการปกป้องอย่างเหมาะสม บริการ VoIP อาจตกเป็นเหยื่อของการโจมตี DDoS ได้ง่ายมากๆ

Illustration of a DDoS attack preventing access to legitimate clients

กราฟด้านล่างแสดงให้เห็นการโจมตี DDoS ด้วย UDP แบบ Multi-vector ที่เกิดขึ้นล่าสุด ซึ่งพุ่งเป้าไปที่โครงสร้างพื้นฐาน VoIP ที่ได้รับการปกป้องโดยบริการ Magic Transit ของ Cloudflare การโจมตีนี้เกิดขึ้นสูงสุดที่ระดับใกล้กับ 70 Gbps และ 16 ล้านแพ็คเก็ตต่อวินาที ถึงแม้ไม่ใช่การโจมตีขนาดใหญ่ที่สุดเท่าที่เราเคยเห็นมา แต่การโจมตีขนาดนี้ก็สามารถส่งผลกระทบอันใหญ่หลวงต่อโครงสร้างพื้นฐานที่ไม่ได้รับการปกป้อง การโจมตีแบบเจาะจงนี้คงอยู่เป็นเวลานานกว่า 10 ชั่วโมงและถูกตรวจพบและลดผลกระทบโดยอัตโนมัติ

ด้านล่างนี้เป็นอีกสองกราฟเพิ่มเติมของการโจมตีโครงสร้างพื้นฐาน SIP ในลักษณะเดียวกันที่พบเห็นเมื่อสัปดาห์ก่อน ในกราฟแรกเราจะเห็นการใช้หลายๆ โปรโตคอลเพื่อเริ่มการโจมตี โดยมีปริมาณทราฟฟิกมากมายมาจาก DNS Reflection (ที่ถูกปลอมแปลง) รวมถึงเวกเตอร์แบบ Amplification และ Reflection ทั่วไปอื่นๆ การโจมตีเหล่านี้เกิดขึ้นสูงสุดในระดับที่มากกว่า 130 Gbps และ 17.4 ล้านแพ็คเก็ตต่อวินาที

Graph of a 70 Gbps DDoS attack against a VoIP provider

การปกป้องบริการ VoIP โดยไม่ต้องแลกกับประสิทธิภาพที่ลดลง

Graph of a 130 Gbps DDoS attack against a different VoIP provider

ปัจจัยสำคัญสูงสุดอย่างหนึ่งของการให้บริการ VoIP ที่มีคุณภาพก็คือความเร็ว และยิ่งมีค่าเวลาแฝงต่ำเท่าไหร่ก็ยิ่งดี บริการ Magic Transit ของ Cloudflare สามารถช่วยปกป้องโครงสร้างพื้นฐาน VoIP ที่สำคัญยิ่ง โดยไม่กระทบต่อค่าเวลาแฝงและคุณภาพการโทร

โครงสร้างสถาปัตยกรรมของ Cloudflare’s Anycast เมื่อประกอบกับขนาดและสเกลของเครือข่ายของเราแล้ว ช่วยลดเวลาแฝงให้ต่ำที่สุด และที่ยิ่งกว่านั้นยังสามารถปรับปรุงเวลาแฝงของทราฟฟิกที่กำหนดเส้นทางผ่าน Cloudflare เมื่อเทียบกับอินเทอร์เน็ตสาธารณะ ลองเข้าไปดูโพสต์ล่าสุดของเราจาก Cloudflare’s Speed Week สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการทำงาน รวมถึงผลการทดสอบที่แสดงให้เห็นประสิทธิภาพที่เพิ่มขึ้นเฉลี่ย 36% ทั่วโลกของเครือข่ายลูกค้าจริงที่ใช้ Magic Transit

