ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

ชื่อเรื่อง : รูปแบบการโจมตีแบบ Denial of Service ในอดีตและแนวโน้มในอนาคต
เรียบเรียงโดย : ภูวดล ด่านระหาญ
เผยแพร่เมื่อ : 28 ธันวาคม 2544

เอกสารฉบับนี้เรียบเรียงจาก Trends in Denial of Service Attack Technology ซึ่ง เรียบเรียงโดย Kevin J. Houle และ George M. Weaver ด้วยความร่วมมือจาก Neil Long และ Rob Thomas ซึ่งเผยแพร่ผ่านทางเว็บไซต์ของ CERT® Coordination Center เมื่อเดือนตุลาคม 2544

สืบเนื่องจากช่วงเดือนพฤศจิกายน 1999 ทาง CERT/CC ได้เป็นผู้สนับสนุนการประชุมเชิงปฏิบัติการเรื่อง The Distributed Systems Intruder Tools (DSIT) ขึ้น ซึ่งผู้เชี่ยวชาญเกี่ยวกับความปลอดภัยได้แสดงให้เห็นถึงรูปแบบการโจมตีแบบ denial of service และได้กลายมาเป็นรูปแบบหนึ่งของการโจมตีในโลกของอินเทอร์เน็ตไปแล้ว

รูปแบบการโจมตีที่ซับซ้อนได้เผยให้เห็นจากหนอนอินเทอร์เน็ต (worm) ที่กระจายตัวในช่วงปี 2001 นี้ ซึ่งหนอนอินเทอร์เน็ตบางตัวได้นำรูปแบบการโจมตีแบบ DoS ไปใช้งานด้วย โดยผู้ใช้ Microsoft windows และ Internet routing technology กลายเป็นเหยื่อที่ถูกโจมตีบ่อยที่สุด และกลไกการควบคุมการโจมตีแบบ DDoS กำลังเปลี่ยนไป โดยใช้เทคโนโลยีของ IRC (Internet Relay Chat) ซึ่งผลของการโจมตีแบบ DoS มักจะก่อให้เกิดผลข้างเคียงที่เสียหายร้ายแรงตามมา และการกระจายตัวอย่างรวดเร็วของหนอนอินเทอร์เน็ตเองก็ก่อให้เกิด denial of service ได้ด้วย

จุดประสงค์ของเอกสารฉบับนี้เพื่อแสดงให้เห็นถึงรูปแบบและแนวโน้มของการโจมตีแบบ DoS โดยอ้างอิงจากเหตุการณ์การโจมตีที่เกิดขึ้นและเครื่องมือที่ถูกนำไปใช้งานซึ่งทาง CERT/CC ได้รับแจ้ง เอกสารฉบับนี้ไม่ได้แสดงวิธีป้องกันหรือแก้ไข แต่ต้องการสร้างความตื่นตัวและกระตุ้นให้เกิดการแลกเปลี่ยนความรู้ที่เกี่ยวข้องกับ DoS ต่อไป

Introduction

การโจมตีแบบ DoS โดยทั่วไปมีจุดประสงค์เพื่อป้องกันไม่ให้ใช้งานหรือทำให้เกิดความเสียหายต่อการใช้งานคอมพิวเตอร์หรือทรัพยากรของระบบเครือข่าย สาเหตุที่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตมักจะถูกโจมตีแบบ DoS ก็เนื่องมาจาก 2 สาเหตุหลักคือ

• อินเทอร์เน็ตประกอบไปด้วยทรัพยากรที่มีอยู่อย่างจำกัดและสามารถถูกทำให้หมดเปลืองไปได้
  โครงสร้างพื้นฐานของการเชื่อมต่อในโลกของอินเทอร์เน็ตนั้นประกอบไปด้วยทรัพยากรที่มีอยู่อย่างจำกัด เช่น แบนด์วิดธ์ พลังในการประมวลผล(processing power) และพื้นที่ที่จำกัดของการเก็บข้อมูล ล้วนแต่เป็นเป้าหมายในการโจมตีแบบ DoS ซึ่งต้องการให้มีการใช้งานทรัพยากรที่มีอยู่จนถึงขั้นที่ทำให้ระบบมีปัญหาได้ ระบบที่ได้รับการออกแบบให้มีทรัพยากรที่เหลือเฟือก็อาจจะสร้างความยุ่งยากในการโจมตีได้ แต่ในปัจจุบันก็ยังมีเครื่องมือและวิธีการที่จะสร้างความเสียหายต่อระบบที่มีทรัพยากรอย่างเหลือเฟือได้เช่นกัน
  
  
• ความปลอดภัยในอินเทอร์เน็ตเป็นเรื่องที่ขึ้นต่อกัน
  การโจมตีแบบ DoS ไม่จำเป็นต้องโจมตีที่ระบบของเหยื่อโดยตรง สามารถโจมตีไปที่ระบบซึ่งอยู่นอกขอบเขตของระบบของเหยื่อได้ ในหลายๆ กรณี จุดที่ผู้โจมตีใช้โจมตีนั้นมักจะเป็นระบบที่ถูก compromise โดยผู้โจมตีแล้ว ผู้โจมตีมักจะไม่ใช้ระบบของตนเองในการโจมตีต่อผู้อื่น เพราะอาจจะถูกตรวจสอบถึงตัวได้โดยง่าย การป้องกันการโจมตีไม่เพียงแต่เป็นการป้องกันการใช้งานอินเทอร์เน็ตในทางที่ผิด หากแต่ยังป้องกันไม่ให้มีการใช้ทรัพยากรเหล่านี้ไปโจมตีระบบของผู้อื่นต่อไป

การป้องกันการโจมตีแบบ DoS ยังเป็นเรื่องที่ยากและต้องศึกษากันอีก การทำ rate limiting, packet filetring, หรือใช้งาน tweaking software ก็สามารถลดผลกระทบที่เกิดจากการโจมตีแบบ DoS ได้ เช่น ทำให้เกิดการใช้ทรัพยากรน้อยกว่าที่มีอยู่ ในหลายๆ กรณี การป้องกันการโจมตีที่ได้ผลคือการ block source เพื่อป้องกันการโจมตีแบบต่อเนื่อง (ในกรณีที่สามารถสืบทราบ source address) แต่ในบางครั้งการโจมตีแบบ DoS สามารถปลอมแปลง source ip address ได้หรือสร้างการโจมตีแบบกระจาย DDoS ซึ่งก่อให้เกิดความยุ่งยากในการป้องกันเป็นอย่างยิ่ง

