หลังจากที่มีการแชร์ข้อความในสื่อสังคมออนไลน์ให้รวมตัวกันต่อต้าน ระบบซิงเกิลเกตเวย์ (Single Gateway) เพื่อควบคุมอินเทอร์เน็ตของประเทศ ด้วยวิธีการ DDoS ซึ่งเป็นวิธีเชิงสัญลักษณ์ โดยให้ผู้ที่มีอินเทอร์เน็ตเปิดเว็บไซต์เป้าหมายก่อนที่จะกดปุ่ม F5 หรือปุ่มรีเฟรชรัวๆ พร้อมกัน เพื่อทำให้เว็บไซต์ไม่สามารถรองรับการเข้าชมของคนจำนวนมาก จนล่มนั้น
ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ ได้พูดคุยกับนักวิชาการด้านความปลอดภัยทางคอมพิวเตอร์ ทั้งสองท่านถึงเหตุการณ์ดังกล่าว ว่าวิธีการกดปุ่ม F5 รัวๆ บนหน้าเว็บไซต์เป้าหมาย แท้จริงแล้วเป็นการร่วมแรงของคนไทยในการนั่งกดรีเฟรช หรือมีมือมืดใช้เทคนิคยิงถล่มเว็บไซต์กันแน่!
...
กด F5 รัวๆ เป็นเพียงฉากหน้าจริงหรือ!?
นายนรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล นักวิชาการอิสระด้านความมั่นคงปลอดภัยทางคอมพิวเตอร์ ให้สัมภาษณ์กับทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ว่า การที่เว็บรัฐบาลล่มกันระนาวนั้น ประชาชนทั่วไปมักจะเข้าใจว่า คนไทยหลักแสนคนมานั่งเปิดเว็บไซต์เว็บเดียวกันแล้วกดปุ่ม F5 หรือรีเฟรชหน้าเว็บ แต่ในความจริงแล้วไม่ได้เป็นเช่นนั้น เรื่องเหล่านี้เป็นเพียงฉากหน้าที่มีคนเล่นอยู่เบื้องหลัง โดยการไปเช่าเซิร์ฟเวอร์ที่ต่างประเทศแล้วยิงถล่มกลับเข้ามาในไทย เพราะหากเข้าไปดู Traffic กันจริงๆ มาจากประเทศทางยุโรปแทบทั้งสิ้น
“การยิง DDoS มีผู้ให้บริการที่เปิดเป็นเซิร์ฟเวอร์ในการให้บริการรับยิงถล่มเว็บไซต์ ดังนั้น ใครก็ได้จ่ายเงินซื้อบริการ และแจ้งว่าจะให้ยิงไปที่ไหน เว็บผู้ให้บริการก็จะยิงมาเท่านั้นเอง โดยผู้ให้บริการพวกนี้หวังผลให้เกิดการต่อสู้กัน แต่บริการแบบนี้ก็มีข้อดี คือ เป็นการทดสอบความแข็งแรงของเว็บไซต์ว่า ถ้ามีคนเข้าเว็บจำนวนมากในเวลาเดียวกัน เว็บจะสามารถอยู่รอดได้หรือไม่ แต่บางคนเอาไปใช้ในทางที่ผิด อยากจะถล่มใครก็จ่ายเงินจ้างให้ไปถล่มแทน” นายนรินทร์ฤทธิ์ ระบุ
วิเคราะห์เบื้องหลัง จ่ายเงินจ้างเว็บนอกใช้ DDoS ยิงถล่ม
ด้าน นายปริญญา หอมเอนก ผู้เชี่ยวชาญและนักวิชาการด้านความปลอดภัยทางคอมพิวเตอร์ เปิดเผยข้อมูลกับทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ว่า ในต่างประเทศนั้นมีเว็บไซต์ให้บริการ DDoS ยิงเว็บ เพื่อทดสอบว่าเว็บไซต์นั้นๆ จะรับการโหลดได้มากน้อยขนาดไหน โดยเฉพาะเว็บดังๆ สามารถรับการโหลดได้วันละเป็นล้านคน โดยจะใช้ DDoS มาทดสอบเว็บของตนเอง ซึ่งผู้ที่ต้องการใช้บริการสามารถจ่ายเงินผ่านบัตรเครดิตได้ จากนั้นเว็บผู้ให้บริการจะขอ IP Address ของเว็บไซต์เป้าหมาย เพื่อโจมตีถล่มเว็บไซต์ให้ร่วงจนไม่สามารถใช้งานได้ ซึ่งมีหลายประเทศที่เปิดให้บริการแบบนี้
รวมทั้งยังมีเว็บไซต์ที่ให้บริการ DDoS ซึ่งเวลาจะยิงถล่ม จะไม่เอา IP Address ของตัวเองมายิง บางครั้งอาจจะเห็นว่ายิงมาจากยุโรป แต่มีความเป็นไปได้ที่ IP Address ไม่ได้มาจากยุโรป เป็นต้น เป็นการยากในการหาต้นตอที่เรียกว่า "attack attribution"
...
