如何抵擋巨量阻斷攻擊 智慧應用 影音
太陽誘電microsite
Event

如何抵擋巨量阻斷攻擊

  • DIGITIMES企劃

Juniper Networks資深技術經理林佶駿。
Juniper Networks資深技術經理林佶駿。

隨著網路技術的發達以及頻寬的增加,分散式阻斷服務攻擊(Distributed Denial of Service;DDoS)的攻擊能量也變得愈來愈大,許多知名企業或網站如蘋果日報或香港線上公投,都曾經遭受類似的攻擊。

Juniper Networks資深技術經理林佶駿指出,企業面臨的資安威脅發展趨勢,首先就是不斷變動的IT環境,如行動化、雲端化及虛擬化等,讓企業的網路流量迅速增加,也讓資安的威脅也跟著增加;而不斷進化的威脅方式,包括目標攻擊、更加複雜的工具、竊取資料等,往往會讓企業防不勝防;而快速增加的成本和風險,包括更廣泛的攻擊層面,以及對品牌形象及財務的影響,資安問題已經成為企業必須面臨的管理議題。

這些資安威脅,對企業直接造成的影響,自然就是流失商機。林佶駿指出,如線上購物網站可能會因為競爭對手的網路攻擊,造成消費者在購買過程困難重重,如回應速度太慢等,消費者可能會因為不耐久候,而選擇跑到競爭對手的網站消費,自然也就造成金錢損失,如果是資料被竊取,損失自然也會變得更加嚴重。

回顧DDoS的背景歷史,其實早在1980年代,就已經存在DDoS的攻擊方式,如在英國就曾發生前三大的博弈網站(如足球博弈),曾經因為被小型的競爭對手用DDoS攻擊,而讓網站停擺。

林佶駿指出,DDoS的演進狀況,可以分別從技術新舊程度,以及隱藏或隱形能力好不好來區分。量大取勝的DDoS,最有攻擊效果,一般企業其實難以防禦,因為頻寬申請通常是固定的,攻擊者只要用大於頻寬的方式攻擊,就很難避免網頁癱瘓,解決之道除了透過雲端服務,隨時增加頻寬外,企業IT部門也可以靠設備自行偵測,看到奇怪的封包就過濾掉,但一定要定期更新,才能過濾掉特徵碼。

但如果不知道特徵碼呢?林佶駿指出,網路伺服器只能承受一定的存取量,一旦超過,就可能造成網站停擺。IT部門可以考慮阻擋來自同一設備的不斷攻擊,但如何辨識來源,就會是資安偵測的主要挑戰。

林佶駿指出,顯而易見的攻擊,如在特定時間發動許多人一起使用的快閃攻擊,固然會造成資安威脅,但緩慢進行的攻擊,一樣有可能會讓網頁開不起來,而且從2013年開始愈來愈多。

面對前述各式各樣的攻擊,雖然一樣可以透過建立特徵碼來解決,但近年來的網路攻擊愈來愈難防禦,因為攻擊來源不斷推陳出新,要是沒有特徵碼或是沒有學習來源,還要確認學習的環境夠乾淨,資安防禦系統完全沒看過,無法寫出特徵碼,也就難以防禦,此外,就算網站可能撐得住提供量大的服務,但因為網站一定會跟後端資料庫連結做查詢,林佶駿指出,如果攻擊者能設法要求網站執行很奇怪的搜尋,就可能讓資料庫陷入忙碌的狀況,讓網站雖然還是活的,但功能卻可能變成死的。

因此,為了對抗不斷推陳出新的DDoS攻擊,林佶駿表示,資安系統可以用給分數的方式來過濾,偵測到的網路行為,如果像人類的就高一點,疑似來自機器的就低一點。以新聞網站為例,正常的人類行為,在點開網頁後,會先看標題,而不是馬上去點所有的新聞,但如果是來自機器的行為,就可能會猛點所有的新聞連結,如此一來,就可以過濾掉可能的資安威脅。

這種利用給分的過濾方式,一樣也可以適用在網路封包的偵測上,但由於有些封包會惡意偽裝,資安系統要儘量做到不要誤判。林佶駿表示,如果不會造成影響,就不要優先阻擋,但如果發現伺服器回應時間變慢,服務受到影響,系統就必須調高進入的分數門檻,甚至愈調愈高,也就是透過建立行為表的方式,給每一次的瀏覽或行為不同的分數,用「捉大放小」的方式,將資安防禦資源發揮到極致。

此外,由於攻擊者在發動DDoS攻擊時,往往會隨時轉移攻擊對象,所以資安系統一旦發現攻擊轉移時,必須要動態調整伺服器的資源及流量,讓沒有被攻擊的伺服器承接比較大的正常使用能量,有時還可以因此發現伺服器資源錯置的現象,進而優化網路服務的品質。

林佶駿強調,要解決及防禦新的DDoS,透過特徵碼的傳統防禦方式,已經很難達到過去的成效,因為沒有樣本,也不能透過學習的方式建立,因為不能保證網路環境是乾淨的,所以透過演算法,根據用戶的使用行為,來判斷正常及不正常的存取方式,會更加可靠。