近年 DDoS 攻擊事件層出不窮,台灣前 13 大證券商網路瞬間被幾十 GB 的流量癱瘓,估計高達百億的交易也被迫中斷,耗費數小時才解除危機!科技轉型時代來臨,當企業進化正需網路滋養時,同時也將自己暴露在危機四伏的環境下,若沒做好 DDoS 防護,損失非同小可,了解 DDoS 攻擊與防護,便成了公司企業不可不知的重要課題。
什麼是 DDoS 攻擊?為什麼會有 DDoS 攻擊?
DDoS (Distributed Denial of Service) 意為「分散式阻斷服務」:攻擊者利用「殭屍程式」植入多台電腦後門,組成「殭屍電腦」大軍後,製造大量網路流量,惡意泛洪特定目標,癱瘓其系統運作與服務,又稱「洪水式攻擊」。 DDos 攻擊惡劣難防,而發起攻擊無非起於以下 5 點原因:
- 利益導向,駭客勒索贖金
- 商業利益,同業惡意競爭
- 癱瘓網路,竊取重要機密
- 攻擊政府,為達政治目的
- 純粹好玩,駭客網路練兵
DDos 攻擊不只偶發,網路上甚至有常態演練,讓企業無時無刻暴露在資安危機之下。要確保企業網路維運,首先得知道 DDoS 常用攻擊手法。
DDoS 攻擊有哪些種類?
DDoS 攻擊主要以企業網路結構的第 3、4 層與第 6、7層為目標,而這 7 層所負責的通訊工作由外到內簡列如下:
# |
Layer |
型態 |
工作內容 |
DDoS 攻擊方式 |
7 |
Application |
資料 |
應用程式網路程序 |
HTTP 泛洪、DNS 查詢泛洪 |
6 |
Presentation Layer |
資料 |
資料展示和加密 |
SSL 濫用 |
5 |
Session Layer |
資料 |
中間主機通訊 |
不適用 |
4 |
Transport Layer |
區段 |
端對端連線和可靠性 |
SYN 泛洪 |
3 |
Network Layer |
封包 |
路徑判定和邏輯定址 |
UDP 反射攻擊 |
2 |
Data Link Layer |
框架 |
實體定址 |
不適用 |
1 |
Physical Layer |
位元 |
媒體、訊號和二進位傳輸 |
不適用 |
DDOS攻擊型態千變萬化,主要以「頻寬耗損」和「資源耗損」兩種方式攻擊應用程式層和網路層,細節討論如下。
DDoS 攻擊應用程式層
針對應用程式層,攻擊者對登入頁面或搜尋 API ,發出超量 HTTP 請求讓目標系統泛洪,或是從偽裝 IP 位置,對開放 DNS 伺服器建構請求,讓 DNS 以大量資訊回應攻擊目標,佔用大量系統資源,達到癱瘓系統的目的。
DDoS 攻擊網路層
針對網路層的 DDoS 攻擊繁多,主要以下列 3 項為主:
SYN-FLOODING
利用 TCP 三方交握的漏洞,攻擊者對目標伺服器投出大量要求初始連線的 SYN 被攻擊的目標會回應每個連線請求,然後等待最終交握步驟,但惡意請求不會完成這個動作,讓伺服器開啟大量連結後空等,最終耗盡資源停擺。
UDP / ICMP-FLOODING
由於 UDP 協議不需要產生連結,不是以「佔用目標主機連結數」的方式來達到目的,而是發送大量 UDP 封包泛洪目標主機的帶寬,而且 UPD-flooding 不用費盡心思安排特殊置位,只要在一定時間內傳送大量 UDP 封包就能產生效果。ICMP 泛洪原理相同。
SLOW ATTACK
利用通訊協定中的漏洞,與目標主機建立「超慢速」網路連線,刻意拉長回應時間讓伺服器無法完成要求,佔用網路連線來耗盡目標系統的資源。
DDoS 攻擊對企業有哪些重大影響?
