A10 Thunder TPS 助企业抗御DDoS威胁
- 魏淑芳
-
环顾近年网安事件,DDoS攻击堪称是最难缠的威胁,只因一般企业遭受此类攻击的频率持续增加,因而导致停机或其他负面影响(如降速、客户存取遭拒)的时间不断延长,更麻烦的是,DDoS日益精进,既有带宽耗尽型攻击,也有资源耗尽型攻击,两类威胁不时交错混合,使得防御难度愈来愈高。
举凡2月期间券商遭受大规模DDoS攻击勒索事件,2016年1月期间英国汇丰银行遭受DDoS攻击勒索事件,乃至黑客利用Mirai控制大量物联网(IoT)装置,从而发动大规模DDoS攻击,这些血淋淋例子,皆教人心有余悸;可以预见,今后企业在推动金融科技(FinTech)或IoT等创新应用的过程,DDoS威胁恐将如影随形,必须严加防范。
A10 Networks技术经理陈志纬指出,以传统DDoS防御机制而论,不外乎防火墙、网页应用程序防火墙(WAF)或服务器负载平衡(SLB)等设备,但它们一旦面对当前DDoS夹带的几个主要特徵,包括快速TCP连线、HTTP慢速攻击、SSL连线攻击、大量HTTP请求、DNS NXDomain攻击或带宽型攻击,大多束手无策,最终无可避免造成企业带宽满载,或防火墙、SLB、服务器、数据库等资源耗尽。
陈志纬认为,欲有效防制DDoS,必须倚赖混合型防御网络,其间蕴含两个阶层,一是ISP流量清洗(Clean Pipe)机制,另一是CPE DDoS防御机制,之所以需要Clean Pipe,在于最后一里线路若遭塞爆,则企业纵使在自家门口布建强大防护设备,也无用武之地,所以必须借重ISP预先过滤清洗流量。
但如前所述,现今DDoS攻击特徵十分多样化,若属于资源耗尽型态,即不以塞爆带宽为主,无法藉由Clean Pipe滤除,此时便需要仰赖企业架设CPE防御设备,借此抵御DDoS攻势,并妥善保护防火墙、入侵防御系统(IPS)、SLB(SSL Proxy)、Web服务器、数据库等重要系统。
五道防护关卡 阻绝DDoS攻势
A10 Networks提供的Thunder TPS威胁防护系统,同时适用于ISP流量清洗、CPE DDoS防御不同情境,惟两者架构有所歧异,彼此相辅相成。
若以企业关注的CPE DDoS防御而论,Thunder TPS角色至为明确,即是在网络最前线侦测与缓解复合型DDoS攻击;它之所以有效发挥阻绝效果,在于拥有五道防护关卡,依序是异常封包检测、黑白名单、连线验证、流量管控及应用层检测。
所谓异常封包检测,主要凭藉逾50种固定Pattern,检查流量中的协定、L3~4封包表头等栏位是否正常。至于黑白名单,则可透过动态建立,意在检查封包里头的IP与TCP/UDP信息,作为放行(白名单)或拦阻(黑名单)的判断依据。
有关连线验证,是运用TCP SYN Authentication、TCP SYN Cookie、UDP Authentication、DNS Authentication等等方式,验证连线是否完整。
一旦察觉异状,可针对IP、Port或Connection执行譬如限速等对应措施,此即为流量管控。在应用层检测部份,系针对HTTP、DNS或SSL等内容进行过滤,并将违反既定行为规范者予以拦阻,透过这道关卡,便能有效遏阻颇难对付的HTTP慢速攻击。
陈志纬强调,Thunder TPS另支持Automated Baselining概念的智能威胁侦测功能,可针对企业每项服务流量进行分析、记录与学习,继而以不影响服务运行为前提,设立最合理的基准线,假设实际连线数落在基准线下,便视为Level 0状态,不开启任何Policy或只开启简易连线验证,如TCP SYN Cookie,反之则视情节严重程度评定为Level 1或2不等状态,接着启动各Level所对应的防护措施;藉由动态防御政策的施行,可望大幅减少误判发生。
另值得一提的,A10 Thunder TPS提供友善的GUI界面,便于用户调阅事件记录、快速进行分析与追踪,以利掌握每件DDoS攻击活动的来龙去脉,不断优化自身防御政策。
