企业中心> 服务器> 新闻

Arbor金大刚:预防胜于治疗 倡导多层次DDoS防御机制

PChome | 编辑:李俊阳
原创
2017-09-25 18:27:48

【PChome概述】​当前 DDOS 攻击层出不穷,它虽然是网络空间中一种最为简单粗暴的攻击方式,但却是让全球大型服务提供商谈虎色变的话题。

当前 DDos 攻击层出不穷,它虽然是网络空间中一种最为简单粗暴的攻击方式,但却是让全球大型服务提供商谈虎色变的话题。为企业应对未来威胁,助力行业发展,特此列举几个 2016 年全年中最为严重的 DDoS 攻击事件以供参考分析。

微信图片_20170925184549.jpg

Arbor Networks大中华区总经理 金大刚

首当其中的是暴雪DDoS攻击事件。2016年4月,Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次DDoS攻击,8月三起,另一起在9月。攻击不仅导致战网服务器离线,平台多款游戏均受到影响,包括《守望先锋》,《魔兽世界》、《暗黑3》以及《炉石传说》等,甚至连主机平台的玩家也遇到了登陆困难的问题。

紧接着是Mirai僵尸网络攻击KrebsonSecurity事件。2016年9月20日,安全研究机构 KrebsonSecurity遭遇Mirai攻击,当时被认为是有史以来最大的一次网络攻击之一。然而没过多久,法国主机服务供应商OVH也遭到了两次攻击,罪魁祸首同为Mirai。KrebsonSecurity被攻击时流量达到了665GB,而OVH被攻击时总流量则超过了1TB。Mirai是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成,8月开始构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。而在美国则造成大半个互联网下线事件。

2016年10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务。此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时0访问的局面。而我国的 DDoS 虽未有上诉事件那么引人注目,实际上多家机构也遭受到类似的影响。国人历来对 DDoS 攻击事件采取保守保密处理机制,并不会对外大力宣扬,基本上都倾向于极力“封锁消息”态度,据业内人士爆料,从 10 年闻名的上海出租车牌照拍卖系统遭受 DDoS,到中越网络大战,以及南方几个电信大省 DNS 系统被 DDoS 攻击严重干扰,国人对于 DDoS 攻击谈虎色变。近年来,即便都在加强对 DDoS 防御的投入,但国内一些大型著名的金融机构亦受到 DDoS 攻击的伤害,在行业内的攻防演习每年都搞,就曾出现过南方某知名交易所网站被模拟打卦,双 11 某银行信用卡交易系统瘫痪几个小时,银联下属某机构遭受 https 类型的 DDoS 攻击等等。

DDoS 趋势出现变化 更加令人猝不及防

随着攻击型态演变,再搭配这波 DDoS 事件显露的其他征兆,即可据以分析今后 DDoS攻击趋势。趋势之一是「攻击量不断攀升」,早年黑客动用数十 Mbps、甚至 1 Gbps 攻 击流量,便能发挥强大杀伤力,但现今用户防御实力升级,黑客也顺势加码进击,因而在 2013 年创造史上最大 300Gbps 攻击流量,2014 年更上层楼达到 500Gbps,未来再破记录的机率不低。

趋势之二是「攻击复杂度愈来愈高」,如前所述,黑客首次利用单一事件混搭多种攻击型态,例如先发动状态耗尽攻击,接着发动流量攻击,总之不管排列组合如何变化,都足以营造猝不及防之威胁性。

趋势之三则是「攻击频率增加」。以往一年若出现 2~3 次 DDoS 攻击,便颇具威胁效果,但如今可能一季时间,就发生高于过去一年总量的攻击事件,特别是银行,从前从未被 DDoS 攻击者染指,但从今年第二季开始,发生于该产业的攻击事件却层出不穷,甚至出现一家家行业轮流挨打的场景,教人直觉事态不妙。

面对急速升高的 DDoS 威胁,企业或机构如何应对?

