Denial of Service Attacks หรือ DoS

ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

ชื่อบทความ Denial of Service Attacks หรือ DoS
เรียบเรียงจาก CERT Coordination Center "Denial of Service Attacks"
ผู้เรียบเรียง เลอศักดิ์ ลิ้มวิวัฒน์กุล
วันที่ 19 มิถุนายน 2549

บทนำ

บทความนี้เกีย่วข้องกับการอธิบายถึงสาเหตุพื้นฐานของการโจมตีที่มีจุดประสงค์เพื่อทำให้ไม่สามารถให้บริการได้หรือสูญเสียการให้บริการหรือสูญเสียการเข้าถึงทรัพยากรในระบบ และข้อมูลสำหรับการแก้ไขในเบื้องต้น

การโจมตีที่มีจุดประสงค์เพื่อทำให้ไม่สามารถบริการได้หรือที่เรียกว่า Denial of Service หรือ DoS ถูกจัดให้มีคุณสมบัติเป็นความพยายามของผู้โจมตีหรือผู้บุกรุก (ผู้แปล: แล้วแต่ความนิยมในการเรียก) ทีต้องการทำให้เกิดภาวะของการไม่สามารถเข้าใช้บริการหรือทรัพยากรในระบบได้ ตัวอย่างเช่น

กระำทำการส่งแพ็กเก็ตจำนวนมากเข้าไปในเครือข่ายหรือ "Flooding" ทำให้ปริมาณทราฟฟิกในเครือข่ายเพิ่มสูงขึ้นในเวลาอันรวดเร็ว ทำให้การสื่อสารในเครือข่ายตามปกติช้าลง หรือใช้ไม่ได้
กระทำการขัดขวางการเชื่อมต่อใดๆ ในเ้ครือข่ายทำให้เครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายไม่สามารถสื่อสารกันได้ ตัวอย่างเช่นการถอดสายเชื่อมต่อเครือข่ายของเครื่องเซิร์ฟเวอร์ออกจากอุปกรณ์สวิตซ์
กระทำการใดก็ตามเพื่อขัดขวางมิให้ผู้ใช้ในระบบไม่สามารถเข้าใช้บริการในระบบ เช่นการปิดบริการเว็บเซิร์ฟเวอร์ลง
กระทำการในการทำลายระบบหรือบริการในระบบ เช่นการลบชื่อและข้อมูลผู้ใช้ออกจากระบบ ทำให้ไม่สามารถเข้าสู่ระบบได้

การกระทำการที่เกิดจากความประมาทหรือเลิืนเล่อของผู้ดูแลระบบก็อาจจะนำพาไปสู่การทำให้เกิด DoS ได้เช่นเดียวกัน หรืออาจจะเกิดจากสาเหตุทางธรรมชาติเช่นแผ่นดินไหว ทำให้เครื่องเซิร์ฟเวอร์หรือระบบเครือข่ายไม่สามารถใช้งานได้ก็จัดอยู่ในความหมายของ DoS ได้ทั้งสิ้น แต่ในทางปฏิบัติการโจมตีแบบ DoS มักจะเจาะจงไปที่ผู้บุกรุกหรือผู้ที่ไม่มีสิทธิในระบบมากกว่า เหตุการณ์ธรรมชาติหรือความผิดพลาดของผู้ดูแลระบบ

การโจมตีแบบ DoS มักเกิดสืบเนื่องมาจากการโจมตีประเภทอื่นร่วมด้วยเช่น การแพร่กระจายของไวรัสปริมาณมากในเครือข่ายทำให้เกิดปริมาณทราฟฟิกจำนวนมาก หรือการโจมตีข้อบกพร่องของซอฟต์แวร์ระบบเพื่อจุดประสงค์ในการเข้าถึงสิทธิที่สูงขึ้น การโจมตีในลักษณะัดังกล่าวถ้าไม่สำเร็จมักจะทำให้ซอฟต์แวร์ระบบนั้นปิดตัวเองลงอัตโนมัติหรือไม่สามารถทำงานได้ต่อไป ซึ่งจัดอยู่ในข่ายว่าไม่สามารถให้บริการได้หรือเกิด DoS ได้เช่นเดียวกัน เป็นต้น