เทคโนโลยีการโจมตีแบบ DoS ก่อนหน้านี้มักจะใช้เครื่องมือง่ายๆ สร้างแพ็กเก็ตจากเครื่องเดียวส่งออกไปยังปลายทางที่เป็นเครื่องเดี่ยวๆ เมื่อเวลาผ่านไปก็มีเครื่องมือที่สามารถโจมตีหลายๆ เป้าหมายได้จากเครื่องๆ เดียว จากหลายๆ เครื่องๆ โจมตีไปยังเป้าหมายเครื่องเดียว และจากหลายๆ เครื่องๆ โจมตีไปยังหลายๆ เป้าหมายได้

ปัจจุบัน รูปแบบการโจมตีที่ CERT/CC ได้รับแจ้ง มักจะเป็นการส่งแพ็กเก็ตจำนวนมากไปยังเครื่องเป้าหมายจนเกินขีดจำกัด ซึ่งอาจจะก่อให้เกิดการใช้งานเครือข่ายจนเต็ม เช่น การส่ง flooding packet โดยปกติมักจะพบในรูปแบบการส่งแพ็กเก็ตจากเครื่องเดียวส่งออกไปยังปลายทางที่เป็นเครื่องเดี่ยวๆ และจากหลายๆ เครื่องๆ โจมตีไปยังเป้าหมายเครื่องเดียว มักจะไม่พบรูปแบบที่โจมตีไปยังเป้าหมายหลายๆ ที่พร้อมกัน

แพ็คเก็ตที่ถูกส่งเพื่อก่อให้เกิดการ flood มักจะถูกใช้มาตั้งแต่อดีตและยังใช้กันอยู่จนถึงปัจจุบันคือ

• TCP flood คือการส่งแพ็กเก็ต TCP ไปยังเครื่องเป้าหมาย เช่น SYN flood
  
  
• ICMP echo request/reply คือการส่งแพ็กเก็ต ICMP จำนวนมากไปยังเครื่องเป้าหมาย เช่น ping flood, smurf
  
  
• UDP flood คือการส่งแพ็กเก็ต UDP จำนวนมากไปยังเครื่องเป้าหมาย

การโจมตีแบบ flood มีจุดประสงค์เพื่อทำให้พลังในการประมวลผลหรือแบนด์วิดธ์ใช้ไปจนหมด ซึ่งขึ้นอยู่กับ ความเร็วในการส่งแพ็กเก็ตและจำนวนของข้อมูลที่ได้สัดส่วนกันพอดี ซึ่งเครื่องมือบางตัวมีการแก้ไขข้อมูลของแพ็กเก็ตก่อนที่จะส่งออกไปเพื่อเหตุผลบางอย่าง เช่น

• การแก้ไข Source IP address - หรือเรียกอีกอย่างว่าการทำปลอมไอพี (IP spoofing) โดยอาจจะปลอมเป็นไอพีของเป้าหมาย แล้วส่งแพ็กเก็ตไปยังตัวกลางจำนวนมาก ซึ่งตัวกลางจะส่งแพ็กเก็ตตอบกลับไปยังเป้าหมายที่ต้องการ ตัวอย่างการโจมตีที่เห็นได้ชัดเจนคือ smurf หรือ fraggle
  
  
• การแก้ไข Source/Destination port - การแก้ไขค่า port ในแพ็กเก็ตของ TCP/UDP อาจจะสร้างความยุ่งยากสำหรับ packet filtering firewall ได้
  
  
• การแก้ไขค่า header ของ IP packet อื่นๆ - มีเครื่องมือบางตัวที่สามารถสุ่มเพื่อเปลี่ยนค่า IP header บางตัวได้
  

แพ็กเก็ตที่ถูกสร้างขึ้นและส่งผ่านเครือข่าย IPv4 นั้น จะสามารถส่งผ่านไปยังปลายทางได้ เนื่องจากไม่มีการตรวจสอบข้อมูลของแพ็กเก็ตในระหว่างการส่งต่อ (IPv4 เป็นส่งผ่านข้อมูลแบบ end to end) โดยทั่วไปผู้ที่สามารถสร้างแพ็กเก็ตได้จะต้องเป็นผู้ที่มีสิทธิ์สูงพอสมควรในเครื่องๆ นั้น

ในเดือนมิถุนายน 1999 เครื่องมือที่สร้างการโจมตีแบบ DDoS หรือการโจมตีจากหลายๆ ที่พร้อมกัน ได้ถูกพัฒนาและนำมาใช้ ซึ่งถือได้ว่าเป็นจุดเริ่มต้นของการพิจารณารูปแบบการโจมตีแบบ DoS เอกสารฉบับนี้จะมุ่งเน้นไปยังรูปแบบการพัฒนาของการโจมตีแบบ DoS และเครื่องมือที่สามารถนำมาใช้งานได้สำเร็จโดยผู้โจมตี

Timeline

เนื้อหาด้านล่างนี้แสดงให้เห็นถึงช่วงเวลาที่เหตุการณ์สำคัญได้เกิดขึ้น โดยอาศัยข้อมูลจากรายงานที่ได้รับโดย CERT/CC

1999

กรกฏาคม
• เครื่องมือชื่อ trinoo และ Tribe Flood Network ซึ่งอาศัยช่องโหว่เกี่ยวกับ RPC ได้ถูกนำมาใช้
• มีโจมตีแบบ DDoS เป็นการโจมตีผ่านตัวกลางซึ่งถูกควบคุมโดยตรงผ่านทาง TCP, UDP และ ICMP protocol รูปแบบการโจมตีที่เกิดขึ้น เช่น UDP flood, TCP SYN flood และ ICMP echo request flood
• เครือข่ายที่ใช้เพื่อโจมตีแบบ DDoS จะถูกเชื่อมโยงถึงกัน และที่เครื่องที่ทำหน้าที่ควบคุมการโจมตีจะมีรายชื่อไอพีแอดเดร็สของเครื่องที่เป็นตัวกลาง (ผู้เรียบเรียง : ในการโจมตีโดยส่วนใหญ่จะมี 3 จุดที่สำคัญคือ - เครื่องของผู้โจมตี - เครื่องที่ทำหน้าที่ควบคุมการโจมตี - เครื่องที่เป็นตัวกลางซึ่งทำหน้าที่ส่ง flooding packet ไปยังเป้าหมาย)
• เครื่องที่เป็นตัวกลางจะรอรับคำสั่งจากเครื่องที่ทำหน้าที่ควบคุมการโจมตี ซึ่งสามารถถูกตรวจสอบโดย IDS และ network scanner ได้
• CERT® Incident Note IN-99-07 (Distributed Denial of Service Tools)

