เทคนิคความปลอดภัยเซิร์ฟเวอร์: ป้องกันการโจมตี DDoS และ Brute Force อย่างไร

โดย วุฒิชัย ศรีวิชัย · 18 กรกฎาคม 2569
ภาพประกอบเรื่อง เทคนิคความปลอดภัยเซิร์ฟเวอร์: ป้องกันการโจมตี DDoS และ Brute Force อย่างไร
เทคนิคความปลอดภัยเซิร์ฟเวอร์: ป้องกันการโจมตี DDoS และ Brute Force อย่างไร

เข้าใจความเสี่ยง: เมื่อไหร่คุณต้องเตรียมตัว

ถ้าคุณเป็นผู้ดูแลเซิร์ฟเวอร์ คงไม่มีวันรู้สึกสะบายใจได้จริงๆ มีการโจมตีมากมายหลายรูปแบบที่เตรียมจะเล็งเข้าหาระบบของคุณในทุกช่วงเวลา สองการโจมตีที่ร้ายแรงที่สุดและพบได้บ่อยคือ การโจมตี DDoS และ Brute Force Attack ทั้งคู่อาจทำให้เซิร์ฟเวอร์ของคุณล่มสลาย แต่วิธีการและแนวป้องกันนั้นต่างกันไปเลย

ในบทความนี้ เราจะมาดูความแตกต่างระหว่างกลวิธีป้องกันทั้งสองแบบอย่างละเอียด เพราะการเข้าใจปัญหาก็เท่ากับครึ่งแนวทางแก้ไขแล้ว

การโจมตี DDoS คืออะไร และต้องป้องกันอย่างไร

บทบาทของการโจมตี DDoS

DDoS ย่อมาจาก Distributed Denial of Service คือการโจมตีที่ผู้ไม่ประสงค์ดีส่งคำขอจากหลายๆ แหล่ง (จำนวนนับพัน นับแสนเครื่อง) ไปยังเซิร์ฟเวอร์ของคุณพร้อมๆ กัน จุดประสงค์คือหลอกให้เซิร์ฟเวอร์ทำการประมวลผลคำขอมากเกินไป จนท้ายที่สุดแล้วเซิร์ฟเวอร์จะพังเพราะไม่ไหว ผู้ใช้งานที่แท้จริงกลับเข้าถึงเว็บไซต์ไม่ได้

ลักษณะเด่นของ DDoS คือ:

  • มาจากหลายที่พร้อมกัน (distributed)
  • พยายามเต็มท่วม bandwidth หรือ CPU
  • หลายครั้งมีลักษณะอพยพกระหน่ำ เข้ามาแล้วออกไปแล้วเข้ามาอีก
  • ยากต่อการติดตามแหล่งที่มาที่แท้จริง

เทคนิคป้องกัน DDoS

วิธีป้องกัน DDoS นั้นต้องเป็นแบบ "ป้องกันแบบหนาแน่น" คุณต้องกั้นการโจมตีออกมากพอดี ก่อนให้มันถึงเซิร์ฟเวอร์จริง:

1. ใช้ WAF และ DDoS Protection Service
บริการเช่น Cloudflare, Akamai หรือ AWS Shield ทำหน้าที่เป็นตัวกลางระหว่างผู้โจมตีและเซิร์ฟเวอร์จริงของคุณ พวกเขามี AI และ rule จำนวนมหาศาล ที่สามารถจำแนกการโจมตี DDoS ออกมาได้ แล้วปฏิเสธคำขอนั้น ก่อนส่งต่อไป

2. ตั้งค่า Rate Limiting
กำหนดจำนวนคำขอสูงสุดที่ยอมรับได้ต่อนาที ต่อ IP address ต่าง ๆ ถ้า IP ไหนเกินกว่านั้น ก็บล็อก IP นั้นไปเลย nginx และ Apache สามารถทำได้เลยตั้งแต่ต้นน้ำ

3. เพิ่ม Bandwidth Capacity
บางครั้งการขยายแบนด์วิดท์ก็ช่วยได้ ขึ้นอยู่กับขนาดของการโจมตี แต่นี่เป็นวิธีแบบ "รับมือ" มากกว่า "ป้องกัน"

4. ติดตั้ง Firewall ระดับ Network
Hardware firewall สามารถชะลอและระบุรูปแบบการโจมตี DDoS ได้ เพราะมันดูปริมาณ traffic ณ ระดับ physical layer

