一、DDos解密:最新趨勢分析給你聽
DDos攻擊網站事件相信你一定時有耳聞,能夠在短時間內就讓數十家企業同步遭受襲擊,規模越來越大,技術不斷演進,近年最強勢的一波攻擊規模更是來到每秒7,100萬個請求,打破歷年紀錄,無論是私人企業或是政府單位網站皆曾經歷此類攻擊,受害者人數逐年攀升。
造成如此嚴重後果的原因無非是DDos攻擊難以察覺分辨,以至於企業或是政府的應對措施無法有效施行或是不夠完善。聽至此,是否更好奇DDos攻擊為何或是怎麼運作呢?本段就讓COCloud帶你進一步深入認識DDos。
(一)1分鐘掌握DDos是什麼
DDos(Distributed Denial-of-Service Attack)中文譯為分散式阻斷服務攻擊,主要透過超出負荷的流量或是虛假的請求,占用並耗盡相關資源與堵塞流量路徑,排擠真正的使用者,進而阻斷使用者正常使用各網站服務,持續時間從數小時到數天都有。這些流量或請求可能包含染上惡意程式碼的個人裝置(機器人)、其他IoT(Internet of Things)設備,或是裝置網路(Botnet, 殭屍網路),可以想像成是高速公路上出現大量的車潮導致交通堵塞,讓駕駛(使用者)無法順利抵達目的地。
當以上的殭屍網路架設完畢,發起攻擊者可由遠端操控,瞄準目標伺服器之後湧入其中。由於入門門檻與成本都很低,網路上甚至出現DDos攻擊教學或是各種駭客日常演練的案例,演變成為現今最常使用的惡意攻擊手法之一。根據微軟觀察,在減少網路與監控資源的節慶時刻最常發生DDos攻擊事件,不論是因為政治動機、經濟勒索,或是單純娛樂目的,DDos攻擊可說是防不勝防。
(二)Dos DDos差異為何?
除了DDos,你可能還聽說過所謂的Dos,DDos與Dos(Denial-of-Service Attack)最大的差異在於攻擊的形式及數量,DDos是由Dos進化而來。隨著科技進步,過往只需電腦性能稍高就能輕鬆破解Dos攻擊,現在DDos攻擊手法越來越複雜和難以偵測,演變至今還可能導致與目標電腦使用同區域網路的其他電腦也受到影響,甚至是整個地區的網路都無法正常運作。
- Dos阻斷服務攻擊:一對一,規模小,單個裝置就能操作,大部分不會涉及惡意軟體,起源於線上遊戲的個人爭執或報復行為,通常透過識別攻擊來源、阻擋特定IP即可阻斷攻擊。
- DDos分散式阻斷服務攻擊:多對一,2個或2個以上殭屍網路進行攻擊,來源難以分辨因此防範難度更高,現今常與其他勒索軟體聯合使用,以便大規模地襲擊知名企業及政府單位網站。
不論是DDos還是Dos,最主要的目的都是「干擾使用者正常使用或存取網路服務」。試想當你玩手遊玩得正盡興時,幾百封的訊息通知不斷顯示及跳出,影響遊戲體驗,進而退出遊戲畫面,這就是DDos欲達成的效果。
(三)DDos攻擊趨勢4點要留意
隨著技術演進,DDos攻擊手法也出現了巨量化、產業化的現象,並且有計畫且系統性地進行。以下COCloud分享4點DDos攻擊走向,讓你更深入了解此類攻擊的未來發展,以及提高資安防護重要性的意識:
- 巨流量攻擊持續進行:TB級強度、每秒數億個封包的DDos攻擊依然持續在發生,並且規模有逐漸成長的趨勢,未來此類巨大型攻擊會越來越常見。攻擊者利用由虛擬私人伺服器(Virtual Private Server, VPS)組成的高效能殭屍網路,將攻擊的效果增強達最多5,000倍;另一方面,同時也有觀察到用作攻擊的流量不少是來自雲端,甚至超出以往利用私人網路服務供應商(Internet Service Provider, ISP)的方式,這些源自雲端可任意擴充的流量讓攻勢規模更是可觀。
- 透過API進行資安攻擊:平板、智慧型手機的使用愈趨普及,應用程式介面(Application Programming Interface, API)的需求也隨之增加。也因為其中不安全的API串接、認證與傳輸流程、資源錯置等問題,導致此類潛在資安漏洞成為DDos攻擊者的目標。
- 多以勒索為目的的攻擊:攻擊者的目標從過往單純的「癱瘓服務」轉變為「取得報酬」,讓勒索型DDos攻擊成為主流。藉由此類方式威脅受害組織,要求像是比特幣或是其他加密貨幣形式的贖金,攻擊者通常在初期會持續發動小型的DDos攻擊,以此證明其攻擊預告的可信度。此外,政治因素也日漸成為發動此類攻擊的動機。