สิงหาคม
• เครื่องมือชื่อ Stacheldraht ซึ่งรวมความสามารถของ trinoo และ TFN เข้าด้วยกัน มีการเข้ารหัสในช่องการสื่อสารระหว่างผู้ควบคุมและเครื่องที่รัน stacheldraht นอกจากนี้ยังสามารถปรับปรุงตัวเองได้โดยอัตโนมัติ
• แต่การนำไปใช้งานจะต้องพิจารณาถึงความสามารถในการสร้างแพ็กเก็ตของระบบเป้าหมาย

พฤศจิกายน
• CERT/CC เป็นผู้สนับสนุนในการประชุมเชิงปฏิบัติการเกี่ยวกับ DSIT ซึ่งทำให้มีการเผยแพร่เอกสารในเดือนธันวาคม ซึ่งอธิบายถึงเทคโนโลยีของการโจมตีแบบ DDoS
• เอกสารที่ได้จากการประชุมเชิงปฏิบัติการคือ http://www.cert.org/reports/dsit_workshop-final.html

ธันวาคม
• มีการเผยแพร่เครื่องมือชื่อ Tribe Flood Network 2000 (TFN2K) ซึ่งถูกออกแบบให้สามารถควบคุมได้ง่าย ถูกตรวจจับและค้นหาได้ยากขึ้น
• CERT Advisory CA-1999-17 (Denial of Service Tools)

2000

มกราคม
• Stacheldraht ได้กลายเป็นเครื่องมือที่ใช้งานกันอย่างแพร่หลาย ภายหลังจากได้รับการพัฒนาแบบลับๆ มานานหลายเดือน
• CERT Advisory CA-2000-01 (Denial of Service Developments)

กุมภาพันธ์
• สื่อมวลชนรายงานข่าวการถูกโจมตีแบบ DDoS ของเว็บไซต์ที่มีชื่อเสียงหลายที่

เมษายน
• การโจมตีโดยใช้ nameserver เป็นตัวสร้างแพ็กเก็ตกลายเป็นที่นิยม
• CERT® Incident Note IN-2000-04 (Denial of Service Attack using Nameservers)
• มีการค้นพบเครื่องมือใหม่ชื่อ msstream ซึ่งมีรูปแบบคล้าย trinoo มันจะส่งแพ็กเก็ต TCP ACK ที่สุ่มค่า source information และ destination port
• CERT® Incident Note IN-2000-05 ("msstream" Distributed Denial of Service Tool)

พฤษภาคม
• VBS/LoveLetter เป็นหนอนอินเทอร์เน็ตที่แพร่กระจายอย่างรวดเร็วผ่านทางอี-เมล์
• CERT Advisory CA-2000-04 (Love Letter Worm)
• t0rnkit สามารถใช้งานได้ผลเป็นอย่างดีจึงถูกพัฒนาให้ใช้ร่วมกับ DDoS tool ที่มีอยู่แล้ว
• CERT® Incident Note IN-2000-10 (Widespread Exploitationof rpc.statd and wu-ftpd vulnerabilities)

สิงหาคม
• เครื่องมือชื่อ Trinity ซึ่งเป็น DDoS tool ถูกนำมาใช้งานกับระบบยูนิกซ์ที่ถูก compromised

พฤศจิกายน
• มีการใช้งานระบบปฏิบัติการวินโดวส์เป็นตัวกลาง ในการโจมตี(จากเดิมที่เป็นยูนิกซ์)

2001

มกราคม
• หนอนอินเทอร์เน็ตชื่อ Ramen ถูกพัฒนาขึ้นและสามารถแพร่กระจายได้โดยอัตโนมัติ
• CERT® Incident Note IN-2001-01 (Widespread Compromised via "ramen" Toolkit)

กุมภาพันธ์
• VBS/OnTheFly (Anna Kournikova) ซึ่งเป็นไวรัสที่แนบไฟล์ไปกับอี-เมล์ ทำให้กระจายตัวได้อย่างรวดเร็ว
• CERT Advisory CA-2001-03 (VBS/OnTheFly (Anna Kournikova) Malicious Code)
• erkms และ li0n เป็นหนอนอินเทอร์เน็ตที่อาศัยช่องโหว่ของ BIND
• CERT® Incident Note IN-2001-03 (Exploitation of BIND Vulnerabilities)

เมษายน
• เครื่องมือชื่อ carko ถูกค้นพบ ซึ่งมีลักษณะการทำงานคล้ายกันกับ stacheldraht
• CERT® Incident Note IN-2001-04 ("Carko" Distributed Denial-of-Service Tool)

พฤษภาคม
• หนอนอินเทอร์เน็ตชื่อ cheese กระจายตัว ซึ่งเป็นหนอนอินเทอร์เน็ตที่ทำหน้าที่กำจัด backdoor ที่ถูกติดตั้งไว้ในระบบ
• CERT® Incident Note IN-2001-05 (The "cheese" Worm)
• หนอนอินเทอร์เน็ตชื่อ w0rmkit กระจายตัวอย่างช้าๆ โดยมีเป้าหมายเป็นระบบที่ถูก compromised ไปแล้ว
• หนอนอินเทอร์เน็ตชื่อ sadmind/IIS กระจายตัวโดยอาศัย 2 ช่องโหว่ บน 2 ระบบปฏิบัติการ
• CERT Advisory CA-2001-11 (sadmind/IIS Worm)

กรกฏาคม
• ไวรัส W32/Sircam กระจายตัวอย่างรวดเร็ว
• CERT Advisory CA-2001-22 (W32/Sircam Malicious Code)
• มีหนอนอินเทอร์เน็ตอีกหลายตัวที่กระจายตัว เช่น Leaves ซึ่งสามารถปรับปรุงและเปลี่ยนฟังก์ชันการทำงานในขณะกระจายตัวได้ และ Code red ซึ่งสามารถ scan หาระบบที่ต้องการ ซึ่งจุดนี้เองก่อให้เกิดรูปแบบของ DoS ขึ้น
• CERT® Incident Note IN-2001-07 (W2/Leaves: Exploitation Buffer Overflow In IIS Indexing)
• CERT® Incident Note IN-2001-08 ("Code Red" Worm Exploitation Buffer Overflow in IIS Indexing Service DLL)
• CERT Advisory CA-2001-19 ("Code Red" Worm Exploitation Buffer Overflow in IIS Indexing Service DLL)
• CERT Advisory CA-2001-20 (Continue Threats to Home Users)
• CERT Advisory CA-2001-23 (Continue Threats of the "Code Red" Worm)
• มีหนอนอินเทอร์เน็ตอีกหลายตัวที่กระจายตัวผ่านทาง IRC โดยอาศัยช่องโหว่ของ telnetd
• CERT Advisory CA-2001-21 (Continue Threats of the "Code Red" Worm)

