Arbor Pravail Availability Protection System Application Delivery Controller Distributed Denial of Service KEMP Technologies Load Balancing Arbor Networks FortiDirecto Arbor Cloud FortiGate FortiDDoS Fortinet 分散式阻斷服務 Radware ATLAS 奕銓科技 DDoS

DDoS緩解搭配流量清洗 確保服務正常運行

2015-01-14
現代化企業營運,相當程度仰賴資訊科技提升工作效率或提供業務服務,不論是內部資訊系統,抑或是業務關鍵應用系統,一旦連線回應速度過慢,甚至出現問題導致服務中斷,都可能為企業帶來損失,IT部門所需承受的壓力不言而喻。
追究其原因,往往不外乎程式碼撰寫不良、網路系統效能不足、遭受分散式阻斷服務(Distributed Denial of Service,DDoS)攻擊等,皆是常見影響服務中斷的因素。

面對應用服務出現問題時,IT人員該如何進行故障排除? Radware系統工程師陳威穎觀察,多數仰賴的是過去經驗判斷,例如發現伺服器連線出現問題時,第一個動作是進入負載平衡設備查看是否有伺服器服務停止、網路斷線等狀況,或查看IPS產出的Log資訊,由於均為單點式查看,未必能及時發現真正問題並予以排除。「欲縮短問題處理時間,關鍵即在於掌握多少數據。」陳威穎強調。數據的來源包含像是MRTG流量統計、Log蒐集與控管平台等,若企業端有建立諸如此類工具輔助,才能有助於問題診斷。

DDoS攻擊日增 平均流量逐漸加大

程式架構或資源效能問題大多可由企業內部自行改善,也因此,造成應用服務中斷的因素當中,最棘手難解的莫過於遭受來自外部的DDoS攻擊。其實早期的DDoS目的性大多為恐嚇、勒索,用非法手段取得利益,Fortinet台灣區技術總監劉乙舉例,過去遊戲業者、賭博網站常見為了爭搶用戶而發生互相攻擊的現象,至今仍然存在。但陳威穎亦觀察到,近來的DDoS事件則偏向政治與情緒的發洩,日前即處理過大學校園網路遭受DDoS的專案,被攻擊的是校務系統,並非以勒索為目的,甚至國外也有離職員工遭開除後發動DDoS攻擊老東家的事件。

就國際間案例來看,較知名的可說是歐洲反垃圾郵件組織Spamhaus遭受有史以來最大規模DDoS攻擊,尖峰流量曾高達300Gbps。此類以報復為目的的超大型癱瘓式攻擊其實已不多見,奕銓科技技術支援經理林子涵即指出,畢竟現今企業端對外頻寬持續增加,攻擊者需準備對等的頻寬量才得以達成,如此一來勢必增加攻擊成本,除非是攻擊提供金流服務的網站,駭客可從中取得利益,否則不符合最低成本、最高效益的原則。

無法忽視的是,駭客組織發動DDoS攻擊的流量確實有上升趨勢。Arbor Networks台灣區技術顧問林子傑指出,由自家ATLAS威脅監測中心針對2014年第三季全球DDoS攻擊量統計數據來看,利用網路時間協定(Network Time Protocol,NTP)進行放大(Amplification)或反射(Reflection)攻擊,平均流量達100Gbps的攻擊次數在2014年已明顯增多。


▲Arbor Networks與Google Ideas共同創建數位攻擊地圖(Digital Attack Map),蒐集全球發生DDoS攻擊的相關資訊,觀察到利用NTP協定的新型態攻擊手法,在台灣的活動頻繁,仍不容小覷。(資料來源:Arbor Networks)

地下經濟蓬勃 攻擊威脅日漸加劇

DDoS攻擊至今仍是不可忽視的資安問題,地下商業模式變得多樣化,可說是重要影響因素。除了發動攻擊的工具變得更簡單、取得容易,且不需特殊IT知識的使用者即可操作,近來發現更進化到提供代為發動DDoS的服務,需求者只要在網頁上填入欲攻擊的目標、流量等資訊,線上刷卡付費即可完成,若攻擊標的服務未能因此中斷,還可加碼採購更大流量的攻擊。

「提供『DDoS服務』的概念說來簡單,現今散佈在全球各地的殭屍網路(Botnet),各個被控制端會主動回報中繼站關於上傳與下載頻寬、地理位置等資訊,駭客可依據攻擊標的所在區域,命令附近的殭屍電腦同時間發動攻擊。」劉乙說明。

儘管市場上不乏具備DDoS緩解機制的解決方案,例如防火牆、負載平衡、ADC(Application Delivery Controller)設備多數已內建,甚至也有專屬設備來抵抗,只是DDoS攻擊概念是採用正常連線來規避偵測與攔截機制,因此在攔截過程中發生誤判的機率不小。

就算防禦機制持續增強,攻擊手法也隨之變換,陳威穎舉例,早期的Http Flood是透過殭屍電腦不斷發送Get指令,可能設定各個端點發送十?次,只要一百個殭屍電腦同時發送存取,應用服務伺服器立即明顯變慢。企業端因應方式常見採以負載平衡、防火牆設備限制用戶連線數,超過三次即攔截。

而駭客不達目的不罷休,於是提升到千台殭屍電腦的規模,且同時僅發送單次連線,此時要進行攔截的難度更高。「因此在負載平衡或ADC解決方案中多數內建Challenge機制,透過回應為302 Redirect或在Html檔案中內嵌JavaScript語法,以驗證是否為機器人操控,藉此阻止惡意連線持續發送訪問請求。」

先緩解資源耗盡攻擊 防止衝擊應用服務

就陳威穎實際觀察,其實多數企業皆意識到DDoS攻擊的嚴重性,但卻會質疑一旦頻寬被擊潰,即使建置DDoS專屬設備也無法得解。事實上,在台灣發生的DDoS攻擊事件,大多數狀況是低流量但連線數相當龐大,在頻寬尚未塞爆前,防火牆、負載平衡等網路設備就已不堪負荷而停止服務。

林子傑也發現,近年來常見的攻擊手法,已朝向網路設備的狀態耗盡,或是直接針對應用層發動像是Http、Https、DNS等服務資源耗盡攻擊。較特別的是在2014年出現UPnP(通用隨插即用)網路環境的SSDP(Simple Service Discovery Protocol)放大攻擊,在第二季到第三季的成長量相當高,只要設備配置為Public IP,例如Webcam,就可能被利用來發動。

尤其是即將興起的物聯網應用,劉乙認為DDoS亦將可能隨之轉型,從以往控制桌上型電腦、筆電等用戶端設備,跨足至各式連網裝置,只要具連網功能的端點,皆可成為宿主,藉此發動較以往手法更刁鑽的攻擊活動。

畢竟駭客不會只有一種手法攻擊單一應用程式,當企業端意識到攻擊活動並提升防禦能力後,駭客勢必會再設法找到可突擊的漏洞。因此企業欲降低威脅程度,自建DDoS專屬緩解設備將可先行抵擋針對設備狀態耗盡與應用層的攻擊活動;至於大量頻寬耗盡的手法,則是交由雲端清洗中心(Clean Pipe)處理,讓攻擊當下的網路流量全數先通過雲端清洗中心檢查、分析、過濾後,再導回到企業內部,才有能力因應,以維持應用服務不中斷運行。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!