DDoS 阻斷式攻擊防禦

DDoS  阻斷式攻擊防禦

 

        分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)即是利用網路上已被攻陷的電腦作為「殭屍」,向某一特定的目標電腦發動密集式的「拒絕服務」式攻擊,藉以把目標電腦的網路資源與系統資源耗盡,使之無法向真正正常請求的使用者提供服務。

        根據網路資安大廠Arbor networks於2015年初,所發表的網路安全報告指出,駭客持續利用反射與擴大技術執行大規模的DDoS攻擊,2014年的最大攻擊流量為400 Gbps,約有10家ISP業者遭遇100Gbps以上的流量攻擊。然而,2004年前最大規模的DDoS攻擊也才8Gbps,相當於2014年的最大攻擊流量已是2004年的50倍。這些大規模的攻擊多半鎖定NTP、DNS、SNMP、HTTP或HTTPS等服務。

        調查顯示,不論是對網路服務供應商(ISP)或大型企業而言,DDoS攻擊都是主要威脅。在網路服務供應商部份,有73%的DDoS攻擊是鎖定ISP的客戶,有55%鎖定ISP本身的基礎建設。此外,受到DDoS攻擊的前三大ISP客戶類別依序是鎖定一般使用者的訂閱服務、電子商務業者與政府。

        此外,受到DDoS攻擊的頻率也日益增加,2013年約有25%受訪者在一年內遭到21次以上的攻擊,2014年該比例成長至38%。駭客的前三大攻擊動機依序是虛無主義、線上遊戲,以及駭客主義。

 

        至於企業、政府或教育組織最常見的威脅也是DDoS,有接近一半的受訪者在2014年經歷過DDoS攻擊,駭客主要鎖定HTTP、HTTPS與DNS。

        過去廣被熟知的 DDoS 攻擊手法,是透過電子郵件或檔案散播的方式,在用戶端電腦中植入木馬程式,等待時間一到再對特定網站發起攻擊。不過在駭客攻擊手法日益進步下,新型態的 DDoS 在植入用戶端電腦之後,在使用者瀏覽社交網站時,會順勢利用網站存在的漏洞植入木馬、惡意程式,並且在取得管理權限密碼之後,搖身一變成為惡意程式散播中心,再將木馬植入前來瀏覽的用戶端電腦中,最後當駭客發出攻擊指令後,便會開始癱瘓特定網站。

        常見的攻擊手法可分為針對頻寬與資源兩種類型的消耗攻擊,其中資源的消耗攻擊,又可分為狀態耗盡及第七層應用層攻擊。對DDoS的攻擊型態,可分為下列三種:

 

  • 頻寬消耗型攻擊
    • Internet Control Message Protocol(ICMP)flood(Ping flood、Ping of death)透過發送Ping指令或ICMP廣播等大量的封包,進而造成系統或服務的癱瘓。
    • User Datagram Protocol(UDP)flood,因為UDP協定的封包不須經過三向交握,利用此特點進行大量UDP封包發送。
    • Teardrop attacks,每個資料要傳送前,該封包都會經過切割,每個小切割都會記錄位移的資訊,以便重組,但此攻擊模式則利用捏造位移資訊,造成重組時發生問題,造成錯誤。
  • 狀態耗盡攻擊
    • SYN flood,利用網路TCP三向交握特點持續進行SYN請求封包發送,並且不帶ACK確認封包,讓伺服器無止盡暫存SYN封包,進而達到阻斷服務的目的。
  • 應用層攻擊
    • 主要針對應用軟體層,以大量消耗系統資源為目的,透過向網路應用程式伺服器提出無節制的資源申請,阻斷正常的網路服務。

 

        針對DDoS的攻擊,中孚科技提供由企業端24小時不間斷的防禦解決方案,至ISP端的DDoS清洗機制建置服務,同時也能依據客戶的需求,結合雲端清洗機制,提供客戶在網路服務業務的高可用性。