สิงหาคม
• Code Red II เริ่มต้นกระจายตัวอีกครั้ง
• CERT® Incident Note IN-2001-19 ("Code Red II:" Another Worm Exploitation Buffer Overflow in IIS Indexing Service DLL)
• CERT® Incident Note IN-2001-10 ("Code Red" Crash IIS 4.0 Server with URL Redirection Enabled)
• มีการโจมตีแบบ DDoS ผ่านทาง IRC เช่น Knight/Kaiten ซึ่งสามารถกระจายตัวได้ด้วยตัวเอง

กันยายน
• หนอนอินเทอร์เน็ตชื่อ Nimda กระจายตัวผ่านทางอี-เมล์, SMB networking และ backdoor ที่โปรแกรมอื่นทิ้งไว้ โดยอาศัยช่องโหว่ของ Microsoft Internet Explorer และ IIS เช่นเดียวกันกับ Code Red ซึ่งทำให้เกิดสภาวะของ DoS ด้วย
• CERT Advisory CA-2001-26 (Nimda Worm)

Trend

การศึกษาเรื่องรูปแบบ การโจมตีที่ผ่านมาและแนวโน้มรูปใหม่ๆ ที่จะเกิดขึ้นของการโจมตีนั้น จะแบ่งเป็น 3 ส่วนคือ Deployment, use และ impact

Deployment
รูปแบบการโจมตีตั้งแต่ช่วงปี 1999 จะเริ่มจากการเจาะเข้าไปในระบบที่มีช่องโหว่ แล้วจึงติดตั้งโปรแกรมที่ทำหน้าที่เป็น DDoS ลงไปในระบบดังกล่าว ดังนั้นจึงสามารถพบเห็นการเพิ่มขึ้นของการโจมตีแบบอัตโนมัติ การเลือกเป้าหมายนั้นมีทั้งแบบสุ่ม(blind targeting) และการเลือกเป้าหมายแบบเจาะจง(selective targeting) เช่น ระบบปฏิบัติการวินโดวส์และเราเตอร์ นอกจากนี้ยังพบว่าช่วงเวลาที่ใช้ระหว่างการค้นพบช่องโหว่ใหม่กับการคิดค้น exploit tool ออกมาเพื่อใช้งานช่องโหว่นั้นมีช่วงเวลาที่สั้นลง

Automation
เช่นเดียวกับรูปแบบการโจมตีอื่น การโจมตีแบบ DoS ในช่วงแรก จะใช้วิธีเจาะเข้าไปในระบบที่มีช่องโหว่จากนั้นจึงติดตั้งเครื่องมือด้วยตัวเอง ภายหลังได้มีการคิดค้นเครื่องที่ช่วยทำงานเหล่านี้ให้โดยอัตโนมัติ

จุดเริ่มต้นของการโจมตีมักจะเริ่มจากการสแกนไปยังระบบของเป้าหมาย ซึ่งสแกนเนอร์จะแสดงรายชื่อโฮสต์ที่มีช่องโหว่ จากนั้นก็จะใช้ automated tool หรือเครื่องมือที่ใช้ในการรัน exploit บนโฮสต์ที่มีช่องโหว่ เพื่อครอบครองโฮสต์ดังกล่าว จากนั้นจึงจะติดตั้งเครื่องมือสำหรับโจมตีต่อไป

หากพิจารณาในรายละเอียดจะพบว่า เครื่องมือของผู้โจมตีจะก่อให้เกิดแพ็กเก็ตจำนวนมาก โดยอาศัยเครือข่ายที่ตอบรับกับ IP direct broadcast packet (ผู้เรียบเรียง : ปกติผู้ดูแลเครือข่ายจะติดตั้งเครือข่ายให้ไม่ตอบรับกับ broadcast packet เพื่อป้องกันการถูกใช้เป็นตัวกลางในการโจมตีแบบ DoS) เช่น ผู้โจมตีสร้างแพ็กเก็ตจำนวนมากจาก Microsoft Internet Information Server (IIS) ที่มีช่องโหว่ซึ่งอนุญาตให้รันคำสั่งใน HTTP request ได้

ในปัจจุบันผู้โจมตีได้พัฒนาเครื่องมือที่สามารถสั่งงานโดยอัตโนมัติตั้งแต่เริ่มการสแกน การทำ exploit (หรือหาประโยชน์จากช่องโหว่ของระบบ) และติดตั้งเครื่องมือสำหรับโจมตี เครื่องมืออย่าง T0rnkit ถือได้ว่าเป็นเครื่องมือที่ประสบความสำเร็จมากตัวหนึ่ง แต่เครื่องมือแบบนี้ไม่มีคุณสมบัติในการกระจายตัวโดยอัตโนมัติแต่อย่างใด

อย่างไรก็ตามก็มีหนอนอินเทอร์เน็ตบางตัว เช่น ramen ที่สามารถสแกน การทำ exploit ติดตั้งเครื่องมือสำหรับโจมตี และกระจายตัวต่อไปโดยอัตโนมัติ ซึ่งปัจจุบันได้เริ่มมีการนำเครื่องมือลักษณะดังกล่าวมาใช้งานด้วย

การกระจายตัวแบบอัตโนมัติมีด้วยกัน 3 รูปแบบคือ

• Central source propagation - กลไกการกระจายตัวแบบนี้จะต้องใช้ระบบที่ถูก compromised เรียบร้อยแล้ว จากนั้นจึงติดตั้งเครื่องมือหรือ attacker toolkit จากส่วนกลาง โดยมี script ที่ทำหน้าที่ควบคุมการติดตั้งและเริ่มวงจรเพื่อโจมตีที่อื่นต่อไป กลไกการรับส่งไฟล์จะใช้โพรโตคอล HTTP, FTP และ RPC เป็นส่วนใหญ่ ตัวอย่างที่เห็นได้ชัดคือ หนอนอินเทอร์เน็ตที่ชื่อ 1i0n
  
  
  
  
• Back-chaining propagation - กลไกการกระจายตัวแบบนี้จะต้อง compromise ไปยังเป้าหมายจาก attacker host แล้วจึงส่งต่อ attacker tool ไปยังเครื่องที่ถูก compromised ไปแล้วดังกล่าว ในบางกรณี attack tool จะสามารถเปิด port เพื่อรอรับ connection สำหรับขนส่งไฟล์ข้ามเครือข่าย หรือใช้ TFTP ข้อดีของการกระจายตัวแบบนี้คือสามารถคงอยู่ได้นานกว่าเพราะไม่มี single point of failure ตัวอย่างที่เห็นได้ชัดเจนกว่า หนอนอินเทอร์เน็ตที่ชื่อ ramen
  
  
  