การเข้าใช้ทรัพยาการในระบบตามปกติก็อาจจะทำให้เกิด DoS ได้เช่้นเดียวกัน เช่นการอนุญาตให้อัพโหลดไฟล์ผ่านทางบริการโอนย้ายไฟล์หรือ FTP ผู้บุกรุกสามารถจะใช้พื้นที่ที่อนุญาตนี้ทำการนำไฟล์สำคัญหรือข้อมูลทางการค้าจำนวนมากทำให้พื้นที่น้อยลงไปหรือหมดไปได้ รวมถึงอาจจะเป็นสาเหตุให้ทราฟฟิกเพิ่มขึ้นจากการโอนย้ายข้อมูลที่เกิดจากการกระทำของผู้บุกรุกด้วย

ผลกระทบ

การโจมตีแบบ DoS สามารถจะทำให้เครื่องคอมพิวเตอร์หรือเครือข่ายไม่สามารถใช้งานได้ ขึ้นอยู่กับรูปแบบเครือข่ายภายในองค์กร ทรัพยากรที่เปิดให้สามารถเข้าใช้ได้ บางครั้งอาจส่งผลถึงการใช้งานไม่ได้ของทั้งองค์กรด้วย

การโจมตีแบบ DoS มีข้อน่าสังเกตอีกว่าผู้โจมตีหรือผู้บุกรุกไม่จำเป็นต้องมีเครื่องโจมตีที่มีกำลังการทำงานสูงมากนักก็สามารถที่จะทำให้เป้าหมายตกอยู่ในสภาพการปฏิเสธการให้บริการหรือ DoS ก็ได้ เรามักเรียกว่า "Aymmetric Attack" ตัวอย่างเช่นการนำไฟล์ขึ้นมาวางในพื้นที่ของบริการ FTP เป็นต้น

รูปแบบของการโจมตี

การโจมตีเพื่อปฏิเสธการให้บริการพบเห็นได้ในหลายรูปแบบรวมทั้งจุดประสงค์ที่แตกต่างกัน สามรูปแบบคือ

การเข้าใช้หรือยึดครองทรัพยากรที่มีอย่างจำกัดหรือไม่สามารถสร้างขึ้นใหม่ได้โดยง่าย
การเข้าทำลายหรือเปลี่ยนแปลงข้อมูลการทำงานของระบบ
การเข้าทำลายหรือเปลี่ยนแปลงอุปกรณ์เครือข่ายหรือชื้นส่วนหนึ่งส่วนใดทางกายภาพ

แบ่งความหมายย่อยได้เป็น

ก. การเข้าใช้หรือยึดครองทรัพยากรที่มีอย่างจำกัดหรือไม่สามารถสร้างขึ้นใหม่ได้โดยง่าย

อุปกรณ์คอมพิวเตอร์หริืออุปกรณ์เครือข่ายต้องการทรัพยากรในการทำงานเสมอ อาทิ : แบนด์วิดธ์ของเครือข่าย หน่วยความจำ พื้นที่ดิสก์ในการทำงาน เวลาการประมวลผลของซีพียู โครงสร้างข้อมูล การเข้าถึงทรัพยากรของอุปกรณ์เครือข่ายหรือเครื่องคอมพิวเตอร์บนเครือข่าย หรือทรัพยากรจำเป็นเช่น พลังงานไฟฟ้า ความเย็น ความชื้น หรือแม้กระทั้งน้ำ