การโจมตี Brute Force คืออะไร และต้องป้องกันอย่างไร

บทบาทของการโจมตี Brute Force

Brute Force Attack คือการพยายามเดา username และ password ของคุณแบบเหมือนลองทั้งหมด เช่น ผู้โจมตีเขียนโปรแกรมเพื่อลองรหัสผ่าน aaaa, aaab, aaac... จนกว่าจะเข้าได้

วิธีการ Brute Force ที่พบบ่อย:

  • Credential Stuffing: ใช้ username/password ที่ได้มาจากการรั่ว data ที่อื่น ลองใส่ไปหรือ account นี้
  • Dictionary Attack: ใช้ประมวลคำศัพท์ทั่วไปแทนลองทั้งหมด เร็วขึ้นเพราะคนมักใช้รหัสผ่านที่ง่ายจำ
  • Rainbow Table Attack: ใช้ตาราที่เตรียมไว้มาก่อน (hash database) เพื่อเปรียบเทียบ hash รหัสผ่าน

Brute Force แตกต่างจาก DDoS ตรงที่ มันเล็งเข้าหา portal เฉพาะ (เช่น SSH, FTP, Control Panel) และพยายามเจาะจงหาวิธีเข้าระบบ ไม่ใช่เพียงแค่พยายามทำให้เซิร์ฟเวอร์พัง

เทคนิคป้องกัน Brute Force

1. ใช้ Fail2Ban หรือ ModSecurity
เครื่องมือเหล่านี้ติดตามความพยายามเข้าสู่ระบบที่ล้มเหลว ถ้า IP ที่เดา password ผิดจำนวนครั้งเกินกำหนด (เช่น 5 ครั้ง) ก็จะบล็อก IP นั้นไปแรก ๆ สักระยะเวลา ทำให้ผู้โจมตีต้องหยุดลง

2. บังคับใช้ Strong Password Policy
ขาดความเข้มแข็งของรหัสผ่าน ผู้โจมตีสามารถเข้า dictionary attack สำเร็จได้ง่ายๆ ให้คำนึงถึง:

  • ความยาวอย่างน้อย 12-16 ตัวอักษร
  • ผสมตัวใหญ่ ตัวเล็ก ตัวเลข สัญลักษณ์
  • หลีกเลี่ยงข้อมูลส่วนตัว ชื่อบริษัท หรือคำศัพท์ที่ง่ายหรือ

3. ใช้ Two-Factor Authentication (2FA)
แม้รหัสผ่านจะถูกเดาออก ผู้โจมตีก็ยังต้องมีอุปกรณ์ second factor (โทรศัพท์ ตัวสร้าง OTP ฯลฯ) ยิ่งหยุดการโจมตีได้ป้องกันนอกเหนือแล้ว

4. จำกัด Login Attempts
อย่างเช่น SSH ของคุณควรกำหนด MaxAuthTries ให้ต่ำ (ค่าปกติคือ 6) เพื่อให้ผู้โจมตีมีโอกาสน้อยที่สุด

5. เปลี่ยน Default Port
SSH ใช้ port 22 เป็นค่าปกติ การเปลี่ยนเป็น port อื่น (เช่น 2222) ช่วยลดการสแกน brute force อัตโนมัติได้เยอะมาก bot ส่วนใหญ่เล็งแค่ port 22 ก่อน

เปรียบเทียบตามมิติต่างๆ

ด้านความซับซ้อนของการโจมตี

DDoS: ต้องมีความพร้อมทางเทคนิคและทรัพยากรมากมาย เนื่องจาก botnet ขนาดใหญ่หรือเช่าบริการ DDoS-as-a-Service ต้องเสียตังค่าดำเนินการอย่างสม่ำเสมอ ส่วนผู้ที่ "ผลักดัน" ทีมการโจมตี DDoS มักจะเป็นแรงมากกว่า (competitors, activist groups, state-sponsored)

Brute Force: ไม่ต้องใช้ทรัพยากรมากเท่า ผู้โจมตีธรรมดาที่จดทะเบียน script ได้ก็ทำได้ ต้นทุนต่ำมาก ทำให้การโจมตีแบบนี้พบบ่อยขึ้นจากผู้ร้ายหลายกลุ่ม

ด้านอิทธิพลต่อเซิร์ฟเวอร์

DDoS: ส่งผลกว้างๆ ทั้งแบนด์วิดท์ CPU หน่วยความจำ บางคราว resource เดียวที่เสียหายก็พอล่มเซิร์ฟเวอร์ทั้งหมด ผลกระทบต่อธุรกิจนั้นฟังเฟยร้ายแรง

