DDoS防護整合行為分析 自動調整臨界參數
發布日期:2021/11/17
在F5 Labs威脅情資實驗室近期發布的調查統計報告中指出,攻擊者只要花費20美元,就可訂閱DDoS攻擊服務發動300Gbps流量。
DDoS雲端服務容易取得,價格又便宜,即使完全不懂技術,只要花錢即可發動,照說應是相當受重視的資安威脅。「台灣企業在遭受攻擊勒索當下確實非常認真看待,但事件過後似乎又很快淡忘,」F5台灣區資深技術經理許力仁實際觀察,之所以欠缺積極的動力,主因在於本土企業數位化程度並不高,即使網路應用服務停擺,立即切換回傳統工作模式仍舊可繼續營運。但隨著各行各業朝向數位化發展,任何足以造成營運中斷的現代化攻擊,勢必不容再小覷。
「其實DDoS攻擊手法每年都有不同變化,只要數位化的浪潮持續發展,透過網路發動的攻擊就不會停止。例如目前檯面上的金融業者,幾乎都在發展數位化應用模式,未來陸續上路之後,若無通盤計畫,恐影響數位發展前進的腳步。」許力仁說。
嚴防應用程式DDoS手法導致資源耗盡
就DDoS攻擊手法來看,F5 Labs威脅情資實驗室的統計資料顯示,以UDP Flood手法最多,利用不需要三方交握即可向伺服器發出連線請求的UDP協定特性,偽造來源位址指向攻擊標的IP位址的封包,接收到的應用程式會回應處理狀態,導致該IP位址彙集回應封包產生大規模流量而影響正常運行。近期的Memcached,以及NTP、DNS、BIND反射放大式攻擊皆為UDP Flood變換手法所致。然而,許力仁認為,真正難以處理的DDoS攻擊是針對應用程式發動,由於大多為量身客製的惡意程式,多數企業難以有足夠技術能力因應與緩解。
所謂的應用程式DDoS攻擊,例如殭屍電腦利用HTTP通訊協定中的GET方法,發送大量瀏覽網頁請求封包,應用程式往往因耗費過多資源處理導致不堪負荷而中斷服務。然而多數清洗中心或實體設備,主要是處理Layer 3/4封包,反而不易解決Layer 7的HTTP Flood這類資源耗盡型的DDoS攻擊。
防禦HTTP Flood須具備一定規模資料量與分析判斷能力。現代進階攻擊手法則更會模擬人的行為,以使用者點選網頁瀏覽順序來混淆,逃避被偵測與攔阻。再加上如今盛行HTTPS全網站加密,使得DDoS攻擊清洗服務的供應商根本無法解密檢查,企業用戶也不敢把憑證交給流量清洗中心。
如此狀況下,必須由具備解析Layer 7能力的實體設備偵測,搭配雲端清洗中心服務才得以解決。「我們本就擁有Proxy技術,能夠看到Layer 7流量,較傳統深度封包檢測技術可取得更多應用層狀態,搭配運用參數即可判斷是否為DDoS攻擊。Layer 3/4的洪水攻擊交給Silverline負責清洗,應用程式型態的攻擊通常封包不大,可能100M就已經相當大了,所以建議採用自建方式,透過DDoS防護設備,建置在伺服器前方,可以看到連線數與內容,即可抵擋應用層攻擊。」許力仁說。
依清洗後流量計價更具經濟效益
市場上可選用的DDoS緩解服務類型,防護等級事實上有所差異,許力仁指出,F5 Silverline提供的雲端清洗中心,是為了因應DDoS攻擊所設計,但是對於主流的雲端平台供應商,甚至是上游ISP而言,DDoS緩解僅為眾多服務項目中的一種,通常清洗服務會有最高承接的攻擊流量上限。
另一方面,可能基於預算考量,大多企業會選用On Demand模式,需要的時候再進行切換,問題是,如何切換需要一段學習時間,長短不一定,畢竟要先能定義正常行為才得以判斷出異常,進而調查是否為攻擊活動。
「目前全球遭受DDoS攻擊平均值大約為每秒300Gb到500Gb流量,國際間雲端清洗中心的承載流量皆為每秒Tb等級以上,例如F5 Silverline提供的是2Tbps,足以因應大部分威脅。
