觀點

難以擺脫的DDoS夢魘─各家解決方案解析

2013 / 01 / 10
編輯部
難以擺脫的DDoS夢魘─各家解決方案解析

前期文章中已為讀者談到DDoS的種類與攻擊手法,但對企業來說重點還是在如何維持網路的正常運作,所以本期將接著介紹DDoS攻擊的解決方案。在進入主題之前,不少人會有一個疑問就是:「DDoS攻擊由來己久,許多像UTM、IPS這類的網路安全閘道設備,甚至是一些低階的防火牆都宣稱有防禦DDoS攻擊的功能,難道都沒用嗎?」

具備DDoS阻擋功能的產品為何沒用?

要討論為何這些號稱具有DDoS功能的網路設備為何無法達到應有的效果前,我們得先將DDoS攻擊分為網路前端與客戶端兩邊來看。網路前端指的就是企業所申請ISP業者的線路,除非是遭到企業內部僵屍電腦所發動的DDoS攻擊,否則DDoS的攻擊流量應該(也只能)從ISP業者提供的網路而來,所以我們先了解當ISP業者發現其客戶遭到DDoS攻擊時會有什麼反應?

遭DDoS攻擊時,ISP業者所採取的自保方式
有些人會以為,ISP既然提供網路連線服務給企業,如果客戶遭到DDoS攻擊,暴增的網路流量不但會增加ISP業者的負擔,也會影響到其他客戶的網路服務,所以理所當然會對DDoS攻擊做一些基本過濾的工作。事實不然,ISP業者只是販賣頻寬服務給企業,而無論是像DDoS或病毒的過濾偵測等工作,都會增加ISP業者營運成本的負擔,而且監控用戶的網路流量也可能會有侵犯隱私的疑慮,所以一般情況下ISP不會針對客戶網路流量做任何的阻擋過濾,而會把這些威脅的檢測視為是一種資安加值服務。

中華電信數據通信分公司資訊處四科二股許嘉益表示,當企業遭到頻寬式DDoS攻擊且大到會影響其他客戶時,就會採取一些措施以維護其他客戶的權益。舉例來說,一個承租50M網路頻寬的企業,在遭受到1、2G的網路攻擊而塞爆ISP業者網路頻寬時,為避免影響其他企業客戶的網路,中華電信會先調整遭攻擊IP的路由,將被攻擊IP的網路流量導引到一些流量負擔較小或是做為備援的網路骨幹上。

如果情況還是沒有減緩的話,便會將此IP位址移到DDoS隔離區中,進行更嚴格的QoS頻寬管制。雖然這時企業網路服務還在,但因為有限的頻寬已被多數的異常流量所佔據,也會造成企業網路服務的異常。如果情況依舊的話,最後中華電信可依照與客戶簽訂的網路服務合約,當客戶遭受攻擊而嚴重影響其他用戶時,在通知客戶後採取Blackhole方式停止提供被攻擊目標的網路服務,以確保其他企業客戶的網路不受影響。

但Check Point台灣區技術顧問吳炳東認為,這種從頭端直接切掉網路連線的方式雖然能截斷攻擊來源,但受害企業的網路同時也無法對外連結,所以上述做法只能算是ISP業者為了確保其網路的正常運作所採取的應變措施,並不算真正的DDoS解決方案。

客戶端設備無用武之地
中華電信數據通信分公司資訊處科長游峯鵬則提到,像這種針對網路頻寬的流量式攻擊還沒到客戶端的設備前,光在ISP線路上就已被激增的網路流量擠爆癱瘓,客戶端有再好的設備也無用武之地。Nexusguard高級研究員謝輝輝直接表示,如果是流量式攻擊的話,「因為還沒到家門口就已經被塞滿,所以只要流量大過你,你就輸了。」

除非ISP業者的網路頻寬承載能力夠大,這些攻擊流量才會進到客戶端的網路設備中。像以往防火牆、UTM這類設備就是針對L3、L4的DDoS攻擊進行阻隔的動作,所以如果是這類攻擊的話,防火牆就可以發揮一定的過濾阻擋效果(當然前提是這些設備有足夠處理攻擊流量的效能)。