  
• Autonomous propagation - ตัวอย่างที่เห็นได้ชัดเจนคือ Code red และ Morris ซึ่งเป็นหนอนอินเทอร์เน็ตที่กระจายตัวในปี 1988 การ exploit จะผสมกลไกการกระจายตัวเข้าไปด้วย ดังนั้นจึงไม่มีการรับส่งไฟล์จากภายนอกแต่อย่างใด
  
  
  

ในที่นี้ไม่ได้รวมการกระจายตัวผ่านทางไฟล์แนบ (attachment) ของอี-เมล์ เข้ามาเป็นวิธีในการกระจายตัว เพราะการกระจายตัวผ่านทางอี-เมล์ดังกล่าวจำเป็นต้องได้รับการกระตุ้นโดยผู้ใช้งานเสียก่อน (ผู้เรียบเรียง : ปัจจุบันมีไวรัสบางตัวที่ต้องการกระตุ้นจากผู้ใช้เพียงเล็กน้อย เช่น Nimda, Goner ที่ผู้ใช้แค่เพียงคลิ้กที่ subject ของอี-เมล์ก็สามารถกระจายตัวไปได้ ซึ่งอาศัยช่องโหว่ของโปรแกรม Microsoft Internet Explorer ในขณะที่ไวรัสแบบเก่าจำเป็นต้องได้รับการกระตุ้น โดยการรันไฟล์ที่แนบมาโดยผู้ใช้อย่างชัดเจน) ปัจจุบันจะเห็นการโจมตีที่มากขึ้นผ่านทางอี-เมล์ โดยพยายามลวงผู้ใช้งานให้เข้าใจผิดเกี่ยวกับชื่อไฟล์ที่แนบมาด้วย อย่างไรก็ตามการโจมตีในรูปแบบดังกล่าวถือได้ว่าเป็นการโจมตีแบบ social engineering ซึ่งไม่ได้ใช้เทคโนโลยีที่ซับซ้อนมากขึ้นแต่อย่างใด

Windows-based Attack Targets
การโจมตีแบบอัตโนมัติในหัวข้อด้านบนนั้นมักจะกระทำกับระบบปฏิบัติการที่เป็นยูนิกซ์เท่านั้น แต่เนื่องจากจำนวนผู้ใช้ระบบปฏิบัติการวินโดวส์ที่เพิ่มขึ้น และจำนวนช่องโหว่ที่เพิ่มมากขึ้น ทำให้ end-user กลายเป็นเป้าหมายของการเจาะเข้าไปเพื่อติดตั้ง DoS tool ในที่นี้จะพูดถึงรูปแบบในการเลือกเป้าหมายซึ่งมี 2 รูปแบบด้วยกันคือ การเลือกเป้าหมายแบบสุ่มและการเลือกเป้าหมายแบบเจาะจง

หนอนอินเทอร์เน็ตที่กระจายตัวได้ด้วยตัวเองอย่าง Code Red, Code Red II และ Nimda ใช้วิธีการเลือกเป้าหมายแบบสุ่ม ซึ่งเป้าหมายที่สุ่มได้จะมีขนาดใหญ่ แต่เน้นหนักเฉพาะเป้าหมายที่อยู่ในเครือข่ายใกล้เคียงกันเท่านั้น ซึ่งบรรดาเครื่องมือหรือหนอนเหล่านี้ใช้หลักการพื้นฐานของการสุ่มค่าตัวเลขขึ้นมา ปัจจุบันมีการโจมตีทั้งต่อยูนิกซ์และวินโดวส์

การโจมตีที่มีพื้นฐานการเลือกเป้าหมายแบบสุ่มปกติแล้วจะทำเองโดยอัตโนมัติ และในช่วงของการโจมตีจะใช้มนุษย์มาเกี่ยวข้องเพียงเล็กน้อยหรือน้อยมาก ความสำเร็จของการโจมตีจะถูกจำกัดไว้ในระดับหนึ่ง เพราะเครื่องมือที่ใช้มักจะถูกออกแบบให้โจมตีช่องโหว่ในไม่กี่รูปแบบเท่านั้น

การโจมตีที่มีพื้นฐานการเลือกเป้าหมายแบบเจาะจงมักจะไม่ใช้งานที่เป็นอัตโนมัติมากนัก และการเลือกเป้าหมายจะไม่ขึ้นอยู่กับช่องโหว่ด้วย เกณฑ์การเลือกเป้าหมายขึ้นอยู่กับลักษณะการเชื่อมต่อเครือข่าย แบนด์วิดธ์ที่มีการใช้งาน และแบนด์วิดธ์ที่เหลืออยู่มากกว่า เพราะผู้โจมตีจะใช้เป็นส่วนหนึ่งของการโจมตี DoS แบบกระจายหรือ DDoS

แต่ในปัจจุบันผู้โจมตีมักจะไม่ค่อยให้ความสนใจต่อเกณฑ์การเลือกเป้าหมายมากนัก ซึ่งจะเห็นว่าการเลือกเป้าหมายที่เป็น end-user ที่ใช้ระบบปฏิบัติการวินโดวส์กำลังเพิ่มจำนวนขึ้นสำหรับการเลือกเป้าหมายทั้งสองรูปแบบ และจากการพัฒนารวมทั้งการนำโค้ดมาใช้ใหม่ ทำให้เครื่องมือสำหรับโจมตีมีความสามารถในการโจมตีช่องโหว่ที่มีอย่างมากมายของวินโดวส์ ส่งผลให้มีการใช้งานเครื่องเหล่านั้นอย่างกว้างขวาง

สาเหตุที่ผู้โจมตีมุ่งเป้าไปยังผู้ที่ใช้วินโดวส์ก็เนื่องจาก ผู้ใช้ส่วนใหญ่ไม่มีความรู้เกี่ยวกับ security ไม่ทราบวิธีป้องกันตัวเองจากการโจมตี ซึ่งแตกต่างจากผู้เชี่ยวชาญหรือผู้ดูแลระบบที่ยังสามารถป้องกันตัวเองได้ในระดับหนึ่ง

เนื่องจากผู้โจมตีหันไปโจมตีผู้ใช้ที่ใช้วินโดวส์มากขึ้น CERT/CC จึงได้ให้คำแนะนำ เรื่อง Home Network Security เพื่อให้ความรู้กับผู้ใช้ตามบ้านทั่วไป คำแนะนำสำหรับผู้ใช้ตามบ้านที่ใช้วินโดวส์ก็คือ ให้ติดตั้ง personal firewall ซึ่งอาจจะเป็นซอฟแวร์หรือฮาร์ดแวร์ก็ได้