- 複雜多向量的攻擊形式:利用多種動態攻擊形式,讓合法流量和惡意流量的區別變得更加困難。像是利用基於IP的語音(Voice over Internet Protocol, VoIP),這類語音通話技術可透過網際網路進行通訊,讓攻擊者有機可乘假裝發起呼叫請求,此時就會利用針對第7層級與第3和第4層級的多重攻擊手段,令受害者難以抵禦。
二、DDos攻擊有徵兆?3類DDos攻擊手法一定要知道
雖然DDos相當難察覺,其實還是有幾個跡象判別你是不是正在遭受DDos攻擊!COCloud在此不藏私,分享幾個可以診斷的症狀給你,順道與你一起了解DDos攻擊手法究竟有哪些。
(一)從OSI模型開始了解
若是想要預防DDos攻擊,就應該先從DDos攻擊原理開始了解;如果想要掌握DDos攻擊原理,最適合的方式就是先認識制定網路標準參考的概念性架構,也就是OSI模型(Open System Interconnection Reference Model)。
OSI模型將網路連線通訊分成以下7個層面(Layers):
| # | 層面 | 型態 | 工作內容 | DDos 攻擊方式 |
|---|---|---|---|---|
| 應用程式 | 資料 | 應用程式網路程序 | HTTP泛洪 | |
| 展示 | 資料 | 資料展示和加密 | SSL濫用 | |
| 工作階段 | 資料 | 中間主機通訊 | 不適用 | |
| 傳輸 | 區段 | 端對端連線和可靠性 | SYN泛洪 | |
| 網路 | 封包 | 路徑判定和邏輯定址 | UDP反射攻擊 | |
| 資料連結 | 框架 | 實體定址 | 不適用 | |
| 實體 | 位元 | 媒體、訊號和二進位傳輸 | 不適用 |
(二)3大DDos攻擊類型
由上面表格我們可以得出並非每個網路層級都會適用DDos的攻擊,然而整個資料傳輸是一項連動的過程,只要其中的一個層面受到干擾,發出請求與接收回應的流程就無法順利完成。根據不同的攻擊原理還可細分為頻寬消耗、資源消耗、漏洞觸發3類,前2者是透過大量請求占用網路與器材資源,導致網路以及系統癱瘓;而後者則是觸發系統漏洞使其崩潰無法使用。近年觀察到的DDos攻擊多為複合式,以達最強勁的攻擊效果,也讓受害者不易防禦與逃脫。
這裡我們就以上述所提的層級做分類,介紹幾個常見的DDos攻擊手法:
- 應用程式層攻擊
第6及第7層級皆屬於這個範圍,一般來說此處受攻擊的次數較少、但更為複雜,且較難防禦,主要是針對特定重點部位阻斷服務,常見的手法有【HTTP泛洪攻擊】。此處的HTTP是網際網路請求的基礎,常用於載入網頁或透過網際網路傳送表單內容,HTTP洪水攻擊如同不斷點擊網頁的重新整理,當HTTP的要求數量超過目標伺服器可以負荷的程度,就會導致網站沒辦法正常使用,屬於一種資源消耗。
利用第3或第4層級的弱點,令目標無法存取因而癱瘓,又稱為通訊協定攻擊、狀態耗盡攻擊,此處我們以【SYN泛洪攻擊】為例。SYN攻擊的原理像是一般使用者有下單的需求,但此時攻擊者同步發出持續且大量的購買請求讓一樣的伺服器因應,等到伺服器回應發貨之後,卻一直沒有等到攻擊者的確認,只能一直回應不斷出現的攻擊者的請求,因而忽略了一般使用者,造成排擠的情形發生,或是過負荷導致服務中斷,也是資源耗盡的一種。
- 巨流量攻擊
為最常見的DDos攻擊形式,主要利用殭屍網路消耗資料傳輸間的頻寬使用,屬於其中一種頻寬消耗的手法,可用【DNS放大攻擊】說明。DNS為「網域名稱系統」,攻擊者首先向某個公共DNS伺服器發送帶有使用者IP位址的請求,隨後偽造可以導致大量資料傳輸的虛假請求放大回應結果,並將已被放大的回應傳回給受害者,這時使用者所收到的回覆就會堵塞網路可用的頻寬,服務因此阻斷。
(三)教你如何偵測DDos攻擊
上述DDos攻擊影響範圍可能非常廣泛卻不容易被察覺,是因為DDos並非明顯帶有惡意的攻擊,而是攻擊者操控大量電腦的同時,以正常的連線請求包裝。不過若是有蛛絲馬跡顯示可能遭受攻擊,便可進一步深入調查。以下COCloud彙整了美國國土安全部旗下的美國電腦緊急應變小組(US-CERT)與實務上的可能現象,如果有發生以下情形,都可以多加留意喔!