Diagram of Cloudflare Magic Transit routing

ยิ่งไปกว่านั้น ทุกแพ็คเก็ตที่นำเข้ามาในศูนย์ข้อมูล Cloudflare จะได้รับการวิเคราะห์เพื่อค้นหาการโจมตี DDoS โดยใช้การตรวจจับแบบ Out-of-Path ในหลายเลเยอร์เพื่อไม่ให้เกิดเวลาแฝง เมื่อตรวจพบการโจมตีแล้ว อุปกรณ์ Edge จะสร้างลายนิ้วมือแบบเรียลไทม์ซึ่งตรงกับลักษณะเฉพาะของแพ็คเก็ตโจมตี จากนั้นจะมีการจับคู่ลายนิ้วมือดังกล่าวใน eXpress Data Path (XDP) ของ Linux Kernel เพื่อนำแพ็คเก็ตโจมตีออกไปอย่างรวดเร็วที่อัตรา Wirespeed โดยไม่สร้างความเสียหายข้างเคียงกับแพ็คเก็ตปกติ ล่าสุดเรายังได้ปรับใช้กฏการลดความเสี่ยงแบบเจาะจงเพิ่มเติมในการตรวจสอบทราฟฟิก UDP เพื่อพิจารณาว่าเป็นทราฟฟิก SIP ที่ถูกต้องหรือไม่

World map of Cloudflare locations

การตรวจจับและการลดความเสี่ยงนี้จะเกิดขึ้นอัตโนมัติภายในเซิร์ฟเวอร์ Edge ทุกเครื่องของ Cloudflare — นี่คือ “Scrubbing Center” ที่ไม่มีข้อจำกัดเรื่องความสามารถและขอบเขตการปรับใช้งานอยู่ในสมการ นอกจากนี้ จะมีการแชร์ข้อมูลภัยคุกคามเชิงลึกระหว่างเครือข่ายของเราแบบเรียลไทม์เพื่อ ‘ถ่ายทอดความรู้’ เกี่ยวกับการโจมตีให้กับเซิร์ฟเวอร์ Edge อื่นๆ

Conceptual diagram of Cloudflare’s DDoS mitigation systems

การตรวจสอบของเซิร์ฟเวอร์ Edge ยังสามารถกำหนดค่าได้เต็มรูปแบบ ลูกค้าผู้ใช้งาน Cloudflare Magic Transit สามารถใช้ L3/4 DDoS Managed Ruleset เพื่อปรับแต่งและเพิ่มประสิทธิภาพการตั้งค่าการป้องกัน DDoS ของตน และยังสามารถสร้าง Firewall Rule ระดับแพ็คเก็ตที่กำหนดเอง (รวมทั้งการตรวจสอบแพ็คเก็ตแบบลึก) โดยใช้ Magic Firewall เพื่อบังคับใช้โมเดลความปลอดภัยแบบ Positive

เชื่อมโยงผู้คนเข้าหากันจากระยะไกล

พันธกิจของ Cloudflare คือช่วยสร้างสรรค์อินเทอร์เน็ตให้ดียิ่งขึ้น ส่วนสำคัญของพันธกิจนี้คือการทำให้มั่นใจว่าผู้คนทั่วโลกสามารถสื่อสารกับเพื่อน ครอบครัว และเพื่อนร่วมงานอย่างไม่ขาดตอน — โดยเฉพาะอย่างยิ่งในระหว่างช่วงเวลาที่เกิด COVID นี้ เครือข่ายของเราอยู่ในสถานะที่ไม่เหมือนใคร นั่นคือการช่วยให้โลกเชื่อมต่อถึงกัน ไม่ว่าจะโดยการช่วยให้นักพัฒนาสร้างระบบสื่อสารแบบเรียลไทม์ หรือโดยการช่วยผู้ให้บริการ VoIP ให้ออนไลน์อยู่ตลอด

ความเร็วของเครือข่ายของเราและเทคโนโลยีการป้องกัน DDoS ที่ทำงานอัตโนมัติตลอดเวลาของเราช่วยผู้ให้บริการ VoIP ในการให้บริการลูกค้าของตนอย่างต่อเนื่องโดยไม่ต้องแลกกับประสิทธิภาพที่ลดลง หรือต้องยอมแพ้ให้กับผู้ข่มขู่กรรโชกโดยใช้ DDoS เพื่อเรียกค่าไถ่

คุยกับผู้เชี่ยวชาญของ Cloudflare เพื่อเรียนรู้เพิ่มเติม

กำลังถูกโจมตีอยู่ใช่ไหม? ติดต่อสายด่วนของเราเพื่อพูดคุยในทันที

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
Device SecurityความปลอดภัยDDoSVoIPTrendsRansom Attacks

ติดตามบน X

Omer Yoachimik|@OmerYoahimik
Alex Forster|@alex_forster
Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง