網路邊緣擴展防火牆技術　針對性攔截DDoS攻擊

現階段Prolexic已具有超過20 Tbps的專用DDoS防禦能力，以及7×24小時的全球安全操作指揮中心（SOCC）持續監看與回應。日前再推出Prolexic Network Cloud防火牆，讓企業IT可自行定義與管理存取控制清單（ACL）、防火牆規則，在地端既有的次世代防火牆前方建構多層次防禦，緩解網路層的DDoS攻擊。

Akamai大中華區資深技術顧問王明輝指出，目前企業用來緩解DDoS攻擊的作法，不外乎訂閱網路流量清洗服務或自建資安設備執行抵禦。深受法規規範的產業，例如金融、證券等，網路流量清洗服務大多為電信服務供應商所提供，抑或藉由CDN服務實作加速與攔阻惡意攻擊。

隨著金管會放寬上雲的策略，王明輝預期企業對於CDN的採用需求將逐漸增加。他說明，Akamai同時擁有Prolexic網路流量清洗，以及全球分散式佈建的CDN架構，可就近攔阻惡意程式封包，更有效率地緩解DDoS攻擊威脅。只是過去礙於法規因素，網路流量清洗中心或CDN架構不在境內則無法採用。隨著上雲策略的鬆綁，有機會讓更多企業利用Akamai的技術來緩解DDoS攻擊威脅。

金融業成DDoS攻擊首要目標

從國際DDoS攻擊態勢來看，物聯網應用普及之下，眾多聯網裝置成為惡意攻擊者的為害工具。犯罪組織大肆入侵聯網裝置，使其成為殭屍網路成員，再以遠端控制要求大量聯網裝置針對特定網站執行存取請求，排擠正常使用者的存取，甚至導致網站完全癱瘓。

王明輝觀察，儘管DDoS攻擊已存在數十年，但近兩年來攻擊的規模和強度不斷增長。攻擊目標包括政府網站、私人網路、教育機構，以及金融機構。根據Akamai統計，針對金融業所發動的DDoS攻擊，在過去一年中增長了22%。在歐洲地區尤其明顯，攻擊增加了73%，其中金融服務業佔比高達50%。

他以某東歐客戶的案例說明，2022年，Akamai Prolexic平台檢測並緩解了有史以來針對東歐地區發起的最大規模DDoS攻擊，在14小時內達到最高流量853.7Gbps以及659.6每秒百萬封包（Mpps）的峰值。這起DDoS攻擊鎖定該客戶擁有的大量IP地址，構成了Prolexic平台上有史以來最大型的多向量攻擊，包括UDP碎片（Fragmentation）、ICMP洪水（Flood）、SYN洪水、TCP異常等手法。

未料惡意攻擊者二個月後再次來襲，還刷新峰值紀錄達到704.8 Mpps。不同於先前只攻擊單一地點（東歐主資料中心），這次一舉轟炸該客戶位於歐洲到北美六個不同地點的八個子網段，且幾乎是瞬間就能發動多目標攻擊，每分鐘攻擊的目標IP數竟在60秒內就從100個擴大到1,813個。面對這種規模的同步打擊，通常資安團隊只能被告警事件淹沒，別說緩解攻擊了，連搞清楚當下狀況都有困難。

Akamai為了協助該東歐客戶緩解如此大規模的DDoS攻擊，旗下全球安全操作指揮中心（SOCC）與客戶內部資安團隊合作，針對攻擊手法調整主動防禦措施，才得以緩解惡意封包，讓正常存取行為恢復順暢。參考前述案例，王明輝建議，金融業雖因應法遵已制定DDoS攻擊緩解執行策略，後續仍須跟進當前攻擊手法的演進，適時調整以應對DDoS攻擊的多樣性、規模和強度的增長。

同時擁有CDN與流量清洗技術

面對不斷變化手法的DDoS攻擊，借助DDoS緩解服務供應商，才有機會讓惡意網路流量在幾秒之內被過濾，不至於影響系統正常運行。而DDoS緩解服務供應商為增進向量攻擊的辨識與處理能力，則須持續投資提升防禦。儘管Akamai Prolexic成立至今已超過20年，仍須不斷地因應攻擊手法轉變增進檢測機制，以順利破解攻擊的戰術、技術與程序（TTP）。例如日前推出的Prolexic Network Cloud防火牆，藉此開放讓企業IT或資安人員可自行定義控管政策。

王明輝說明，DDoS緩解服務常見導引網路流量到清洗中心的方式，可透過邊界閘道器協定（BGP）路由，或DNS設定導向（A Record或CNAME）至清洗中心，讓網路流量可持續地進行監控和檢查惡意活動，一旦發現DDoS攻擊的網路封包，隨即執行攔阻。即便對外的IP或應用服務正遭受DDoS攻擊，透過DDoS清洗中心運行過濾，仍可讓對內與對外網路維持暢通。

他進一步強調，針對緩解DDoS攻擊，運用Akamai Prolexic以及CDN是不同的機制。Prolexic網路流量清洗服務可保護資料中心所有的IP、連接埠、通訊協定等運行，也就是偏重於Layer 3/4的服務。CDN則基於全球部署邊緣伺服器處理Layer 7的HTTP、HTTPS協定網路流量，確保用戶存取網站的體驗，同時就近攔阻殭屍電腦發起存取該網站的流量。

隨著企業數位化應用模式愈來愈多元，DDoS攻擊活動可鎖定的標的更廣，例如針對特定API服務、SD-WAN（軟體定義網路）等近年來興起的技術，僅單純篩選過濾Layer 3/4、Layer 7未必能全數攔截惡意流量，須進一步解析封包內容輔助判斷。於是Akamai持續擴展提供Prolexic Network Cloud防火牆服務，讓IT或資安人員自定義存取控制清單（ACL）和防火牆規則，提供可更細緻地攔阻針對性攻擊活動的能力。

FWaaS自主設定加速回應攻擊

Akamai為Prolexic平台發展的Network Cloud防火牆，以防火牆即服務（FWaaS）方式提供，功能特性包含手動或自動定義防禦措施以阻止惡意流量；控管政策規則可移到邊緣執行以減輕地端防禦負擔；維運人員可藉由Akamai提供的單一入口網登入操作。當企業IT瞬間遭遇DDoS攻擊，可立即採取行動，增添規則阻斷特定存取連線，無須擔心因此影響內部防火牆的配置。

Prolexic的主動緩解控制功能，可通過零秒服務等級協定（SLA）立即阻止超過80%的攻擊，並且證明能夠在不犧牲用戶存取體驗的前提下阻止複雜度高、破紀錄規模的DDoS攻擊。如今Prolexic平台再添增Network Cloud防火牆機制，可為地端或雲端再增添一道屏障。

王明輝舉例，當企業內部關鍵應用系統揭露最新漏洞時，須先行確認修補更新程式可用性與相容性，因此通常須一段時間才得以正式安裝。為避免驗證期間遭零時差攻擊，可藉由Network Cloud防火牆在網路邊緣端增添的規則進行攔阻以降低風險。此外，在地端的次世代防火牆前方再增添一層防禦機制，先行檢查與過濾惡意流量，亦可減輕資安設備的工作負擔。