อาจารย์ปริญญา อธิบายเพิ่มเติมว่า เทคนิคในการโจมตีในลักษณะ DDoS มีหลายชั้นตาม concept OSI 7 Layers หรือเวลาคอมพิวเตอร์คุยกันจะมีทั้งหมด 7 เลเยอร์ แต่ที่ใช้โจมตีกันจะมีอยู่ 2 แบบใหญ่ๆ คือ Network Layer Attack และ Application Layer Attack โดยหากเป็น Network Layer Attack อาจจะยิงมาจากประเทศจีน แต่พอยิงมากลับแจ้งว่ามาจากยุโรปก็ได้ อย่างเช่น แก๊งคอลเซ็นเตอร์ปลอมที่โทรศัพท์เข้ามาเป็นเบอร์ 02 แต่พอโทรกลับไม่เจอคนที่โทรมา เปรียบเสมือนเป็นการส่งข้อมูลเพียงทางเดียว
ส่วนถ้าเป็น Application Layer เป็นลักษณะการส่งข้อมูลแบบ 2 ทาง คือ มีคนเรียกเข้าดูเว็บไซต์นั้นจริง โดยคนจริงๆ หรือ โดยการกดรีเฟรชหลายๆ ครั้ง ถ้าเป็นการโจมตีแบบนี้แสดงว่าต้องมีการตั้งป้อมถล่มเว็บไซต์โดยตรง ซึ่งสามารถเช็ก IP Address ต้นทางได้
...
90% เชื่อมีมือมืดโจมตีทางเทคนิค และ คาดว่าโดนถล่มอีกแน่นอน!
อย่างไรก็ตาม หากในวันที่ 30 ก.ย. ที่ผ่านมา มีคนกดเข้าในเว็บของกระทรวงไอซีทีเป็นแสนคนจริง ตามที่รัฐมนตรีกระทรวงไอซีทีได้ออกมาแถลงข่าว เป็นไปได้ว่าจำนวน UIP ในการเข้าเยี่ยมชมเว็บไซต์ของกระทรวงไอซีทีก็จะมีถึงหลักแสน ขณะที่ ถ้ามีคนนั่งกดปุ่มรีเฟรชจริงๆ UIP ที่เข้ามาในเว็บไซต์ทั้งหมดก็เป็น UIP จากประเทศไทยทั้งหมด ในท้ายที่สุดจึงเป็นการเฉลยปริศนาที่ว่ากด F5 แล้วสามารถรีเฟรชได้จริงหรือไม่?
“ส่วนตัวผมไม่เชื่อว่า จะมีใครที่นัดกันกด F5 พร้อมกันทีเดียวเป็นแสนคน ส่วนใหญ่ที่นับ UIP จริงๆ อาจเป็นกลุ่มคนไม่กี่กลุ่ม 90% ผมเชื่อว่าเป็นการโจมตีทางเทคนิคที่หวังผล ไม่ได้มาจากคนธรรมดา อาจมีการใช้เฟซบุ๊กสร้างกระแสว่าประชาชนกด F5 ถ้าพิสูจน์ได้ว่ามาจากฝั่งตรงข้ามรัฐบาล จะกลายเป็นเรื่องการเมืองทันที แม้คนจะต่อต้านซิงเกิลเกตเวย์จริง แต่ไม่น่าจะมีใครที่ออกมาลุยสุดตัว แต่ผู้ไม่หวังดีอาจมีมุมมองทางการเมืองที่มองว่า ท่านนายกฯ ริดรอนสิทธิประชาชน โดยที่ท่านอาจจะไม่เคยคิดอะไรแบบนั้นเลย ตอนนี้คาดว่าพวกเขายังคงเล่นกันไม่เลิกนะครับ จนกว่าจะได้คำชี้แจงที่ชัดเจนจากภาครัฐ” อ.ปริญญา แสดงทัศนะ
...
3 เว็บทหาร ยัน ระบบไม่ล่ม! เผยข้อมูลโดนยิงจากสหรัฐฯ
ขณะที่ แหล่งข่าวไม่ขอเปิดเผยชื่อ ให้ข้อมูลกับทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ว่า เว็บไซต์ของกองทัพบก, เว็บไซต์ของสำนักงานปลัดกระทรวงกลาโหม, เว็บไซต์ของกองบัญชาการกองทัพไทย ทั้งสามแห่งยืนยันตรงกันว่า ไม่ได้โดนแฮกและเว็บไม่ได้ล่ม แต่กลับมีการลงข่าวว่าเว็บล่ม 7 หน่วยงานนั้น ไม่ใช่เรื่องจริง
ด้าน เว็บไซต์ของกองทัพบก ยืนยันว่า ระบบไม่ได้ล่ม และได้มีการคัดกรอง IP Address จากระบบไอที พบว่า ในวันที่เกิดเหตุมี Session แค่หลักพันเท่านั้น สูงสุดไม่เกิน 9,000 และช่วงเวลาที่นัดแนะให้ประชาชนกด F5 หรือรีเฟรชพร้อมๆ กัน พบว่า มีคนเข้าเว็บเพียงหลักสิบถึงหลักร้อยเท่านั้น แต่ Traffic ที่มาถล่มโจมตีเป็น DDoS มาจากสหรัฐอเมริกาเป็นส่วนใหญ่ เมื่อเจาะลึกลง พบว่า มาจากเมืองซานฟรานซิสโก และมาจากประเทศอื่นๆ อีก ซึ่งไม่ใช่ Traffic ที่คนไทยมากดกันเอง และ Traffic ที่ยิงมาจากต่างประเทศ เจ้าหน้าที่สามารถดีดออกไปได้ ทำให้คนที่มาเข้าเว็บของกองทัพบกนั้น สามารถเข้าได้ตามปกติ และวันที่เว็บของกระทรวงไอซีทีล่ม เว็บของกองทัพบกก็ไม่ได้มี Traffic มากเหมือนที่ไอซีทีโดน
ส่วนเว็บไซต์ของสำนักงานปลัดกระทรวงกลาโหมปกติดีไม่ล่ม ขณะที่ เว็บไซต์ของกองบัญชาการกองทัพไทย มีการเปลี่ยนหน้าเว็บและปิดระบบในเวลา 24.00 น.-06.00 น. และไม่มีการมาถกเถียงกันในองค์กรว่าทำไมเว็บถึงล่ม และไม่ทราบว่ามีข่าวว่าเว็บเหล่านี้ล่ม.