การเชื่อมต่อเข้าระบบเครือข่าย

การโจมตีเพื่อให้ปฏิเสธการบริการมักพบเห็นบ่อยครั้งว่าเข้าข่ายการโจมตีในลักษณะนี้ ซึ่ง จุดประสงค์หลักคือเพื่อไม่ให้เครื่องคอมพิวเตอร์เป้าหมายหรืออุปกรณ์เครือข่ายเป้าหมายไม่สามารถสื่อสารกับเครือข่ายได้ ผลที่ตามมาคือเสมือนถอดสายแลนออกจากเครือข่าย ตัวอย่างเช่นการโจมตีแบบ "SYN Flood" หาคำอธิบายเพิ่มเติมได้ใน

http://www.cert.org/advisories/CA-1996-21.html

ผู้โจมตีจะเริ่มกระบวนการร้องขอการสร้างการเชื่อมต่อกับเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายปลายทาง แต่ไม่ได้กระทำการให้ครบรูปแบบการร้องขอการเชื่อมต่อ ในขณะเดียวกันเครื่องคอมพิวเตอร์ปลายทางได้สำรองทรัพยากรของโครงสร้างของข้อมูลที่รองรับการร้องขอการเชื่อมต่อที่เกิดขึ้นใหม่นี้ เมื่อผู้โจมตีทำการโจมตีอย่างต่อเนื่อง ผลในท้ายที่สุดคือเครื่องคอมพิวเตอร์ดังกล่าวนี้จะไม่สามารถรองรับการร้องขอการเชื่อมต่อใหม่ใดๆ หลังจากนี้ได้อีก เนื่องจากไม่มีทรัพยากรในการรองรับเหลือให้ใช้งานได้อีก หรือเครื่องดังกล่าวพยายามจะรอการร้องขอการเชื่อมต่อแบบ "half-open" ทีไม่สมบูรณ์นี้

จะสังเกตเห็นได้ว่าการโจมตีแบบ "SYN Flood" ไม่ได้ขึ้นอยู่กับการเข้ายึดครองแบนด์วิดธ์ของเครือข่าย แต่เป็นการพยายามเข้ายึดครองหรือเข้าใช้โครงสร้างข้อมูลที่เกี่ยวข้องกับการรองรับการร้องขอเชื่อมต่อก่อนจะมีการสื่อสารเกิดขึ้นได้ ของเคอร์เนลของระบบปฏิบัติการบนเครื่องเป้าหมาย รูปแบบการโจมตีที่ส่งผลกระทบกับเครื่องเป้าหมายได้รุนแรงได้ระดับนี้ สามารถใช้เครื่อง PC เก่าบนโมเด็มความเร็วไม่สูงนักทำการโจมตีได้ ถือเป็นตัวอย่างที่ดีของการโจมตีแบบ "asymmetric attacks"
การใช้ทรัพยากรของเป้าหมายให้เป็นประโยชน์

ผู้บุกรุกสามารถใช้ทรัพยากรของเป้าหมายในการสร้างความเสียหายให้กับเป้าหมายเองได้ ตัวอย่างเช่น

http://www.cert.org/advisories/CA-1996-01.html

ผู้บุกรุกใช้ประโยชน์จากบริการ ECHO บนพอร์ต 7/UDP โดยการส่งแพ็กเก็ตไปยังพอร์ตดังกล่าวโดยการ spoof ไอพีแอดเดรสต้นทางเป็นไอพีของเครื่องอีกเครื่องที่เปิดพอร์ต CHARGEN หรือ 19/UDP ผลที่เกิดขึ้นก็คือบริการทั้ง ECHO และ CHARGEN บนแต่ละเครื่องจะทำการส่งแพ็กเก็ตไปมาจนแบนด์วิธเต็ม ทำให้เครื่องภายในเครือข่ายดังกล่าวหรือเครื่องที่เปิดบริการทั้งสองนี้ได้รับผลกระทบอย่างหลีกเลี่ยงไม่ได้
การใช้ทรัพยากรแบนด์วิธ

ผู้บุกรุกสามารถที่จะส่งแพ็กเก็ตจำนวนมากเข้ามาในระบบเครือข่าย ทำให้อัตราการใช้แบนด์วิธในช่วงเวลาดังกล่าวสูงขึ้นอย่างรวดเร็ว ซึ่งอาจจะทำให้ไม่สามารถใช้เครือข่ายในช่วงเวลาดังกล่าวไปชั่วขณะ ตัวอย่างเช่นการส่งแพ็กเก็ต ICMP ECHO จำนวนมาก ในทางปฏิบัติแล้วสามารถจะเป็นแพ็กเก็ตใดๆ ก็ได้ที่เครือข่ายอนุญาตให้ผ่านเข้ามาได้

