複合式分散式阻斷服務攻擊 DDDoS DDoS 網路安全 DoS

從DDoS到DDDoS 複合式阻斷攻擊更難防

2013-01-22
網路攻擊千奇百怪,但目前最盛行的莫過於DoS/DDoS。但就在網路服務逐漸從Server/Client方式轉移到雲端服務環境後,攻擊行為也有所改變了。 現在最新型態的攻擊可稱為DDDoS(3DoS,複合式分散式阻斷服務攻擊),不但原有安全架構都需要重新調整,甚至連防禦架構與觀念都需要升級,以免惡意攻擊得逞。
人們的資訊生活隨著各式各樣的網路基礎設施、應用服務及社群活動而不斷增加且熱絡,到現在已經演變成無時無刻都仰賴網路。 不但朋友間可以利用網路互通有無、交換訊息外,需要查詢各項生活資訊或知識,也可以利用搜尋引擎找尋網路上的資料;甚至在社群網站上,每個人都在過著另一個人生。

從這些應用趨勢來看,我們可以很明顯地發現,網路已經深植現代人的生活之中,一旦沒有網路所給予的便利性,生活將會造成一定程度的不便與慌亂。

網路攻擊再進化 複合程序造成破壞

過去最常遭遇到的攻擊方式就是DoS/DDoS攻擊,因為啟動快速、危害高,同時對惡意人士來說是相當隱密的攻擊方法。

不過隨著技術進步,網路安全設備,如防火牆、入侵防禦系統或是具安全功能的路由器,已經可以阻擋傳統的DoS/DDoS攻擊,因此駭客們為了達到更隱密且更有力的功效,將傳統的DoS/DDoS攻擊演化成DDDoS(Diverse Distributed Denial of Service,亦可稱3DoS),不但攻擊方式更加複雜,難以察覺,同時影響也更為深遠;此攻擊可以跳過網路上各個安全防護設備,所有因攻擊而造成的細微封包都會直攻應用伺服器,造成應用服務中斷,也讓企業蒙受更大的損害。

為什麼3DoS可以避開現行的安全防護措施?這就要從傳統的防護方式談起。傳統因應DoS/DDoS的方式是阻斷來源IP,這在同時由同一位置湧入的封包或許可行,因為可以明確地從網路第二或第三層察覺攻擊模式與型態,網路安全設備可以輕易地根據設定辨認出攻擊地點為何。

但3DoS的攻擊型態則不是如此,它已經徹底模擬成使用者的操作模式,直接從第七層攻擊應用服務的弱點,包含程式語言、協定漏洞甚至是人為疏失等。

但如同前面所述,網路已經成為每個人生活當中的必需品,每天我們都會使用相當大量的網路服務,許多不妥當的操作行為是為了增加便利性而默許存在的。

例如,有些網站為了保持使用者依然在線上,會刻意將Session存活時間延長,避免因行動網路連線而造成中斷或速度不足等問題。但也因為這些默許存在的操作模式,讓惡意人士有了可趁之機。

網路層的防禦模式都是透過連線狀態與行為分析,達到搜尋並偵測惡意來源IP的功效。像是F5 TMOS就能夠以最短的時間分析出各個連線的行為模式,過濾出哪些是惡意來源IP或使用者,並藉由連線控制或丟棄封包等方式,讓伺服器能保持在最安全的狀態。

改變防禦策略與模式方能阻擋

如果把3DoS的攻擊行為拆解開來看,在不同層級上都可被列入「無害」的類別,但就是這些看似無害的內容,組合起來卻對應用服務造成相當大的影響。

舉例來說,每個人都有遇到對方打錯電話的時候,無心狀態之下當然笑笑就算了。DoS跟DDoS就像是由一組或一群固定的電話號碼不斷發話到你電話上,干擾溝通聯絡的管道,但我們可以請求電話公司將已知的電話列入黑名單,以拒絕騷擾。傳統DoS/DDoS的主要防禦方式就是如此。

3DoS則不相同,每次攻擊的來源、方式或危害可能都不盡相同,就像是很多不同來源的電話號碼,有的響一聲就掛斷,有的一直打不停,有的則是接起來不說話,有的則是接起來卻是打給不知名的第三者??如此會嚴重干擾電話擁有人,但卻不知道如何阻斷與拒絕。

因此新的防禦策略應該是由上而下,先從應用層的允許方式開始,追蹤不當的應用呼叫方式往下回追網路層的足跡,進而由網路安全設備阻斷來源,這才是徹底的防護之道。

而且網路上的安全設備不能把自己侷限單一層級上,像是傳統防火牆就僅能阻擋第二層與第三層的攻擊,而IDS/IPS設備雖然可以分析第七層的威脅,但也限於已知的威脅攻擊模式,無法阻擋未知模式的攻擊。

現在的攻擊防護必須要拉高層級到第七層,甚至還要更進一步分析政策管理上的合理性,無論是來源IP/目的地IP位址、所使用的通訊協定、發送的指令與字串、帳號密碼的正確性,甚至是合法的時間與使用者等,都要納入安全防護體系的規範之中,這樣才能最大程度的保障企業網路與伺服器的安全。

智慧分析全代理管控 防護更全面

就如同F5的iRules,可以偵測並分析使用者的使用模式,找出各種有意的攻擊事件,並且整合所有網路安全設備,從不同方式阻擋攻擊進入,達到安全且全面的防護功效。

舉例來說,過去的防護體系會認為只要帳號密碼正確,來源與目的地IP位址正確,所使用的通訊協定正確,就算他是在半夜登入也視為合法登入。但是在F5 iRules中,我們可以發現如果在非上班時間登入,系統也會主動跳出警示,告知此種非正常行為,藉此由根本杜絕惡意攻擊的發生。

因為攻擊模式不斷改變,企業的安全防護策略也必須不斷提昇,最重要的就是不能再執著於網路層的安全防護,必須要能夠判讀並協助分析各項應用服務要求的正確性與安全性,這樣才能有效防止惡意人士藉由安全管道,或是安全的服務入侵而造成危害。

<本文作者為F5 Networks香港及台灣區董事總經理,負責發展F5在香港與台灣的應用傳送網路及數據解決方案業務,成功地拓展F5於金融界、政府機構、製造及電訊業的客源,擁有逾17年的資訊及電訊行業經驗。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!