Distributed Denial-of-Service The Innocence of Muslims SSL Renegotiation DoS Http Post Attack DDoS Protector Apache Killer Check Point Slowloris FortiDDoS 分散式阻斷服務攻擊 Flooding Fortinet LetDown Zombie RioRey DDoS 殭屍電腦 中華龍網 IDS IPS 劉俊雄 F5

FortiDDoS鎖定雲端平台服務業

2012-11-09
以經濟利益為導向的駭客行為,若把目標鎖定為雲端運算平台服務商,其利益更大,只要找到一個方式可以成功入侵,即代表可竊取到該平台上眾多用戶的資料。
Fortinet台灣區技術顧問劉乙表示,FortiDDoS設備鎖定的目標客戶,正是IDC資料中心、主機代管服務或提供雲端運算服務的業者,它們除了要提供安全性服務外,另一方面駭客可圖的利益更多,更可能會成為目標對象。一般企業,除非是營運核心系統即仰賴網站伺服器,萬一出事會造成龐大損失,才可能會導入這類設備防禦。

其實在DDoS緩解設備領域經營時間較久的廠商為Arbor,在去年被美國某一家ISP併購後,即成了ISP專用洗滌頻寬服務的解決方案。而原本Arbor的最大競爭對手為Intruguard,則是在今年第二季時由Fortinet所併購,因此FortiDDoS技術主要即是來自於Intruguard。


▲FortiASIC運算晶片中,虛擬了八個Partition,如同八台虛擬主機,各自獨立運作,辨識與因應不同型態的DDoS攻擊模式。(資料來源:Fortinet)

劉乙認為,FortiDDoS較特殊之處,在於並非採用特徵碼方式來辨識DDoS,可避免因頻繁的比對行為造成效能瓶頸。FortiDDoS主要採用行為模式辨識,經過拆解封包,並執行辨識與控管政策,最後確認是否為假冒IP,再決定流量是否通過。

此外,其硬體設計也是其特色之一。劉乙舉例說明,在一顆專屬的FortiASIC運算晶片中,非同步的流量也可以抑制,跟一般Session的處理機制不同。該晶片被虛擬成八個區域(Partition),如同八台虛擬主機,各自獨立執行辨識不同的DDoS攻擊模式,且可依不同虛擬區域來制定不同管控政策、自動流量分析,以及透過Context-Aware技術,針對連線速率限制進行關聯性,觸發控管政策的執行。他表示,FortiASIC可依據網路流量的大小堆疊,也讓FortiDDoS可支援10G介面的機種,將在今年底推出。

Fortinet針對防禦DDoS有許多獨特作法,例如地理位置存取控制(Geo-Location ACL),可依據連線來源的地理位置、國別,單獨套用存取政策,假設網站只提供在地化服務,而連線來源位置辨識出為國外的IP,則可設定政策直接阻斷。同時也可過濾異常的網路位置(Bogon Filtering),例如外部來源IP是192.168.x.x的連線,其他還有協定異常偵測(Protocol Anomaly Detection)、大量封包緩解(Packet Flood Mitigation)等功能。

駭客攻擊行為中,一般會透過惡意程式,或是運用機器人模擬瀏覽器去存取網頁服務,皆為應用層的攻擊模式。因此Fortinet還有另一支產品FortiWeb,劉乙說明,如果只是針對網頁服務,會建議採用此設備,FortiDDoS較偏重是洗滌頻寬流量,其他更精巧的應用層防禦機制則可透過FortiWeb提供。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!