老板,我们的网站又挂了——漫谈 DDoS 攻击
本文作者 John Ellis 为 Akamai 亚太暨日本地区企业安全总监。
DDoS 工具套组、DDoS-for-hire、比特币、匿名邮件、TOR 连线、及形形色色的攻击动机,皆让网络攻击行动之于个人、骇客组织、网络罪犯都变得更加容易。最新的数据显示,DDoS 的攻击频率、发展成熟度、及规模都呈现成长的趋势。根据 Prolexic 发表的 2014 年第一季全球 DDoS 攻击报告,DDoS 的攻击量与去年同期相比呈现 47% 的成长,而攻击目标所处的产业也变得比以前更为广泛。这些数据充分印证了 DDoS 攻击如今已变得更有效,并成为现今攻击者囊中宝的事实。
进入网络世界
转眼间,互联网已对人类的生活产生前所未有的冲击,举凡在学术研究、多元整合、商务、甚至是战争,也都因互联网的出现,而拓展出更多应用空间。 互联网现今的发展与它最原始的样貌,也随着产业的创新与演进而一点一滴的改头换面了。在商业世界中,网络内容重新定义了企业的运作模式,除了电子商务的应 用,企业能透过网站与消费者、合作伙伴、供应商进行互动;也逐渐转移关键的专桉流程至互联网,以获得更有效的资源分配与成本效益。
互联网的生活应用涵盖了穿戴式科技、管理电力与水利的整合控制系统、金融体系、音乐串流、行动连网、社群媒体等各大生活面向。上述这些服务与系统运作皆拥有连网的特质,现实生活中,除了我们也不再需要「上网」,而是随时处于「连网」状态,网络攻击亦然。
分散式阻断服务(DDoS)——破坏性的武器
DDoS 并非网络攻击领域中的新名词,自 1990 年代晚期至 2000 年代早期以来,DDoS 被充分运用在干扰商业组织与政府网站,然而,早期的 DDoS 攻击会因规模与成熟度不足而成功阻挡在前端、抑或有效地被互联网服务供应商(ISP)拦截。
随着市场不断推出新型防御机制,网络攻击也不惶多让,具备突破防御机制更高的本事。攻击的本质是占据实际体积的,攻击方式包括了塞爆连接攻击目标的带宽、以及锁定协定或应用程序内在漏洞,进而瘫痪了网站服务与登录管道,令网络使用者不得其门而入。
旧潮流再次成为新趋势——反射与放大 UDP 攻击
在时尚产业中,旧潮流总有机会再次成为一股新趋势,使用者资料包通讯协定(UDP)最美妙之处,在于属于「(fire and forget)」类型的通讯协定,其设计主要是针对效率与速度的需求,然缺点则是较缺乏安全与可靠的特性,不过凭着网络通讯最基本的可靠性,它依然成为许 多核心网络服务如 DNS(网域名称系统)与 NTP(网络时间协定)较偏好的协定类型。
我非我——欺骗封包
建于 UDP 的通讯协定如 DNS 与 NTP,不必与现存的 TPC 第四层传输层进行三向沟通便能做出回应,不过这也意味着它将盲目地对任何 IP 位址发出的要求做出回应。不幸的是,这种模式由于容易被伪造,随之出现的第一部分问题是攻击者利用受害者的 IP 位址当作其请求 IP 位址的结果。
当我问了一个简单的小问题,竟得到一个超大的答案——放大效应
放大攻击的第二部分是由服务构成的要求类型,举例来说,我们可将它想像为一个「生命问题」,攻击者在提出「生命的意义为何?」这个简单问题后,会获得一个复杂难懂的答案。除非我们在说的是《银河便车指南》,那么答案当然就是 42。1
所以,当攻击者假受害者的名义,向为数众多的一般人提出「生命的意义为何?」之后,便会随之产生排山倒海而来的复杂答案,进而让受害者的系统、网络、甚至是 ISP 因此瘫痪,而这些千篇一律的答案即为「阻断服务」。
我的防火墙可与你抗衡——传统的方法(legacy approach)
第一个对策是让防火墙具备解决问题的能力。普遍而言,这些庞大且成熟的攻击会瘫痪资料中心的网络连结,或是以应用程序架构的攻击类型,伪造成合法网站再加以发动攻击。
举例来说,热门网站流量突然暴增的情况,与攻击者对同一个内容每秒提出上千次的要求,两者的差别为何?你的防火墙在面对相似的情况时,是否具备足以辨识要求来源合法与否的能力?当我们接受了过多所谓「合法」的要求时,网络连结被塞爆的第一类问题也随之出现了。
我的 ISP 上有你的号码——传统的方法(legacy approach)
让我们接着谈谈 ISP 的问题,ISP 的挑战在于有些攻击规模壮大到差点超过 400Gbps,此外,大型企业倾向拥有多个 ISP,以作为备援(Redundancy)及负载平衡(Load Balancing)之用途。这种作法除了需要由 ISP 提供「以牙还牙」的缓解能力,也需要 IT 部门劳师动众,整合各个 ISP 以确保缓解方案会持续被付诸执行。
为什么有人想对我发动攻击?
