Secure the NEXT – 舒緩DDOS攻擊
發布日期:2021/11/17
全球網際網路使用者超過34億,並且估計有64億物聯網(IoT)裝置連接,構成一個每秒無數資訊與交易流動的生態系統。Gartner估計,連網裝置數量將在2020年達到200億。IoT將成為我們生活的一部分,從公共設施到運輸乃至於市民服務。雖然這提供了前所未有的便利性,但同時也吸引網路犯罪者的注意,他們為了遂行惡意目的而不斷的精進技術。IoT裝置帶來各種便利的新功能,但人們往往忘記這些裝置也是和網路相連接。從過去的蠕蟲病毒和間諜軟體,到現在的複雜威脅例如網路間諜、勒索軟體、複雜的惡意軟體、以及普遍存在的分散式拒絕服務(DDoS)攻擊等,不論個人或企業都暴露於險惡的攻擊風險。
分散式拒絕服務(Distributed Denial of Service; DDoS)屬於一種多重來源的網路攻擊形式,目標是要中斷網路資源與使用者服務。現在的DDoS已進化到具有各種破壞能力,例如詐騙與勒索。典型的DDoS攻擊是以傀儡網路模式利用許多遭入侵的系統或裝置,藉由龐大流量癱瘓網路資源。DDoS攻擊可以進一步分成以下類型:
- 爆量型:專門用來灌爆網路,尤其會衝擊每秒連接數(connections per second; CPS),讓真正的使用者流量無法存取網路。
- 非對稱式攻擊:少量的惡意資料,藉由消耗重要的記憶體讓網路變得非常遲緩。
- 運算資源攻擊:專門消耗CPU和記憶體資源。
- 安全弱點攻擊:針對安全弱點展開攻擊。
- 混合DDoS攻擊:結合了一種以上的不同攻擊類型。
比以往更大規模的威脅
DDoS攻擊從2000年代後期開始就是一種普遍存在的威脅,而過去幾年來的攻擊規模大幅增加。新的協定攻擊和放大(amplification)攻擊,使得大多數企業除非藉助以雲端為基礎的DDoS流量淨化服務(scrubbing service),否則就無力對抗這些規模過大的威脅。2013年,SpamHaus反垃圾信專門機構因為遭受300 Gbps攻擊導致服務中斷,而2014年的一項攻擊甚至達到400 Gbps尖峰流量。不過,全球史上最大規模的DDoS攻擊發生在2015年,達到500 Gbps尖峰流量。隨著頻寬成本的降低,發動大規模攻擊的成本負擔也減輕了,因此我們可以預期很快就會看到terabyte規模的攻擊。
現代化拒絕服務攻擊不但會干擾或中斷服務,而且會以混合不同效應的威脅分散資安團隊注意。這類攻擊不論頻率、規模或複雜性都持續增加。攻擊者結合了爆量攻擊、部分飽和、認證與應用層攻擊,直到他們發現其中最弱的環節。這些威脅越來越難以防範,而且通常是進階持續性威脅(advanced persistent threats; APT)的前兆。及早發現並阻斷這些威脅,是企業確保服務連續性的關鍵。再者,普遍存在的爆量DDoS攻擊,加上增加中的傀儡網路威脅,促使企業必須訴諸一種結合本地部署(on-premise) WAF與雲端流量淨化服務的混合DDoS策略。
舒緩DDoS攻擊威脅
當公司從on-premise WAF偵測到遭受DDoS攻擊時,可以將內送流量(incoming traffic)切換到一個以雲端為基礎的DDoS流量淨化服務(例如F5 Silverline),對流量進行偵測和淨化。一旦流量淨化後,就會從Silverline送回公司。執行淨化服務的期間,公司可以一如往常繼續營運。流量淨化服務有效舒緩DDoS攻擊威脅,避免公司服務遭受衝擊,確保正常的業務運作。
企業必須保護他們的基礎設施,避免遭受大規模和持續性的攻擊,並且確保效能不會受影響。為了做到這一點,我們可以透過細緻分級的DDoS規則與政策,並結合身分識別以及應用與資料存取之脈絡知識(contextual knowledge);這些知識來自整個部署環境的自動化資料收集與分析,包括SSL檢測、行為分析、頻寬利用、健康監控及其他統計資料。
這可以確保更早偵測攻擊(例如HTTP/S、SMTP、FTP、DNS和SIP),並且快速而精準的藉由硬體、上游或雲端服務以舒緩威脅。企業也因此能夠在攻擊流量降到可控制的層級時,順利且立即的回復服務。