DDoS雲端服務容易取得,價格又便宜,即使完全不懂技術,只要花錢即可發動,照說應是相當受重視的資安威脅。「台灣企業在遭受攻擊勒索當下確實非常認真看待,但事件過後似乎又很快淡忘,」F5台灣區資深技術經理許力仁實際觀察,之所以欠缺積極的動力,主因在於本土企業數位化程度並不高,即使網路應用服務停擺,立即切換回傳統工作模式仍舊可繼續營運。但隨著各行各業朝向數位化發展,任何足以造成營運中斷的現代化攻擊,勢必不容再小覷。
「其實DDoS攻擊手法每年都有不同變化,只要數位化的浪潮持續發展,透過網路發動的攻擊就不會停止。例如目前檯面上的金融業者,幾乎都在發展數位化應用模式,未來陸續上路之後,若無通盤計畫,恐影響數位發展前進的腳步。」許力仁說。
嚴防應用程式DDoS手法導致資源耗盡
就DDoS攻擊手法來看,F5 Labs威脅情資實驗室的統計資料顯示,以UDP Flood手法最多,利用不需要三方交握即可向伺服器發出連線請求的UDP協定特性,偽造來源位址指向攻擊標的IP位址的封包,接收到的應用程式會回應處理狀態,導致該IP位址彙集回應封包產生大規模流量而影響正常運行。近期的Memcached,以及NTP、DNS、BIND反射放大式攻擊皆為UDP Flood變換手法所致。然而,許力仁認為,真正難以處理的DDoS攻擊是針對應用程式發動,由於大多為量身客製的惡意程式,多數企業難以有足夠技術能力因應與緩解。
所謂的應用程式DDoS攻擊,例如殭屍電腦利用HTTP通訊協定中的GET方法,發送大量瀏覽網頁請求封包,應用程式往往因耗費過多資源處理導致不堪負荷而中斷服務。然而多數清洗中心或實體設備,主要是處理Layer 3/4封包,反而不易解決Layer 7的HTTP Flood這類資源耗盡型的DDoS攻擊。
 |
| ▲在伺服器前方建置DDoS防護措施,才可清楚掌握連線數與封包內容,來抵擋應用層的攻擊。 |
防禦HTTP Flood須具備一定規模資料量與分析判斷能力。現代進階攻擊手法則更會模擬人的行為,以使用者點選網頁瀏覽順序來混淆,逃避被偵測與攔阻。再加上如今盛行HTTPS全網站加密,使得DDoS攻擊清洗服務的供應商根本無法解密檢查,企業用戶也不敢把憑證交給流量清洗中心。
如此狀況下,必須由具備解析Layer 7能力的實體設備偵測,搭配雲端清洗中心服務才得以解決。「我們本就擁有Proxy技術,能夠看到Layer 7流量,較傳統深度封包檢測技術可取得更多應用層狀態,搭配運用參數即可判斷是否為DDoS攻擊。Layer 3/4的洪水攻擊交給Silverline負責清洗,應用程式型態的攻擊通常封包不大,可能100M就已經相當大了,所以建議採用自建方式,透過DDoS防護設備,建置在伺服器前方,可以看到連線數與內容,即可抵擋應用層攻擊。」許力仁說。
依清洗後流量計價更具經濟效益
市場上可選用的DDoS緩解服務類型,防護等級事實上有所差異,許力仁指出,F5 Silverline提供的雲端清洗中心,是為了因應DDoS攻擊所設計,但是對於主流的雲端平台供應商,甚至是上游ISP而言,DDoS緩解僅為眾多服務項目中的一種,通常清洗服務會有最高承接的攻擊流量上限。
另一方面,可能基於預算考量,大多企業會選用On Demand模式,需要的時候再進行切換,問題是,如何切換需要一段學習時間,長短不一定,畢竟要先能定義正常行為才得以判斷出異常,進而調查是否為攻擊活動。
「目前全球遭受DDoS攻擊平均值大約為每秒300Gb到500Gb流量,國際間雲端清洗中心的承載流量皆為每秒Tb等級以上,例如F5 Silverline提供的是2Tbps,足以因應大部分威脅。