การเลือกเราเตอร์เป็นเป้าหมาย
มีการเพิ่มจำนวนของการโจมตีที่มุ่งเป้าไปที่เราเตอร์มากขึ้น เนื่องจากผู้ผลิตบางรายได้มีการตั้งค่า default password ไว้ หรือมีการติดตั้งที่ไม่ดีพอ ซึ่งทำให้ผู้บุกรุกสามารถครอบครองเราเตอร์ได้ มีเอกสารที่แสดงคำสั่งที่ควรจะถูกรันภายหลังจากผู้บุกรุกสามารถครอบครองเราเตอร์ได้ เพื่อแก้ไข configuration ของเราเตอร์ ผู้บุกรุกมักจะใช้เราเตอร์เป็นจุดในการสแกนระบบ หรือใช้เป็น proxy เพื่อติดต่อไปยัง IRC หรือใช้เป็นจุดในการสร้าง flooding DoS attack

เราเตอร์เป็นเป้าหมายที่นิยมกันของผู้โจมตี เนื่องจากเป็นจุดที่มักจะอยู่นอกเหนือ security policy และไม่ได้รับการป้องกันเท่าที่ควร นอกจากนี้ยังมีโอกาสที่จะถูกค้นพบยังมีน้อย

ความสำคัญของเราเตอร์เริ่มมีบทบาทมากขึ้นสำหรับการโจมตีแบบ DoS ซึ่งอยู่บนพื้นฐานของการโจมตีโดยตรงไปยัง routing protocols ที่เชื่อมเครือข่ายระหว่างกันบนอินเทอร์เน็ต

Time-To-Exploit is Shrinking
การโจมตีที่ดีจะพยายามลดเวลาที่จะใช้ในการเข้าโจมตี เพราะช่วงเวลาตั้งแต่มีการค้นพบช่องโหว่พร้อมกับการเข้าใช้ช่องโหว่(exploit) จนถึงการที่ผู้ดูแลระบบนำ patch มาติดตั้งเพื่อป้องกันระบบนั้นมีช่วงเวลาที่สั้นลง และเนื่องจากการที่มีเครื่องมือสำหรับโจมตีเป็นจำนวนมากทำให้การพัฒนาเครื่องมือเพื่อเข้าใช้งานช่องโหว่ใหม่ๆ ได้ตลอด นอกจากนี้ยังมีกลุ่มคนซึ่งมักจะซุ่มสร้างเครื่องมือสำหรับโจมตีใหม่ๆ ออกมาเรื่อยๆ เพื่อสร้างคุณค่าให้กับกลุ่มของตัวเอง เครื่องมือที่ถูกเผยแพร่สู่สาธารณะมักจะใช้ประโยชน์ไม่ค่อยได้เนื่องจากเก่าเกินไป แต่ผู้พัฒนาก็พยายามที่จะออกแบบเครื่องมือเพื่อเพิ่มอายุการใช้งานให้มากขึ้น

Use
อย่างที่กล่าวไว้ก่อนหน้านี้ว่าเราจะยังคงเห็นการโจมตีแบบ DoS รูปแบบเก่า คือโจมตีจากที่เดียวไปยังเป้าหมายหลายแห่งพร้อมกัน

Control Channels
รูปแบบการโจมตีแบบ DDoS ในก่อนหน้านี้จะเป็นการส่งคำสั่งควบคุมการโจมตีจากเครื่องควบคุม(intruder) ไปยัง agent หรือตัวกลาง(ซึ่งถูก compromise และติดตั้งเครื่องมือไว้แล้ว) เพื่อส่งแพ็กเก็ตจำนวนมากไปยังเป้าหมายพร้อมๆ กัน โดยทั่วไปตัวกลางจะเปิด port เพื่อรอรับคำสั่งโจมตีจากผู้ควบคุม และเช่นเดียวกันเครื่องควบคุมก็จะเปิด port ไว้เพื่อให้ตัวกลางรายงานค่าไอพีแอดเดร็สของตัวกลางเข้ามา โดยปกติค่า port ที่ใช้จะเป็นค่าที่แน่นอน และเป็น port ที่มีค่าสูงๆ

ตัวอย่างแสดงการใช้ port ของ Trinoo

ผู้โจมตี --> เครื่องที่ทำหน้าที่ควบคุม; destination port 27665/tcp
เครื่องที่ทำหน้าที่ควบคุม --> ตัวกลาง; destination port 27444/udp
ตัวกลาง --> เครื่องที่ทำหน้าที่ควบคุม; destination port 31335/udp

เครื่องมืออื่นๆ อย่างเช่น Stacheldraht สามารถเข้ารหัสคำสั่งที่ใช้ในการสื่อสารได้ เพื่อป้องกันการถูกตรวจสอบจาก sniffer หรือ IDS

ก่อนหน้านี้เมื่อเครือข่ายถูกโจมตีด้วย DDoS มักจะถูกตรวจสอบและขัดขวางได้ง่าย เนื่องจากเครื่องที่ทำหน้าที่เป็นตัวกลางจะต้องทำหน้าที่รักษารายชื่อของเครื่องที่ทำหน้าที่ควบคุม ซึ่งก็คือรายชื่อไอพีแอดเดร็สของเครื่องเหล่านั้น เพื่อส่งแพ็กเก็ตไปลงทะเบียนกับเครื่องที่ทำหน้าที่ควบคุม ดังนั้นหากสามารถขัดขวางการทำงานของเครื่องที่ทำหน้าที่เป็นตัวกลางได้ ก็จะสามารถตรวจสอบได้ว่าเครื่องที่ทำหน้าที่ควบคุมมีไอพีใดบ้าง ในขณะเดียวกันเครื่องที่ทำหน้าที่เป็นเครื่องควบคุมก็จะมีรายชื่อไอพีของเครื่องที่เป็นตัวกลางอยู่ การค้นพบเครื่องที่ทำหน้าที่ควบคุมก็จะนำไปสู่การขัดขวางการโจมตีได้ และเนื่องจากทั้งเครื่องที่ทำหน้าที่ควบคุมและเครื่องที่เป็นตัวกลางจะต้องเปิด port เพื่อรอรับ connection มันจึงสามารถถูกค้นพบได้โดย network scanner นอกจากนี้ช่องทางการสื่อสารที่ใช้ระหว่างผู้โจมตีกับเครื่องที่ทำหน้าที่ควบคุม และเครื่องที่ทำหน้าที่ควบคุมกับเครื่องที่เป็นตัวกลาง จะสามารถถูกค้นพบและดักจับได้ด้วยเครื่องมือที่คอยจับตาดูเครือข่าย เช่น Intrusion detection System (IDS)

