老闆 我們的網站又掛了——漫談 DDoS 攻擊

　　本文作者 John Ellis 為 Akamai 亞太暨日本地區企業安全總監。

　　DDoS 工具套組、DDoS-for-hire、比特幣、匿名郵件、TOR 連線、及形形色色的攻擊動機，皆讓網路攻擊行動之於個人、駭客組織、網路罪犯都變得更加容易。最新的資料顯示，DDoS 的攻擊頻率、發展成熟度、及規模都呈現成長的趨勢。根據 Prolexic 發表的 2014 年第一季全球 DDoS 攻擊報告，DDoS 的攻擊量與去年同期相比呈現 47% 的成長，而攻擊目標所處的產業也變得比以前更為廣泛。這些資料充分印證了 DDoS 攻擊如今已變得更有效，併成為現今攻擊者囊中寶的事實。

　進入網路世界

　　轉眼間，網際網路已對人類的生活產生前所未有的衝擊，舉凡在學術研究、多元整合、商務、甚至是戰爭，也都因網際網路的出現，而擴充出更多應用空間。網際網路現今的發展與它最原始的樣貌，也隨著產業的創新與演進而一點一滴的改頭換面了。在商業世界中，網路內容重新定義了企業的運作模式，除了電子商務的應用，企業能透過網站與消費者、合作伙伴、供應商進行互動；也逐漸轉移關鍵的專桉流程至網際網路，以獲得更有效的資源分配與成本效益。

　　網際網路的生活應用涵蓋了穿戴式科技、管理電力與水利的整合控制系統、金融體系、音樂串流、行動連網、社群媒體等各大生活面向。上述這些服務與系統運作皆擁有連網的特質，現實生活中，除了我們也不再需要「上網」，而是隨時處於「連網」狀態，網路攻擊亦然。

　分散式阻斷服務（DDoS）——破壞性的武器

　　DDoS 並非網路攻擊領域中的新名詞，自 1990 年代晚期至 2000 年代早期以來，DDoS 被充分運用在干擾商業組織與政府網站，然而，早期的 DDoS 攻擊會因規模與成熟度不足而成功阻擋在前端、抑或有效地被網際網路服務供應商（ISP）攔截。

　　隨著市場不斷推出新型防禦機制，網路攻擊也不惶多讓，具備突破防禦機制更高的本事。攻擊的本質是佔據實際體積的，攻擊方式包括了塞爆連線攻擊目標的頻寬、以及鎖定協定或應用程式內在漏洞，進而癱瘓了網站服務與登入管道，令網路使用者不得其門而入。

　舊潮流再次成為新趨勢——反射與放大 UDP 攻擊

　　在時尚產業中，舊潮流總有機會再次成為一股新趨勢，使用者資料包通訊協定（UDP）最美妙之處，在於屬於「（fire and forget）」型別的通訊協定，其設計主要是針對效率與速度的需求，然缺點則是較缺乏安全與可靠的特性，不過憑著網路通訊最基本的可靠性，它依然成為許多核心網路服務如 DNS（網域名稱系統）與 NTP（網路時間協定）較偏好的協定型別。

　我非我——欺騙封包

　　建於 UDP 的通訊協定如 DNS 與 NTP，不必與現存的 TPC 第四層傳輸層進行三向溝通便能做出迴應，不過這也意味著它將盲目地對任何 IP 位址發出的要求做出迴應。不幸的是，這種模式由於容易被偽造，隨之出現的第一部分問題是攻擊者利用受害者的 IP 位址當作其請求 IP 位址的結果。

　當我問了一個簡單的小問題，竟得到一個超大的答案——放大效應

　　放大攻擊的第二部分是由服務構成的要求型別，舉例來說，我們可將它想像為一個「生命問題」，攻擊者在提出「生命的意義為何？」這個簡單問題後，會獲得一個複雜難懂的答案。除非我們在說的是《銀河便車指南》，那麼答案當然就是 42。1

　　所以，當攻擊者假受害者的名義，向為數眾多的一般人提出「生命的意義為何？」之後，便會隨之產生排山倒海而來的複雜答案，進而讓受害者的系統、網路、甚至是 ISP 因此癱瘓，而這些千篇一律的答案即為「阻斷服務」。

　我的防火牆可與你抗衡——傳統的方法（legacy approach）

　　第一個對策是讓防火牆具備解決問題的能力。普遍而言，這些龐大且成熟的攻擊會癱瘓資料中心的網路連結，或是以應用程式架構的攻擊型別，偽造成合法網站再加以發動攻擊。

　　舉例來說，熱門網站流量突然暴增的情況，與攻擊者對同一個內容每秒提出上千次的要求，兩者的差別為何？你的防火牆在面對相似的情況時，是否具備足以辨識要求來源合法與否的能力？當我們接受了過多所謂「合法」的要求時，網路連結被塞爆的第一類問題也隨之出現了。