不過F5 Networks台灣區技術經理林志斌也提醒,傳統企業常用負載平衡設備搭配防火牆的方式來進行DDoS過濾,但因為防火牆的連線承載數不足,又需要增加更多台的防火牆來處理,將使得整個網路架構變得愈來愈複雜。另外Nexusguard行銷兼通路總監張運達則提到,對於流量式的攻擊,有資源的企業還可透過頻寬加大或是流量分流的方式來解決,因此攻擊者會轉而採用應用層攻擊,不需要發出龐大的網路流量一樣能達到癱瘓目標網路服務的效果。

需從行為模式來判斷異常與否
所以如果遇到L7的應用層攻擊時,就需要仰賴像IPS這類能看到第七層的設備來進行封包的檢測過濾。例如利用零時差漏洞的Slow HTTP POST攻擊,除了更新系統或應用程式本身的漏洞外,也能在該漏洞尚未更新之前,由IPS設備根據已知弱點,像是攻擊的連接埠與指令,或是欄位含有特定值等製作成特徵碼來抵擋DDoS攻擊。

不過這種用IPS來做DDoS阻擋也有其問題存在,Fortinet台灣區技術顧問劉乙解釋,一方面是拆解封包內容的處理方式很消耗運算資源,而且IPS是以處理病毒、入侵行為的方式,藉由檢視網路封包的內容來判斷是否為DDoS攻擊。但如果不是針對應用程式或系統弱點的攻擊方式,而是以模擬正常使用行為的L7 DDoS攻擊的話,因為是真實流量的行為,所以難以判斷是否為DDoS攻擊,這時就得靠透過門檻植的設定,例如准許每秒連線次數的policy來予以阻擋。

但許嘉益也提到,要採用行為模式來做為阻擋DDoS方式的話,就有賴技術人員處理DDos的經驗,條件設的太鬆效果就不好,太嚴又會產生誤判。也因為這種方式並不像防毒產品一樣能依賴特徵碼的比對,讓網路封包的檢測結果能達到相當精確的水準,所以游峯鵬強調:「DDoS流量無法完全擋掉,而是以確保企業網路服務的正常可用為前提。」

各家解決方案介紹

了解之前許多的網路閘道設備為何無法發揮應有的功能後,接著我們便要開始介紹針對DDoS攻擊的解決方案,看他們是如何解決上述面臨到的問題。不過在此我們還是要提醒,如同劉乙強調:「真正的DDoS設備會說自己能做到的是減緩(Mitigation),而不是阻擋(Block),因為現在DDoS是真實流量的行為,所以根本難以做到完全的阻擋,既然是減緩,重點就在程度上的差別。」(當然為了行文的方便,我們在文章中有時還是會用「阻擋」一詞來敍述產品的行為功能。)

DDoS攻擊無法可擋?!
吳炳東也認為:「沒人敢說能完全擋下DDoS攻擊」,因為現在的DDoS會結合Botnet來發動攻擊,面對這種模擬真實的使用者行為,的確沒有設備可以完全擋下攻擊而不受影響。

這時我們也不禁會問,那企業花了大筆經費購置DDoS設備的意義何在?吳炳東對此則解釋,當然在一定範圍內,DDoS設備的確能發揮其阻擋防禦的效果;即使攻擊方的強度持續增加到超過負載的情況,DDoS設備還是可以為企業爭取到更多時間去尋求協助,像是分析攻擊的目標主機或服務、請求ISP業者增大網路頻寬或啟動其他備援方案等,而不會一發生DDoS攻擊就隨即淪落到被癱瘓的窘境。

面對DDoS的威脅,資安設備廠商當然能嗅出它所帶來的危機與商機,在基於自身產品特性下所推出的DDoS防禦設備,也各有其功能特色。

Check Point DDoS Protector Appliance
提出軟體刀鋒架構的Check Point,最大訴求就是將各種資安防護功能變成像硬體刀鋒般的軟體模組,讓企業能隨需求的不同,將這些資安防護功能像刀鋒般立即加入到現有的硬體平台中,而不用更新淘汰原來設備來保障企業的既有投資。

