老闆,我們的網站又掛了——漫談 DDoS 攻擊

最新的數據顯示,DDoS 的攻擊頻率、發展成熟度、及規模都呈現成長的趨勢。根據 Prolexic 發表的 2014 年第一季全球 DDoS 攻擊報告,DDoS 的攻擊量與去年同期相比呈現 47% 的成長,而攻擊目標所處的產業也變得比以前更為廣泛。這些數據充分印證了 DDoS 攻擊如今已變得更有效,並成為現今攻擊者囊中寶的事實。
評論
評論

本文作者 John Ellis 為 Akamai 亞太暨日本地區企業安全總監。

DDoS 工具套組、DDoS-for-hire、比特幣、匿名郵件、TOR 連線、及形形色色的攻擊動機,皆讓網路攻擊行動之於個人、駭客組織、網路罪犯都變得更加容易。最新的數據顯示,DDoS 的攻擊頻率、發展成熟度、及規模都呈現成長的趨勢。根據 Prolexic 發表的 2014 年第一季全球 DDoS 攻擊報告,DDoS 的攻擊量與去年同期相比呈現 47% 的成長,而攻擊目標所處的產業也變得比以前更為廣泛。這些數據充分印證了 DDoS 攻擊如今已變得更有效,並成為現今攻擊者囊中寶的事實。

進入網路世界

轉眼間,網際網路已對人類的生活產生前所未有的衝擊,舉凡在學術研究、多元整合、商務、甚至是戰爭,也都因網際網路的出現,而拓展出更多應用空間。網際網路現今的發展與它最原始的樣貌,也隨著產業的創新與演進而一點一滴的改頭換面了。在商業世界中,網路內容重新定義了企業的運作模式,除了電子商務的應用,企業能透過網站與消費者、合作夥伴、供應商進行互動;也逐漸轉移關鍵的專案流程至網際網路,以獲得更有效的資源分配與成本效益。

網際網路的生活應用涵蓋了穿戴式科技、管理電力與水利的整合控制系統、金融體系、音樂串流、行動連網、社群媒體等各大生活面向。上述這些服務與系統運作皆擁有連網的特質,現實生活中,除了我們也不再需要「上網」,而是隨時處於「連網」狀態,網路攻擊亦然。

分散式阻斷服務(DDoS)——破壞性的武器

DDoS 並非網路攻擊領域中的新名詞,自 1990 年代晚期至 2000 年代早期以來,DDoS 被充分運用在干擾商業組織與政府網站,然而,早期的 DDoS 攻擊會因規模與成熟度不足而成功阻擋在前端、抑或有效地被網際網路服務供應商(ISP)攔截。

隨著市場不斷推出新型防禦機制,網路攻擊也不惶多讓,具備突破防禦機制更高的本事。攻擊的本質是佔據實際體積的,攻擊方式包括了塞爆連接攻擊目標的網路頻寬、以及鎖定協定或應用程式內在弱點,進而癱瘓了網站服務與登錄管道,令網路使用者不得其門而入。

舊潮流再次成為新趨勢——反射與放大 UDP 攻擊

在時尚產業中,舊潮流總有機會再次成為一股新趨勢,使用者資料包通訊協定(UDP)最美妙之處,在於屬於「射後不理(fire and forget)」類型的通訊協定,其設計主要是針對效率與速度的需求,然缺點則是較缺乏安全與可靠的特性,不過憑著網路通訊最基本的可靠性,它依然成為許多核心網路服務如 DNS(網域名稱系統)與 NTP(網路時間協定)較偏好的協定類型。

我非我——欺騙封包

建於 UDP 的通訊協定如 DNS 與 NTP,不必與現存的 TPC 第四層傳輸層進行三向溝通便能做出回應,不過這也意味著它將盲目地對任何 IP 位址發出的要求做出回應。不幸的是,這種模式由於容易被偽造,隨之出現的第一部分問題是攻擊者利用受害者的 IP 位址當作其請求 IP 位址的結果。

當我問了一個簡單的小問題,竟得到一個超大的答案——放大效應

放大攻擊的第二部分是由服務構成的要求類型,舉例來說,我們可將它想像為一個「生命問題」,攻擊者在提出「生命的意義為何?」這個簡單問題後,會獲得一個複雜難懂的答案。除非我們在說的是《銀河便車指南》,那麼答案當然就是 42。1

所以,當攻擊者假受害者的名義,向為數眾多的一般人提出「生命的意義為何?」之後,便會隨之產生排山倒海而來的複雜答案,進而讓受害者的系統、網路、甚至是 ISP 因此癱瘓,而這些千篇一律的答案即為「阻斷服務」。

我的防火牆可與你抗衡——傳統的方法(legacy approach)

