觀點

還你乾淨流量 全方位DDoS防禦解決方案

2012 / 11 / 22
吳依恂
還你乾淨流量  全方位DDoS防禦解決方案

左起:NexusGuard營運長Wellem Aminudin、產品暨研發總監鐘可揚。Wellem Aminudin說現今的攻擊不再侷限於大型企業,中小型企業也被無差別攻擊。

台灣的清理中心,24小時持續監控、提供服務。

DDoS攻擊趨勢-耗竭資源、人人可打

NexusGuard營運長Wellem Aminudin就說,過去看過最大的攻擊流量2010,光是針對單一站點的流量攻擊就到了100G bps不過到了2011攻擊趨勢又逐漸改變60G bps

資源攻擊

以前的攻擊是吃掉頻寬,是在網路Layer3Layer4的戰爭,但隨著頻寬越來越便宜,攻擊者的成本也越來越高,攻擊效益變低,於是他們轉向用更快更便宜的方法來攻擊,透過像OWASP Top10的幾大攻擊弱點,如SQL Injection。又或者是網路商店提供搜尋功能,攻擊者就寫個程式自動在該網頁上一分鐘搜尋一百次,雖然用的頻寬不多, 但可能會讓後面的網頁伺服器、負載平衡器、防火牆癱瘓,讓設備的CPU根本無法負荷,是屬於網路第七層的戰爭。這可以說是一種資源攻擊,掌管網路流量的ISP業者可能根本看不出你正在遭受攻擊,攻擊者透過各種複雜的混合手法,讓企業疲於奔命。

中小型企業照打不誤

DDoS攻擊是越來越容易,免費工具網路上比比皆是,甚至有網站教學,教你如何取得站點,不需成本,只要將惡意程式碼輸入某個網站,等待受害者上鉤變成botnet(俗稱肉雞)的一員。許多倚賴網路營收很深的大型網站,的確可能面臨到每天都被DDoS的問題,然而這是過去的狀況,就在近幾年,中小企業也同樣面臨到一樣的困境,Wellem Aminudin表示,他們就看過客戶被地下組織勒索的恐嚇信,地下組織隨機攻擊網站,再判斷該網站流量的大小與營業額,來索取「恰當」的勒索費,要求金額太高,中小企業可能不會給,但若只跟你要求一天營業額呢?打了站就發勒索信,拿到錢就跑,不管賺多賺少都攻擊,反正是沒本錢的生意,而且還是人人都可打。

 DDoS因應對策

目前可對DDoS攻擊防禦提供解決方案的廠商,大致上可分做4類:

1.  in house:企業自我防禦。

    有些企業在遭受攻擊時,會找自己熟悉的SI來幫忙,並可能運用現有設備作部份、暫時性的阻擋,但針對多變化的攻擊,可能需要再買更多流量,或是要添購所有因應的設備,而且還得找到適當的人力,懂得各種網路、資安設備該怎麼靈活運用,來解決掉被DDoS的問題,可以說是耗費甚鉅,企業必須考慮網站營收是否足夠支撐起這種防禦模式。

2.  ISP業者提供的服務賣頻寬兼賣服務。

    ISP業者最主要的業務就是賣頻寬,因此雖然會有些ISP業者願意買些設備來投資DDoS防禦的解決方案,Wellem Aminudin說,這基本上還是與自家業務有所矛盾,若是要防禦DDoS的攻擊,必須備用頻寬,攻擊流量來時,應該要可以用來抵擋不可能犧牲頻寬來保護某一家。另外,如果跨國企業針對不同客戶市場需求時,可能會跟兩、三家ISP業者採購,因此跟某家ISPDDoS服務,當然也就只能保護那家,僅能解決部分問題。

 

3. 內容傳遞網路(CDN, Content Delivery Network)

    這類服務供應商的工作在於提供快取服務,也就是可以幫企業,將網站內容放到離企業的客戶最近的地方,讓企業的客戶可以用最短的網路旅程到達企業的網站(動態伺服器)。CDN通常會指派比較近且順暢的快取伺服器節點(靜態伺服器),另外也有異地備援的好處,因此當某個伺服器故障,系統會調用其他鄰近的伺服器來服務可靠度。因此主要服務也是販賣流量,通常以一個月總和流量來計費。這個好處在於,企業想要進行跨國經營時,不需要設置很多伺服器,它可以幫企業快速跨出國際,並且以這種服務特性,來承受DDoS的攻擊。當攻擊流量來時,它等於是透過這種分佈式的架構來分散掉,由於骨幹大、資源多,有許多節點可以被犧牲,NexusGuard產品暨研發總監鐘可揚說,簡單來說,它們是承受而不是阻擋。遇到真正厲害的攻擊者,便會直接鎖定動態伺服器與客戶後端,不管前端有多少快取點,在後端通常都沒有太大的防護,所以有時使用者會看到網頁還在,但只要一點圖檔卻是無法連結的狀況,即使後端可能採購資安設備來防禦,但仍沒有具備專業團隊來處理或監控此類資安事件,其主要業務也並非防禦DDoS攻擊。

4.DDoS防禦服務供應商

    此類廠商在市場上並不多見,因為具備所有防禦DDoS攻擊的設備及人力,整合上述各種 模式的優點,例如NexusGuard便是這類,Wellem Aminudin說各種硬體設備以外,該公司自己撰寫腳本、程式等研發,最高可承受到250G bps的流量目前NexusGuard在全球共有4個清理中心,分別在美國、倫敦、香港、台灣,並持續增加中。透過不同區域的清理中心,更靠近用戶靠近攻擊者,將流量清洗掉,縮短攻擊跳點,鐘可揚說他們提供的服務,是用設備、用人力,進行24小時監控每個封包,透過階層的防護,在微秒之間處理掉攻擊的發生,讓企業可以直接取乾淨的流量

 

可揚說,DDoS的攻擊方式是人為、是活的,但機器設備是死的,不可能把所有的攻擊手法都放在設備上自動抵擋,如果單以頻寬對頻寬來比,只要流量夠大就能夠承受,但根據現在的攻擊趨勢來看,攻擊者可能會針對設備,透過小流量、高頻率的封包,讓它負荷超重,變成網站服務掛掉,這都是近幾年來演變的手法。也因此,NexusGuard的服務重點將會針對企業的風險層次、產業進行評估,並且取決於企業需求的乾淨流量有多少。