来自全球各大权威性研究机构的专业建议,其实已点亮指引明灯,只因为不管是 Gartner、IDC、Frost & Sullivan、Ovum 或 Infonetics,皆不约而同倡议「Layered DDoS Attack Protection」概念,即是藉由多层次防御手段,达到阻挡 DDoS 攻击的效果。细究各大研究机构的见解,可归纳出多层次防御机制理应包含的两个关键组件,其一是驻地端防护设备,另一则是云端清洗服务,二者都很重要且缺一不可。

微信图片_20170925184556.jpg

不少厂商打着抗御 DDoS 的旗号,推出琳琅满目的解决方案,归纳个中处理 DDoS 攻击 流量的手段,大致不脱几个主要「门派」。首先是内容传递网络(CDN)。许多企业或机构对外提供联机服务的主要门户,无非就是 网站,所以有部份用户认为,只要把与端口 80 或 443 相关的 Web 服务置于第三方 CDN 平台,平时 CDN 服务供货商会透过 Proxy 协助响应外来请求,确保联机服务运作如昔,而在遭受 DDoS 攻击时,CDN 服务商将出手救援,巧妙利用「转进」方式,让用户的 Web 服务转换跑道至正常主机运行,维持服务不中断。其次是提供流量清洗服务的区域型电信运营商,标榜就近解决大流量攻击威胁。第三门派是国际流量清洗中心,因为具备世界级规模,所以能够应付的攻击流量,自然远大过区域型电信运营商。最后一种门派,是防火墙、入侵防御系统(IPS)、网页应用程序防火墙(WAF)或广域网负载均衡器(WAN Link Load Balancer)等设备供货商,纷纷利用既有产品基础,增添 DDoS 防护之附加功能。看来防御实力各擅所长、百花争鸣,令人眼花撩乱。

各大 DDoS 防护门派 全都潜藏先天弱点

只不过,上述各门派都有滞碍难解的弱点;换言之,企业或机构若一味倚赖这些产品或服务,恐将徒留防御缝隙,让黑客有机可乘。针对 CDN,算是蕴藏最多「迷思」的一环。

微信图片_20170925184553.jpg

理由之一,运用转进方式闪避 DDoS 侵袭,对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用;因为 CDN 与后台主机的联机信道中,会充斥大量对话(Session),尽管大多是正常的交易请求,但也不乏恶意流量鱼目混珠,此时谁能挡得下这些恶意流量?答案是没有。

理由之二,只要是金融联机服务,都涉及 SSL 加解密,所以欲将服务交付予第三方 CDN 平台执行,必须一并递交私钥,明显有违金融法规,因此对于金融机构,CDN 这条路行不通。

理由之三,CDN 业者仅能协助提供 HTTP 或 HTTPS 等相关服务,但企业的关键应用,绝不仅止于此这些类型,惟一旦跳脱 HTTP 或 HTTPS,CDN 业者便爱莫能助;而现今愈多 黑客,都锁定目标对象的真实 IP 发动攻击,并非凭借 DNS,如此黑客即可直接攻进企业家门。由此可见,不论非属 HTTP(S)服务、或遭黑客锁定真实IP,都让 CDN 业者鞭 长莫及,所以只要被打,幸存机会就不大。

至于区域性电信运营商,由于无法主动侦测应用层攻击、或状态耗损攻击,再加上即使勉可过滤攻击流量,但因容量有限,只要容量用尽便无法执行清洗,恐导致后续正常封包,也将被丢弃在「黑洞」之中。

而国际流量清洗中心皆利用海外机房执行清洗任务,迫使用户必须绕一大段路才能接 受过滤服务,难免造成延迟(Latency),损及服务质量;且由于国际流量清洗服务多建 构在「On Demand」基础,而非「Always On」性质,所以用户把流量导向清洗中心的 过程,需历经通报时间、路由收敛时间,及清洗中心启动过滤的时间,合计形成约 0.5~1 个小时空窗期,迫使用户必须中断服务。

谈到防火墙或 IPS 等设备商提供的附加防御功能,则清一色陷入相同弱点,即是背负「最大连接数限制」这个先天宿命,所以黑客只要针对此弱点穷追猛打,仅需 1~2 分钟,便可能瘫痪设备功能,使 DDoS 防护功能消失不见。

善用驻地「滤水器」 发挥预防疾病妙效

看到这里,不免让人忧心,多种防御机制都出了问题,看似没有任何一项可提供完整保护,该如何是好?用户必须承认,仅靠单一方案不足以解决问题,所以必须借重多层次防御架构,至于个中关键组件的甄选标准,实有必要跳脱绝大多数安全方案(包含上述提及所有产品或服务)所聚焦的「治疗」,转而思考如何藉由适当组件的组合运用,及早发挥「预防」效果,毕竟预防重于治疗,是恒古不变的真理。

若以风灾过后的水质问题作为比喻,解决问题之道,即是先在家中装设滤水器,滤除杂质、重金属等有害人体健康的污染物,减少患疾病的机率,但如果无法单靠滤水器 有效过滤,便需进入第二层防护机制,委托自来水厂从源头进行过滤。

