為了因應日益嚴峻的DDoS攻擊造成應用服務中斷,Fortinet除了透過FortiADC提供的全球伺服器負載平衡(GSLB)功能,在不同區域的資料中心建置設備,以彈性地派送流量,維持服務正常運行以外,亦有FortiDDoS專屬設備,協助緩解攻擊。
Fortinet台灣區技術總監劉乙說明,DDoS攻擊目的主要是為了阻斷服務,當緩解設備是採以傳統CPU、記憶體的架構,效能表現大多無法令人滿意,即使部署架構為Off-line,對提升處理速度的效果也有限。而FortiDDoS則可為In-line架構,主要原因是內建FortiASIC晶片,專屬執行優化統計。其比對基礎並非為特徵碼,而是以自動基準線學習(Self-Learning Baseline)機制統計實際應用環境狀態,範圍涵蓋Layer 3至Layer 7的流量資訊。
 |
| ▲ Fortinet台灣區技術總監劉乙觀察,物聯網將會是IPv6的重要驅動力,由於每個終端都配置Public IP,可自動註冊DNS,屆時動態DNS(DDNS)將可能成為駭客發動DDoS的鎖定標的。 |
他舉例,假設某個主機IP位址,早上九點上班後會出現Web、FTP、E-mail通訊行為,流量佔比大致為50%、20%、30%,在FortiDDoS內建的資料庫中均會以獨立表單記錄。除此之外,包含通訊行為出現的指令次數,全數記錄後即可形成「基準線」,據以訂定合理預測量。繼續觀察一個星期後若發現,平均每天的流量皆超過預測量的20%,FortiDDoS亦將自動拉高基準線,以確保丟棄流量的正確性。
當然市場上的Clean Pipe服務也可協助處理,只是依照流量計價下往往所費不貲,較務實的做法應先建立自我防護機制,阻擋已知的DDoS攻擊行為,劉乙發現,除了過往較常見的內容服務提供者,像是遊戲、賭博、電子商務等,會採自建緩解設備因應DDoS攻擊,近來電信業者也開始評估,且是最新可承載至100G規格的大型機種。畢竟電信業者是雲端運算服務主要的提供者,若不具備抵擋能力,勢必影響所有服務品質,況且當客戶端面對流量攻擊時,先行導向流量清洗平台亦可為加值服務項目之一。
此外,在全球不同區域的資料中心建置FortiADC,不僅可彈性地派送流量,更重要的是可辨識連線來源,進而導向最靠近存取者的資料中心,但若是其中一個據點被DDoS攻擊至狀態耗盡,該資料中心的流量則自動被分配至其他區域,繼續提供服務。
儘管如此,萬一出現極大規模區域性攻擊,GSLB的導向難免出現分派錯誤,於是Fortinet再增加FortiDirector雲端服務,即是將GSLB機制建置在雲端平台,由Fortinet全球十多個資料中心提供,且具備監看機制,並非為自動導向最接近,而是導向可用的服務,充份運用CDN(內容傳遞網路)優勢,緩解DDoS攻擊帶來的衝擊。