現代化DDoS攻擊手法,基本上可區分為網路層與應用層,Check Point台灣區技術顧問吳炳東說明今年推出的DDoS Protector緩解設備,不論是網路還是應用層,主要都是透過駭客行為模式分析,進行辨識與阻斷。
他以日前承接線上遊戲遭受DDoS攻擊的客戶為例,由於網路連線經常出現不穩定的現象,才找上Check Point DDoS Protector做測試。該測試方案除了第三層(Network Layer)到第四層(Transport Layer)的混合模式攻擊,也包含現在比較新型的Low-and-Slow,手法是利用三方交握的連線模式,拋一個SYN,把SYN ACK的時間拉到最長之後不回應,持續讓網頁服務慢慢消耗殆盡。經過近三天的設備學習過程後測試,DDoS Protector確實能有效緩解DDoS手法的攻擊事件,客戶才開始應用在線上環境。
 |
| ▲Check Point台灣區技術顧問吳炳東認為,現代化設備都強調可抵擋應用層的攻擊,但處理駭客事件,比的是速度,誰能真正處理掉駭客行為,實機測試是最明確的驗證。 |
許多資安設備皆設計自動學習機制,不論流量的正常與否,網路封包都會被解析,並將行為紀錄到內建的資料庫,吳炳東表示,不過DDoS Protector除此之外還有Auto Patch的機制,就是在學習之後,若有發現新的攻擊行為,會自行產生特徵碼,進而阻擋。萬一客戶正在火線上,受到DDoS嚴重攻擊以致沒有時間學習,也可以先取出封包紀錄,送到Check Point研發單位來快速產生特徵碼。
DDoS Protector的比對技術,是來自Check Point的雲端安全Threat Cloud,其攻擊行為資料庫,結合來自全球超過二千名殭屍網路(Botnet)的攻擊行為,做為比對的準則。
吳炳東認為,其實DDoS已如同病毒般難以被消滅,隨時會有新品種、新手法被創造出來,因此透過Threat Cloud蒐集來自全球的攻擊行為,作為辨識依據來縮短應變的時間差。而所有Check Point用戶只要啟用Anti-Bot的功能,即可直接從Threat Cloud資料庫中下載已知類型的殭屍網路資訊,並可預測下一步的行為。
其實就目前DDoS攻擊事件來看,很難有單一產品可以抗衡全數的攻擊行為。因此吳炳東所認為的最佳防禦機制,第一層是透過DDoS Protector專屬設備,第二層則為IPS。「畢竟DDoS Protector的應用模式比較偏向被動型態,主要在攻擊事件發生時,可以加快反應速度,達到緩解的功效。」他說明,當一個未知型攻擊行為成功進來時,其實最重要一點是誰撐得久,同時又可維持正常的使用者連線回應時間,這部分就可搭配IPS協同防禦。而過程中所產生的日誌資料,皆可整合到Smart Center統一查看。