有別於電信公司與技術供應商協力提供DDoS雲端清洗服務,經營專業資料中心業務的數位通國際,則設有中立的網路交換中心(IXC),提供Nexusguard、F5 Silverline、Imperva Incapsula等三種方案,供客戶得以依據不同需求選擇,可採用單一或多個清洗中心的服務,端視用戶產業屬性而定。
數位通國際技術長黃維修舉例,以Imperva Incapsula而言,在香港與東京皆已建置清洗中心,而遊戲業者的主要玩家集中於日本或中國,透過香港海纜連線進入台灣,便可能會選擇Incapsula服務;若電子商務業者的目標市場為歐美國家,則可能選擇F5 Silverline居多。用意都在於就近處理攻擊流量,在尚未匯集時,就已經先行執行清洗,完成後再把正常流量遞送到目的地。
|
▲ 數位通國際技術長黃維修觀察,在物聯網世界中,佈建殭屍網路的駭客能以更低的成本,發動更大規模的攻擊量,讓DDoS防禦服務業者與企業用戶皆面臨相當大的挑戰,必須及早制定因應措施。 |
黃維修不諱言,在台灣提供DDoS流量清洗服務主要為固網業者,因為先天就有骨幹頻寬優勢,而數位通希望提供的流量清洗服務,主要為不限定於島內處理的機制,讓世界各地產生的殭屍網路流量,得以在境外就被阻斷,不致讓惡意流量有機會匯合進入島內。
在開始計畫與評估DDoS流量清洗服務前,數位通的資安顧問會先行訪談,並給予專業建議,讓客戶依據自家營運服務範疇、迫切性等需求,選擇合適的服務。待客戶確認採用後,再由數位通執行建置,調整路由位址、網域名稱等設定。除了啟用服務,也需要建立相關防護措施,畢竟不同企業環境皆有例外狀況,通常需要一段時間學習,才有能力較精準的判斷該行為是否為攻擊,而清洗服務則可逐步調整參數配置,降低誤告警狀況。
正常情況下,網路流量是直接進入企業內部網站,但若全部先行導向清洗中心再回傳到企業內部,傳輸節點數愈多,愈可能產生網路延遲的問題。因此企業採用模式會出現On-demand,也就是DDoS清洗中心與運營商之間建立動態路由,在遭受DDoS攻擊時才透過BGP協定立即切換,將流量清洗完再導回到企業內部。
路由切換的作法雖直接且快速,但必須要由運營商的角色來提供,黃維修說明,主因是BGP協定切換到清洗中心,最少需要整個Class C網段,握有256個IP位址,以及申請自治系統號碼(AS Number),才得以在網路環境中具備識別能力,彼此動態交換路由資訊,即使是大型企業也未必有此資源。因此透過數位通採用清洗服務,不僅可快速切換流量,亦可提供在地化服務,例如調整配置、故障申告,甚至是模擬DDoS攻擊,來測試清洗中心處理流量的能力。