Imperva Incapsula Reflection Memcached Prolexic Akamai 中華資安國際 流量清洗 DDoS F5

流量清洗中心近源防護 弱化惡意癱瘓攻擊

2018-09-03
自從新興的加密貨幣比特幣,被地下經濟產業鏈利用來處理金流,迴避執法單位的追查,間接使得以勒索獲取利益的DDoS攻擊,成了數位化應用發展下最棘手的資安威脅。
攻擊者除了滲透終端裝置組織殭屍電腦發動大規模連線至指定的應用服務,更可基於合法的UDP封包偽造來源IP指向攻擊標的,利用DNS、NTP伺服器查詢請求產生反射放大式流量,已成為近年來慣用手法。日前GitHub的Memcached分散式記憶體快取系統也被利用,最高峰值甚至出現驚人的每秒1.35Tb攻擊流量。

由於過往的資安技術未能有效控制,DDoS攻擊反而日漸猖獗,Imperva大中華區技術總監周達偉觀察,比特幣興起可說是關鍵誘因。過去沒有加密貨幣的交易平台,網路勒索的風險相當高,只要追蹤金流來源、現鈔上增加的記號等方式,確實有機會查到犯罪集團。隨著加密虛擬貨幣出現,攻擊者改以數位貨幣支付贖金,追查工作門檻也隨之提高,間接助長投機罪犯加入,讓DDoS攻擊演變為常態。

DDoS攻擊服務化已然普及

根據F5 Labs威脅情資實驗室統計2016年至2018年第一季,全球遭受DDoS攻擊分布狀態來看,亞太地區每年以倍數成長,從2016年僅佔全球DDoS攻擊總數的8%,到了2018年第一季已增長到35%,幾乎接近以往DDoS攻擊主要活動的北美區域。

現代駭客攻擊活動主要目的皆為獲取利益,不論是發動DDoS阻斷服務正常運行,抑或是APT攻擊竊取資料,門檻都越來越低。例如日前台灣破獲首起提供DDoS攻擊服務的TWDDoS網站,經營者竟是未滿20歲的高中生。中華資安國際資深經理許嘉益指出,實際上,TWDDoS網站只是中介者,先向國外DDoS攻擊服務供應商註冊多個帳號,當接收到TWDDoS會員訂購,取得須支付的比特幣之後,再運用自行撰寫的API程式向國外DDoS攻擊服務供應商下單發動攻擊,不需要自行張羅DDoS攻擊資源與高深技術即可賺取差價。由此不難發現,DDoS攻擊「服務化」趨勢較前幾年更加普及,任何人基於商業利益、報復、勒索等目的,欲針對特定對象發動DDoS攻擊,只要如同線上購物般操作訂購即可達成。

就台灣本島來看,中華資安國際副總經理游?鵬觀察,近期駭客利用Memcached快取系統創造的反射放大式DDoS攻擊不僅是GitHub遭殃,中華電信骨幹網路也偵測發現超過上百Gbps利用Memcached系統反射的攻擊量,對頻寬主流為100Mbps的台灣企業連網環境而言,Gbps為單位的攻擊量勢必得仰仗上游ISP,抑或是國際流量清洗中心。

完整解析網路封包就近阻斷惡意活動

就DDoS攻擊模式來看,主要區分為針對Layer 3/4的頻寬耗盡與針對Layer 7的資源耗盡兩種方式。

F5台灣區資深技術經理許力仁觀察,現階段主流的DDoS攻擊活動,九成以上皆屬於頻寬耗盡式攻擊。若企業或組織的業務範圍為國際市場,顧客來自全球各地,可借助國際級雲端清洗中心之力,不論惡意流量從哪個地區發動,透過BGP路由先導到清洗中心可確保安全性。

只是從實際接觸客戶的經驗來看,他觀察到,金融、網路服務運營商、電子商務、線上遊戲等產業,才是台灣DDoS緩解服務的主要需求者,但由於用戶也多在本地不須經過連外海纜,除非是在島內發起的癱瘓式攻擊才會影響顧客。因此真正具有高度防禦需求的產業,主要是完全仰賴網路提供產品與服務,且客群不僅只在台灣本地,抑或是同產業之間惡性競爭嚴重,才會實際部署防範DDoS攻擊。

特別是遊戲業,近年來開始大量採用雲端平台擴充遊戲伺服器的服務容量,恐面臨的問題是,資料中心自建對外頻寬線路尚能投資租用最高等級的1Gbps,但是雲端平台供應商為服務眾多用戶,對外連線頻寬勢必得更高,一旦遊戲業者遭受遭受DDoS攻擊時,如何選用緩解服務即成為最為頭痛的問題。

「畢竟對於雲端平台供應商或ISP業者而言,主要的商業模式並非為資安防護,DDoS緩解服務只是附帶加值提供,因此通常有可處理的最高攻擊量限制。此時雲端清洗中心即可發揮優勢,才有能力承載並執行過濾每秒Gb或Tb等級的攻擊量。」許力仁說。

表1 市場上常見的DDoS緩解服務架構

目前資安市場上實作的DDoS緩解技術,Akamai合作夥伴技術支援經理王明輝說明,包含CDN搭配WAF方式提供雲端清洗中心,例如Akamai、Imperva Incapsula等;另一種是硬體式方案,例如Arbor、F5、Radware等供應商,但當本地端設備超過承載量時,再切換到雲端清洗中心,可能遇到的問題是需要一段時間切換,以及過濾後的服務導向回到地端會有網路延遲性問題。

「Akamai同時具備CDN與Prolexic流量清洗服務,處理如同GitHub事件超過Tb等級的攻擊流量,即是以Prolexic全球建置16座資料中心,總計約為7Tbps流量來緩解。只要先把流量導向資料中心,毋須變更IP位址,經過清洗過濾之後的流量再以通用路由封裝(GRE)通道回到客戶端,並非傳統CDN必須變更DNS Record設定指向服務供應商的IP位址。同時,任何通訊協定都可辨識,換言之應用程式若非為網頁系統,選用流量清洗服務較可符合需求。」王明輝說。

周達偉亦指出,近年來流量清洗服務供應商經常強調「近源防護」的概念,在最靠近攻擊來源的網路節點就必須予以處置,要達到這個層級的能力,不僅要能辨識Layer 3/4的攻擊,亦須具備Layer 7行為分析,以免夾帶惡意程式的封包四處流竄釀成災害。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!