而Check Point在其IPS軟體刀鋒中便已有部分的DDoS阻擋功能,為何還要反其道而行地將DDoS Protector Appliance拉出成獨立的專屬設備?吳炳東解釋,正因為行為分析(Behavioral)和特徵值比對(Signature)會消耗大量的運算資源,所以如果要放在防火牆或UTM中都會使設備負擔過重,反倒影響其效能,所以才將DDoS Protector Appliance獨立成專屬設備,以過濾分析大量且耗資源的網路流量。




↑↑ 圖1、Check Point DDoS Protector Appliance的自動分析機制。

DDoS Protector經過一段時間的自然學習後,在流量通過設備時就會啟動行為分析,自動分辨哪些是正常或異常的網路流量,當發現新型攻擊時,便依據偵測到的異常網路活動自動產生出即時的特徵碼,之後再部署到DDoS Protector,透過這樣不斷循環回饋的過程來阻擋DDoS攻擊。由於攻擊者可能透過企業內部的僵屍網路來進行DDoS攻擊,所以Check Point建議除了部署DDoS Protector在防火牆外以阻絕攻擊流量,還可再搭配IPS、AntiBot的軟體刀鋒,來阻斷外部中繼站的連線,避免駭客從外部下指令發動攻擊。

Fortinet FortiDDoS
劉乙認為真正的DDoS專屬設備,應該是從行為模式而不是特徵值來判斷是否為DDoS攻擊行為,且要能快速的處理網路流量。因此Fortinet的DDoS專屬設備FortiDDoS內建FortiASIC的流量處理器(Traffic Processor),用來加速對流量封包的處理速度。

FortiASIC只專看網路流量,像是IP header、統計塑形的工作,而FortiDDoS的CPU只負責執行作業系統與指令設定,並不用來處理網路封包的內容,因為一看封包內容整個處理速度就會變慢。如果發現新興的攻擊手法而需要更新檢測引擎,例如要新增IP地理過濾功能到FortiDDoS,像不准來自某個國家的流量進入的話,就會透過作業系統將此一新的檢測機制載入可程式化的ASIC中,告訴ASIC去擋掉來自該國的網路流量。




↑↑ 圖2、FortiDDoS利用FortiASIC架構加速流量處理,並透過行為模式分析達到減緩DDoS攻擊的效果。

至於行為模式的判斷方式是什麼?還是以剛才IP地理位置為例,如果某企業只對國內客戶進行銷售業務,但有一天卻突然發現大量來自南美洲的連線需求時,這種不應該出現來自某地的網路流量,就可視為異常的行為模式。其他還有像一些攻擊工具會自動產生偽冒的IP位址,但有些IP位址是不應該出現的;或是對連線來源去做一些詢問動作,像是問對方瀏覽器的版本資訊,如果是機器人而不是真實瀏覽器的話,便無法回答這些問題而被視為是異常行為,就可以中斷連線。

FortiDDoS同樣具有自動學習的功能,在導入後至少需要一星期的時間,先學好客戶正常網路流量的生態以建立Baseline;如果學習期間其流量統計正好在均值以下時,就需要人工調校數值,然後再視情況加上10-20%的彈性做為基準。當網路遭受DDoS攻擊而出現不同變化時,便啟動防護機制,將流量減緩到跟平常的流量模型一樣。不過劉乙也提醒,當網頁有修改或服務有增加時就需要重新學習,以免造成設備的誤判。

F5 Networks WAF + iRules
F5 Networks台灣暨香港區董事總經理許慧嫻明白的指出:「DDoS攻擊不是一個產品就能擋」,所以F5 Networks是以高效能的Big IP硬體平台與具備彈性的iRules程式化工具做為其DDoS解決方案的特色。由
於F5 Networks採用的是Full Proxy的網路架構,將設備置於用戶與伺服器間,能夠看到完整的使用者連線行為,經過檢測後才會將合法的連線需求送到後端伺服器中,避免伺服器遭到攻擊而癱瘓。

林志斌以利用機器人工具發動的DDoS攻擊為例,F5的Big IP裝置可透過主動發送cookie並依照回應方式來判斷對方是否為機器人,確認是正常使用者的話才會將該流量放行。由於所有進入server的網路流量都會先經過F5的設備,所以可藉由其WAF或ADC(Application Delivery Controller)設備來做到對第七層DDoS攻擊的基本防禦。

