被 DDoS 怎麼辦? DDoS 怎麼防? 先簡單了解,DDoS 攻擊,全名是分散式阻斷服務(Distributed Denial-of-Service Attack)。DDoS 攻擊是一種惡意流量,它利用大量的互聯網 IoT 設備(例如網路攝影機伺服器;DVR)針對攻擊標的物發出 request 流量,惡意嘗試著要癱瘓基礎設施,來阻斷目標伺服器、服務或網路的正常流量、塞爆通道,癱瘓原本正常的運作。 到底哪些對象容易被當成攻擊目標?什麼時候容易被 DDoS 攻擊?DDoS 攻擊怎麼防?有哪些原廠的服務可以選擇?本篇整理 4 招 DDoS 緩解及防禦手段,讓您知道被攻擊的原因以及尚未被攻擊時如何預防及遇到攻擊時如何抵禦。
哪些對象容易被當成 DDoS 攻擊目標?
- 知名品牌
- 個人品牌特色鮮明的代言產品網站或是個人品牌網站
- 與政治經濟相關聯的機構
- 國防國安機構
- 資安防護服務廠商
- 新聞媒體廣告相關企業
- 金融相關機構
- 內含重要高價的機敏資料或個資的網站
什麼時候容易被攻擊?
- 品牌有大事件時,例如大型合作、新品發表、收益飆高、時事新聞議題,或發生可能對競業產生影響的事件時。
- 個人特色、個人品牌單純引發高度輿論、單純反對派啟動攻擊、發表了敏感話題或政經評論時,或是如同上述知名品牌的情況。
- 政治、經濟、金融、國防國安相關聯機構,因為是國家支柱,平時就易受不定時的 DDoS 攻擊;另外是國際政治、經濟局勢有特殊議題或動盪時期。
- 資安防護服務廠商,亦經常不定時受到 DDoS 攻擊及其他駭客(攻擊者)攻擊行為。
- 新聞媒體廣告相關企業,在報導新聞議題時,經常會遇到敏感性話題,或是被定義為政治立場的偏頗,又或是廣告引發競業回擊,而被 DDoS 攻擊。
- 平常存有機敏性的數據資料或重要且高價值的個人資料網站或系統,也經常不定期的受到 DDoS 攻擊
這些攻擊行為的目的,無非是藉由 DDoS 這種癱瘓式的攻擊,來考驗對象遇到攻擊時、還能維持正常運作的能耐到哪裡;駭客(攻擊者)藉由這種惡意攻擊行為,來達到考驗、挑釁、宣示、勒索的目的,甚至是藉由 DDoS 攻擊,轉移或隱藏另外一邊還正在進行中的入侵竊取資料或其他滲透行為,因此,DDoS 攻擊怎麼防,就相對重要,更重要的是,除了防禦,還應該將攻擊行為視為提醒,一併檢查其他風險弱點區域的資安防護能力,才能防得全面,把風險控制在最低。至於資安盤點應囊括的範圍,以及如何以合理的費用建置企業自身適合的資安防護措施,歡迎參考此篇文章:二個重點讓企業用合理費用建置符合成本效益的資安防護
DDoS 怎麼防?
- DDoS 緩解服務:針對攻擊流量以不同技術緩解大流量的湧入,讓原本的流量通道在可接受的程度上依然正常運行(DDoS Mitigation)
- 負載平衡機制(A/B Site):若是網站、應用程式或系統,除了主要站點以外,必須建立一個備援站點,不一定要完整複製,但至少其背後的資料要備份,前台提供使用的功能要正常;而備援站點可是情況在平日就處於啟用狀態,或是備援站點作為 Standby,在危機發生時可以立即切換到備援站點。切記!備援站點之間的來回切換,絕對要定時作演練,以免在危機發生當下機制失效,平日的備援就等於白做囉!
- CDN:某程度上能夠將流量先導到主站點以外的網路節點,拖延攻擊流量進入真正站點的時間,爭取危機處理及反應時間。
- 其他:如Web 3.0 概念而生的架構、IPS、IDS、WAF 服務。
關於原廠的產品及資安服務導入供應商怎麼選?
