透過多層式防禦 瓦解DDoS攻擊威脅 智慧應用 影音
Microchip
ADI

透過多層式防禦 瓦解DDoS攻擊威脅

  • 魏淑芳

Arbor Networks亞太區技術總監張泰興。
Arbor Networks亞太區技術總監張泰興。

綜觀近年DDoS攻擊事件,著實讓人不忍卒睹,受難者不乏極具全球知名度的大型企業機構;問題來了,這些受害組織過往建立的資安防護機制,其實已有一定水準,比起其餘中小規模的用戶,可說有過之而無不及,為何仍無力迎戰DDoS攻擊威脅?

Arbor Networks亞太區技術總監張泰興指出,事實上,DDoS攻擊並非新穎話題,早在2000年即已現身,爾後甚至沈寂了一段不短時日,直至近3年又開始活躍,例如以勒索比特幣為目標的DD4BC集團,即以DDoS為主要手段,實現犯罪目的。

駭客窮追猛打 上游ISP也可能遭波及

眼見DDoS攻勢轉趨火熱,包括防火牆、入侵防禦系統(IPS)等傳統資安設備,紛紛開始強化其產品功能,並對外宣稱可為用戶提供DDoS防護能力,但在現實世界裡,這些設備往往在駭客攻防戰中敗北。

對此張泰興強調,DDoS防護重點,根本不在於能不能做,而是做得好不好,先天上即不具備DDoS防護專長的防火牆或IPS,面對諸如TCP SYN Flood等相對簡單的DDoS攻擊,尚有能力遏阻其攻勢,然而一旦面臨多變複雜的新興攻擊型態,便容易束手無縛。

「更可怕的是,連這些設備本身,也可能被DDoS打垮!」張泰興說,傳統資安設備內含一道機制,即是「狀態表」,意指其在同一時間,所能承載的最大連線數,假使是100萬,則第1,000,001個連線就會被拒於門外,駭客看準此一罩門,即發動猛烈DDoS攻擊,只要攻擊流量大過狀態表極限值,再強的防火牆或IPS也將棄械投降。

讓人擔心的事情還不僅止於此,就連後端伺服器,也有類似於狀態表的先天缺陷,意即在同一時間,能夠服務的客戶數量也有極限,如果是1,000戶,那麼駭客只需要製造千筆假交易,將這些空間佔滿,此後不管是第1,001、1,002或1,003…位合法客戶,再也無法享有正常服務。另一方面,就算駭客不把受害目標的防火牆、IPS或伺服器打掛,只要把上游ISP線路塞爆,也照樣可以實現阻斷服務目的。

看得愈透徹  愈能理解惡意攻擊樣貌

如此看來,企業難道就只能淪為DDoS攻擊者的待宰肥羊?當然不是!張泰興指出,從成立的第一天、迄今14年始終與DDoS對決的Arbor,便可運用有別於同業的防禦手段,有效瓦解DDoS攻擊;他進一步解釋,在早期,Arbor主要協助電信營運商對抗DDoS攻擊,截至目前已服務全球超過90%的一線電信公司或ISP業者,部署Arbor所提供的Peakflow CP/TMS電信級DDoS防護方案,幫助這些業者本身防範來自有線寬頻或行動網路的攻擊,也據此蓄積服務能量,順勢協助下游客戶抵禦DDoS攻擊。

在此前提下,每天行經大量Arbor Peakflow CP/TMS設備的流量,平均高達120Tbps之譜,等同於全球3分之1的網路流量,提供Arbor得天獨厚的機會,即使靠一己力量便可彙集龐大的攻擊樣本,藉以分析當下流行的惡意程式活動;但Arbor並不以此為自滿,另與全世界百餘個CERT機構展開合作,彼此交換資安情報資料,擴大攻擊樣本的蒐集來源。

如此一來,Arbor旗下的安全智能研究平台ATLAS,可用於分析的樣本部位極為龐大,迄今ASN(Access Service Network)的可視性高達98%,從IPv4理論值角度的可視性為71%,IPv4 Host理論值角度的可視性為48%,各項數值皆非同業所能望其項背;所以Arbor看得愈多,愈有機會看清駭客的行為舉止,愈能快速產出攻擊特徵,則Arbor與駭客之間的賽跑,就不會陷於速度上的劣勢,終至能幫助用戶儘早建立防護規則,在DDoS流量猶未爆發的前夕,就提前阻檔其連線。

施展流量清洗  於千里外擊潰駭客

張泰興說,目前Arbor可為予一般企業用戶提供名為「Pravail APS」的防護方案,其具有無狀態表(Stateless)的相對優勢,所以絕對不會被駭客灌爆狀態表而陷於癱瘓,連帶也一併牢牢呵護後端的應用伺服器。

只不過前面提到,駭客還可對針對目標對象的上游ISP線路發動攻勢,等於把通往企業大門的道路悉數封鎖,若發生此現象,則企業對外服務即告停擺,後果同樣不堪設想。

著眼於此,Arbor特別設計多層次防禦機制,除了倚靠Pravail APS在「On-premise」第一線層次保護企業用戶外,也為此設備注入「雲信號」(Cloud Signaling)功能,換言之,當Pravail APS遭受巨大流量攻擊之際,會同時對上游ISP、Arbor Cloud發送求救信,如此即便攻擊流量愈滾愈大,大到已逾越Pravail APS的承載負荷,ISP會介入協助,在未進入企業門戶前,便將巨大流量予以卸除。

但如果駭客緊催油門,不達目的誓不罷休,動員大量僵屍電腦同步進擊,發動了上百Gbps的攻擊流量,就連ISP也撐不住,那麼該如何是好?值此時刻,Arbor多層次防禦架構的最後一道防線,也就是Arbor Cloud便將上陣登場,發揮流量清洗功能,也就是瞄準駭客發動攻擊的源頭,在發出攻擊流量的一開始,就將之清洗殆盡,等於是將距離受害企業千里之遠的地域,列為Arbor Cloud與駭客的決戰場,藉以協助用戶度過當下危難。