ในปัจจุบันผู้บุกรุกมักใช้เครืองคอมพิวเตอร์มากกว่าหนึ่งเพื่อทำหน้าที่สร้างแพ็กเก็ตเหล่านี้จำนวนมากพร้อมๆ กันและทำการส่งเข้าเครือข่ายเป้าหมาย ยิ่งมีเครื่องในการสร้างแพ็กเก็ตมากเท่าใดยิ่งส่งผลเสียต่อเครือข่ายเป้าหมายมากขึ้นเท่านั้น เรียกการโจมตีในลักษณะนี้ว่า Distributed Denial of Service หรือ DDoS

ทรัพยากรแบนด์วิธในเครือข่ายถือเป็นทรัพยากรจำกัดและไม่สามารถสร้างใหม่ได้โดยง่ายในเครือข่ายใดๆ สิ่งที่แตกต่างคือความมากน้อยในแต่ละระบบเครือข่าย ซึ่งขึ้นอยู่กับสภาพทางการเงิน หรือการบริการขององค์กรนั้น

ดังนั้นแบนด์วิธถือเป็นเป้าหมายอันดับแรกเสมอสำหรับการโจมตีทั้งแบบ DoS หรือ DDoS ก็ตาม
การใช้ทรัพยากรประเภทอื่น

นอกเหนือไปจากแบนด์วิธของระบบเครือข่ายแล้ว ผู้บุกรุกสามารถทำให้ทรัพยากรอื่นของระบบที่กำลังให้บริการลดลงได้ เช่น โครงสร้างข้อมูลที่ใช้สำหรับเก็บข้อมูลโพรเซสในระบบ (หมายเลขโพรเซส พอยต์เตอร์ชี้ไปยังข้อมูลโพรเซส โพรเซสว่าง เป็นต้น) ผู้บุกรุกสามารถเขียนโปรแกรมหรือสคริปต์ให้ทำการการสำเนาตัวเองซ้ำแล้วซ้ำเล่าจนในที่สุด โครงสร้างในการเก็บข้อมูลโพรเซสไม่มีเหลือพอให้สร้างโพรเซสเพิ่มเติมได้อีก หรือระบบดังกล่าวจะไม่สามารถใช้งานได้ในที่สุด

ระบบปฏิบัติการในปัจจุบันสามารถกำหนดโควตาของจำนวนโพรเซสที่อนุญาตให้ผู้ใช้ในระบบสร้างได้ แต่กระนั้นก็ยังขึ้นอยู่กับผู้ดูแลระบบในการกำหนดพารามิเตอร์เหล่านี้ด้วย ถ้าไม่มีการกำหนดก็เสมือนกับไม่ได้ใช้ประโยชน์จากระบบปฏิบัติการในการป้องกันตัวเองจากการโจมตีแบบ Denial of Service ที่สามารถเกิดขึ้น

ถึงแม้โครงสร้างข้อมูลในการเก็บข้อมูลโพรเซสจะเพียงพอ แต่ผลกระทบอาจจะเกิดต่อการประมวลผลของหน่วยประมวลผลกลางหรือซีพียู (CPU) เช่นเวลาที่เพิ่มขึ้นใช้ในการสลับการทำงานของโพรเซสในระบบ เวลาที่ใช้ในการสร้างโพรเซสจำนวนมาก ซึ่งมีผลทำให้ระบบโดยรวมช้าลงอย่างเห็นได้ชัด

ขอให้ศึกษาตามคู่มือของระบบปฏิบัติการให้เข้าใจถ่องแท้ ในการตั้งค่าโควตาของจำนวนโพรเซสที่อนุญาตให้ผู้ใช้ในระบบสร้างได้ว่าสามารถทำได้หรือไม่ ทำได้อย่างไรและทำได้กี่วิธี รวมไปถึงมีข้อจำกัดอย่างไรบ้างต่อการใช้งานระบบนั้นๆ

