地缘政治引发DDoS攻击的有效防御之道

地缘政治引发DDoS攻击的有效防御之道。Akamai

亲俄黑客组织NoName057持续对台湾发动DDoS阻断服务攻击，从政府、金融单位到高科技业皆成为目标。由于台湾身处地缘政治热点，长期以来一直是网攻重灾区，NoName057事件更凸显了两大警讯。

首先，DDoS是行之有年的攻击手法，也有可靠的对应方案，但部分机构或企业仍被攻陷，显然防御仍有不足；其次，除了重大基础设施、重点产业和知名企业，透过监控NoName057的Telegram频道发现攻击标的正在扩大，就连中小型企业或民间组织也难以幸免。

认识攻击手法、认知防御重点

相较于台湾在2017年面临史上第一次券商集体遭DDoS攻击勒索的事件，NoName057反而是以政治目的发动攻击，因此，它的做法会是尽可能扩大影响范围及伤害程度。
NoName057的DDoS攻击的最大挑战在于真人化。一般由机器人或操控联网设备发动的攻击模式有迹可循，但NoName057是透过在Telegram招募志愿者参与DDoSia专案，根据Akamai分析日前同遭攻击的银行业客户发现，攻击来自25个国家，其中包括台湾本地流量，用于攻击的User Agent接近70种，主要是浏览器和手机App，这种分散式的攻击行为更加难以侦测和防御。

此外，目前的DDoS攻击主要来自第七层（应用层），加密内容无法侦测，但运营商清洗流量和许多机构组织的防御仍集中在第三层（网络层）和第四层（传输层），导致防御效果受限。
以云端服务防御DDoS攻击的最大好处是御敌于境外，在攻击发动点就进行阻挡，例如：Akamai的SLA是零秒启动的防御机制，以投资成本和时效性而言，都优于运营商和地端自建的做法。此外，Akamai在台湾也有设备可针对本地流量就近阻挡攻击。

短中长期措施持续强化防御机制

针对NoName057日前对台发动的攻击，Akamai发现攻击流量只有平常的两倍，却有不少单位因此中断服务，分析原因可能是预留的流量空间不足、缺乏防御机制，或是防御机制生效时间太慢，来不及因应。
由于Akamai国外客户已有对应黑客组织NoName057的前例，Akamai顾问也根据因应状况与实务经验，提出短中长期的对策建议。针对其他黑客组织的攻击模式，Akamai亦有相对应的建议做法。

【短期】通过 WAF 进行包含动态内容的精细缓存化及设置调整。
【短期】重新审视 WAF 的流量控制设置。
【短期】引入 CDN 的故障转移设定（在原始服务器故障时向用户提供适当告知）。
【中期】考虑在紧急情况下通过 WAF 增加地理封锁等浏览限制。
【中期】利用 Client Reputation（已确认具有一定的效果）。
【中期】为防止直接攻击原始服务器，隐匿或混淆原始服务器的主机名和 IP。
【中期】通过 EdgeDNS 防止 DNS 查询型 DDoS 攻击。
【中长期】利用 Bot Manager 排除 Bot 的影响。
【中长期】通过 MSS 在 Akamai SOCC 进行紧急处理。
【中长期】将原始服务器设置在具备高 DDoS 耐受性的数据中心／网段中（防止牵连攻击）。

一般而言，WAF和流量速率管控机制是必备的防御基础，但长期而言，企业必须考量数据中心的防御等级并采取相对建置；此外，由于当前主流攻击是机器人类型，针对机器类型攻击的防御措施也必须到位。
政府针对金融业和上市上柜公司的规范要求如设置网安长、必须发布公告，都是正确做法，建议适用范围可以再扩大至中小型企业，同时结合持续的演练，以持续检查防御有效性。毕竟，台湾身为网攻重灾区的现况不会改变，无论哪个产业、无论规模大小，都必须有所防御及准备。