[攻防演練趨勢探討] 分散式阻斷服務(DDoS)攻擊，如何實兵演練?!

2020 / 09 / 14

安碁資訊處長/沈復漢

金融業一般對DDoS攻擊演練的執行方式大多採程序演練，少部分採實兵驗練，程序演練方式主要採紙上談兵的情境事件演練，或聊備一格的防護切換演練，但近2年採實兵演練的業者持續增加，代表實兵演練成效已漸獲肯定。

孫子兵法有云「無恃其不來，恃吾有以待也」，只有扎實的實兵演練才能真正達到此防護境界。

國內DDoS攻擊趨勢觀察
滿頻攻擊à應用層攻擊(2015匿名者DDoS攻擊)à反射放大滿頻攻擊(2017金融業DDoS勒索攻擊)à應用層混合滿頻攻擊(2019金融業DDoS勒索攻擊)。
2015年匿名者組織對台灣政府機關、金融交易單位發動DDoS攻擊，此為近期國內遭受大規模DDoS攻擊的濫觴，也使政府主管機關開始重視DDoS攻擊的威脅，隨著DDoS攻擊目的從惡意破壞演變為勒索取財，金融業者也開始重視及強化對DDoS攻擊的防護。

國內DDoS防護趨勢
Firewall > WAF/IPS > 流量清洗 > DDoS防禦設備 > 流量清洗+DDoS防禦設備 > CDN

由歷來的DDoS攻擊分析發現以頻寬消耗型的滿頻攻擊為主，偶而輔以資源消耗型的應用層攻擊，近年企業資安防護機制大多均已建置Firewall、IPS、WAF等設備，此類型的防護設備均屬網路Stateful設備，面對應用層攻擊縱然能阻擋攻擊封包，最終還是會因為大量網路Session導致設備癱瘓成為網路瓶頸點，更不用說面對滿頻擊時封包直接塞爆WAN端網路設備，企業的防護設備完全無用武之地。

在既有防護設備無法防護DDoS攻擊的情況下，ISP業者針對滿頻攻擊推出了流量清洗(Clean pipe)服務，以及設備業者針對應用層攻擊推出了DDoS防禦設備，甚至國外業者推出CDN服務一次解決滿頻及應用層攻擊。當大家陸續依自己預算測試或購置服務或設備時，面臨了一個問題，就是如何確認服務或設備是符合自己需求而且有效運作的?當然最好是在測試或建置時剛好有DDoS攻擊，而且不能把對外服務癱瘓掉，可是駭客會配合嗎?還是要求服務、設備廠商能模擬出真正的DDoS攻擊做測試或調校，但設備廠商的模擬測試可信嗎?

安碁資安團隊，觀察到了這樣的趨勢也看到了客戶遭遇到的問題，基於提供優質資安服務及解決客戶問題，自主開發了DDoS攻擊演練系統，執行演練工程師由系統主控台指揮部署在全球各地大量的雲端攻擊機，對演練標的發出攻擊封包模擬出真正的DDoS攻擊，演練系統可完全掌握所有攻擊機的執行狀態、攻擊節奏收放自如，演練標的在攻擊可控的狀態下發生癱瘓，停止攻擊後標的自動恢復正常，完全不會發生攻擊造成系統毀損、資料刪除等意外狀況。

實兵演練方式演進趨勢
應用層攻擊 > 應用層攻擊+滿頻攻擊(500Mbps) > 應用層攻擊+滿頻攻擊(1Gbps) > 應用層攻擊+滿頻攻擊(3Gbps) > 應用層攻擊+滿頻攻擊(10Gbps)

駭客DDoS攻擊的變化趨使實兵演練方式朝攻擊流量加大、滿頻應用層混合攻擊的方向演進，攻擊流量加大由數百Mbps一路成長到數十Gbps，這樣的變化考驗ISP對流量處理的能量及速度，但演練方請注意防護合約承諾的清洗量以免當演練流量超過清洗量衍生額外費用。

實兵演練時段
金融業大致區分為銀行業、保險業、證券期貨業三種產業類別，因產業特性不同如交易型態、交易對象、交易時段等，三種產業各自發展出適合自己業務特性的實兵演練時段，大致歸納出以下三種時段：
(一) 銀行業週六、日凌晨時段(設備大保養、系統換版更新等定期作業時段)
(二) 證券期貨業週六、日上下午時段(無證券期貨交易時段)
(三) 保險業平常日下班後時段

實兵演練動機
1. 被主管機管要求舉辦
2. 曾遭受DDoS攻擊
3. 採購DDoS設備做測試評估(POC)
4. 資安評估作業項目
5. 同業介紹
6. 主管機關定期演練
演練動機可分為自主舉辦演練及配合主管機關演練兩種，自主舉辦可規劃出適合自己防護架構的實兵演練，配合主管機關演練採不定期抽測方式未必每年參加。

實兵演練標的選擇
九成以上演練單位選擇正式環境的網站、線路為實兵演練標的，因為駭客為了影響企業業務運作一定會選擇正式環境為攻擊標的，所以為了有效評估單位對DDoS攻擊的防護能力，筆者建議以正式環境為演練標的。標的選擇條件
1. 必須為提供網際網路服務的網站及線路
2. 必須有防護機制

演練報告
關於演練報告這一部分，是企業單位實施演練時其中需求的部分，筆者建議企業演練時所需求的演練報告中報告內容需包含演練期間對演練標的監測數據、攻擊機送出的攻擊數據、滿頻攻擊流量數據、應用層攻擊的連線數據等，演練單位可做為防護機制調整改善的參考，但仍需提醒，報告無法提供防護機制的調整改善建議，因為實兵演練非壓力測試，演練是模擬駭客攻擊以癱瘓標的為目的。

結語
筆者歷經五年實兵演練服務，觀察演練單位表現一年比一年好，尤其是每年都舉辦實兵演練的單位，防護機制由完全沒有，進步至採購流量清洗服務或建置DDoS防護設備，再利用演練驗證流量清洗服務效果及效率，調教優化DDoS防護設備，由演練單位防護能力提升證實了實兵演練的價值，我們相信未來會有更多金融單位會投入實兵演練，使金融業對DDoS防護水準領先其他產業，也使國內金融交易在安全穩定的環境中發展。

安碁資訊團隊介紹
安碁資訊在DDoS實兵演練領域深耕多年，不僅建構完整的DDoS攻擊平台與技術，也是國內實兵演練場次最多、客戶數最多、經驗最豐富的DDoS演練服務廠商。自2015年起迄今已承接超過百場演練從未發生過系統當機、資料刪除、影響交易的狀況，更因為演練品質獲肯定客戶繼續委託或介紹同業給本公司承接演練，演練服務過的產業領域有金融業、電商業、政府機關等產業。

攻防 DDoS 安碁