企業面臨的新安全挑戰 - 低速DDoS 2.0

多數企業IT人員對「分散式阻斷服務」(DDoS, Distributed Denial of Service) 應該不陌生，攻擊者透過網路分散來源的技巧，發動大量主機同時對目標電腦發出連結要求，或以大量資訊佔用原有頻寬，使得被攻擊目標發出拒絕服務的資訊。隨著安全觀念的進化，許多企業也都陸續建置相關防禦設備，DDoS這個IT人員曾有的夢靨也隨之漸漸沉寂。

低調緩慢的DDoS 2.0攻擊術

然而，網路的普及、科技的發逹，駭客攻擊的方式也日新月異，新型態的「DDoS 2.0」應運而生。一般來說，當IT人員接獲無法連線的客訴時，通常會馬上檢查Web伺服器，若無異狀就會讓主機繼續照常運作。但是一段時日之後，伺服器愈來愈緩慢，連線異常的頻率也逐漸增加，即使不斷重新開機仍無法提供連線服務。像這樣低調而緩慢的攻擊方式，由於沒有無明顯立即的危險，入侵防禦系統(IPS)無法在第一時間加以攔阻，因此也可被稱為「Low-and-Slow DDoS」或「Application Layer DDoS」。

DDoS 2.0的防禦之道

抵禦傳統流量氾濫式的攻擊，是企業應具備的基本防禦能力，另一方面，還必須能夠阻擋IPS察覺不到的應用層或低速攻擊，若有異常的連線請求，隨即加以隔離，讓系統可以持續正常服務。 為了有效防禦DDoS 2.0，可以從下列三個面向著手：

1.       多層次防護－網路和流量泛流防護 o   行為式DoS：以適應性行為為基礎的防護防範TCP、UDP、ICMP、IGMP和片段式DDoS攻擊。 o   DoS遮蔽：利用預先定義和可自訂的篩選器阻擋每個模式的速率限制，以防範已知的DDoS攻擊工具。 o   SYN防護：在每台受保護的伺服器上利用SYN速率臨界值阻擋SYN欺騙(SYN-spoofed)DoS。 o   黑名單：利用L3和L4來源目標的分類和逾期規則，阻擋一般性的攻擊。 o   連線速率限制：採用速率臨界值阻擋一般未受支援的通訊協定(非DNS、HTTP)和應用層的泛流攻擊。 2.       以應用程式為基礎的DoS/DDoS 防護 o   採用Web挑戰的SYN防護：對每一台受保護的伺服器設定SYN速率臨界值，以防範HTTP型的DoS攻擊。 o   行為式DNS防護：使用DNS使用量阻擋速率限制和DNS挑戰與回應的DNS適應性行為偵測，阻擋DNS查詢的DoS攻擊。 o   行為式HTTP防護(HTTP Mitigator)：利用以伺服器為基礎的HTTP適應性行為偵測、Web挑戰與回應的HTTP使用量、302重新導向和JS挑戰動作等，阻擋以HTTP連線為基礎的DoS攻擊和上游HTTP頻寬攻擊。 3.       引導式應用程式DoS/DDoS偵測 抵抗DoS和DDoS攻擊需要特殊的篩選條件。彈性的篩選定義搜尋每一個封包內的特殊位元模式，透過定義立即防護，企業可以獲得分析和阻擋往後攻擊的能力。 與此同時，企業也必須防範DDoS背後可能暗藏的Botnet危機。岱凱 (Dimension Data) 透過廣泛的客戶實務經驗，歸納出最有效的安全防禦方式，即是採用週期性的諮詢方法，全面回顧和檢視安全基礎架構的防禦工事，確保IT安全風險的管理流程，藉此打造出適用企業所需的解決方案，並落實主動出擊而非被動因應的風險管理。 出處：岱凱電子報