國際可以防禦 DDoS 的產品很多,其中常被選用的有 Akamai、Nexusguard、Cloudflare 以及 Imperva,這些原廠擁有大量專精的資安技術及資安人員,更有資安研究團隊以及大型的流量清洗中心,因此,產品經過這麼多企業使用的考驗,終究是成為市場上較可靠的產品;但是他們針對 DDoS 攻擊,也有不同的抵禦產品及方案,該怎麼選擇自己適合的產品?就需要靠有豐富經驗的資訊安全服務提供商如同匯智,來協助選擇、規劃、導入及後續的攻擊監控服務與後續的資安危機應變服務。
無論是 DDoS 或是其他資安危機的抵禦產品或是緩解服務,沒有任何產品能夠一個方案就能滿足企業需求,絕對需要依靠各種產業與各種資安情況的導入經驗以及危機當下的反應經驗,來替客戶資安盤點、並量身規劃出適合的防禦手段;即便您已經正在使用任何一朵公有雲或私有雲(例如Amazon、Azure、GCP 以及中國阿里雲等…),亦或是自家搭建的實體主機私有雲,匯智這樣專業的主機代管資安服務提供商,都能替您搭配既有的資安服務,來對症下藥,採針對性或全面性的增強您的資安防禦能力。
知識區
如何識別 DDoS 攻擊
DDoS 攻擊最明顯的症狀是,網站或服務突然地變慢或不可用。但因為造成網站或服務變慢、不能動、不可用的原因,含有多種攻擊技術以及程式本身或是資安服務的機制失效等多種原因,通常會需要進一步查找分析,而以下查找 guideline 可以提供一些方法:
- 來自單個 IP 地址或 IP 範圍的可疑流量
- 大量流量來自擁有單一行為特徵(例如設備類型、地理位置或 Web 瀏覽器版本)的用戶
- 對單一頁面或端點的請求出現無法解釋的激增
- 奇怪的流量模式,如在非正常時段激增,或不自然的模式(例如固定頻率、每 10 分鐘激增)
- 根據攻擊類型,DDoS 攻擊還有其他更具體的跡象。
除了以上,有些行銷用的善意流量,也會利用互聯網分享資料,但除了偶爾一次的機器人(機器蜘蛛)爬網站數據以外,鮮少占用網站或服務的正常流量通道;而 DDoS 攻擊是一種惡意流量,它利用大量的互聯網 IoT 設備(例如網路攝影機伺服器;DVR)針對攻擊標的物發出 request 流量,惡意嘗試著要癱瘓標的物的伺服器或周邊基礎設施,來阻斷目標伺服器、服務或網路的正常流量、塞爆通道,癱瘓原本正常的運作。
DDoS 攻擊分類
一般可以從 OSI 模型層,來隔離 DDoS 攻擊。
這些攻擊在網路層 (Layer 3)、傳輸層 (Layer 4)、展示層 (Layer 6) 和應用程式層 (Layer 7) 最常見,通常將攻擊區分為基礎設施層 (Layers 3 和 4) 與應用程式層 (Layer 6 和 7),對於攻擊的分辨與抵禦手段有幫助。
基礎設施層攻擊:常見的 DDoS 攻擊手法像是頻寬消耗型攻擊(如:UDP Flood、ICMP Flood)及資源消耗型攻擊(如:SYN Flood),都是以傳送大量無效的請求或是封包,以瞬間產生大量流量的方式將企業網路資源耗盡,最終導致網路異常緩慢、網站無法運行及存取等服務障礙,讓企業生產力閒置浪費,更可能破壞品牌商譽。
應用程式層攻擊:傾向針對應用程式的某些特定重要部位進行攻擊,使實際使用者無法使用應用程式。例如,對網站會員登入頁面或重點搜尋 API 進行 HTTP 大量 request,或甚至是 WordPress XML RPC(也稱為 WordPress pingback 攻擊)。
DDoS 攻擊的工作原理
DDoS 攻擊是利用連接到互聯網的機器 ( IoT ) 組成的網路進行的。
這些網路包含已被惡意軟體感染的電腦和其他設備(例如 IoT 設備),使它們可以被駭客(攻擊者)遠端控制。這些單獨的設備被稱為“機器人”(或僵屍),一組機器人則被稱為僵屍網路(botnet)。
一旦建立了僵屍網路,駭客(攻擊者)就能通過遠端發送指令給每個機器人發動攻擊。
當被攻擊對象的伺服器或網路成為僵屍網路的目標時,每個機器人都會向目標的 IP 位址發送請求,從而可能導致該伺服器或網路不堪重負,導致正常流量被拒之門外。
歡迎轉載!請見:轉載原則。
Photo by Sora Shimazaki from pexels