ผู้บุกรุกยังสามารถใช้ทรัพยากรของหน่วยเก็บข้อมูลสำรองหรือดิสก์ในระบบได้ เช่น
- ส่งอีเมล์จำนวนมากเข้าสู่ระบบให้บริการอีเมล์
  
  http://www.cert.org/tech_tips/email_bombing_spamming.html
- มีความพยายามในการสร้างข้อความที่ส่งผลต่อการเก็บล็อกในระบบ ทำให้ระบบการเก็บล็อกมีข้อมูลเพิ่มขึ้นมาก จนไม่สามารถใช้งานได้
- อัพโหลดไฟล์ขึ้นบนระบบที่ให้บริการถ่ายโอนไฟล์แบบ Anonymous FTP ที่อนุญาตให้ผู้ใช้งานสามารถอัพโหลดไฟล์ขึ้นเซิร์ฟเวอร์ได้
  
  http://www.cert.org/tech_tips/anonymous_ftp_config.html
- การนำไฟล์ไปวางไว้ในพื้นที่แชร์ไฟล์ร่วมกันในเครือข่าย โดยมีจุดประสงค์ในการใช้เนื้อที่จนเต็ม
ขอให้ระลึกไว้ว่า บริการหรือโปรแกรมใดที่อนุญาตให้สามารถเขียนลงดิสก์โดยไม่มีการควบคุมขอบเขตหรือปริมาณของข้อมูลที่อนุญาตให้เขียนได้ ถือเป็นจุดที่สามารถทำให้เกิด DoS ได้ทั้งสิ้น

บางระบบกำหนดจำนวนครั้งสูงสุดที่สามารถล็อกอินผิดพลาด เมื่อครบจำนวน ระบบจะทำการดิสเอเบิลสถานภาพการล็อกอินเข้าสู่ระบบของผู้ใช้โดยทันที เช่นกำหนดให้พิมพ์รหัสผ่านผิดพลาดได้ไม่เกิน 3 หรือ 5 ครั้งถ้าผิดเกิดจำนวนระบบจะไม่อนุญาตให้ผู้ใช้ทำการล็อกอินได้อีก ต้องติดต่อผู้ดูแลระบบเพื่อขออนุญาตใช้งานอีกครั้งเป็นต้น การป้องกันระบบด้วยวิธีการนี้ทำให้ผู้บุกรุกสามารถใช้ในการทำให้ผู้ใช้ปกติในระบบไม่สามารถล็อกอินเข้าสู่ระบบได้ รวมถึงผู้ดูแลระบบเองก็อาจจะถูกเหมารวมไปในวิธีการเดียวกันนี้ เป็นสาเหตุให้ผู้ดูแลระบบเองก็ไม่สามารถล็อกอิืนเข้าสู่ระบบได้ด้วย ผู้ดูแลระบบต้องแน่ใจว่ามีระับบสำรองไว้เข้าสู่ระบบในกรณีที่เกิดเหตุการณ์นี้ขึ้น ควรจะศึกษาคู่มือระบบให้เข้าใจถึงการทำงานของการกำหนดจำนวนครั้งที่ผิดพลาดในการล็อกอินก่อนจะทำการดิสเอเบิลผู้ใช้นั้นๆ รวมถึงวิธีการแก้ไขเมื่อเกิดกรณีฉุกเฉินขึ้น

นอกจากนี้ ผู้บุกรุกยังสามารถที่จะส่งแพ็กเก็ตที่ไม่เหมาะสมเข้ามาในระบบ เป็นสาเหตุให้ระบบเครือข่ายหรือเซิร์ฟเวอร์ไม่สามารถทำงานได้ตามปกติโดยไม่ทราบสาเหตุ หารายละเอียดได้ใน

http://www.cert.org/advisories/CA-1996-26.html

ถ้าระบบพบอาการที่ไม่สามารถทำงานได้ตามปกติโดยไม่ทราบสาเหตุบ่อยครั้ง อาจจะเป็นข้อสังเกตถึงการโดนโจมตีในลักษณะนี้ก็เป็นได้