　我的 ISP 上有你的號碼——傳統的方法（legacy approach）

　　讓我們接著談談 ISP 的問題，ISP 的挑戰在於有些攻擊規模壯大到差點超過 400Gbps，此外，大型企業傾向擁有多個 ISP，以作為備援（Redundancy）及負載平衡（Load Balancing）之用途。這種作法除了需要由 ISP 提供「以牙還牙」的緩解能力，也需要 IT 部門勞師動眾，整合各個 ISP 以確保緩解方案會持續被付諸執行。

　為什麼有人想對我發動攻擊？

　　現在就讓我們直搗問題的核心：「為什麼會有人想對我的企業發動 DDoS 攻擊？」 答案其實相當廣泛，必須依各企業不同的本質而定。對政府機構而言，受攻擊的原因可能與政策制定或是代表的國家有關；而對電子商務零售商或金融機構而言，則有可能與錢財勒索、或特定的代表人物相關。

　　事實上，現今的攻擊動機形形色色，且幾乎任何人都能對其他網站發動攻擊，如此普遍的程度意味著：一旦有動機產生，人人都有發動攻擊的機會。

　該投降嗎？ 我又該怎麼做？ 解決方案

　　近期的 IDG 研究服務調查顯示，現今絕大多數的科技與安全經理人，對網站安全抱持高度顧慮。這份調查將網站安全定義為能保護網站伺服器與使用者，使其免於與資料及系統妥協、及遭受阻斷服務的科技與程式，例子包括網站應用程式的防火牆、DDoS 緩解、及使用者認證。在這份調查中，受訪者普遍認為網站安全與電子郵件或 FTP 安全同等重要（佔 76%），或認為網站安全更具重要性（佔 14%）。這些由企業 IT 解決的主要問題，需要投入 79% 的時間；其中與安全性相關的問題僅佔 50% 的時間。當然，網站安全並非本次受訪者唯一的顧慮，網站可取得性也是受訪者常態的答案，緊接著還包括惡意軟體、資料損失、及惡意破壞等情況。

　　對於想解決 DDoS 攻擊問題的組織，我的第一個建議為：仔細思考當企業或組織淪為 DDoS 攻擊目標，而陷入被癱瘓的危機時，我們應採取哪些因應與恢復策略？是否需主動與媒體互動？是否有潛在的金融衝擊？能忍受處於線下情況的最大時數為何？如何迴應股東、利害關係人、及合作伙伴？是否能透過替代方案維持業務運作？該如何進行事後恢復？

　　以上的問題（或更多）都必須在我們開始投資緩解方案前，親自審慎思考一遍，並一一找出問題的答案。那麼，你決定要如何化解危機了嗎？最佳方案又會是什麼呢？

　區分機密與非機密

　　我常常看到許多組織將電子商務、營收及品牌資訊，與一般非機密的應用程式（如：外部瀏覽內容、電子郵件等）放在同一個網路連結上頭，我建議大家花點時間，將所有的應用程式依機密程度分門別類，並分開處理。

　導致失敗的一大重點——最脆弱的連結

　　「你與你最脆弱的連結一樣強大」這句俗諺也可用來印證對抗 DDoS 的情況，攻擊者能相對輕易地找出你最脆弱的網站連結，並加以攻擊。

　分散式攻擊需要用分散式防禦抗衡

　　在網際網路的各個角落，配置適合你的專屬安全防禦措施，是對抗分散式攻擊的絕佳方法。如果你只是將網站「推送」出去，那麼你大可不必接受來自內部 DNS 或 NTP 的流量！Akamai 擁有全球規模最大的分散式防禦平臺，請試著想像一下你在攻擊者經常連線的 ISP 內，擁有專屬的安全政策，能在網際網路的各個角落有效阻擋負面效應，並加速正面效益是一個多麼強而有力的方法啊！

　保護來源

　　如果你想在網路世界中達到防護效果，卻又無法分散流量，那麼對整個資料中心進行防護也是一個聰明的策略。透過為 DDoS 攻擊而特別設計的緩解服務，進行流量引導規劃，例如 Akaami 旗下的 Prolexic 服務，能讓你抵禦各種型別 DDoS 攻擊，其中涵蓋各種大小的攻擊，以及應用程式層級的成熟型攻擊。