A10 Thunder TPS 助企業抗禦DDoS威脅
- 魏淑芳
-
環顧近年資安事件,DDoS攻擊堪稱是最難纏的威脅,只因一般企業遭受此類攻擊的頻率持續增加,因而導致停機或其他負面影響(如降速、客戶存取遭拒)的時間不斷延長,更麻煩的是,DDoS日益精進,既有頻寬耗盡型攻擊,也有資源耗盡型攻擊,兩類威脅不時交錯混合,使得防禦難度愈來愈高。
舉凡2月期間券商遭受大規模DDoS攻擊勒索事件,2016年1月期間英國匯豐銀行遭受DDoS攻擊勒索事件,乃至駭客利用Mirai控制大量物聯網(IoT)裝置,從而發動大規模DDoS攻擊,這些血淋淋例子,皆教人心有餘悸;可以預見,今後企業在推動金融科技(FinTech)或IoT等創新應用的過程,DDoS威脅恐將如影隨形,必須嚴加防範。
A10 Networks技術經理陳志緯指出,以傳統DDoS防禦機制而論,不外乎防火牆、網頁應用程式防火牆(WAF)或伺服器負載平衡(SLB)等設備,但它們一旦面對當前DDoS夾帶的幾個主要特徵,包括快速TCP連線、HTTP慢速攻擊、SSL連線攻擊、大量HTTP請求、DNS NXDomain攻擊或頻寬型攻擊,大多束手無策,最終無可避免造成企業頻寬滿載,或防火牆、SLB、伺服器、資料庫等資源耗盡。
陳志緯認為,欲有效防制DDoS,必須倚賴混合型防禦網路,其間蘊含兩個階層,一是ISP流量清洗(Clean Pipe)機制,另一是CPE DDoS防禦機制,之所以需要Clean Pipe,在於最後一哩線路若遭塞爆,則企業縱使在自家門口佈建強大防護設備,也無用武之地,所以必須借重ISP預先過濾清洗流量。
但如前所述,現今DDoS攻擊特徵十分多樣化,若屬於資源耗盡型態,即不以塞爆頻寬為主,無法藉由Clean Pipe濾除,此時便需要仰賴企業架設CPE防禦設備,藉此抵禦DDoS攻勢,並妥善保護防火牆、入侵防禦系統(IPS)、SLB(SSL Proxy)、Web伺服器、資料庫等重要系統。
五道防護關卡 阻絕DDoS攻勢
A10 Networks提供的Thunder TPS威脅防護系統,同時適用於ISP流量清洗、CPE DDoS防禦不同情境,惟兩者架構有所歧異,彼此相輔相成。
若以企業關注的CPE DDoS防禦而論,Thunder TPS角色至為明確,即是在網路最前線偵測與緩解複合型DDoS攻擊;它之所以有效發揮阻絕效果,在於擁有五道防護關卡,依序是異常封包檢測、黑白名單、連線驗證、流量管控及應用層檢測。
所謂異常封包檢測,主要憑藉逾50種固定Pattern,檢查流量中的協定、L3~4封包表頭等欄位是否正常。至於黑白名單,則可透過動態建立,意在檢查封包裡頭的IP與TCP/UDP資訊,作為放行(白名單)或攔阻(黑名單)的判斷依據。
有關連線驗證,是運用TCP SYN Authentication、TCP SYN Cookie、UDP Authentication、DNS Authentication等等方式,驗證連線是否完整。
一旦察覺異狀,可針對IP、Port或Connection執行譬如限速等對應措施,此即為流量管控。在應用層檢測部份,係針對HTTP、DNS或SSL等內容進行過濾,並將違反既定行為規範者予以攔阻,透過這道關卡,便能有效遏阻頗難對付的HTTP慢速攻擊。
陳志緯強調,Thunder TPS另支援Automated Baselining概念的智慧型威脅偵測功能,可針對企業每項服務流量進行分析、記錄與學習,繼而以不影響服務運行為前提,設立最合理的基準線,假設實際連線數落在基準線下,便視為Level 0狀態,不開啟任何Policy或只開啟簡易連線驗證,如TCP SYN Cookie,反之則視情節嚴重程度評定為Level 1或2不等狀態,接著啟動各Level所對應的防護措施;藉由動態防禦政策的施行,可望大幅減少誤判發生。
另值得一提的,A10 Thunder TPS提供友善的GUI介面,便於用戶調閱事件記錄、快速進行分析與追蹤,以利掌握每件DDoS攻擊活動的來龍去脈,不斷優化自身防禦政策。