Brute Force: โจมตีเฉพาะจุด (authentication service) ส่วนใหญ่ไม่ทำให้ความพร้อมใช้งานลดลง แต่ถ้าตกอยู่ในมือผู้โจมตี ประตูสู่ระบบก็เปิดกว้าง สามารถขโมยข้อมูล ติดตั้ง malware ฯลฯ

ด้านความต้องการของการป้องกัน

DDoS: คุณต้องการ infrastructure เพิ่มเติม บริการจากบริษัท third-party นอกไทยเป็นส่วนใหญ่ ตลอดจนการกำหนดค่า network ระดับสูง

Brute Force: ส่วนใหญ่สามารถจัดการได้ทาง software configuration คุณสามารถติดตั้ง Fail2Ban และตั้งค่า SSH ได้ด้วยตัวเอง หากคุณมีความรู้พื้นฐาน

เกณฑ์การเปรียบเทียบ การโจมตี DDoS การโจมตี Brute Force
แหล่งที่มา หลายแหล่งพร้อมกัน (distributed) แหล่งเดียวหรือน้อย แต่ลองซ้ำแล้วซ้ำอีก
เป้าหมาย ความพร้อมใช้งานทั้งระบบ (service availability) ความปลอดภัยการเข้าถึง (authentication)
ผลกระทบตรง เซิร์ฟเวอร์พัง ผู้ใช้เข้าไม่ได้ ข้อมูลหลุดไหล ระบบถูกบุกรุก
ความยาก ต่อการติดตั้งป้องกัน ยาก ต้องความพร้อมของ infrastructure พิเศษ ง่ายกว่า ส่วนใหญ่ set config ได้
ค่าใช้จ่ายป้องกัน สูง CDN/DDoS service บ่อยคนเลือกแบบ pay-per-use ต่ำ open-source tools ฟรี
ตัวอย่างเครื่องมือป้องกัน Cloudflare, AWS Shield, Akamai Fail2Ban, ModSecurity, UFW
หน้าที่หลัก กรองและลด volume ของ traffic ตรวจสอบและปฏิเสธการพยายามเข้าผิด

เลือก Strategy ป้องกันอย่างไร ขึ้นอยู่กับสถานการณ์ไหน

สถานการณ์ 1: เซิร์ฟเวอร์ขนาดเล็ก ไม่มีเงินคุณ

ถ้าคุณเพิ่งเริ่มต้น หรือ budget คับแคบ ให้มุ่งเน้นป้องกัน Brute Force ก่อน เพราะ:

  • การแจกจ่าย Brute Force นั้นพบบ่อยกว่า DDoS ในเซิร์ฟเวอร์ขนาดเล็ก
  • เครื่องมือป้องกันฟรีหรือถูก (Fail2Ban, ModSecurity)
  • ถ้าตกอยู่ในมือ brute force attack ผลกระทบอาจมากกว่า DDoS เพราะได้เข้าสู่ระบบ
  • ขั้นตอนการตั้งค่า SSH อย่างปลอดภัย ก็ช่วยป้องกันได้ 80%

สั่งดำเนินการ: ติดตั้ง Fail2Ban, เปลี่ยน SSH port, ตั้ง MaxAuthTries, บังคับ Strong Password

สถานการณ์ 2: เซิร์ฟเวอร์ e-commerce หรือ SaaS

สำหรับธุรกิจที่มี revenue ขึ้นอยู่กับ uptime คุณต้อง ป้องกัน DDoS อย่างจริงจัง:

  • Downtime แม้แต่ 1 ชั่วโมง อาจเสียรายได้เป็นแสนบาท
  • ลูกค้าจะสูญเสียความเชื่อใจ
  • ลงทุนใน CDN + DDoS protection service คุ้มค่า
  • Brute Force ก็เตรียมป้องกันพร้อมกัน แต่ DDoS ต้องเป็นลำดับแรก

สั่งดำเนินการ: ลงทะเบียน Cloudflare หรือ AWS Shield, ตั้ง WAF rules, ทำ rate limiting

สถานการณ์ 3: เซิร์ฟเวอร์ที่มีข้อมูลสำคัญหรือต้องการป้องกันสูง

ทำทั้งสองข้าง! นี่คือสถานการณ์ "ป้องกันแบบเต็มภาคี" คุณต้อง:

  • DDoS protection service จากบริษัทหลักๆ
  • Fail2Ban + ModSecurity สำหรับ Brute Force
  • 2FA/MFA สำหรับ admin account
  • VPN + IP whitelist สำหรับ administrative access
  • Monitoring และ alerting ตลอดเวลา
  • Backup plan และ incident response process