ยังมีอุปกรณ์อื่นนอกเหนือไปจากที่กล่าวมาแล้วอีก ที่สามารถจะถูกโจมตีแบบ DoS ได้อีกอาทิเช่น
- เครื่องพิมพ์
- อุปกรณ์เทปแบ็คอัพ
- อุปกรณ์การเชื่อมต่อเครือข่าย (Network Connection)
- อุปกรณ์อื่นที่มีทรัพยากรจำกัดในระบบ

ข. การเข้าทำลายหรือเปลี่ยนแปลงข้อมูลการทำงานของระบบ

การคอนฟิกระบบที่ไม่เหมาะสมหรือไม่ถูกต้องมักเป็นสาเหตุหลักที่ทำให้ระบบทำงานได้ไม่เต็มประสิทธิภาพหรือมีช่องโหว่ด้านความปลอดภัย ผู้บุกรุกมักฉวยโอกาสของวิธีการแก้ไขคอนฟิกของระบบหรือทำลายคอนฟิกที่สำคัญต่อการทำงานของระบบ อันจะทำให้ระบบไม่สามารถให้บริการผู้ใช้งานได้ตามปกติ

ตัวอย่างเช่น ผู้บุกรุกทำการแก้ไขตารางการหาเส้นทางของเครือข่าบหรือ Routing Table บนเราเตอร์ ทำให้เครือข่ายบางส่วนไม่สามารถส่งข้อมูลได้ถูกต้อง (ผู้ดูแลระบบน่าจะทราบดีว่าข้อมูล Routing Table มีความสำคัญมากต่อการส่งข้อมูลไปถึงปลายทางได้อย่างถูกต้อง) หรือผู้บุกรุกทำการแก้่ไขรีจิสทรีของระบบปฏิบัติการวินโดวส์ ย่อมส่งผลต่อการทำงานของแอพพลิเคชัน หรือระบบบางส่วนอย่างหลีกเลี่ยงไม่ได้

ผู้ดูแลระบบจะทราบดีว่าการแก้ไขคอนฟิกบนระบบนั้น มีผลต่อการทำงานต่อระบบโดยตรง ไม่ว่าการคอนฟิกนั้นจะเกิดจากการรู้เท่าไม่ถึงการของผู้ดูแลระบบ หรือความไม่เข้าใจอย่างถ่องแท้ต่อการทำงานของแอพพลิเคชันบอกระบบหรือตัวระบบเอง รวมถึงการแก้ไขด้วยความตั้งใจของผู้บุกรุกเองด้วย หารายละเอียดในเอกสารเผยแพร่

http://www.cert.org/tech_tips/unix_configuration_guidelines.html

สำหรับระบบปฏิบัติการในตระกูลวินโดวส์หาข้อมูลเพิ่มเติมได้ที่

http://www.microsoft.com/security

ค. การเข้าทำลายหรือเปลี่ยนแปลงอุปกรณ์เครือข่ายหรือชื้นส่วนหนึ่งส่วนใดทางกายภาพ

จุดประสงค์หลักในการโจมตีโดยการเข้าถึงทางกายภาพเป็นหัวข้อที่น่ากังวลในการประเมินความเสี่ยงของผู้บริหารองค์กรทางด้านความปลอดภัยของทรัพยากรที่มีอยู่จริง ควรมีนโยบายที่ชัดเจนในการควบคุมการเข้าถึงห้องเซิร์ฟเวอร์ ห้องเครือข่าย อุปกรณ์เครือข่าย สายเชื่อมต่อเครือข่าย ระบบแบ็คโบนหลักขององค์กร ระบบไฟฟ้าสำรอง ระบบควบคุมอุณหภูมิ ระบบควบคุมความชื้น และอุปกรณ์อื่นที่จำเป็นต้องการทำงานโดยรวมของระบบทั้งหมด