遭受 DDoS 攻擊,企業系統不是停擺幾小時就撥雲見日,以下棘手問題將接踵而來:
- 被勒索贖金,導致重大財務損失
- 資安漏洞造成企業負面形象
- 影響商譽、流失客群
- 承擔法律責任
DDoS 攻擊常讓企業損失慘重,攻擊手法又日新月異,除了被動的見招拆招,企業也可以從以下四個面向積極做好DDOS防護侵略。
DDoS 防護應用
構築網頁應用程式防火牆(WAF)
設置負載平衡
負載平衡器可控管流量,將超量的要求引導至其他可用伺服器處理,保護系統核心不被 DDoS 流量直接衝擊。
擴充運算資源
當 DDoS 攻擊者嘗試泛洪系統時,企業可臨時增加運算資源,讓網頁在不被癱瘓的情況下爭取緩衝時間,即時針對攻擊模式採取對應 DDoS 防護措施,將傷害減至最低。
流量清洗
當系統偵測到 DDoS 異常流量時,將其引流到清洗系統中,將異常的來源過濾、剔除,再將安全的流量引導回伺服器,
延伸閱讀:灌流量癱瘓主機?遠傳 / Imperva 聯手說NO。金牌資安認證IDC把關。
防護 DDoS,遠傳有一套
無論企業偏向以地端設備或雲端運算防護 DDoS 攻擊,憑藉豐富經驗,遠傳可以為企業提供以下專業可靠的 DDoS 防護服務:
遠傳地端 DDoS 防護策略
為滿足不同客戶的 DDoS 防護需求,遠傳與獲得 IDC MarketScape 全球 DDoS 防護領導者稱號的品牌合作,打造地端 DDoS 防護流量清洗解決方案。針對需依法規自建資安專責單位的企業,或是傳輸資料為機敏性質不適合上雲的客戶,地端清洗提供了資料不出海、更小包裝的解決方案,提供最經濟實惠的服務。同時能協助建構 DDoS 防護系統、提供演練服務,依法規提供從建置到運作一條龍的專業服務,讓企業享有自建防護的成果,輕鬆跨越資安的技術高門檻障礙。
- 遠傳融合多年網路技術經驗並與世界知名大廠合作,打造高品質流量清洗解決方案
- 7x24 小時專業監控和服務專線,隨時保衛您的網路流量
- 網路傳輸不出海,降低機敏資料外洩或是遭受海外攔阻風險
遠傳地端 DDoS 防護策略
遠傳與世界知名的資安巨人 Incapsula,以 CDN (Content Delivery Network) 加速服務、WAF (Web Application Firewall) 和流量清洗 (Clean Pipe),為企業架起層層防衛機制,全方位阻擋DDOS攻擊
- 以 CDN 架構隱藏企業服務,讓駭客無從得知來源 IP 或 DNS。
- Incapsula的龐大資料庫讓WAF規則透過不斷學習,時時調整規則,精準判斷流量屬性是否威脅企業資安。
- Clean Pipe 機制將流量引入雲端清洗中心,清洗後再將乾淨流量導回用戶設備。
- 由頻寬全球總量高達 6TB 的 Incapsula 清洗中心,像漏斗一樣過濾 DDoS 攻擊封包,攻擊者出招無效,自會知難而退。
延伸閱讀:遠傳 Akamai CDN 服務
Always On:所有流量皆會通過清洗中心,即時規避攻擊
- Incapsula的龐大資料庫讓WAF規則透過不斷學習,時時調整規則,精準判斷流量屬性是否威脅企業資安。
- On Demand:企業客戶需自備路由器及AS Number,從用戶端監控流量,檢測到惡意流量時發出警告通知,可將 DDoS 攻擊流量引導至清洗中心。
- On Demand (NT 方案):若客戶為遠傳 IDC / ELK 客戶,則由遠傳監控是否有 DDoS 攻擊,若發現則將流量切換至清洗中心。
延伸閱讀:遠傳雲端機房 IDC、大寬頻企業以太專線
遠傳 DDoS 防護戰績
除了面面俱到的策略,遠傳 DDoS 防護實務上一樣成績斐然:2015 年總統大選之夜,電視台機房運算資源有限,難以處理中選會不斷傳來的開票更新訊息,同時又得顧及直播。遠傳提供雲端機房擴充服務,更在計票資料庫系統前端,建置 Imperva 流量清洗機制,遇 DDoS 攻擊,來一回擋一回,圓滿協助電視、網路開票轉播,電視台選後也對雲端服務與 DDoS 防護的雙重效益感到滿意。
無論是電商、政府或企業,沒有人逃得過駭客的威脅,面對不斷演化的 DDoS 攻擊手法,孤軍奮戰只會拖垮企業發展。選擇理想 DDoS 防護夥伴為後盾,才能有效維持營運,讓企業高枕無憂。遠傳 DDoS 防護整合雲端、地端雙重守備,提供您最佳解決方案,若您想進一步暸解或申請遠傳 DDoS 防護相關服務,請點選我有興趣,將有專人與您聯繫。