第一個對策是讓防火牆具備解決問題的能力。普遍而言,這些龐大且成熟的攻擊會癱瘓資料中心的網路連結,或是以應用程式架構的攻擊類型,偽造成合法網站再加以發動攻擊。

舉例來說,熱門網站流量突然暴增的情況,與攻擊者對同一個內容每秒提出上千次的要求,兩者的差別為何?你的防火牆在面對相似的情況時,是否具備足以辨識要求來源合法與否的能力?當我們接受了過多所謂「合法」的要求時,網路連結被塞爆的第一類問題也隨之出現了。

我的 ISP 上有你的號碼——傳統的方法(legacy approach)

讓我們接著談談 ISP 的問題,ISP 的挑戰在於有些攻擊規模壯大到差點超過 400Gbps,此外,大型企業傾向擁有多個 ISP,以作為備援(Redundancy)及負載平衡(Load Balancing)之用途。這種作法除了需要由 ISP 提供「以牙還牙」的緩解能力,也需要 IT 部門勞師動眾,整合各個 ISP 以確保緩解方案會持續被付諸執行。

為什麼有人想對我發動攻擊?

現在就讓我們直搗問題的核心:「為什麼會有人想對我的企業發動 DDoS 攻擊?」答案其實相當廣泛,必須依各企業不同的本質而定。對政府機構而言,受攻擊的原因可能與政策制定或是代表的國家有關;而對電子商務零售商或金融機構而言,則有可能與錢財勒索、或特定的代表人物相關。

事實上,現今的攻擊動機形形色色,且幾乎任何人都能對其他網站發動攻擊,如此普遍的程度意味著:一旦有動機產生,人人都有發動攻擊的機會。

該投降嗎? 我又該怎麼做? 解決方案

近期的 IDG 研究服務調查顯示,現今絕大多數的科技與安全經理人,對網站安全抱持高度顧慮。這份調查將網站安全定義為能保護網站伺服器與使用者,使其免於與資料及系統妥協、及遭受阻斷服務的科技與程序,例子包括網站應用程式的防火牆、DDoS 緩解、及使用者認證。在這份調查中,受訪者普遍認為網站安全與電子郵件或 FTP 安全同等重要(佔 76%),或認為網站安全更具重要性(佔 14%)。這些由企業 IT 解決的主要問題,需要投入 79% 的時間;其中與安全性相關的問題僅佔 50% 的時間。當然,網站安全並非本次受訪者唯一的顧慮,網站可取得性也是受訪者常態的答案,緊接著還包括惡意軟體、資料損失、及惡意破壞等情況。

對於想解決 DDoS 攻擊問題的組織,我的第一個建議為:仔細思考當企業或組織淪為 DDoS 攻擊目標,而陷入被癱瘓的危機時,我們應採取哪些因應與恢復策略?是否需主動與媒體互動?是否有潛在的金融衝擊?能忍受處於線下情況的最大時數為何?如何回應股東、利害關係人、及合作夥伴?是否能透過替代方案維持業務運作?該如何進行事後恢復?

以上的問題(或更多)都必須在我們開始投資緩解方案前,親自審慎思考一遍,並一一找出問題的答案。那麼,你決定要如何化解危機了嗎?最佳方案又會是什麼呢?

區分機密與非機密

我常常看到許多組織將電子商務、營收及品牌資訊,與一般非機密的應用程式(如:外部瀏覽內容、電子郵件等)放在同一個網路連結上頭,我建議大家花點時間,將所有的應用程式依機密程度分門別類,並分開處理。

導致失敗的一大重點——最脆弱的連結

「你與你最脆弱的連結一樣強大」這句俗諺也可用來印證對抗 DDoS 的情況,攻擊者能相對輕易地找出你最脆弱的網站連結,並加以攻擊。

分散式攻擊需要用分散式防禦抗衡

在網際網路的各個角落,配置適合你的專屬安全防禦措施,是對抗分散式攻擊的絕佳方法。如果你只是將網站「推送」出去,那麼你大可不必接受來自內部 DNS 或 NTP 的流量!Akamai 擁有全球規模最大的分散式防禦平台,請試著想像一下你在攻擊者經常連線的 ISP 內,擁有專屬的安全政策,能在網際網路的各個角落有效阻擋負面效應,並加速正面效益是一個多麼強而有力的方法啊!

保護來源

如果你想在網路世界中達到防護效果,卻又無法分散流量,那麼對整個資料中心進行防護也是一個聰明的策略。透過為 DDoS 攻擊而特別設計的緩解服務,進行流量引導規劃,例如 Akaami 旗下的 Prolexic 服務,能讓你抵禦各種類型 DDoS 攻擊,其中涵蓋各種大小的攻擊,以及應用程式層級的成熟型攻擊。