將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/9/3

全球分佈16座清洗中心 就近緩解攻擊並加速傳輸

分散式7Tb頻寬優勢 ISP棄守等級照樣頂住

洪羿漣
在全球網路介接節點環境整合部署邊緣伺服器,並以分散式網路架構提供內容遞送服務(CDN)著稱的Akamai,除了基於智慧型平台(Akamai Intelligent Platform)協助企業數位化應用網路傳輸加速,同時也提供應用程式防火牆(WAF)、DDoS緩解服務。
日前GitHub因為Memcached快取系統的UDP連接埠遭惡意人士利用,以反射放大式DDoS攻擊手法,創造出史上首次出現的1.35Tbps流量,即是透過Prolexic流量清洗中心協助緩解,讓GitHub恢復正常運行。

Akamai合作夥伴技術支援經理王明輝指出,GitHub所遭受的DDoS攻擊,並非難以阻擋的手法,既然是利用UDP連接埠產生的放大流量,實際上只要過濾封包,或是關閉該連接埠服務即可,關鍵在於網路是否足夠承受1.35Tbps流量進行清理。

「Prolexic服務可在客戶遭受攻擊時,運用BGP切換路由把流量導向清洗中心,經過過濾處理後再把正常流量以通用路由封裝(GRE)通道回傳到客戶端。因應近年來國際間DDoS攻擊有九成以上皆為頻寬耗盡式,且流量規模逐年增長,原本Prolexic服務在全球佈建6座資料中心,積極地擴張至今已有16座之多,總計大約為7Tbps承載量,以規模優勢協助處理日漸嚴峻的DDoS攻擊威脅。」

CDN、WAF、DDoS整合以降低成本負擔

現階段市場上提供的DDoS緩解服務,大多具備Always On與On Demand模式,Akamai Prolexic流量清洗服務皆有支援,前者為企業應用服務網路傳輸皆透過清洗中心處理,後者則是遭受攻擊時才執行路由切換。王明輝認為,若為關鍵應用系統,面對DDoS攻擊手法變化愈來愈快且刁鑽的現況,Always On模式才可確保服務不中斷。

「就實際經驗來看,第一波攻擊大約只有5到10分鐘,若為On Demand模式,可能偵測發現流量超過臨界值時觸發切換到清洗中心的機制,經過檢查後未發現攻擊狀況再切換回到資料中心。然而,經過30分鐘之後又遭受第二波攻擊。這類型的DDoS攻擊手法,通常是在測試企業應變的速度,若為On Demand模式很可能掉入攻擊者陷阱,意思是,攻擊者可藉此發現不須持續性地發動即可癱瘓的攻擊標的。」王明輝說。

當然國際間不乏資源充足的駭客組織,目的性極為明確,一次就啟動大規模流量癱瘓網路,例如以300Gbps持續攻擊8小時,如此狀況下,即使尋求上游ISP協助也未必能夠承受長時間的攻擊量,為了避免影響其他客戶,ISP往往只能選擇放棄。此時Akamai Prolexic流量清洗中心即可發揮。

考量Always On(時刻防禦)模式的價格競爭力,Akamai今年調整產品策略,以整合方式提供應用加速與防禦能力。王明輝說明,也就是以CDN為基礎,增加WAF與Always On的DDoS緩解服務,原本不同服務個別銷售,客戶必須採購三種不同服務的流量,經過整合後只要選購一種規格即可,相較於以往負擔較低,且任何ISP線路皆可發揮效益。現階段Akamai在台灣已建置超過千台的伺服器,藉由靠近終端用戶,確保傳輸效能與安全性,同時也可第一時間掌握攻擊發動狀態並即時處置。

分散式就近處理封包縮短網路延遲

企業之所以選用On Demand模式的DDoS緩解服務,王明輝觀察,除了價格因素,另一方面是為了自主判斷與控管網路。至於BGP切換的時機,一種是DDoS緩解服務供應商7x24小時監控,發現攻擊行為時主動通知並引導客戶執行操作;另一種是企業自行監控,在偵測發現攻擊時由內部資安人員判斷切換。

至於跨海纜的網路傳輸可能發生網路延遲性問題,王明輝舉例,採用流量清洗服務時會配置非對稱式路由,也就是傳輸封包從Akamai平台進入,本地端線路出去,這種方式對網路延遲影響較小,若清洗中心位於香港,即可壓低在30到40毫秒,若為日本地區則大約為70到80毫秒,絕大多數應用服務不至於會有延遲性問題。Akamai較其他清洗中心最大差異,在於全球分佈式架構處理攻擊流量,而非集中式,才可確保遞送效能、有效地緩解,不致於因為DDoS攻擊流量規模過大,導致清洗中心滿載。


▲ Akamai合作夥伴技術支援經理王明輝指出,近幾年DDoS攻擊之所以愈來愈猖狂,比特幣可說是相當大的助力,打通金流最關鍵的環節,讓地下經濟產業鏈變得更加完整,進而促使攻擊活動較以往更加頻繁。


他進一步提到,通常清洗中心會建置在香港、新加坡、日本地區,彙集客戶所有流量進行清洗中心。Akamai的核心理念為「就近處理」,這也是Prolexic擴充到16座資料中心的發展策略,透過全球宣告路由,讓網路連線就近存取,不論正常或異常流量皆如此。偵測與過濾後的封包,經由資料中心內部MPLS網路傳輸遞送到距離台灣最近的香港或日本地區回到本地端,如此架構可改善距離較遠的顧客存取連線延遲時間,但若是先彙整到特定區域清洗中心,則無法避免可能遭遇傳輸延遲問題。

應用前端增設防護免於被利用癱瘓服務

Akamai以全球分佈式網路架構,確保有效地緩解DDoS、遞送效能,不致於因遭受的攻擊流量規模過大,導致清洗中心滿載,進而影響企業應用服務。但王明輝實際接觸客戶經驗觀察,台灣企業思維往往是買線路的同時也要負責網路安全,並非把DDoS緩解視為有價的服務項目,因此多數企業遭受攻擊時首先會尋求ISP協助。從去年證券業發生集體DDoS勒索事件可發現,本土企業對外網路頻寬根本不大,第一波攻擊的流量約為1Gbps,即足以影響許多證券商的線上交易系統,由此亦凸顯出台灣對於DDoS防護能力與意識皆薄弱,以為仍如同過去,只有遊戲、博弈等產業才會被DDoS攻擊鎖定。

如今企業IT發展已進入雲端時代,開始採納多雲建置新興應用服務,藉此快速地建置部署諸如Memcached快取系統,卻忽略了安全防護能力,不應直接暴露在外部公眾網路,前端須設置防護層,否則極可能成為攻擊者覬覦標的。 「面對DDoS攻擊來勢洶洶,營運業務也愈來愈仰賴網路傳輸,即使雲端平台廠商也有提供緩解服務可選用,卻仍不及全球分佈式架構來得更有效益。」王明輝強調。

這篇文章讓你覺得滿意不滿意
送出
相關文章
Frost & Sullivan 評 NETSCOUT 為亞太區最佳 DDoS 防禦機制
抗阻斷攻擊 立體防護奏功
緩解服務搭配應用防護 全面阻止混合式攻擊
DDoS防護整合行為分析 自動調整臨界參數
骨幹環境建置清洗中心 在地緩解惡意攻擊流量
留言
顯示暱稱:
留言內容:
送出