สถานการณ์ 4: เซิร์ฟเวอร์ด้านการศึกษาหรือ non-profit

ถ้างบประมาณน้อย ขอแนะนำ:

  • ใช้ free tier ของ DDoS protection เช่น Cloudflare Free Plan (ประมาณ 50 Mbps DDoS mitigation)
  • ป้องกัน Brute Force ด้วย open-source ที่จริงจัง (Fail2Ban + UFW)
  • ป้องกันตัวเองผ่าน security hardening
  • เมื่องบประมาณเพิ่ม ให้ upgrade เป็น paid plan

กลยุทธ์ป้องกันที่ทำได้ตั้งแต่วันนี้

ป้องกัน Brute Force (ทำได้ทันที)

Step 1: ปลอดภัย SSH
แก้ไข /etc/ssh/sshd_config:

  • เปลี่ยน Port 22 เป็น port อื่น (เช่น 2222)
  • ตั้ง PermitRootLogin ให้เป็น no
  • ตั้ง MaxAuthTries ให้เป็น 3 หรือ 4
  • ปิด Password Authentication เปิด PubKeyOnly (ใช้ SSH key)

Step 2: ติดตั้ง Fail2Ban
บน Ubuntu/Debian: sudo apt install fail2ban
สร้าง config /etc/fail2ban/jail.local แล้วตั้ง max retry ให้ต่ำ

Step 3: บังคับ Strong Password
สำหรับ non-SSH authentication (panel, database) ให้บังคับขั้นต่ำ 12 ตัวอักษร ผสมตัวใหญ่เล็กตัวเลขสัญลักษณ์

ป้องกัน DDoS (ต้องวางแผน)

ก่อนเข้า Production:

  • เลือก CDN provider ที่น้อย (Cloudflare, Bunny CDN)
  • ทำ DNS pointing ไป CDN
  • ทดสอบ performance เพื่อมั่นใจ origin server ไม่ได้พังจาก load balancing

ระหว่าง Operation:

  • Monitor traffic 24/7 ด้วย tool เช่น New Relic, Datadog
  • ตั้ง alert ถ้า traffic spike ผิดปกติ
  • มี playbook response สำหรับ DDoS attack (เช่น tier up plan, enable stricter WAF rules)

สรุปสิ่งที่ควรจำ

การโจมตี DDoS และ Brute Force นั้นต่างกันในหลายด้าน แม้ทั้งคู่พยายามทำลายเซิร์ฟเวอร์ของคุณ แต่วิธีการและการป้องกันนั้นแตกต่างอย่างชัดเจน:

DDoS คือการ "ทำให้วุ่น" การปกป้องต้อง infrastructure เพิ่มเติมและต้องใช้เงินลงทุน แต่ผลตอบแทนก็ใหญ่ สำหรับธุรกิจที่ต้องการความมั่นใจด้าน uptime

Brute Force คือการ "พยายามค้นหาทาง" ป้องกันได้ด้วยการตั้งค่า และการใช้เครื่องมือ open-source ก็ช่วยได้มากมายแล้ว บ่อยครั้ง Brute Force ที่สำเร็จกลับเป็นเรื่องร้ายแรง เพราะผู้โจมตีได้เข้าสู่ระบบแล้ว

สิ่งสำคัญที่สุดคือ อย่าปล่อยเซิร์ฟเวอร์ของคุณโดยไม่มีการป้องกันเลย แม้ว่าจะเป็นขั้นตอนเล็กน้อย อย่างเปลี่ยน port SSH หรือติดตั้ง Fail2Ban ก็ช่วยได้เยอะแล้ว และถ้า budget อนุญาต การลงทุน CDN + DDoS protection service เป็นสิ่งที่ยอดเยี่ยมมาก ต่อเนื่องให้คุณนอนสบายได้

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัย ลองอ่านบทความเกี่ยวกับ การสร้างแนวป้องกันความปลอดภัยแบบหลายชั้น ที่อาจช่วยคุณได้เช่นกัน นอกจากนี้ ข้อมูลอ้างอิง ต่างๆ ก็มีข้อมูลอัปเดตเกี่ยวกับ cyber threats ให้คุณอ่านติดตามได้

เซิร์ฟเวอร์ของคุณสมควรได้รับการป้องกันที่ดี คุณทำได้นี่แล้ว!

แสดงความคิดเห็น

ร่วมแสดงความคิดเห็นได้ที่ด้านล่าง — เราอ่านทุกความเห็น