- 特定網站無法存取
- 無法存取任何網站
- 網路連線經常斷開
- 不自然的流量爆增
- 垃圾郵件數量急劇增加
- 打開檔案或存取網站時異常緩慢
- 伺服器容易斷線、卡頓、存取延遲
- 來自單個IP位置或周圍的可疑流量
- 流量曲線異常,像是非使用時段暴漲,或不自然的模式(例如:每5分鐘就會激增)
- 多數流量來自擁有相同特徵(例如:設備類型、地理位置、Web瀏覽器版本)的用戶
發現自己在使用網路時的確有以上表面的徵兆,想要進一步深入分析嗎?或許可以從「請求曲線」、「流量來源」或是「回應狀態」略知端倪,下列4個要點可能有助於你分析第7層級是否遭到侵略:
- 排名前5的域名:域名(Domain Name)是IP位址的代稱,可從特定時間區間觀察發出請求的前5個域名當中與過往數值相比,是否有不尋常的請求數量;或是善用請求來源的曲線圖,看看有無異常高峰。
- 排名前3的網址:將前述的域名與網址(Uniform Resource Locator, URL)相互對比,以此判斷有沒有值得留意或奇怪之處。
- 發出請求之國家分布:若是發出請求的國家來自一個不知名的島國,又或者是異常的流量多數來自同一個國家,也可以考慮是不是應該阻擋特定地區的請求。
- HTTP狀態碼回應情形:HTTP狀態碼(HTTP Status Code)是伺服器針對瀏覽器的請求給出三位數代碼的回應。如果其中回應耗費的時間較長,可觀察與平均秒數的差異有無過大;或是從趨勢曲線圖表觀察各回應事件的發生樣態。
雖然不是說擁有上面特徵就代表一定是遭受DDos攻擊,只是可由此方向深入調查,說不定會有令人意外的發現。不論是DDos攻擊真的來襲,抑或是單純自身網路效能不好,都歡迎與COCloud聯繫,根據個別需求詢問CDN加速服務或是DDos防禦產品喔!
三、DDos防禦怎麼做?最佳解方告訴你!
看完DDos定義、類型和原理,難道真的毫無方法可以防堵DDos攻擊?別擔心,世界上並沒有萬無一失的手段,下面就由COCloud來教你如何有效防範DDos攻擊的途徑!
(一)DDos預防5方法
通常駭客不會只使用一種DDos攻擊模式,而是多管齊下,例如利用HTTP泛洪攻擊第7層的同時瞄準第4層級進行資源消耗。因此個別設定多層式的防護機制會是較理想的做法。其實針對緩解DDos攻擊的方案相當多樣,這裡COCloud簡單介紹5個常見解決方式,讓大家有個參考的依據:
- 引至黑洞路由
額外建置1個如空介面或是不存在的IP位址路線,並引導資料傳輸到此類「黑洞」存放,幾乎是所有DDos攻擊發生時都可以使用的最有效應對方式。只是如果設定不當或是直接不篩選流量,則很可能正常使用者的流量也被過濾傳送至無效路徑,同樣導致了網路無法正常使用的結果。
- 擴大網路頻寬
前面我們曾提及其中1種攻擊方式為「頻寬消耗」,提升網路頻寬或許可以達到暫時的緩解效果,相對來說執行簡易但無法達到完全根除。因此就表面來看,擴充頻寬的方式僅僅是將DDos攻擊的門檻稍微提高,極為容易就被更複雜或進步的技術攻破。
CDN是一組多個分散部署於各地的中繼伺服器,除了能提供網際網路內容的快速交付、減緩網路塞車的現象發生之外,還能夠分散DDos使用過多流量傳輸的手法,甚至在CDN伺服器中進行進一步的安全性設置,有效辨別異常請求;CDN也能隱藏源伺服器位置,讓攻擊者無從得知IP或網域,拖延攻擊進入本體的時間,爭取應對餘裕、降低DDos攻擊力度,可說是抵禦DDos的最佳解方之一。
如有任何與CDN建置的相關需求,也歡迎和COCloud聯繫!