ข้อบกพร่องของเครื่องมือโจมตีแบบ DDoS รุ่นเก่า ทำให้มันไม่สามารถถูกใช้งานได้อย่างแพร่หลาย ไม่ว่าจะเป็นขั้นตอน deployment ซึ่งต้องอาศัยเวลา หรือแม้แต่การทำ automate deployment ก็ตาม การถูกค้นพบเพียงเครื่องเดียวอาจจะทำให้กระบวนการที่ทำมาทั้งหมดนั้นไม่สามารถใช้งานได้เลย ดังนั้นในปัจจุบันนี้จะพบเห็นแต่เพียงขั้นตอนของการ deployment ของเครื่องมือต่างๆ เท่านั้น

ในปัจจุบันพบว่าผู้บุกรุกได้ใช้โพรโตคอล Internet Relay Chat (IRC) เป็นช่องทางหลักของการสื่อสารเพิ่มมากขึ้น ซึ่งได้เปลี่ยนรูปแบบในการควบคุมการโจมตี โดยทำหน้าที่เป็นเครื่องที่ทำหน้าที่ควบคุมแทน ซึ่งมีข้อดีเนื่องจากสามารถรันบ็อท (bots) บนเครือข่าย IRC ได้ ทำให้ลดการพึ่งพามนุษย์ลงไปได้

การใช้เครือข่ายและโพรโตคอล IRC ทำให้ยากในการตรวจสอบที่มาของการโจมตีแบบ DDoS เนื่องจากเครื่องที่ทำหน้าที่เป็นตัวกลางสามารถส่งข้อมูลออกไปยังเครือข่าย IRC โดยใช้ port มาตรฐานได้ เช่น port 6667/tcp ซึ่งในกรณีนี้ตัวกลางไม่จำเป็นต้องเปิด port รอรับ connection ดังนั้นการใช้ network scanner ตรวจสอบก็ไม่สามารถตรวจจับได้ เมื่อผู้โจมตีต้องการสื่อสารไปยังเครื่องตัวกลางก็จะติดต่อไปยัง IRC server และใช้ช่องทางการสื่อสารของ IRC เพื่อควบคุมการทำงานของเครื่องตัวกลาง ซึ่งโดยปกติแล้วถ้าเครือข่ายมีนโยบายการรักษาความปลอดภัยที่ดีพอ เช่น การห้ามใช้งาน IRC port ก็จะสามารถดักจับและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้ แต่โดยทั่วไปแล้วมักจะมีการอนุญาตให้ใช้งาน IRC เนื่องจากเป็นความต้องการของผู้ใช้

การสืบสวนหาผู้โจมตีที่ใช้ช่องทางการควบคุมผ่านเครือข่ายและโพรโตคอล IRC นั้น ส่วนใหญ่มักจะไม่ประสบความสำเร็จ เพราะหากมีการค้นพบเครื่องที่ทำหน้าที่เป็นตัวกลางแล้ว การสืบสวนต่อไปมักจะสิ้นสุดลงที่ IRC server และทราบเพียงชื่อ channel ที่ใช้ในการควบคุมเท่านั้นเอง

Execution DoS Attacks
จากการเปลี่ยนแปลงของการโจมตีแบบ DoS การเพิ่มขึ้นของผู้ใช้อินเทอร์เน็ตทั้ง end-user/องค์กร และประสบการณ์ของการโจมตี จะเห็นได้ว่ามีการเพิ่มจำนวนของการโจมตีแบบ DDoS ขนาดใหญ่มากขึ้นเรื่อยๆ เครือข่ายขนาดใหญ่มีแบนด์วิดธ์และทรัพยากรที่มากขึ้น การโจมตีที่เกิดขึ้นก็ได้อาศัยทรัพยากรที่มากมายเหล่านี้ด้วย

การทำ packet filtering หรือ rate limiting นั้นสามารถหยุดยั้งการโจมตีได้บางรูปแบบเท่านั้น ผู้โจมตีได้พยายามใช้โพรโตคอลหรือบริการที่มักจะอนุญาตให้ใช้งานเป็นพาหนะในการขนถ่ายข้อมูลผ่านไป การทำ packet filtering หรือ rate limiting โดยใช้วิธี anomalous (การตรวจจับโดยอาศัยหลักการสังเกตุความผิดปกติของเหตุการณ์ที่เกิดขึ้น โดยเปรียบเทียบกับเหตุการณ์ที่เป็นปกติ) เองก็ทำได้ยาก แต่อย่างไรก็ตามการใช้วิธีการทั้ง packet filtering และ rate limiting ก็ทำให้งานของผู้โจมตียากขึ้นไปอีกระดับหนึ่ง

การปลอมไอพีแอดเดร็สในการโจมตีแบบ DoS มักจะไม่จำเป็น เพราะจำนวนเครื่องที่ใช้เป็น source ในการโจมตีมักจะมีจำนวนมากมาย ซึ่งอาจจะอยู่ในคนละ AS (autonomous system) กันก็ได้ และส่วนใหญ่มักจะถูกครอบครองได้อย่างง่ายดาย

Impact

Increased Blast zone
ปกติผลกระทบของการโจมตีแบบ DoS มักจะขึ้นกับความสามารถในการใช้งานทรัพยากรที่ยังหลงเหลืออยู่ มีวิธีและเครื่องมือมากมายที่สามารถทำลายเครือข่ายที่มีทรัพยากรเหลือเฟือได้ นอกจากนี้ยังมีผลกระทบข้างเคียงที่เกิดจากการโจมตีที่ไม่เกี่ยวข้องกับการใช้งานทรัพยากรหรือ resource

ตัวอย่างที่เห็นได้ชัดเจนคือ ระบบการบันทึกล็อกซึ่งโดยปกติจะบันทึกข้อมูลที่เกี่ยวข้องกับเครือข่ายลงในระบบ เมื่อมีการกระจายของไวรัสบางตัว เช่น Code red, Nimda ก็อาจจะก่อให้เกิดปัญหากับระบบบันทึกข้อมูลซึ่งต้องบันทึกข้อมูลจำนวนมาก จนพื้นที่สำหรับเก็บข้อมูลมีไม่เพียงพอซึ่งอาจจะมีผลต่อการทำงานของระบบโดยรวมได้

สำหรับเครือข่ายที่เชื่อมต่อเครือข่ายอื่นผ่านทาง upstream network ที่มีการคิดค่าใช้จ่ายจากจำนวนข้อมูลที่ถูกส่งผ่าน ก็จะได้รับผลกระทบจากการโจมตีแบบ DoS ซึ่งจะก่อให้เกิดมีการส่งผ่านข้อมูลจำนวนมาก ทำให้อาจจะมีปัญหากับค่าใช้จ่ายที่ตามมาได้

