透過多層式防禦 瓦解DDoS攻擊威脅

Arbor Networks亞太區技術總監張泰興。

綜觀近年DDoS攻擊事件，著實讓人不忍卒睹，受難者不乏極具全球知名度的大型企業機構；問題來了，這些受害組織過往建立的資安防護機制，其實已有一定水準，比起其餘中小規模的用戶，可說有過之而無不及，為何仍無力迎戰DDoS攻擊威脅？

Arbor Networks亞太區技術總監張泰興指出，事實上，DDoS攻擊並非新穎話題，早在2000年即已現身，爾後甚至沈寂了一段不短時日，直至近3年又開始活躍，例如以勒索比特幣為目標的DD4BC集團，即以DDoS為主要手段，實現犯罪目的。

駭客窮追猛打 上游ISP也可能遭波及

眼見DDoS攻勢轉趨火熱，包括防火牆、入侵防禦系統(IPS)等傳統資安設備，紛紛開始強化其產品功能，並對外宣稱可為用戶提供DDoS防護能力，但在現實世界裡，這些設備往往在駭客攻防戰中敗北。

對此張泰興強調，DDoS防護重點，根本不在於能不能做，而是做得好不好，先天上即不具備DDoS防護專長的防火牆或IPS，面對諸如TCP SYN Flood等相對簡單的DDoS攻擊，尚有能力遏阻其攻勢，然而一旦面臨多變複雜的新興攻擊型態，便容易束手無縛。

「更可怕的是，連這些設備本身，也可能被DDoS打垮！」張泰興說，傳統資安設備內含一道機制，即是「狀態表」，意指其在同一時間，所能承載的最大連線數，假使是100萬，則第1,000,001個連線就會被拒於門外，駭客看準此一罩門，即發動猛烈DDoS攻擊，只要攻擊流量大過狀態表極限值，再強的防火牆或IPS也將棄械投降。

讓人擔心的事情還不僅止於此，就連後端伺服器，也有類似於狀態表的先天缺陷，意即在同一時間，能夠服務的客戶數量也有極限，如果是1,000戶，那麼駭客只需要製造千筆假交易，將這些空間佔滿，此後不管是第1,001、1,002或1,003…位合法客戶，再也無法享有正常服務。另一方面，就算駭客不把受害目標的防火牆、IPS或伺服器打掛，只要把上游ISP線路塞爆，也照樣可以實現阻斷服務目的。

看得愈透徹  愈能理解惡意攻擊樣貌

如此看來，企業難道就只能淪為DDoS攻擊者的待宰肥羊？當然不是！張泰興指出，從成立的第一天、迄今14年始終與DDoS對決的Arbor，便可運用有別於同業的防禦手段，有效瓦解DDoS攻擊；他進一步解釋，在早期，Arbor主要協助電信營運商對抗DDoS攻擊，截至目前已服務全球超過90%的一線電信公司或ISP業者，部署Arbor所提供的Peakflow CP/TMS電信級DDoS防護方案，幫助這些業者本身防範來自有線寬頻或行動網路的攻擊，也據此蓄積服務能量，順勢協助下游客戶抵禦DDoS攻擊。

在此前提下，每天行經大量Arbor Peakflow CP/TMS設備的流量，平均高達120Tbps之譜，等同於全球3分之1的網路流量，提供Arbor得天獨厚的機會，即使靠一己力量便可彙集龐大的攻擊樣本，藉以分析當下流行的惡意程式活動；但Arbor並不以此為自滿，另與全世界百餘個CERT機構展開合作，彼此交換資安情報資料，擴大攻擊樣本的蒐集來源。

如此一來，Arbor旗下的安全智能研究平台ATLAS，可用於分析的樣本部位極為龐大，迄今ASN(Access Service Network)的可視性高達98%，從IPv4理論值角度的可視性為71%，IPv4 Host理論值角度的可視性為48%，各項數值皆非同業所能望其項背；所以Arbor看得愈多，愈有機會看清駭客的行為舉止，愈能快速產出攻擊特徵，則Arbor與駭客之間的賽跑，就不會陷於速度上的劣勢，終至能幫助用戶儘早建立防護規則，在DDoS流量猶未爆發的前夕，就提前阻檔其連線。

施展流量清洗  於千里外擊潰駭客

張泰興說，目前Arbor可為予一般企業用戶提供名為「Pravail APS」的防護方案，其具有無狀態表(Stateless)的相對優勢，所以絕對不會被駭客灌爆狀態表而陷於癱瘓，連帶也一併牢牢呵護後端的應用伺服器。

只不過前面提到，駭客還可對針對目標對象的上游ISP線路發動攻勢，等於把通往企業大門的道路悉數封鎖，若發生此現象，則企業對外服務即告停擺，後果同樣不堪設想。

著眼於此，Arbor特別設計多層次防禦機制，除了倚靠Pravail APS在「On-premise」第一線層次保護企業用戶外，也為此設備注入「雲信號」(Cloud Signaling)功能，換言之，當Pravail APS遭受巨大流量攻擊之際，會同時對上游ISP、Arbor Cloud發送求救信，如此即便攻擊流量愈滾愈大，大到已逾越Pravail APS的承載負荷，ISP會介入協助，在未進入企業門戶前，便將巨大流量予以卸除。

但如果駭客緊催油門，不達目的誓不罷休，動員大量僵屍電腦同步進擊，發動了上百Gbps的攻擊流量，就連ISP也撐不住，那麼該如何是好？值此時刻，Arbor多層次防禦架構的最後一道防線，也就是Arbor Cloud便將上陣登場，發揮流量清洗功能，也就是瞄準駭客發動攻擊的源頭，在發出攻擊流量的一開始，就將之清洗殆盡，等於是將距離受害企業千里之遠的地域，列為Arbor Cloud與駭客的決戰場，藉以協助用戶度過當下危難。