ทุกๆ จุดที่เกี่ยวข้องกับอุปกรณ์ทางกายภาพที่มีอยู่จริงนั้น ควรจะมีนโยบายที่ชัดเจนและบังคับใช้ได้จริง มีกรณีศึกษาในหลายองค์กรที่การโจมตีด้วยความตั้งใจของผู้บุกรุกทำได้โดยเดินเข้าไปในห้องเซิร์ฟเวอร์และถอดสายเชื่อมต่อเครือข่ายหรือสายแลนออก ซึ่งส่งผลเสียตามมามาก ยิ่งองค์กรที่ให้บริการทางด้านการค้าขายอิเล็คทรอนิคส์ด้วยแล้ว ตัวเลขความเสียหายอาจจะขึ้นไปได้สูงมาก

การป้องกันและการโต้ตอบ

การโจมตีแบบ DoS ส่งผลกระทบถึงความสูญเสียทั้งในแง่ของเวลาและเงินสำหรับหลายองค์กร การประเมินผลกระทบและความเสี่ยงเป็นสิ่งที่องค์กรควรพิจารณาไว้เป็นอันดับแรก ตัวอย่างมาตรการในการลดผลกระทบหรือความเสี่ยง อาทิ

ใช้กฏการฟิลเตอร์แพ็กเก็ตบนเราเตอร์เ้พื่อกรองข้อมูลตามรายละเอียดใน Appendix A ใน CA-96.21.tcp_syn_flooding เพื่อลดผลกระทบต่อปัีญหาการเกิด DoS รวมถึงความเสี่ยงที่อาจจะเกิดจากบุคคลภายในองค์กรเป็นต้นกำเนิดการโจมตีแบบ DoS ไปยังเครือข่ายเป้าหมายอื่นด้วย
พิจารณาติดตั้งซอฟต์แวร์เพิ่มเติมในการแก้ไขปัญหาของการโจมตีโดยใช้ TCP SYN Flooding ตามรายละเอียดใน CA-96.21.tcp_syn_flooding ซึ่งจะช่วยให้ระบบยังสามารถทำงานได้ในสภาวะที่ถูกโจมตีได้ยาวนานขึ้น
ปิดบริการบนระบบที่ไม่มีการใช้งานหรือบริการที่เปิดโดยดีฟอลต์ เ่ช่นบนเว็บเซิร์ฟเวอร์ไม่ควรเปิดพอร์ตให้บริการโอนย้ายไฟล์ผ่านโพรโตคอล FTP เป็นต้น หรือการปิดบริการ ECHO บนพอร์ต 7/UDP หรือ CHARGEN บนพอร์ต 19/UDP ซึ่งหลายระบบจะเปิดบริการนี้โดยดีฟอลต์หลังจากขั้นตอนการติดตั้งระบบปฏิบัติการเสร็จสิ้น จะช่วยลดปัญหาที่สามารถจะเกิดขึ้นได้จากบริการที่มากเกินความจำเป็นเหล่านี้ลงได้
นำระบบการกำหนดโควตามาใช้ ไม่ว่าจะเป็นการกำหนดโควตาเนื้อที่ดิสก์สำหรับผู้ใช้ในระบบหรือสำหรับบริการในระบบ และควรพิจารณาการแบ่งพา์ร์ติชันออกเป็นส่วนเพื่อลดความเสียงหรือผลกระทบที่เนื้อทีบนพาร์ติชันใดๆ เต็มจะได้ไม่ส่งผลกระทบต่อข้อมูลหรือการทำงานของระบบบนพาร์ติชันอื่นไปด้วย รวมทั้งการกำหนดโควตาของการสร้างโพรเซสในระบบ (ถ้าระบบปฏิบัติการสนับสนุน) หรือโควตาในเรื่องอื่นที่มีผลต่อการใช้งานทรััพยากรในระบบล้วนเป็นสิ่งที่ควรนำมาใช้ และควรศึกษาคู่มือระบบเพื่อหลีกเลียงปัญหาที่อาจจะเกิดจากความเลินเล่อของผู้ดูแลระบบหรือการแก้ไขปัญหาเมื่อเกิดเหตุฉุกเฉินขึ้น
สังเกตและเฝ้ามองพฤติกรรมและประสิทธิภาพการทำงานของระบบ นำตัวเลขตามปกติของระบบมากำหนดเป็นบรรทัดฐานในการเฝ้าระวังในครั้งถัดไป เช่นปริมาณการใช้งานดิสก์ ประสิทธิภาพการใช้งานหน่วยประมวลผลกลางหรือซีพียู ปริมาณทราฟฟิกที่เกิดขึ้นในช่วงเวลาหนึ่งเป็นต้น
ตรวจตราระบบการจัดการทรัพยากรระบบตามกายภาพอย่างสม่ำเสมอ แน่ใจว่าไม่มีผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงได้ มีการกำหนดตัวบุคคลที่ทำหน้าที่ในส่วนต่างๆ ของระบบอย่างชัดเจน รวมถึงการกำหนดสิทธิในการเข้าถึงระบบอย่างรัดกุมด้วย ตัวอย่างเช่น เทอร์มินอลที่ไม่ได้เปิดให้ใช้งานมีการเปิดขึ้นหรือไม่ จุดเข้าถึงการเชื่อมต่อเข้าเครือข่าย อุปกรณ์สวิตซ์ อุปกรณ์เราเตอร์ ห้องเซิร์ฟเวอร์ ระบบควบคุมการเข้าใช้ห้องเครือข่าย สายสำหรับการเชื่อมต่อมีสภาพชำรุดหรือสภาพอันบ่งชี้ถึงสาเหตุที่ไม่ปกติหรือไม่ ระบบการถ่ายเทอากาศ ระบบไฟฟ้าสำรองทำงานเป็นปกติหรือไม่ เกิดไฟดับครั้งล่าสุดเมื่อกี่วันที่ผ่านมา ดับนานเท่าใด ระบบไฟฟ้าสำรองใช้งานได้เพียงพอหรือไม่ (อันนำไปเป็นสาเหตุในการพิจารณาอัพเกรดระบบไฟฟ้าสำรองได้) เป็นต้น
ใช้โปรแกรม Tripwire หรือโปรแกรมใกล้เคียงในการตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นกับไฟล์คอนฟิกหรือไฟล์ที่สำคัญต่อการทำงานในระบบ หารายละเอียดได้ในเอกสารอ้างอิง

