Distributed Denial-of-Service The Innocence of Muslims SSL Renegotiation DoS Http Post Attack DDoS Protector Apache Killer Check Point Slowloris FortiDDoS 分散式阻斷服務攻擊 Flooding Fortinet LetDown Zombie RioRey DDoS 殭屍電腦 中華龍網 IDS IPS 劉俊雄 F5

F5提供彈性化自訂平台

2012-11-08
面對直接鎖定伺服器服務的DDoS攻擊,由於伺服器本身並沒有能力判斷連線行為的異常,因此市場中擁有可辨識封包內容技術的廠商即可有所發揮。
欲達到DDoS緩解,F5技術顧問陳建宏說明,透過F5 Big-IP設備擋在前端,先行過濾所有連線需求的封包,此時即可設定反向檢查機制,例如主動發出Cookie植入要求連線的來源用戶端,若得到的資訊並沒有一般人類行為操作的紀錄,反而是系統的資訊,那麼即可判斷為異常連線予以合理阻斷。因此對於DDoS的攻擊行為,F5在前面就可把惡意連線清掉,若遇到流量過大,則可透過負載平衡機制做分流。

萬一DDoS攻擊標的不是透過標準HTTP連線時,該如何辨識?對此陳建宏表示,F5的特色之一,即是提供iRule程式語言的開發彈性,來因應各種不同IT架構下產生的不同問題。

▲F5技術顧問陳建宏提醒,廠商不會比IT管理者更清楚自身架構環境中,有哪些流程環節需要嚴加控管,因此設備本身要能具備彈性。而F5即提供控管平台,讓不同應用需求得以在此平台上加以開發、實現。
針對DDoS緩解,即可藉此客製化出符合控管政策的機制。進而上傳到DevCentral分享。DevCentral是F5提供全球用戶者皆可登入的分享交流網站,亦可直接下載網站上其他使用者所開發的程式碼,載入到F5平台中即可運用,無須收取費用。

陳建宏說,由企業自行研發的軟體,要辨識其行為模式並不難,真正難的部份,在於只有企業內部IT人員才懂得該軟體的運作邏輯,一般商業化的解決方案皆難以適用,只能基於某些控管平台再進行客製來協助,決定分派流量、保留頻寬,或直接阻斷。

他舉例,像是Facebook社交網站,為了避免用戶帳號被盜,因此設計一個檢查機制,如果是到國外出差,登入時系統發現不是該帳號經常登入的伺服器區域時,此連線會被拒絕,且發問一連串跟此帳號相關的問題,答對才會被允許登入。而此機制即是透過F5的GeoLocation Services 機制搭配iRule進行客製完成。

像近來也相當知名的Hash DoS攻擊,有時網頁會有數字,例如定價等,所以主從端溝通時會有一個確認機制,以免數字有錯。該確認機制就是透過Hash演算法,但這也有存在漏洞,已經發現有駭客透過這種漏洞來攻擊伺服器,讓資源消耗殆盡。

他強調,類似這種新型態攻擊手法一旦被F5客戶發現,便會立即透過iRule來抵擋,成功地抵制攻擊行為,並且將此段程式碼公佈在網站上,當其他用戶遇到這類攻擊,下載回來載入到F5設備中就可立即生效阻擋。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!