面對直接鎖定伺服器服務的DDoS攻擊,由於伺服器本身並沒有能力判斷連線行為的異常,因此市場中擁有可辨識封包內容技術的廠商即可有所發揮。
欲達到DDoS緩解,F5技術顧問陳建宏說明,透過F5 Big-IP設備擋在前端,先行過濾所有連線需求的封包,此時即可設定反向檢查機制,例如主動發出Cookie植入要求連線的來源用戶端,若得到的資訊並沒有一般人類行為操作的紀錄,反而是系統的資訊,那麼即可判斷為異常連線予以合理阻斷。因此對於DDoS的攻擊行為,F5在前面就可把惡意連線清掉,若遇到流量過大,則可透過負載平衡機制做分流。
萬一DDoS攻擊標的不是透過標準HTTP連線時,該如何辨識?對此陳建宏表示,F5的特色之一,即是提供iRule程式語言的開發彈性,來因應各種不同IT架構下產生的不同問題。
 |
| ▲F5技術顧問陳建宏提醒,廠商不會比IT管理者更清楚自身架構環境中,有哪些流程環節需要嚴加控管,因此設備本身要能具備彈性。而F5即提供控管平台,讓不同應用需求得以在此平台上加以開發、實現。 |
針對DDoS緩解,即可藉此客製化出符合控管政策的機制。進而上傳到DevCentral分享。DevCentral是F5提供全球用戶者皆可登入的分享交流網站,亦可直接下載網站上其他使用者所開發的程式碼,載入到F5平台中即可運用,無須收取費用。
陳建宏說,由企業自行研發的軟體,要辨識其行為模式並不難,真正難的部份,在於只有企業內部IT人員才懂得該軟體的運作邏輯,一般商業化的解決方案皆難以適用,只能基於某些控管平台再進行客製來協助,決定分派流量、保留頻寬,或直接阻斷。
他舉例,像是Facebook社交網站,為了避免用戶帳號被盜,因此設計一個檢查機制,如果是到國外出差,登入時系統發現不是該帳號經常登入的伺服器區域時,此連線會被拒絕,且發問一連串跟此帳號相關的問題,答對才會被允許登入。而此機制即是透過F5的GeoLocation Services 機制搭配iRule進行客製完成。
像近來也相當知名的Hash DoS攻擊,有時網頁會有數字,例如定價等,所以主從端溝通時會有一個確認機制,以免數字有錯。該確認機制就是透過Hash演算法,但這也有存在漏洞,已經發現有駭客透過這種漏洞來攻擊伺服器,讓資源消耗殆盡。
他強調,類似這種新型態攻擊手法一旦被F5客戶發現,便會立即透過iRule來抵擋,成功地抵制攻擊行為,並且將此段程式碼公佈在網站上,當其他用戶遇到這類攻擊,下載回來載入到F5設備中就可立即生效阻擋。