DDoS大戰II：網絡反擊戰

作者：Tata Communications 數據中心服務環球產品管理副總裁Srini CR

在聲名狼藉的網絡罪犯最能賺大錢的時期，網絡罪犯向企業苛索贖金，威脅若不就犯則將以極具破壞力的流量在生意旺季發動長達數天、甚至數週的攻擊。

DDoS攻擊嚴格而言並不可與包含潛入網絡元素的「駭入」混淆，而是純粹以堵塞網絡的方式令系統崩壞。而DDoS攻擊與駭入結合同步進行則可造成毀滅性的效果。

成功的DDoS攻擊能夠令網絡營運商無力保護其系統，再轉化為不堪一擊的全方位網絡漏洞。面對DDoS攻擊的威脅，最近便有多間企業繳付大量比特幣或滿足其他方式的敲詐勒索要求，以換取一夕安寧的案例。

有見DDoS攻擊的性質，最佳的防禦就是攻擊。與其守株待兔，等待攻擊者襲擊網絡，倒不如仰賴安全系統的效能抵抗。最佳的方案就是掌握攻擊者的動向，並實時因勢利導、迎刃而解。這個過程稱為「淨化」。

淨化中心專責應對沉重的流量負荷，緩解或化解攻擊。淨化中心確保網絡層能作第一線防衛，而入埠流量均經過實時監察及淨化。「乾淨流量」會路由至網絡，而具潛在威脅的流量則被導向至源頭。

此方針意味著合法的流量能順利過渡，而惡意攻擊的流量則會在源頭被緩解，並不會接近目標網絡，同時亦未會對網絡頻寬造成任何衝擊。

Tata Communications在全球設有15個淨化中心。熟練的工程師緊密監察接近「殭屍網絡」及DDoS熱圖的攻擊。所有攻擊均在無關痛癢，未有造成重大影響前化解。當然，淨化只是防線的第一環。

IT管理人員同時會監察代理服務、網絡及網絡應用程式、虛擬私有網絡，並守護虛擬閘道器以確保網絡免受攻擊。以上為一個理想的全面託管保安服務應有一部份。而此亦能以雲端交付的保安服務形式部署，從而為IT管理人員帶來更高靈活性，並可彈性地因應需要與財政預算，選擇合適的服務及收費模式。

以各式各樣基於雲端解決方案的形式把保安作為一項託管服務，例如分散式阻斷服務攻擊即服務(Distributed Denial of Service as a Service, DDoSaaS)、防火牆即服務 (Firewall as a Service, FwaaS)、虛擬私有網絡即服務 (Virtual Private Network as a Service, VPNaaS)，以及安全資訊及事故管理即服務 (Security Information and Event Management as a Service, SIEMaaS)等，均可為企業帶來數之不盡的效益。

由頂尖專家組成的團隊主動管理所有層面的安全性，可讓IT管理人員無需太顧慮網絡的保安，亦可讓終端用戶能安心使用其網絡上的任何服務。託管保安服務可為IT管理人員提供單一聯絡點，滿足一切安全需要，並且可省卻受多份合約掣肘，在解決問題時亦毋須多番轉折、四處張羅不同的供應商。

總括而言，對抗DDoS的最佳方案是遵從大拇指規則，實屬經驗之談。隨著互聯網盛行，各式各樣網絡攻擊亦大行其道，企業應為受DDoS攻擊做好準備，而一系列防範措施是箇中關鍵。保護網絡就如日常業務的營運方式一樣，需恆常及持久地了解下一波網絡上的DDoS浪潮，在業務受到攻擊前採取相應措施。

作者：Tata Communications 數據中心服務環球產品管理副總裁Srini CR