ปัจจุบันมีความนิยมในการใช้งาน web hosting มากขึ้น ซึ่งหมายถึงการโจมตีต่อเว็บไซต์แห่งเดียว ก็จะทำให้เกิดผลกระทบต่อเว็บไซต์อื่นๆ ที่ใช้บริการอยู่บนเครื่องเดียวกันได้

When Deployment Becomes the Attack
เหตุการณ์ต่างๆ ที่เกิดขึ้น เช่น Code Red, Nimda ต่างแสดงให้เห็นว่า เครื่องมือที่ทำงานแบบอัตโนมัติเหล่านี้สามารถก่อให้เกิดการโจมตีแบบ DoS ได้ในหลายๆ ส่วนของอินเทอร์เน็ต การ scan และกระจายตัวของไวรัสเหล่านี้ไม่ใช่ปัญหาหลัก แต่ผลข้างเคียงที่เกิดขึ้นกลับกลายเป็นปัญหาหลัก โดยส่วนใหญ่ปัญหาจะเกิดขึ้นภายในเครือข่ายท้องถิ่น (local network) นอกจากนี้ยังไม่น่าเชื่อว่าจะมีอุปกรณ์บางตัวที่ได้รับผลกระทบจากไวรัสเหล่านี้ เช่น printer, DSL modem เหตุการณ์ที่เกิดขึ้นทั้งหมดนั้นสามารถทำให้ระบบที่เชื่อมต่อกับอินเทอร์เน็ตหยุดการทำงานไปได้อย่างง่ายดาย

Summary

ในช่วงหลายปีที่ผ่านมาปัญหาการโจมตีแบบ Denial of service ยังคงไม่ค่อยมีการเปลี่ยนแปลงมากนัก เครือข่ายที่มีทรัพยากรอยู่อย่างจำกัดและอ่อนแอมักจะถูกโจมตี ระบบต่างๆ ยังคงมีช่องโหว่ทั้งเก่าและใหม่ ผู้ผลิตยังคงผลิตสินค้าที่มีช่องโหว่ออกมา ผู้บริโภคก็ยังคงใช้งานสินค้าที่มีข้อบกพร่องต่อไป และยังมีข้อบกพร่องที่เกิดจากการตั้งค่าที่ผิดพลาดหรือการจัดการที่ไม่ดีพอ CERT/CC ยังจัดเก็บข้อมูลข้อบกพร่องและ exploit ที่เป็นวงจรควบคู่กัน ผู้ผลิตก็พยายามสร้างความรู้ความเข้าใจที่เกี่ยวข้องกับความปลอดภัยเสมอ แต่ผลลัพธ์สุดท้ายก็ยังมีระบบในอินเทอร์เน็ตอีกมากมายที่ยังมีช่องโหว่ที่สามารถใช้เป็นจุดในการโจมตีแบบ DoS ได้

การโจมตีแบบ DoS มีการเปลี่ยนแปลงเล็กน้อยตั้งแต่ปี 1999 เครื่องมือต่างๆ ที่ใช้โจมตีแบนด์วิดธ์ได้รับความนิยมและถูกนำไปใช้ โดยวิธีที่นิยมคือการส่ง packet stream เข้าไปยังระบบของเป้าหมาย มีการปรับปรุงอัลกอริทึมของการโจมตีแบบ DoS flooding แบบเก่าเพียงเล็กน้อยเท่านั้น เพราะการโจมตีแบบเก่านั้นยังสามารถใช้ได้ผลดี

สิ่งที่เปลี่ยนแปลงไปคือ เครื่องมือของผู้โจมตีมีวิธีการนำไปติดตั้งและเทคโนโลยีที่ใช้ รูปแบบการออกแบบและควบคุมการโจมตี และผลกระทบที่ได้รับจากการโจมตี

การใช้เทคโนโลยีแบบ automation ช่วยให้การกระจายตัวของหนอนอินเทอร์เน็ตสามารถทำได้ง่ายขึ้น ซึ่งสามารถพบเห็นเครื่องมือที่ทำงานแบบอัตโนมัติที่จะโจมตีระบบบนช่องโหว่ที่ได้กำหนดไว้แล้วรวมทั้งรูปแบบการเลือกเป้าหมายที่เป็นแบบสุ่ม การเลือกเป้าหมายแบบเจาะจงถูกนำไปใช้กับผู้ที่ใช้วินโดวส์เป็นหลัก และ router ก็กลายเป็นจุดหนึ่งที่มีผลกระทบค่อนข้างมากต่อระบบอินเทอร์เน็ต

ในขณะที่ยังมีการโจมตีโดยใช้รูปแบบเก่า ก็มีผู้โจมตีส่วนหนึ่งหันไปใช้เครือข่ายและโพรโตคอล IRC ในการควบคุมการโจมตีแบบ DDoS และการส่ง packet flooding ก็ยังคงสามารถใช้โจมตีได้กับระบบโดยทั่วไป ซึ่งอาจจะมีการเลือกใช้ packet stream ที่มีอยู่หลายรูปแบบได้

การโจมตีแบบ DoS ยังคงเพิ่มขึ้นเรื่อยๆ และมีผลกระทบค่อนข้างมาก ผลกระทบข้างเคียงก็เป็นส่วนหนึ่งในนั้นด้วย การแพร่กระจายของหนอนอินเทอร์เน็ตบางตัวก็สามารถทำให้เกิดการโจมตีแบบ DoS ได้

Conclusion

การสร้างเครื่องมือสำหรับโจมตียังคงเป็นแนวโน้มที่เกิดขึ้นมานานและจะยังคงดำเนินต่อไป การตอบโต้กลับการโจมตีแบบ DoS ยังคงทำได้ยาก เครื่องมือที่สามารถทำงานได้โดยอัตโนมัติและสามารถจัดการได้ง่ายจะยังคงเป็นหัวข้อหลักในการพัฒนาเครื่องมือสำหรับโจมตี และการโจมตีแบบ DoS จะใช้ช่องโหว่ของโพรโตคอล เช่น routing protocol มากกว่าการโจมตีโดยใช้ packet flooding

เอกสารฉบับนี้ไม่ได้ชี้แจงวิธีการป้องกันการโจมตี เพียงแต่ต้องการให้ตระหนักถึงเทคโนโลยีและรูปแบบที่ใช้ในการโจมตีมากกว่า หวังเป็นอย่างยิ่งว่ารูปแบบและแนวโน้มของการโจมตีที่จะเกิดขึ้นจากเอกสารฉบับนี้ จะสามารถช่วยให้ผู้ที่เกี่ยวข้องทราบได้ว่าควรจะมีการเปลี่ยนแปลง security policies หรือเทคโนโลยีที่จะช่วยให้ระบบมีความปลอดภัยมากยิ่งขึ้นอย่างไร