如何抵挡巨量阻断攻击

Juniper Networks资深技术经理林佶骏。

随着网络技术的发达以及带宽的增加，分散式阻断服务攻击(Distributed Denial of Service；DDoS)的攻击能量也变得愈来愈大，许多知名企业或网站如苹果日报或香港在线公投，都曾经遭受类似的攻击。

Juniper Networks资深技术经理林佶骏指出，企业面临的网安威胁发展趋势，首先就是不断变动的IT环境，如移动化、云端化及虚拟化等，让企业的网络流量迅速增加，也让网安的威胁也跟着增加；而不断进化的威胁方式，包括目标攻击、更加复杂的工具、窃取数据等，往往会让企业防不胜防；而快速增加的成本和风险，包括更广泛的攻击层面，以及对品牌形象及财务的影响，网安问题已经成为企业必须面临的管理议题。

这些网安威胁，对企业直接造成的影响，自然就是流失商机。林佶骏指出，如在线购物网站可能会因为竞争对手的网络攻击，造成消费者在购买过程困难重重，如回应速度太慢等，消费者可能会因为不耐久候，而选择跑到竞争对手的网站消费，自然也就造成金钱损失，如果是数据被窃取，损失自然也会变得更加严重。

回顾DDoS的背景历史，其实早在1980年代，就已经存在DDoS的攻击方式，如在英国就曾发生前三大的博弈网站(如足球博弈)，曾经因为被小型的竞争对手用DDoS攻击，而让网站停摆。

林佶骏指出，DDoS的演进状况，可以分别从技术新旧程度，以及隐藏或隐形能力好不好来区分。量大取胜的DDoS，最有攻击效果，一般企业其实难以防御，因为带宽申请通常是固定的，攻击者只要用大于带宽的方式攻击，就很难避免网页瘫痪，解决之道除了透过云端服务，随时增加带宽外，企业IT部门也可以靠设备自行侦测，看到奇怪的封包就过滤掉，但一定要定期更新，才能过滤掉特徵码。

但如果不知道特徵码呢？林佶骏指出，网络服务器只能承受一定的存取量，一旦超过，就可能造成网站停摆。IT部门可以考虑阻挡来自同一设备的不断攻击，但如何识别来源，就会是网安侦测的主要挑战。

林佶骏指出，显而易见的攻击，如在特定时间发动许多人一起使用的快闪攻击，固然会造成网安威胁，但缓慢进行的攻击，一样有可能会让网页开不起来，而且从2013年开始愈来愈多。

面对前述各式各样的攻击，虽然一样可以透过建立特徵码来解决，但近年来的网络攻击愈来愈难防御，因为攻击来源不断推陈出新，要是没有特徵码或是没有学习来源，还要确认学习的环境够乾净，网安防御系统完全没看过，无法写出特徵码，也就难以防御，此外，就算网站可能撑得住提供量大的服务，但因为网站一定会跟后端数据库连结做查询，林佶骏指出，如果攻击者能设法要求网站执行很奇怪的查找，就可能让数据库陷入忙碌的状况，让网站虽然还是活的，但功能却可能变成死的。

因此，为了对抗不断推陈出新的DDoS攻击，林佶骏表示，网安系统可以用给分数的方式来过滤，侦测到的网络行为，如果像人类的就高一点，疑似来自机器的就低一点。以新闻网站为例，正常的人类行为，在点开网页后，会先看标题，而不是马上去点所有的新闻，但如果是来自机器的行为，就可能会猛点所有的新闻连结，如此一来，就可以过滤掉可能的网安威胁。

这种利用给分的过滤方式，一样也可以适用在网络封包的侦测上，但由于有些封包会恶意伪装，网安系统要尽量做到不要误判。林佶骏表示，如果不会造成影响，就不要优先阻挡，但如果发现服务器回应时间变慢，服务受到影响，系统就必须调高进入的分数门槛，甚至愈调愈高，也就是透过建立行为表的方式，给每一次的浏览或行为不同的分数，用「捉大放小」的方式，将网安防御资源发挥到极致。

此外，由于攻击者在发动DDoS攻击时，往往会随时转移攻击对象，所以网安系统一旦发现攻击转移时，必须要动态调整服务器的资源及流量，让没有被攻击的服务器承接比较大的正常使用能量，有时还可以因此发现服务器资源错置的现象，进而优化网络服务的品质。

林佶骏强调，要解决及防御新的DDoS，透过特徵码的传统防御方式，已经很难达到过去的成效，因为没有样本，也不能透过学习的方式建立，因为不能保证网络环境是乾净的，所以透过演算法，根据用户的使用行为，来判断正常及不正常的存取方式，会更加可靠。