- DDos防火牆
防火牆(Web Application Firewall, WAF)可針對「資源消耗」類型攻擊的第7層應對,經由分析數據包內容達成防禦目的。在其內設定流量來源的篩選限制,像是過濾每個IP位置的最大請求數量,防止遭受到單一來源流量的攻擊。只是使用防火牆要留心的是,部分正常請求也有可能因為某些因素而被拒之門外,且惡意流量也有可能在防火牆設置完成前通過,因此越早準備建置是越安全的喔!
- 流量清洗服務
將所有流量率先導入有清洗能力與監控的網路架構中,對流量進行精準監控,分離正常與惡意流量,並將安全無虞的正常流量導回網站路徑,其餘可疑來源則封鎖或是阻擋在外。
針對此類方式,COCloud提供最準確的清洗服務,成功率達99.995%,讓你可以安心將流量過濾這件事交給COCloud。
(二)DDos防禦實務這樣準備!
針對DDos攻擊我們有了一些解決辦法,事先大方向的預防措施又該如何準備呢?如果下列這幾點平日就有好好落實,DDos攻擊來襲也不怕:
- 定期進行資安檢查
資安工具包含我們上述提及的防火牆、自家網站與應用程式弱點掃描、網頁安全性偵測等,隨著科技快速變動,DDos攻擊手法也日新月異逐漸進步,藉由定期的檢測結果尋求改善與優化,才能有效降低資安風險。
- 網站備援時時注意
不少DDos攻擊的發生主要是為了趁著企業或政府手忙腳亂之際,取得各項機密資料,用於要求贖金或是其他惡意用途。因此除了重要資料應該備援以外,也應留意其中的加密機制,避免機密資料外洩,導致更大的損失。
- 導入攻擊防護機制
隨著DDos攻擊發生的頻率逐年上升,難保自家不是下一個受害者。因此可考慮設置專門防堵DDos攻擊的防護機制,交由像是COCloud的雲端整合服務專家,不僅能夠提高抵禦DDos攻擊的能力,企業也可以花更多心思在主要業務上。
- 擬定實戰回應策略
內部教育與資訊安全的宣導可說是最關鍵的防禦工具,應定期更新組內技能與實踐,並事先分配各個職員在攻擊發生時的角色與責任,才能達到最佳的DDos防禦效果。
四、DDos解決方法首選|COCloud為您量身定做雲端解決方案
還是對於被DDos怎麼辦感到擔憂,或是不想要花那麼多心思在時時刻刻提心吊膽有沒有人對你發動DDos攻擊?如果有以上想法,就放心將DDos防禦這件事交給COCloud!由COCloud協助你制定最完善與適配的方案,對於DDos防禦這件事,我們有信心:
- 全方位解決方案:不論應用程式部署於公有雲、混合雲,或是多雲端架構,COCloud皆可協助你DDos或其他網路類型攻擊,提供最完整第3層、第4層、第7層的保護
- 高性價比低成本:大流量彈性按天計費,防護能力按次購買等多種防護方案,多情境支持,依據實際需求,配置最高性價比防護方案
- 優秀的清洗能力:實現實時防護,清洗成功率達99.995%,讓相關業務人員輕鬆面對DDos複雜的攻擊,保障業務平穩運行
- AI智能防護策略:以大數據運算和機器學習為基礎,建構AI智能Anti-DDos系統,自動偵測及調適,減輕大量DDos攻擊
- 全球性防護節點:綜合7大合作原廠全球布局,提供T級防禦能力,為用戶全球化業務布局提供最優質近源防護
- 攻擊之數據分析:提供實時精準流量報表與攻擊詳情,讓用戶隨時掌握防護資源與流量曲線
關於DDos不知道你是不是有進一步的認識了呢?對於自家網站是否遭受DDos攻擊有疑慮?那就快與COCloud聯繫,由COCloud協助你解決DDos的相關問題,以及了解更多雲端技術能帶來的優勢,COCloud就是企業上雲路途中,最佳的商業夥伴!