微信图片_20170925184719.jpg

滤水器与自来水厂,其关系好比驻地端防护设备、云端清洗服务。以 DDoS 防御方案世界领导厂商 Arbor Networks 为例,屡次见证用户陷入相同迷思,一般客户认为只要接受云端清洗,便可滤除有害流量,怎料一经架设 Arbor 的 Pravail Availability Protection System(以下简称 APS )设备,仍可从云端清洗过后的「干净」流量,滤出 攻击封包,其余约 1~3%看似微小流量,更潜藏了夹带 Port Scan 或 Host Scan 等任务的「探子马」,不断刺探目标对象的漏洞,藉以描绘日后攻击脚本,危害性甚至高于 SYN Flood,而这些「污染物」,都被 Arbor 设备实时拦阻。 在此前提下,不论如同 SYN Flood 具有立即侵害性的病菌,或是伺机在人体器官潜伏扩散的有毒探子马,都无法造成显著危害,所以对用户而言,便可靠着此一「预防」 机制,让大事化小、小事变无,不会任令小感冒演变成重感冒、肺炎甚至肺癌。如果 尝试入侵的菌种数量过多,超越驻地设备的过滤容量,此时才动用「健保」机制,意即结合后端 Arbor Cloud 云端清洗服务,获取必要的医疗资源,藉由中央过滤而拦阻这些有害物质。

有效的多层次防御 应具备六大特征

综上所述,面对 DDoS 攻击,有效的多层次防御机制,理当具备六大特征。第一,驻地端防护设备必须 24 小时全天候主动侦测各类型 DDoS 攻击,包括流量攻击、状态耗尽攻击与应用层攻击。

第二,驻地端防护设备只要侦测到攻击流量,皆可立即阻档。

第三,如同前述 Arbor 设备的实例,必须自动挡下探子马,藉此推迟黑客刺探军情的频率,以绝后患。

第四,为了避免出现如同防火墙等设备附加功能的弱点,因此用户务必慎选「无状态表」架构(Stateless Architecture)的防护设备,以免黑客而耗尽连接数量上限而攻 击得逞,如同 APS 即是典型例子。

第五,用户宜跳脱设备规格的军事竞赛思维,不需过度计较其吞吐流量多大、操作界面多强,而应关注其是否深具智慧,智慧的高低,取决于设备原厂是否有能力搜集大量资料,藉由云端大数据分析萃取攻击样本,继而以最快速度产生攻击特征码,终至回馈到前端设备;同样以 Arbor 为例,其拥有全球 95%一线电信运营商客户,透过全世界 300 多电信的合运营商合作关系,Arbor 的研究中心可以实时接收这些电信运营商提供的样本流量信息,因此 Arbor 掌握了全球逾四成因特网实时流量信息,拥有最大机会,比竞争对手更快察觉新型攻击样态,从而实时建立指纹知识库(Signature Database),协助用户得以及时侦测并阻档顽强的恶意攻击。

第六,顾名思义,多层次防御理应蕴含一个以上层次,也就是不宜仅靠驻地设备独挑大梁,当 APS 遭遇难以自力排除的粗鲁的攻击流量,便应在第一时间自动向云端清洗中心主动发送求救讯号,便于远程流量清洗中心缩短执行路由收敛等前置暖身程序,便可及时展开流量过滤;而 Arbor Cloud 与 APS 之间,即具备这般紧密互动关系,此外环顾各大云端清洗中心,亦仰赖 Arbor 设备执行过滤任务,相形之下,Arbor 彷佛驾驭自己建造的车,更懂得如何让运作效能发挥到淋漓尽致。

不可否认,多数用户都倾向采用便宜产品,或是仅想解决当下危难,秉承「头痛医头、脚痛医脚」原则而采用片段式解决方案,未能通盘思索 DDoS 防护之道,以致让防御城墙徒留诸多破口;专家建议,欲求有效对抗 DDoS,需事先拟妥完整 DDoS 防护政策,即使无法一步到位,亦可依循既定政策分阶段布建防御工事,切忌便宜行事。


下载PChome官方App,查看更多精彩内容

网友评论

每日精选

新商标注册 富士或将迈向新领域

2017-08-30

「壹周新闻汇」无反为主 秋季新品初见端倪

2017-08-20

拍人要美 闪光必备 佳能口闪光灯推荐

2017-08-19

开学后如何力压闺蜜 做不一样的妳

2017-08-23

应用推荐

热搜标签