 

↑↑ 圖3、F5 Networks結合多種功能的DDoS防禦架構。

而對於更進階或新興的攻擊威脅,則可搭配iRules,透過簡單易學的腳本語法,由使用者來自訂如何處理異常的網路流量。對於尚不熟悉如何撰寫iRules的操作新手,F5也提供了DevCentral的網路交流平台,讓F5用戶能將其所撰寫的iRules範本上傳到此網站中,結合社群資源提供超過千條範本以供其他用戶修改套用。

再透過Big IP相較一般網路閘道設備達10倍的高承載能力來處理DDoS的大量攻擊,如果真的超過其負載的話還能再藉由GTM(Global Traffic Manager)動態路由方式,將攻擊流量分流導引到其他資料中心,使企業的網路服務不致中斷。

HiNet DDoS進階防護服務
以上所介紹的一些DDoS防護設備都是在客戶端建置的解決方案,但我們也提到如果攻擊流量在ISP的網路骨幹就已被擠爆的話,這些客戶端的設備根本就無法發揮作用,加上所有外部的攻擊流量勢必經由ISP業者的網路所傳遞,因此由ISP提供DDoS的防禦服務也是想當然爾的一種方式。

中華電信因為之前技術人員常為了處理客戶的阻斷服務攻擊耗費大量的人力與時間,加上看到企業客戶的確有這樣的需求,於是也推出HiNet DDoS進階防護服務。使用中華電信DDoS服務時,客戶完全無需對網路設定進行任何調整,全部由中華電信技術人員在機房進行服務的設定啟用。



↑↑ 圖4、無需更改企業網路設定的HiNet DDoS進階防護服務架構。

一開始中華電信機房會先開啟基本的服務設定,然後與客戶進行面談,以了解客戶的網路流量狀態與使用行為。接著開始進行所謂的「自動學習」,大概需要花一到兩周的時間建立客戶流量的Baseline。

不過許嘉益提到,通常客戶都是在遭受攻擊時才來申請DDoS服務,這時就不適合做為建立企業網路的正常流量模型,而會先以預設的基本設定來啟動DDoS服務,如果服務阻斷的情況並未減緩,就會由中華電信的SOC人員啟用更嚴謹的進階DDoS防護功能,當然這時也有可能會影響到正常的網路使用,所以會再由24小時值班人員依據客戶網路的回應情況再進行policy的調整。

Nexusguard CLEARDDoS
除了從ISP網路前端與企業本地末端的兩種方式外,還有一種介於兩者間的Clean Pipe解決方案,也就是所謂的流量清洗服務。以Nexusguard為例,會使用多種的DDoS防禦技術,包括資安廠商的反DDoS設備,甚至是自己所研究開發出一些open source工具,透過BGP(Border Gateway Protocol)的標準協定、DNS更改或直接拉專線的方式,將原本流向企業的網路流量先導引到清洗中心過濾後再傳送到企業網路。

採用Clean Pipe的方式由於中間多了一道重新路由的處理程序,所以可能會造成網路的延遲,但因為Nexusguard在台灣就設有一個清洗中心,謝輝輝表示延遲的時間僅在10-20微秒內。


↑↑ 圖5、Nexusguard結合資安廠商與自己開發的多種DDoS防禦技術,為企業提供流量清洗的服務。

在收費上是按照正常乾淨的流量與要求的服務等級來收費,而Nexusguard針對頻寬的計算上其實也都有一定的彈性(約有50%上下不等),如果真的不夠用,企業可依情況來購買增加頻寬。如果遇到DDoS攻擊導致流量暴增的話,正常是不會額外收費,但Nexusguard行銷兼通路總監張運達也提到,在SLA中會註明少數極端罕見的情況下可能會再加收費用,不過目前尚未發生這種額外加收費用的例子出現。

應DDoS的攻擊威脅,除了過濾流量外,企業也能夠透過CDN(Content delivery network)的網頁內容遞送服務,將公司的網站服務分散到不同的資料中心,遍佈全球的上千台伺服器中。在平常時候讓使用者能就近存取所需要的網站內容,提高網頁的存取效率並減少伺服器的負擔,即使網站遭受攻擊,也只會影響部分的網站伺服器,其他的伺服器仍然能維持正常運作。

