自2000年左右起,Arbor Networks就已偕同第一層(Tier 1)電信業者全球佈建感知器(Sensor),以蒐集駭客攻擊活動資訊至其ATLAS威脅監測中心進行分析。
Arbor台灣區總經理金大剛表示,至今ATLAS已可解析高達98%的全球BGP路由自治系統編號資料流,以IPv4理論值數量來看,可視性達71%以上。同時,已偕同全球50%以上的CERT(資安緊急應變小組)建立交換樣本的合作關係,更可藉此深入得知各地發生的資安事件。金大剛強調,欲因應現代駭客攻擊,即時掌握最新手法與行為模式,可說是有效防禦的首要關鍵。
 |
| ▲Arbor台灣區總經理金大剛(左)與Arbor台灣區技術顧問林子傑(右)強調,對抗DDoS攻擊,須建立多層次防禦機制。遭遇狀態表耗盡與應用層的攻擊,可以企業自建DDoS緩解設備抵擋,至於頻寬被塞爆,勢必得仰賴上游雲端清洗中心處理。 |
從ATLAS近年來監測到的DDoS攻擊方式來看,Arbor台灣區技術顧問林子傑指出,除了塞爆頻寬外,針對網路設備的狀態表耗盡,以及直接攻擊應用層使伺服器資源滿載,已是慣用的攻擊模式,尤其是校園網路。他舉例,學生們往往不會察覺筆記型電腦已遭受感染,成為殭屍網路一員,而被駭客利用來發動攻擊,導致校園網路內部的防火牆、IPS因此超過負荷而癱瘓。針對此類問題,Arbor Pravail APS(Availability Protection System)設備的無狀態表(Stateless)特性,除了可建置於防火牆之外緩解DDoS攻擊,其具備特徵碼辨識惡意程式的能力,建置於防火牆之內,亦可用於進階威脅防禦。
「由於Arbor得以及時掌握全球駭客活動,自然可先一步分析威脅行為,藉此發現零日攻擊。而攻擊型態除了從外部而來,內部亦可能存在殭屍電腦連線至外部中繼站、釣魚網站等,即可透過Pravail APS來發現並攔截。」他強調。
萬一不幸遇到如同2014年國際間頻傳利用DNS、NTP協定,造成放大或反射攻擊,動輒高達上百Gbps的傳輸流量同時湧入,癱瘓網路頻寬,則可搭配能承受1TB流量規模的Arbor Cloud,先行提供流量清洗(Clean Pipe)。
「Clean Pipe的服務大多為24小時不停止的清洗流量,再導向目的位址。但Arbor Cloud的作法是Service on Demand,平時的連線路由不會經過Arbor Cloud,一旦發生攻擊事件時,才會導向流量清洗中心,再回到客戶端。」金大剛說。
當然,切換至Arbor Cloud的判斷標準,就得仰賴企業內自建Pravail APS設備執行,經過五至十?五分鐘的初始化過程,先行觀察攻擊手法,即可開始運作。Arbor Cloud將運用全球電信商佈建的優勢,從最靠近攻擊發起端的據點執行清洗,確實發揮緩解效果,也避免上游ISP業者遭受殭屍網路波及。