將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/9/3

掌握海纜頻寬運營商 聯合Tier-1 ISP實施境外阻絕

骨幹環境建置清洗中心 在地緩解惡意攻擊流量

洪羿漣
以往本土企業會遭遇DDoS攻擊勒索,大多是遊戲、博弈等重度仰賴網路提供服務與線上交易的產業,自從去年證券業集體遭受DDoS攻擊勒索事件之後,中華資安國際副總經理游峯鵬觀察,企業對於DDoS攻擊意識出現大幅的轉變,從選用緩解服務客戶數量的倍數增加,足以顯見需求殷切。
其實中華電信提供DDoS進階防護服務至今已有十多年,游峯鵬不諱言,以往經營得相當辛苦,多數企業的觀念是DDoS攻擊不會發生在自家公司,直到近年來各行業開始數位化轉型,業務型態與網路傳輸已是密不可分,該服務才有所增長。證券業勒索事件過後尤其顯著,不僅政府單位高度重視,營銷完全仰賴網路的行業也意識到危險性。

在地資安服務貼近企業應用需求

目前資安市場上可選用的DDoS緩解方案,有許多不同類型的供應商。首先是掌握電路的ISP,例如中華資安國際(中華電信)等主要電信商皆有提供;其次是實體建置防護設備,對於資源耗盡型攻擊較可發揮,頻寬塞爆則難以抗衡;第三種是在全球部署防護平台來提供服務的廠商,由於資料中心主要座落於境外,若把流量全數導向清洗,回流時恐會遭遇網路延遲的問題。

「我們的定位,強調的是基於中華資安國際內部專業技術團隊,提供在地化服務,協助國內欠缺IT人力與預算的中小企業因應DDoS攻擊威脅。再加上國內採用中華電信固網電路的企業客戶群相當多,皆可在毋須更動網路設定的狀況下,直接交由中華電信骨幹環境執行清洗過濾即可。」游峯鵬說。

在反射放大式攻擊手法尚未出現前,欲發動DDoS攻擊,凡是鎖定的目標企業對外連線頻寬有多大,就得掌握殭屍網路發動等量的頻寬才足以塞爆,攻擊成本較高。自從歐洲反垃圾郵件的非營利組織Spamhaus遭到攻擊者利用對外DNS服務系統,以UDP封包反射放大效果創造300Gbps的攻擊量,該手法便沿用至今已成為主流,以更低的成本即可創造大規模攻擊量,讓DDoS攻擊問題變得相當棘手。

聯合國際Tier-1 ISP力抗頻寬耗盡攻擊

日前網站服務廣為採用的Memcached快取伺服器,更被攻擊者利用UDP連接埠11211,反射放大產生1.35Tbps流量,再次刷新紀錄。這類型手法始終未能發展出較有效的控制模式,中華資安國際資深經理許嘉益認為,主因在於TCP/IP網路環境,已經發展二十多年,當初發展網路通訊協定時,根本未預料得到可能被利用來創造攻擊,因此協定本身存在原生的缺陷,大多難以防治,才讓惡意人士有機可趁進行惡意攻擊。

面對如此大規模的DDoS攻擊流量,游峯鵬強調,勢必得聯合國際Tier-1 ISP於境外先行攔阻攻擊訊務,才不至於佔滿海纜電路。當客戶遭受大量DDoS流量攻擊,經SOC資安人員分析攻擊來源IP的主要發起地區,可透過國際邊境(Border)路由BGP協定,傳送封鎖特定IP網段資訊,讓攻擊訊務於境外ISP執行阻絕。在邊境互連環境,則可針對受駭目標的IP管制境外網路訊務,限縮傳輸流量上限,並將流量導入骨幹環境建置專屬的DDoS緩解設備執行清洗過濾,完成後再導流到客戶端。

他舉例,當骨幹偵測訊務發現為UDP Flood造成線路頻寬壅塞,經客戶確認目的IP的應用系統未使用UDP連接埠,即可直接丟棄所有UDP封包;或者客戶反映自家應用服務運作負載量過高、回應速度過慢時,經SOC資安人員分析後發現是SYN Flood資源耗盡攻擊,儘管流量不大但每秒有數以千計的TCP SYN封包被遞送到該應用伺服器,此時可將流量直接導向清洗中心,來緩解惡意攻擊訊務。

同時提供常駐型與動態型緩解服務

用戶訂閱DDoS進階防護服務的提供模式,許嘉益說明,可區分為常駐型(Always-on),流量傳輸皆經過清洗中心設備過濾後,再導向客戶端;其次是動態型(On-demand),當SOC資安人員偵測發現攻擊時,經客戶確認同意後再執行導向清洗中心,半小時內完成切換,待攻擊結束後再回復路由;動態型的服務模式亦可由客戶自主監看,發現攻擊活動時通知中華資安國際再導向清洗中心。這三種模式皆有提供多種防護攻擊量可選用,最小3Gbps,最高30Gbps,畢竟高於30Gbps的DDoS攻擊量在台灣較少見,萬一發生則改以專案方式處理。


▲中華資安國際副總經理游峯鵬指出,面對動輒幾百Gbps的DDoS攻擊流量,勢必得聯合國際Tier-1 ISP於境外先行攔阻攻擊訊務,才不至於佔滿海纜電路,進而影響島內網路流量的遞送。


至於防護範圍,DDoS進階防護服務可涵蓋Layer 2到Layer 7,例如HTTP/HTTPS、DNS等通訊協定皆有對應的偵測與防護措施,及早發現威脅可阻止事件發生。「客戶亦可搭配地端建置的DDoS防護設備,畢竟各個企業或組織的IT架構、應用環境皆不同,上游ISP往往難以精準地判別異常封包可能造成的影響,因此ISP主要強調的是流量或封包數量為主,當客戶端不具備資源耗盡預防能力,亦可通知ISP從上游輔助攔阻。」許嘉益說。

當然,DDoS防護設備亦有搭配自家雲端清洗中心來緩解攻擊流量,在偵測到異常或網路流量超過臨界值,透過訊號切換路由。許嘉益認為,實務上的考量是觸發臨界值時網路流量自動導向清洗中心網路,這段期間應用服務仍會因此受到影響,若為正在遭受DDoS攻擊的客戶當然可接受,問題在於可能發生誤判,自動觸發切換導向後又立即恢復路由,使得網路流量變得不穩定,因此多數客戶寧願選擇在網路切換到清洗中心之前先行通知以便確認。

若發現攻擊量過大,ISP業者必須有能力在骨幹前方的邊境先進行過濾、限頻等處置。游峯鵬指出,「ISP要提供DDoS緩解服務,掌握的海纜頻寬可說是關鍵要素之一,必須具有足夠規模的承接量來處理大規模攻擊,否則只要大約20Gbps的流量,骨幹就會受到影響,使得ISP經營困難。」

以中華電信來看,DDoS進階防護服務主要以國內企業為主,除了提供島內的流量清洗機制以外,還包括阻擋來自不同區域發動的惡意封包,在DDoS攻擊活動開始時,保障國內傳輸流量彼此間連線順暢,跨海纜的傳輸無法避免會被限縮,以降低幾百Gbps流量影響島內的應用服務。

這篇文章讓你覺得滿意不滿意
送出
相關文章
Frost & Sullivan 評 NETSCOUT 為亞太區最佳 DDoS 防禦機制
抗阻斷攻擊 立體防護奏功
緩解服務搭配應用防護 全面阻止混合式攻擊
DDoS防護整合行為分析 自動調整臨界參數
分散式7Tb頻寬優勢 ISP棄守等級照樣頂住
留言
顯示暱稱:
留言內容:
送出