各種解決方案比較

以上所介紹的各種DDoS解決方案都有其優缺點。以企業自建設備來看,除了初期要負擔昂貴的購買成本外,還要考量內部網管人員是否有足夠的技術能力來維運設備。在導入時間上會依產品設計的不同而有長短不一的差別,有些廠商會宣稱能立即上線使用,有些則需要經過一段時間的人工調校才能運作,當然這也和企業本身提供的網路服務有關。至於優點就是企業能掌控設備的操控權,量身打造出符合企業網路環境的流量檢測機制。

訂購ISP業者提供的DDoS資安服務,能從網路來源根本處理消耗頻寬的流量式攻擊,優點是完全不用更改現有的網路架構與設定,直接從電信業者機房進行設定過濾後,再按頻寬大小按時付費即可。不過ISP的DDoS服務以往讓人質疑的地方在於,不能做到第七層DDoS攻擊過濾,以及提供客戶的是標準化服務,無法再針對個別客戶進行客制化的調整設定。此外你必需是該ISP的網路用戶,而如果還有使用其他ISP網路做為備援的話,另一條線路也需要再購買其他ISP的DDoS服務。

其實ISP的DDoS服務也是購買其他廠商的DDoS設備所建置的,不同的是ISP技術人員通常具有較多處理DDoS攻擊的經驗,此外也有能力購買多種不同廠商的DDoS設備。因此以前所使用的設備,如果僅是針對L3、L4攻擊進行防禦的話,的確無法過濾第七層的異常流量攻擊,但因應現今第七層DDoS攻擊的產生,ISP業者也會添置能抵擋L7攻擊的設備,所以這部分就需要詢問ISP業者是否能抵禦應用層的DDoS攻擊威脅。

至於ISP業者因為同時要服務很多企業客戶,所以無法像客戶端自行安裝設備這樣,以自動學習的方式來建立網路流量模型或是提供客制化policy設定,來做為DDoS攻擊的判斷。像以中華電信的DDoS服務來看,雖然有提供流量模型的自動學習機制,只不過在流量上是採用多個客戶的總量進行模型建立,所以可能不像客戶自建設備般來的精細,但仍可針對單一客戶提供個別的policy設定,來配合不同的使用者需求。

而你如果是採用Clean Pipe解決方案就能不受ISP的限制,不論你是哪家ISP的用戶或是同時申請多家ISP的網路服務,都能夠將網路流量先送到清洗中心進行專業且客制化的流量清洗服務,當然代價就是不便宜的資安服務費用。如果是對延遲時間敏感的網路應用像是線上遊戲等,就要衡量流量經過重新導向後增加的網路延遲是否會影響服務,另外謝輝輝還提醒如果像政府、軍方或金融機構等特殊單位的話,還要考慮法令規範是否准許流量外流到其他地方。

表1、各種DDoS解決方案比較

Hardware Vender

ISP

Clean Pipe

CDN

優點 1. 設備由客戶端自建,對設備具有完整的操控權,並依自身網路環境需求做到完全的客制化設定。
2. 流量不經過第三方的檢測,符合法規的需求,且沒有企業隱私外洩的疑慮。
1. 網路流量都經過ISP端,易於應付各類型的DDoS攻擊,且技術人員有豐富的處理經驗。
2. 能解決網路前端頻寬耗盡的問題。
3. 無需更改現有網路架構與設定,直接在ISP機房完成設定過濾。
1. 不受ISP業者的限制,不論使用哪家的ISP網路都能申請服務。
2. 攻擊流量進入企業前便已前行過濾,能降低企業網路閘道的負擔。
3. 能客制化提供特殊的封包過濾動作。
4. 具備專業的技術能力以處理DDoS攻擊威脅。
1. 伺服器分散在全球的資料中心,以分散被攻擊的風險。
2. 單區伺服器遭癱瘓時,其他區域的伺服器仍然可繼續維持運作。
3. 使用者能就近存取使用網站服務,提高網路存取效益。
缺點 1. 初期建置成本昂貴。
2. 無法解決ISP網路前端頻寬耗盡的問題。
1. 需要是該ISP的用戶。
2. 不同ISP的線路需購買不同的DDoS服務。
3. 為標準化的服務,難以針對個別企業提供客制化的服務。
4. 針對L7攻擊防禦能力視各家ISP業者而定。
1. 按使用頻寬計費,費用昂貴。
2. 對網路延遲敏感的應用服務可能會受到影響。
3. 將流量導入第三方,對特定產業有違反法令規範的疑慮。
1. 僅將流量導至最近的伺服器中,不提供防護過濾的動作。
2. 攻擊流量可能被算入使用流量中,造成費用增加。
適用環境 1. 有足夠的資安預算。
2. IT人員需有足夠的技術能力,隨不同的攻擊型態調校維運設備。
3. 對外網路頻寬較大的企業。
1. 導入啟用快速,適合發生攻擊事件而需緊急應變處理的情況。
2. 無專業人員能維運調校設備的企業。
1. 無專業人員能維運操作設備。
2. 對資料的網路傳遞無特別法令規範或要求的產業。
1. 無相關法規限制的企業。
2. 能容忍單區伺服器癱瘓的企業。
成本 最高 較低 普通

