科技洞見

若無法顯示請按此

趨勢觀點

3 分鐘認識 DDoS 攻擊及如何防護


近年 DDoS 攻擊事件層出不窮,台灣前 13 大證券商網路瞬間被幾十 GB 的流量癱瘓,估計高達百億的交易也被迫中斷,耗費數小時才解除危機!科技轉型時代來臨,當企業進化正需網路滋養時,同時也將自己暴露在危機四伏的環境下,若沒做好 DDoS 防護,損失非同小可,了解 DDoS 攻擊與防護,便成了公司企業不可不知的重要課題。

什麼是 DDoS 攻擊?為什麼會有 DDoS 攻擊?

DDoS (Distributed Denial of Service) 意為「分散式阻斷服務」:攻擊者利用「殭屍程式」植入多台電腦後門,組成「殭屍電腦」大軍後,製造大量網路流量,惡意泛洪特定目標,癱瘓其系統運作與服務,又稱「洪水式攻擊」。 DDos 攻擊惡劣難防,而發起攻擊無非起於以下 5 點原因:

  • 利益導向,駭客勒索贖金
  • 商業利益,同業惡意競爭
  • 癱瘓網路,竊取重要機密
  • 攻擊政府,為達政治目的
  • 純粹好玩,駭客網路練兵

DDos 攻擊不只偶發,網路上甚至有常態演練,讓企業無時無刻暴露在資安危機之下。要確保企業網路維運,首先得知道 DDoS 常用攻擊手法。

DDoS 攻擊有哪些種類?

DDoS 攻擊主要以企業網路結構的第 3、4 層與第 6、7層為目標,而這 7 層所負責的通訊工作由外到內簡列如下:

Layer

型態

工作內容

DDoS 攻擊方式

7

Application

資料

應用程式網路程序

HTTP 泛洪、DNS 查詢泛洪

6

Presentation Layer

資料

資料展示和加密

SSL 濫用

Session Layer

資料

中間主機通訊

不適用

Transport Layer

區段

端對端連線和可靠性

SYN 泛洪

Network Layer

封包

路徑判定和邏輯定址

UDP 反射攻擊

Data Link Layer

框架

實體定址

不適用

Physical Layer

位元

媒體、訊號和二進位傳輸

不適用

DDOS攻擊型態千變萬化,主要以「頻寬耗損」和「資源耗損」兩種方式攻擊應用程式層和網路層,細節討論如下。

 

DDoS 攻擊應用程式層

針對應用程式層,攻擊者對登入頁面或搜尋 API ,發出超量 HTTP 請求讓目標系統泛洪,或是從偽裝 IP 位置,對開放 DNS 伺服器建構請求,讓 DNS 以大量資訊回應攻擊目標,佔用大量系統資源,達到癱瘓系統的目的。

DDoS 攻擊網路層

針對網路層的 DDoS 攻擊繁多,主要以下列 3 項為主:

SYN-FLOODING

利用 TCP 三方交握的漏洞,攻擊者對目標伺服器投出大量要求初始連線的 SYN 被攻擊的目標會回應每個連線請求,然後等待最終交握步驟,但惡意請求不會完成這個動作,讓伺服器開啟大量連結後空等,最終耗盡資源停擺。

UDP / ICMP-FLOODING

由於 UDP 協議不需要產生連結,不是以「佔用目標主機連結數」的方式來達到目的,而是發送大量 UDP 封包泛洪目標主機的帶寬,而且 UPD-flooding 不用費盡心思安排特殊置位,只要在一定時間內傳送大量 UDP 封包就能產生效果。ICMP 泛洪原理相同。

SLOW ATTACK

利用通訊協定中的漏洞,與目標主機建立「超慢速」網路連線,刻意拉長回應時間讓伺服器無法完成要求,佔用網路連線來耗盡目標系統的資源。

DDoS 攻擊對企業有哪些重大影響?

