資安防禦技術持續精進,近年來DDoS事件卻不減反增,究其原因,設計愈來愈精良簡化且容易取得的攻擊工具軟體,恐怕是重要因素。
Radware系統工程師陳威穎觀察,真正屬於頻寬被塞爆的攻擊事件相當少,畢竟駭客也要付出對等頻寬才足以讓攻擊標的滿載,不見得符合成本效益。反而採以工具,例如每天針對特定網頁服務持續發動Http Get指令,在不佔用頻寬下,讓網頁應用服務逐漸癱瘓,不須高額成本即可達到目的。
「像是近年來流行利用DNS通訊協定的漏洞,將正常詢問變成DDoS攻擊,欲防治此類手法,坦白說有其困難度。但是以Radware DefensePro而言,由於本來就具備DNS防護的設計,可即時發現大量Query,並經由自動學習與無狀態(Stateless)運行機制,攔截Query不存在的網域名稱流量,緩解對應用服務造成的衝擊。」陳威穎說。
 |
| ▲Radware系統工程師陳威穎認為,欲對抗技術持續精進的DDoS攻擊,專屬緩解設備僅為協助執行的工具,當內建功能皆無法制止時,工具本身還必須提供技術人員可彈性配置機制,藉此依據攻擊手法的變化調整多層次防禦。 |
除了無狀態設計,DefensePro亦包含全狀態(Stateful)運行環境,若全狀態的記錄表被惡意塞爆而無法正常運行,無狀態的防禦仍可執行攔截工作。陳威穎舉例,用來避免被Http Flood攻擊而設計的全狀態Challenge機制,是以302 Redirect或JavaScript嵌入Html檔案進行解析,勢必需要有表單記錄資訊,因而也可能遭駭客反制,使表單記錄超過上限導致無法運行。但即使如此,之後也會由無狀態的防禦機制接手,以自動學習為基礎執行攔截。
「就我處理各種DDoS攻擊的經驗來看,僅為單一的無狀態或全狀態模式,會有不敷使用的狀況。其實DDoS專屬設備只能稱為工具,絕對不可能上線後即可處理所有的攻擊手法。」陳威穎強調。DDoS並非當下攔截即可,緩解設備只是工具,應該關注的是此工具是否能讓技術人員彈性配置防禦機制,當內建的多種功能皆無法抵抗時,最後還可由技術服務人員針對實際攻擊屬性客製特徵碼攔截,用不同方法進行多層次防禦。
萬一企業面臨的是極大流量DDoS攻擊,亦可透過DefensePro手動啟用網路流量導向雲端清洗中心進行Clean Pipe,同時DefensePro會將自動學習後轉為控管政策的配置資料,加密傳遞至清洗中心,以便讓正常流量得以導回企業內部。
此外,DefensePro將會在新發佈的版本中整合雲端分析機制Cloud Advanced Challenge,主要是針對JavaScript Challenge機制,由於嵌入在Html的內文中,對於高技術能力的駭客而言仍可規避檢測。而Cloud Advanced Challenge即是利用雲端平台之力,再次驗證語法,防止被駭客繞過而失效。