如何抵擋巨量阻斷攻擊

Juniper Networks資深技術經理林佶駿。

隨著網路技術的發達以及頻寬的增加，分散式阻斷服務攻擊(Distributed Denial of Service；DDoS)的攻擊能量也變得愈來愈大，許多知名企業或網站如蘋果日報或香港線上公投，都曾經遭受類似的攻擊。

Juniper Networks資深技術經理林佶駿指出，企業面臨的資安威脅發展趨勢，首先就是不斷變動的IT環境，如行動化、雲端化及虛擬化等，讓企業的網路流量迅速增加，也讓資安的威脅也跟著增加；而不斷進化的威脅方式，包括目標攻擊、更加複雜的工具、竊取資料等，往往會讓企業防不勝防；而快速增加的成本和風險，包括更廣泛的攻擊層面，以及對品牌形象及財務的影響，資安問題已經成為企業必須面臨的管理議題。

這些資安威脅，對企業直接造成的影響，自然就是流失商機。林佶駿指出，如線上購物網站可能會因為競爭對手的網路攻擊，造成消費者在購買過程困難重重，如回應速度太慢等，消費者可能會因為不耐久候，而選擇跑到競爭對手的網站消費，自然也就造成金錢損失，如果是資料被竊取，損失自然也會變得更加嚴重。

回顧DDoS的背景歷史，其實早在1980年代，就已經存在DDoS的攻擊方式，如在英國就曾發生前三大的博弈網站(如足球博弈)，曾經因為被小型的競爭對手用DDoS攻擊，而讓網站停擺。

林佶駿指出，DDoS的演進狀況，可以分別從技術新舊程度，以及隱藏或隱形能力好不好來區分。量大取勝的DDoS，最有攻擊效果，一般企業其實難以防禦，因為頻寬申請通常是固定的，攻擊者只要用大於頻寬的方式攻擊，就很難避免網頁癱瘓，解決之道除了透過雲端服務，隨時增加頻寬外，企業IT部門也可以靠設備自行偵測，看到奇怪的封包就過濾掉，但一定要定期更新，才能過濾掉特徵碼。

但如果不知道特徵碼呢？林佶駿指出，網路伺服器只能承受一定的存取量，一旦超過，就可能造成網站停擺。IT部門可以考慮阻擋來自同一設備的不斷攻擊，但如何辨識來源，就會是資安偵測的主要挑戰。

林佶駿指出，顯而易見的攻擊，如在特定時間發動許多人一起使用的快閃攻擊，固然會造成資安威脅，但緩慢進行的攻擊，一樣有可能會讓網頁開不起來，而且從2013年開始愈來愈多。

面對前述各式各樣的攻擊，雖然一樣可以透過建立特徵碼來解決，但近年來的網路攻擊愈來愈難防禦，因為攻擊來源不斷推陳出新，要是沒有特徵碼或是沒有學習來源，還要確認學習的環境夠乾淨，資安防禦系統完全沒看過，無法寫出特徵碼，也就難以防禦，此外，就算網站可能撐得住提供量大的服務，但因為網站一定會跟後端資料庫連結做查詢，林佶駿指出，如果攻擊者能設法要求網站執行很奇怪的搜尋，就可能讓資料庫陷入忙碌的狀況，讓網站雖然還是活的，但功能卻可能變成死的。

因此，為了對抗不斷推陳出新的DDoS攻擊，林佶駿表示，資安系統可以用給分數的方式來過濾，偵測到的網路行為，如果像人類的就高一點，疑似來自機器的就低一點。以新聞網站為例，正常的人類行為，在點開網頁後，會先看標題，而不是馬上去點所有的新聞，但如果是來自機器的行為，就可能會猛點所有的新聞連結，如此一來，就可以過濾掉可能的資安威脅。

這種利用給分的過濾方式，一樣也可以適用在網路封包的偵測上，但由於有些封包會惡意偽裝，資安系統要儘量做到不要誤判。林佶駿表示，如果不會造成影響，就不要優先阻擋，但如果發現伺服器回應時間變慢，服務受到影響，系統就必須調高進入的分數門檻，甚至愈調愈高，也就是透過建立行為表的方式，給每一次的瀏覽或行為不同的分數，用「捉大放小」的方式，將資安防禦資源發揮到極致。

此外，由於攻擊者在發動DDoS攻擊時，往往會隨時轉移攻擊對象，所以資安系統一旦發現攻擊轉移時，必須要動態調整伺服器的資源及流量，讓沒有被攻擊的伺服器承接比較大的正常使用能量，有時還可以因此發現伺服器資源錯置的現象，進而優化網路服務的品質。

林佶駿強調，要解決及防禦新的DDoS，透過特徵碼的傳統防禦方式，已經很難達到過去的成效，因為沒有樣本，也不能透過學習的方式建立，因為不能保證網路環境是乾淨的，所以透過演算法，根據用戶的使用行為，來判斷正常及不正常的存取方式，會更加可靠。