來勢兇兇的 DDoS：專家分享減輕攻擊之道

作者：F5 Networks

目前全球有超過 34 億互聯網用戶連接著大約 64 億物聯網裝置，使生態系統蓬勃發展，在每秒之間傳遞大量資訊以及交易。Gartner 估計到 2020 年世界將會有 200 億項裝置。物聯網將成為人類社會的重要組成部分，從能源到運輸以及社會公民服務。雖然這一切提供了前所未有的方便，但同時也引起網絡罪犯的覬覦，其犯罪能力亦隨著時間而不斷進化。連結在物聯網世界中的裝置帶來各種便利的新功能，但大眾往往忘記這些裝置正是透過網絡互相連接。從過去原始的蠕蟲和間諜病毒到現在，民眾和企業面臨著更加複雜的威脅，例如網絡間諜活動、勒索軟件、 複雜的惡意軟件和無處不在的分散式阻斷服務 (DDoS) 攻擊。

DDoS 是一種多源網絡攻擊，其目的是針對終端用戶擾亂其網絡的資源或服務。其不斷進化的複雜性能夠造成各種各樣的傷害，例如欺詐以及勒索等。DDoS 攻擊通常透過多重受損的系統或者裝置注入殭屍病毒，利用大規模流量來佔據網絡資源。DDoS 攻擊可以進一步分為以下類型 ︰

體積規模︰ 透過大規模佔領網絡資源，尤其是侵佔處理每秒連接的能力，以此拒絕合法用戶的存取。 以小博大︰旨在利用少量的惡意數據消耗記憶體，大幅降低網絡速度。 運算類︰ 主要消耗 CPU 資源和記憶體。 薄弱環節︰ 旨在發掘漏洞而發動攻擊。 混合型︰ 採用一個或多個不同的 DDoS 攻擊組合。 前所未有的威脅程度

儘管自 2000 年後期以來，DDoS 攻擊一直普遍存在，但攻擊的規模在過去幾年顯著增加。採用新協定的惡意軟件和擴大型的攻擊因為規模巨大而讓大部分機構束手無策，如果缺少基於雲端的 DDoS 清理服務的支援，將無法與之相對抗。根據 2013 年的報導，SpamHaus 服務因為 300 Gbps 的攻擊而癱瘓。而 2014 年，攻擊的規模突破了 400 Gbps 的紀錄。然而，現時世界最大的 DDoS 攻擊為 500 Gbps，發生於 2015 年。隨著頻寬成本越來越低，更多罪犯有足夠經濟能力發動大規模攻擊，預計在未來將會達到 Terabyte 規模。

現代的拒絕服務攻擊不僅阻斷或癱瘓服務，並利用一系列不同的威脅擾亂安全團隊的工作分配，對基建架構造成各種嚴重影響。這種攻擊的頻率、規模以及複雜程度均日漸增加。罪犯會結合以規模、部分飽和及身份驗證為基礎的攻擊類型以及應用程式級別的攻擊，直至發現指揮鏈中最薄弱的環節。這些威脅越來越難以抵禦，亦成為進階持續性滲透攻擊(APT)的前兆。機構發掘並阻止這些威脅的時間快慢是確保服務連續性的關鍵。此外，普遍存在的大面積 DDoS 攻擊加上潛在增長的殭屍網絡，需要混合型 DDoS 策略，結合本地的 WAF 以及雲端的清理服務與之相對抗。

減輕 DDoS 攻擊

當一間企業透過自身本地的 WAF 偵測到 DDoS 攻擊時，將會引導流量至雲端的 DDoS 清理服務，一旦流量清理乾淨，它們將會再傳回企業內部。過程中，該公司的業務繼續正常運作。清洗服務可有效減輕旨在癱瘓服務的 DDoS 攻擊，同時讓公司能夠繼續運作。

這保護企業基礎架構抵抗大規模和持續不斷的攻擊，並同時確保業務不受損傷。這可以透過細化的 DDoS 規則與政策加上用戶身分以及訪問應用程式和數據的資料來實現，這些都由部署環境中自動的數據收集和分析所驅動，包括 SSL 檢測、行為分析、頻寬使用方式、健康監測和其他統計資料。

這可以確保 HTTP/S、SMTP、FTP、DNS 和 SIP 等類型的攻擊可以更迅速得到檢測並透過硬件、上載以及跨雲端的服務快速和準確地減輕攻擊。一旦攻擊流量消退到可掌控的水平，企業服務就可以平穩且即時回歸正常。

在應用程式級別，企業受益針對 layer 7 攻擊的應用程式檢測，以及基於數據流程邏輯的深入應用程式威脅偵測、整合型 HTTP 訊號以及 TCP 請求、交易和伺服器總體健康狀態。全代理解決方案在所有層面提供 DDoS 保護，保護協定（包括使用 SSL 和 TLS 加密）以及停止突發的 DDoS、隨機 HTTP 大規模攻擊、 繞過緩存和其他可以破壞應用程式行為的攻擊。

結論

DDoS 攻擊將繼續增強其複雜性和能力，而眾多透過物聯網相連接的裝置則變相為之帶來增長潛力。混合式緩解方案將受到空前的需求。極度放大和快速擴展的能力讓攻擊非常容易癱瘓機構的營運，使他們無法使用應用程式或存取關鍵數據。這就是安全解決方案必須足夠全面的原因，並需要透過混合環境在網絡處理能力受到攻擊的時候同步減輕 DDoS 攻擊的威脅。