现在就让我们直捣问题的核心:「为什么会有人想对我的企业发动 DDoS 攻击?」 答案其实相当广泛,必须依各企业不同的本质而定。对政府机构而言,受攻击的原因可能与政策制定或是代表的国家有关;而对电子商务零售商或金融机构而言,则 有可能与钱财勒索、或特定的代表人物相关。
事实上,现今的攻击动机形形色色,且几乎任何人都能对其他网站发动攻击,如此普遍的程度意味着:一旦有动机产生,人人都有发动攻击的机会。
该投降吗? 我又该怎么做? 解决方案
近期的 IDG 研究服务调查显示,现今绝大多数的科技与安全经理人,对网站安全抱持高度顾虑。这份调查将网站安全定义为能保护网站伺服器与使用者,使其免于与资料及系统 妥协、及遭受阻断服务的科技与程序,例子包括网站应用程序的防火墙、DDoS 缓解、及使用者认证。在这份调查中,受访者普遍认为网站安全与电子邮件或 FTP 安全同等重要(佔 76%),或认为网站安全更具重要性(佔 14%)。这些由企业 IT 解决的主要问题,需要投入 79% 的时间;其中与安全性相关的问题仅佔 50% 的时间。当然,网站安全并非本次受访者唯一的顾虑,网站可取得性也是受访者常态的答案,紧接着还包括恶意软体、资料损失、及恶意破坏等情况。
对于想解决 DDoS 攻击问题的组织,我的第一个建议为:仔细思考当企业或组织沦为 DDoS 攻击目标,而陷入被瘫痪的危机时,我们应採取哪些因应与恢复策略?是否需主动与媒体互动?是否有潜在的金融冲击?能忍受处于线下情况的最大时数为何?如何 回应股东、利害关係人、及合作伙伴?是否能透过替代方案维持业务运作?该如何进行事后恢复?
以上的问题(或更多)都必须在我们开始投资缓解方案前,亲自审慎思考一遍,并一一找出问题的答案。那么,你决定要如何化解危机了吗?最佳方案又会是什么呢?
区分机密与非机密
我常常看到许多组织将电子商务、营收及品牌资讯,与一般非机密的应用程序(如:外部浏览内容、电子邮件等)放在同一个网络连结上头,我建议大家花点时间,将所有的应用程序依机密程度分门别类,并分开处理。
导致失败的一大重点——最脆弱的连结
「你与你最脆弱的连结一样强大」这句俗谚也可用来印证对抗 DDoS 的情况,攻击者能相对轻易地找出你最脆弱的网站连结,并加以攻击。
分散式攻击需要用分散式防御抗衡
在互联网的各个角落,配置适合你的专属安全防御措施,是对抗分散式攻击的绝佳方法。如果你只是将网站「推送」出去,那么你大可不必接受来自内部 DNS 或 NTP 的流量!Akamai 拥有全球规模最大的分散式防御平台,请试着想像一下你在攻击者经常连线的 ISP 内,拥有专属的安全政策,能在互联网的各个角落有效阻挡负面效应,并加速正面效益是一个多么强而有力的方法啊!
保护来源
如果你想在网络世界中达到防护效果,却又无法分散流量,那么对整个资料中心进行防护也是一个聪明的策略。透过为 DDoS 攻击而特别设计的缓解服务,进行流量引导规划,例如 Akaami 旗下的 Prolexic 服务,能让你抵御各种类型 DDoS 攻击,其中涵盖各种大小的攻击,以及应用程序层级的成熟型攻击。