<2014亞太資安論壇展後報導>防禦DDoS 只讓正常流量進入企業網路

提到DDoS攻擊，許多人心中第一個念頭或許是，「這種攻擊手法不是出現很久了，有什麼好擔心的，」殊不知隨著IT技術進步，DDoS的攻擊手法日趨多元化，除了傳統針對網路層的流量式攻擊，近年還出現針對應用層的攻擊手法，增添企業防禦難度。

經緯資訊(C2 Square)技術長彭勝忠指出，觀察近幾年的DDoS攻擊事件，TCP Syn Flood的洪水攻擊，仍然是癱瘓攻擊目標的主要手法，其次則是TCP reset，此外一些新型態的DDoS攻擊也越來越多，例如：放大型攻擊(DNS/NTP)、正常壓力測試型攻擊(load test)、手機APP的遠端聯合攻擊、數據中心的大頻寬攻擊...等。

其中，手機APP攻擊的威力不容小覷，目前，24%的手機應用程式內藏後門攻擊程式，越來越多使用者在不知情的狀況下安裝此類APP，而且這個數字有逐年增加的趨勢。每隻安裝後門程式的手機，只要同時對同一個網站伺服器發出2-3個Http Request請求服務，匯聚的流量就很驚人，足以令攻擊目標的網站主機無法負荷，而使用者根本不知道手機已經變成被駭客操控的殭屍電腦。

因此，彭勝忠表示，防禦DDoS已經不能只是購買網路安全設備或加大頻寬而已，透過流量清洗中心(Clean Pipe)過濾惡意DDoS攻擊流量，只讓正常流量傳送到企業網路中，比較可以分散與降低風險，尤其適合銀行、網路媒體、社群網站、線上遊戲...等網路流量較大的產業。

彭勝忠進一步指出，有些流量清洗中心也提供ISP服務，可以縮減為了清洗流量而必須重新路由所造成的網路延遲時間，與一般ISP業者相比有兩個好處，第一、一般ISP業者不會主動告訴客戶遭受哪些攻擊；第二、若遇到大量攻擊時，一般ISP業者為確保自身正常運作，會針對大流量的客戶進行頻寬管制甚至直接停用，採用流量清洗中心的ISP服務就不會有此限制。

不過，目前市場上提供流量清洗服務的業者不少，彭勝忠認為，專業是企業選擇的依據。所謂專業20%由提供服務的流程、80%由人員專業知識所組成，前者指的是清洗中心是否具備ITIL、ISO 27001...等證照，後者則是在清洗中心的服務人員是否具備：(1)基礎設備的認證如：Cisco、Juniper...等，(2)專業認證如：CISSP、JCNIA、CCIT...等，(3)處理攻擊事件的經驗。

對企業來說，防禦DDoS攻擊不必一直花錢購買資安設備、加大頻寬或聘僱資安專家，只要建置基礎網路安全設備搭配流量清洗服務，也能達到一樣的效果。