透过多层式防御 瓦解DDoS攻击威胁 智能应用 影音
EVmember
member

透过多层式防御 瓦解DDoS攻击威胁

  • 魏淑芳

Arbor Networks亚太区技术总监张泰兴。
Arbor Networks亚太区技术总监张泰兴。

综观近年DDoS攻击事件,着实让人不忍卒睹,受难者不乏极具全球知名度的大型企业机构;问题来了,这些受害组织过往建立的网安防护机制,其实已有一定水准,比起其余中小规模的用户,可说有过之而无不及,为何仍无力迎战DDoS攻击威胁?

Arbor Networks亚太区技术总监张泰兴指出,事实上,DDoS攻击并非新颖话题,早在2000年即已现身,尔后甚至沈寂了一段不短时日,直至近3年又开始活跃,例如以勒索比特币为目标的DD4BC集团,即以DDoS为主要手段,实现犯罪目的。

黑客穷追猛打 上游ISP也可能遭波及

眼见DDoS攻势转趋火热,包括防火墙、入侵防御系统(IPS)等传统网安设备,纷纷开始强化其产品功能,并对外宣称可为用户提供DDoS防护能力,但在现实世界里,这些设备往往在黑客攻防战中败北。

对此张泰兴强调,DDoS防护重点,根本不在于能不能做,而是做得好不好,先天上即不具备DDoS防护专长的防火墙或IPS,面对诸如TCP SYN Flood等相对简单的DDoS攻击,尚有能力遏阻其攻势,然而一旦面临多变复杂的新兴攻击型态,便容易束手无缚。

「更可怕的是,连这些设备本身,也可能被DDoS打垮!」张泰兴说,传统网安设备内含一道机制,即是「状态表」,意指其在同一时间,所能承载的最大连线数,假使是100万,则第1,000,001个连线就会被拒于门外,黑客看准此一罩门,即发动猛烈DDoS攻击,只要攻击流量大过状态表极限值,再强的防火墙或IPS也将弃械投降。

让人担心的事情还不仅止于此,就连后端服务器,也有类似于状态表的先天缺陷,意即在同一时间,能够服务的客户数量也有极限,如果是1,000户,那麽黑客只需要制造千笔假交易,将这些空间占满,此后不管是第1,001、1,002或1,003…位合法客户,再也无法享有正常服务。另一方面,就算黑客不把受害目标的防火墙、IPS或服务器打挂,只要把上游ISP线路塞爆,也照样可以实现阻断服务目的。

看得愈透彻  愈能理解恶意攻击样貌

如此看来,企业难道就只能沦为DDoS攻击者的待宰肥羊?当然不是!张泰兴指出,从成立的第一天、迄今14年始终与DDoS对决的Arbor,便可运用有别于同业的防御手段,有效瓦解DDoS攻击;他进一步解释,在早期,Arbor主要协助电信营运商对抗DDoS攻击,截至目前已服务全球超过90%的一线电信公司或ISP业者,部署Arbor所提供的Peakflow CP/TMS电信级DDoS防护方案,帮助这些业者本身防范来自有线宽频或移动网络的攻击,也据此蓄积服务能量,顺势协助下游客户抵御DDoS攻击。

在此前提下,每天行经大量Arbor Peakflow CP/TMS设备的流量,平均高达120Tbps之谱,等同于全球3分之1的网络流量,提供Arbor得天独厚的机会,即使靠一己力量便可汇集庞大的攻击样本,藉以分析当下流行的恶意程序活动;但Arbor并不以此为自满,另与全世界百余个CERT机构展开合作,彼此交换网安情报数据,扩大攻击样本的蒐集来源。

如此一来,Arbor旗下的安全智能研究平台ATLAS,可用于分析的样本部位极为庞大,迄今ASN(Access Service Network)的可视性高达98%,从IPv4理论值角度的可视性为71%,IPv4 Host理论值角度的可视性为48%,各项数值皆非同业所能望其项背;所以Arbor看得愈多,愈有机会看清黑客的行为举止,愈能快速产出攻击特徵,则Arbor与黑客之间的赛跑,就不会陷于速度上的劣势,终至能帮助用户尽早建立防护规则,在DDoS流量犹未爆发的前夕,就提前阻档其连线。

施展流量清洗  于千里外击溃黑客

张泰兴说,目前Arbor可为予一般企业用户提供名为「Pravail APS」的防护方案,其具有无状态表(Stateless)的相对优势,所以绝对不会被黑客灌爆状态表而陷于瘫痪,连带也一并牢牢呵护后端的应用服务器。

只不过前面提到,黑客还可对针对目标对象的上游ISP线路发动攻势,等于把通往企业大门的道路悉数封锁,若发生此现象,则企业对外服务即告停摆,后果同样不堪设想。

着眼于此,Arbor特别设计多层次防御机制,除了倚靠Pravail APS在「On-premise」第一线层次保护企业用户外,也为此设备注入「云信号」(Cloud Signaling)功能,换言之,当Pravail APS遭受巨大流量攻击之际,会同时对上游ISP、Arbor Cloud发送求救信,如此即便攻击流量愈滚愈大,大到已逾越Pravail APS的承载负荷,ISP会介入协助,在未进入企业门户前,便将巨大流量予以卸除。

但如果黑客紧催油门,不达目的誓不罢休,动员大量僵屍电脑同步进击,发动了上百Gbps的攻击流量,就连ISP也撑不住,那麽该如何是好?值此时刻,Arbor多层次防御架构的最后一道防线,也就是Arbor Cloud便将上阵登场,发挥流量清洗功能,也就是瞄准黑客发动攻击的源头,在发出攻击流量的一开始,就将之清洗殆尽,等于是将距离受害企业千里之远的地域,列为Arbor Cloud与黑客的决战场,藉以协助用户度过当下危难。