資料來源:編輯部整理。

建議企業的處理流程

當企業發生DDoS攻擊時該如何處置?許嘉益建議,可以先透過ISP客服中心所提供的MRTG網路報表來看是否有封包瞬間暴增的異常狀況。但如果是像第七層的DDoS攻擊方式,MRTG流量報表可能就無法顯示異常,這時就可以從伺服器本身的一些監控機制來觀察,像是CPU、記憶體等資源的耗用狀況,檢查是否有負載過大的情形。當然他也提醒網管人員也要注意這種網路負載的情況,是否是因為企業近期所舉辦的一些網路或競標活動所造成,至於要如何分辨是因活動還是遭攻擊所產生的服務異常,則有賴網管人員對網路對外服務與啟動型態設定,還有相關的處理經驗來判斷。

在確認是DDoS攻擊後,企業可以請ISP業者緊急加大頻寬來暫解燃眉之急,不過這也僅限於流量型的DDoS攻擊才能發揮效果,當然臨時加大頻寬在費率上也會較高,另外像中華電信還有提供企業客戶一次7天的DDoS進階防護服務的試用。而負責監控許多政府重要機關網站的資策會資安所技術服務中心侯猷珉主任,則提供一份DDoS攻擊應變機制流程,我們經過部分修改後簡省如下圖所示,做為企業發生DDoS攻擊事件的處理流程參考。


↑↑ 圖6、DDoS攻擊應變流程圖。資料來源:技服中心,資安人整理,2013/1

以往不少人認為政府的網站可能經常會遭到對岸網軍的攻擊而癱瘓,但侯猷珉表示,因為目前台灣政府機關所使用大多是中華電信獨立的GSN政府網際服務網,在其閘道口已由中華電信直接過濾L3、L4的DDoS攻擊,所以技服中心很少發現DDoS攻擊的情況。

至於L7的DDoS攻擊,因為政府網站不像企業網站般有許多的商業應用,政府網站大多是用來做資訊的宣導或查詢,在應用層上的使用相對單純,因此較少成為L7 DDoS的攻擊目標。即使發現有針對應用層的DDoS攻擊,也會以安全為首要考量,暫時關閉官方網站,或直接從GSN閘道口透過更嚴謹網路存取政策來因應L7的DDoS攻擊。

企業在考量DDoS解決方案時,除了基本的價格因素外,對流量的承載能力,是否具有L7攻擊的處理技術,還有能採取的行動是否多樣化,以及自身的網路環境(包括所提供的網路服務)和人員是否具備足夠的專業能力…等,都是必需考量的範圍。

本篇文章並未針對特定的DDoS攻擊方式進行探究,而是就目前所出現的DDoS型態與解決方案進行介紹,如果對UDP/ICMP Flood、Connection Flood、Application Flood等攻擊手法與應對方式有興趣的讀者,可參考本刊之前《DDoS攻擊手法與防禦對策-DDoS網災來襲 政府準備好了嗎?<攻防技術篇之二>》的精采報導。

相關文章:你不可忽略的DDoS攻擊威脅