遭受 DDoS 攻擊,企業系統不是停擺幾小時就撥雲見日,以下棘手問題將接踵而來:

  • 被勒索贖金,導致重大財務損失
  • 資安漏洞造成企業負面形象
  • 影響商譽、流失客群
  • 承擔法律責任

DDoS 攻擊常讓企業損失慘重,攻擊手法又日新月異,除了被動的見招拆招,企業也可以從以下四個面向積極做好DDOS防護侵略。

延伸閱讀:證交所演練 DDoS 攻擊,遠傳打擊惡意流量奏效

DDoS 防護應用
構築網頁應用程式防火牆(WAF)

設置負載平衡

負載平衡器可控管流量,將超量的要求引導至其他可用伺服器處理,保護系統核心不被 DDoS 流量直接衝擊。

擴充運算資源

當 DDoS 攻擊者嘗試泛洪系統時,企業可臨時增加運算資源,讓網頁在不被癱瘓的情況下爭取緩衝時間,即時針對攻擊模式採取對應 DDoS 防護措施,將傷害減至最低。

流量清洗

當系統偵測到 DDoS 異常流量時,將其引流到清洗系統中,將異常的來源過濾、剔除,再將安全的流量引導回伺服器,

延伸閱讀:灌流量癱瘓主機?遠傳 / Imperva 聯手說NO。金牌資安認證IDC把關。

防護 DDoS,遠傳有一套

無論企業偏向以地端設備或雲端運算防護 DDoS 攻擊,憑藉豐富經驗,遠傳可以為企業提供以下專業可靠的 DDoS 防護服務:

遠傳地端 DDoS 防護策略

為滿足不同客戶的 DDoS 防護需求,遠傳與獲得 IDC MarketScape 全球 DDoS 防護領導者稱號的品牌合作,打造地端 DDoS 防護流量清洗解決方案。針對需依法規自建資安專責單位的企業,或是傳輸資料為機敏性質不適合上雲的客戶,地端清洗提供了資料不出海、更小包裝的解決方案,提供最經濟實惠的服務。同時能協助建構 DDoS 防護系統、提供演練服務,依法規提供從建置到運作一條龍的專業服務,讓企業享有自建防護的成果,輕鬆跨越資安的技術高門檻障礙。

  • 遠傳融合多年網路技術經驗並與世界知名大廠合作,打造高品質流量清洗解決方案
  • 7x24 小時專業監控和服務專線,隨時保衛您的網路流量
  • 網路傳輸不出海,降低機敏資料外洩或是遭受海外攔阻風險

遠傳地端 DDoS 防護策略

遠傳與世界知名的資安巨人 Incapsula,以 CDN (Content Delivery Network) 加速服務、WAF (Web Application Firewall) 和流量清洗 (Clean Pipe),為企業架起層層防衛機制,全方位阻擋DDOS攻擊

  • 以 CDN 架構隱藏企業服務,讓駭客無從得知來源 IP 或 DNS。
  • Incapsula的龐大資料庫讓WAF規則透過不斷學習,時時調整規則,精準判斷流量屬性是否威脅企業資安。
  • Clean Pipe 機制將流量引入雲端清洗中心,清洗後再將乾淨流量導回用戶設備。
  • 由頻寬全球總量高達 6TB 的 Incapsula 清洗中心,像漏斗一樣過濾 DDoS 攻擊封包,攻擊者出招無效,自會知難而退。

延伸閱讀:遠傳 Akamai CDN 服務

Always On:所有流量皆會通過清洗中心,即時規避攻擊

  • Incapsula的龐大資料庫讓WAF規則透過不斷學習,時時調整規則,精準判斷流量屬性是否威脅企業資安。
  • On Demand:企業客戶需自備路由器及AS Number,從用戶端監控流量,檢測到惡意流量時發出警告通知,可將 DDoS 攻擊流量引導至清洗中心。
  • On Demand (NT 方案):若客戶為遠傳 IDC / ELK 客戶,則由遠傳監控是否有 DDoS 攻擊,若發現則將流量切換至清洗中心。
  • 延伸閱讀:遠傳雲端機房 IDC大寬頻企業以太專線

    遠傳 DDoS 防護戰績

    除了面面俱到的策略,遠傳 DDoS 防護實務上一樣成績斐然:2015 年總統大選之夜,電視台機房運算資源有限,難以處理中選會不斷傳來的開票更新訊息,同時又得顧及直播。遠傳提供雲端機房擴充服務,更在計票資料庫系統前端,建置 Imperva 流量清洗機制,遇 DDoS 攻擊,來一回擋一回,圓滿協助電視、網路開票轉播,電視台選後也對雲端服務與 DDoS 防護的雙重效益感到滿意。

    無論是電商、政府或企業,沒有人逃得過駭客的威脅,面對不斷演化的 DDoS 攻擊手法,孤軍奮戰只會拖垮企業發展。選擇理想 DDoS 防護夥伴為後盾,才能有效維持營運,讓企業高枕無憂。遠傳 DDoS 防護整合雲端、地端雙重守備,提供您最佳解決方案,若您想進一步暸解或申請遠傳 DDoS 防護相關服務,請點選我有興趣,將有專人與您聯繫。


fb line