以往一旦遭遇DDoS時,最可能也最快發生的問題就是頻寬耗盡,為了及時緩解,常見企業會請ISP協助,暫時加大頻寬來因應。例如從50M放大到100M,甚至更高,迫使攻擊者必須付出更大的資源,才能達到DDoS耗盡頻寬的目的,同時也為IT管理者爭取多點時間來應付DDoS攻擊。
至於近年來興起的DDoS較多是以伺服器應用服務為目標,中華龍網產品研發部資深工程師廖政明建議,若企業內既有建置資安設備,可試著透過調配網路設備、負載平衡器、伺服器等實體設備或虛擬主機,將DDoS的攻擊量平均分散到網路設備、伺服器之上,以群體之力來減緩DDoS攻擊帶來的影響。但若達到一般企業IT規模與人力皆無法因應時,仍舊得借助廠商之力來處理。
 |
| ▲中華龍網產品研發部資深工程師廖政明提醒,DDoS專屬設備本來就是針對此型態攻擊事件而設計,理應專職、專責,切勿有資安設備就應該集所有功能於一身的錯誤觀念。 |
中華龍網推出的DDoS緊急救援服務,今年已承接三家遭受攻擊的遊戲業者有此需求。廖政明說明,客戶之所以會發現遭受到DDoS攻擊,首先都是因網站服務連線品質變差了,IT部門進行路由器、防火牆等網路設備的Log交叉比對後,才發現有瞬間湧入大量連線的狀況,查詢路由器端的Log顯示,這些封包大小都只有32至64 Bytes,於是客戶判斷可能正遭受DDoS攻擊,而且已經兵臨城下,再不緊急處理可能導致服務停止,於是才求助於中華龍網DDoS緊急救援服務。
而該服務所採用的RioRey專屬設備,需要多久時間能看得到效果?廖政明說,以大台北地區而言,從接到客戶的緊急救援需求電話到設備上線,含交通路程大約只要兩個小時即可開始運作。上線運作後若單純以原廠預設值來阻擋,採樣時間約兩分鐘後就可開始產生緩解效果。
「由於RioRey本身使用30種演算法、70種分析模式,涵蓋從網路層至應用層的各種DDoS攻擊行為模式,即使是一些使用特徵碼進行分析與比對的產品仍無法阻擋的攻擊模式,像是很容易被誤判為TCP SYN Flood的HTTP Long Session攻擊、Fake Session攻擊等,使用RioRey皆能辨識。」廖政明表示。
此外,RioRey的部署方式,是以不影響既有的架構為原則,採用的是Transparent模式,架構是在路由器之後、防火牆之前,再多一層防禦力來協助緩解。設備只要接上網路,所有的連線皆會透過RioRey的WAN Port與LAN Port進行監看,若發現有疑似DDoS的攻擊,會進一步作封包拆解,再判斷是否要執行攔阻動作。