以經濟利益為導向的駭客行為,若把目標鎖定為雲端運算平台服務商,其利益更大,只要找到一個方式可以成功入侵,即代表可竊取到該平台上眾多用戶的資料。
Fortinet台灣區技術顧問劉乙表示,FortiDDoS設備鎖定的目標客戶,正是IDC資料中心、主機代管服務或提供雲端運算服務的業者,它們除了要提供安全性服務外,另一方面駭客可圖的利益更多,更可能會成為目標對象。一般企業,除非是營運核心系統即仰賴網站伺服器,萬一出事會造成龐大損失,才可能會導入這類設備防禦。
其實在DDoS緩解設備領域經營時間較久的廠商為Arbor,在去年被美國某一家ISP併購後,即成了ISP專用洗滌頻寬服務的解決方案。而原本Arbor的最大競爭對手為Intruguard,則是在今年第二季時由Fortinet所併購,因此FortiDDoS技術主要即是來自於Intruguard。
 |
| ▲FortiASIC運算晶片中,虛擬了八個Partition,如同八台虛擬主機,各自獨立運作,辨識與因應不同型態的DDoS攻擊模式。(資料來源:Fortinet) |
劉乙認為,FortiDDoS較特殊之處,在於並非採用特徵碼方式來辨識DDoS,可避免因頻繁的比對行為造成效能瓶頸。FortiDDoS主要採用行為模式辨識,經過拆解封包,並執行辨識與控管政策,最後確認是否為假冒IP,再決定流量是否通過。
此外,其硬體設計也是其特色之一。劉乙舉例說明,在一顆專屬的FortiASIC運算晶片中,非同步的流量也可以抑制,跟一般Session的處理機制不同。該晶片被虛擬成八個區域(Partition),如同八台虛擬主機,各自獨立執行辨識不同的DDoS攻擊模式,且可依不同虛擬區域來制定不同管控政策、自動流量分析,以及透過Context-Aware技術,針對連線速率限制進行關聯性,觸發控管政策的執行。他表示,FortiASIC可依據網路流量的大小堆疊,也讓FortiDDoS可支援10G介面的機種,將在今年底推出。
Fortinet針對防禦DDoS有許多獨特作法,例如地理位置存取控制(Geo-Location ACL),可依據連線來源的地理位置、國別,單獨套用存取政策,假設網站只提供在地化服務,而連線來源位置辨識出為國外的IP,則可設定政策直接阻斷。同時也可過濾異常的網路位置(Bogon Filtering),例如外部來源IP是192.168.x.x的連線,其他還有協定異常偵測(Protocol Anomaly Detection)、大量封包緩解(Packet Flood Mitigation)等功能。
駭客攻擊行為中,一般會透過惡意程式,或是運用機器人模擬瀏覽器去存取網頁服務,皆為應用層的攻擊模式。因此Fortinet還有另一支產品FortiWeb,劉乙說明,如果只是針對網頁服務,會建議採用此設備,FortiDDoS較偏重是洗滌頻寬流量,其他更精巧的應用層防禦機制則可透過FortiWeb提供。