透过多层式防御 瓦解DDoS攻击威胁

Arbor Networks亚太区技术总监张泰兴。

综观近年DDoS攻击事件，着实让人不忍卒睹，受难者不乏极具全球知名度的大型企业机构；问题来了，这些受害组织过往建立的网安防护机制，其实已有一定水准，比起其余中小规模的用户，可说有过之而无不及，为何仍无力迎战DDoS攻击威胁？

Arbor Networks亚太区技术总监张泰兴指出，事实上，DDoS攻击并非新颖话题，早在2000年即已现身，尔后甚至沈寂了一段不短时日，直至近3年又开始活跃，例如以勒索比特币为目标的DD4BC集团，即以DDoS为主要手段，实现犯罪目的。

黑客穷追猛打 上游ISP也可能遭波及

眼见DDoS攻势转趋火热，包括防火墙、入侵防御系统(IPS)等传统网安设备，纷纷开始强化其产品功能，并对外宣称可为用户提供DDoS防护能力，但在现实世界里，这些设备往往在黑客攻防战中败北。

对此张泰兴强调，DDoS防护重点，根本不在于能不能做，而是做得好不好，先天上即不具备DDoS防护专长的防火墙或IPS，面对诸如TCP SYN Flood等相对简单的DDoS攻击，尚有能力遏阻其攻势，然而一旦面临多变复杂的新兴攻击型态，便容易束手无缚。

「更可怕的是，连这些设备本身，也可能被DDoS打垮！」张泰兴说，传统网安设备内含一道机制，即是「状态表」，意指其在同一时间，所能承载的最大连线数，假使是100万，则第1,000,001个连线就会被拒于门外，黑客看准此一罩门，即发动猛烈DDoS攻击，只要攻击流量大过状态表极限值，再强的防火墙或IPS也将弃械投降。

让人担心的事情还不仅止于此，就连后端服务器，也有类似于状态表的先天缺陷，意即在同一时间，能够服务的客户数量也有极限，如果是1,000户，那麽黑客只需要制造千笔假交易，将这些空间占满，此后不管是第1,001、1,002或1,003…位合法客户，再也无法享有正常服务。另一方面，就算黑客不把受害目标的防火墙、IPS或服务器打挂，只要把上游ISP线路塞爆，也照样可以实现阻断服务目的。

看得愈透彻  愈能理解恶意攻击样貌

如此看来，企业难道就只能沦为DDoS攻击者的待宰肥羊？当然不是！张泰兴指出，从成立的第一天、迄今14年始终与DDoS对决的Arbor，便可运用有别于同业的防御手段，有效瓦解DDoS攻击；他进一步解释，在早期，Arbor主要协助电信营运商对抗DDoS攻击，截至目前已服务全球超过90%的一线电信公司或ISP业者，部署Arbor所提供的Peakflow CP/TMS电信级DDoS防护方案，帮助这些业者本身防范来自有线宽频或移动网络的攻击，也据此蓄积服务能量，顺势协助下游客户抵御DDoS攻击。

在此前提下，每天行经大量Arbor Peakflow CP/TMS设备的流量，平均高达120Tbps之谱，等同于全球3分之1的网络流量，提供Arbor得天独厚的机会，即使靠一己力量便可汇集庞大的攻击样本，藉以分析当下流行的恶意程序活动；但Arbor并不以此为自满，另与全世界百余个CERT机构展开合作，彼此交换网安情报数据，扩大攻击样本的蒐集来源。

如此一来，Arbor旗下的安全智能研究平台ATLAS，可用于分析的样本部位极为庞大，迄今ASN(Access Service Network)的可视性高达98%，从IPv4理论值角度的可视性为71%，IPv4 Host理论值角度的可视性为48%，各项数值皆非同业所能望其项背；所以Arbor看得愈多，愈有机会看清黑客的行为举止，愈能快速产出攻击特徵，则Arbor与黑客之间的赛跑，就不会陷于速度上的劣势，终至能帮助用户尽早建立防护规则，在DDoS流量犹未爆发的前夕，就提前阻档其连线。

施展流量清洗  于千里外击溃黑客

张泰兴说，目前Arbor可为予一般企业用户提供名为「Pravail APS」的防护方案，其具有无状态表(Stateless)的相对优势，所以绝对不会被黑客灌爆状态表而陷于瘫痪，连带也一并牢牢呵护后端的应用服务器。

只不过前面提到，黑客还可对针对目标对象的上游ISP线路发动攻势，等于把通往企业大门的道路悉数封锁，若发生此现象，则企业对外服务即告停摆，后果同样不堪设想。

着眼于此，Arbor特别设计多层次防御机制，除了倚靠Pravail APS在「On-premise」第一线层次保护企业用户外，也为此设备注入「云信号」(Cloud Signaling)功能，换言之，当Pravail APS遭受巨大流量攻击之际，会同时对上游ISP、Arbor Cloud发送求救信，如此即便攻击流量愈滚愈大，大到已逾越Pravail APS的承载负荷，ISP会介入协助，在未进入企业门户前，便将巨大流量予以卸除。

但如果黑客紧催油门，不达目的誓不罢休，动员大量僵屍电脑同步进击，发动了上百Gbps的攻击流量，就连ISP也撑不住，那麽该如何是好？值此时刻，Arbor多层次防御架构的最后一道防线，也就是Arbor Cloud便将上阵登场，发挥流量清洗功能，也就是瞄准黑客发动攻击的源头，在发出攻击流量的一开始，就将之清洗殆尽，等于是将距离受害企业千里之远的地域，列为Arbor Cloud与黑客的决战场，藉以协助用户度过当下危难。