http://www.thaicert.nectec.or.th/paper/ids/tripwire.php
พิจารณาติดตั้งเครื่องสำรองหรือ "hot spares" ที่สามารถนำมาใช้แทนเครื่องเซิร์ฟเวอร์ได้ทันทีเมื่อเกิดเหตุฉุกเฉินขึ้น เพื่อลดช่วงเวลาดาวน์ไทม์ของระบบ หรือลดช่วงเวลาที่เกิด Denial of Service ของระบบลง (การที่ไม่สามารถเข้าใช้งานระบบได้ ถือว่าเข้าสู่ภาวะของ Denial of Service เช่นเดียวกัน แม้ว่าจะเกิดจากสาเหตุของผู้บุกรุกหรือสาเหตุอื่นก็ตาม)
พิจารณาติดตั้งระบบสำรองเครือข่าย หรือระบบป้องกันความสูญเสียการทำงานของระบบเครือข่าย หรือระบบสำรองเพื่อให้ระบบเครือข่ายสามารถใช้ได้ตลอดเวลา
การสำรองข้อมูลบนระบบอย่างสม่ำเสมอ โดยเฉพาะคอนฟิกที่สำคัญต่อการทำงานของระบบ พิจารณาออกนโยบายสำหรับการสำรองข้อมูลที่สามารถบังคับใช้ได้จริง
วางแผนและปรับปรุงนโยบายการใช้งานรหัสผ่านที่เหมาะสม โดยเฉพาะผู้ที่มีสิทธิสูงสุดในการเข้าถึงระบบทั้ง root บนระบบ UNIX หรือ Administrator บนระบบ Microsoft Window NT

เอกสารอ้างอิง
[1] CERT Coordination Center, "Denial of Service Attack,", http://www.cert.org/tech_tips/denial_of_service.html

Revision History
4 สิงหาคม 2546 แปลและเรียบเรียงครั้งที่ 1