從攻擊行為來看,DDoS的演化至今從以往常見的網路層已進階到新型態的應用層。對此,威播科技技術服務部協理李培寧從協助客戶處理攻擊事件的經驗中發現,DDoS攻擊趨勢正呈現M型化的發展。
在M型的的右邊,代表的是一些提供網路服務的單位,提供網路服務為其主要營收來源。其特性是對資訊安全的預算較高、整體規畫也較完整,但卻容易成為DDoS的目標,遭受由外而內的攻擊;在M型的左邊,則是一般營收來源非網路服務的單位,資安的預算較少、整體規畫也較不完整,因此更常發生的DDoS是由內而外,成為受駭客操縱的攻擊來源。
 |
| ▲DDoS攻擊M型化發展趨勢下,新一代入侵防禦系統所扮演之角色。(資料來源:威播科技) |
實務上出現這類的狀況,李培寧認為,主要原因是近年來駭客之所以發動DDoS攻擊,皆有其背後的經濟利益,因此一般單位較不易成為DDoS的攻擊目標。但是由於資安控管較不嚴謹,導致內部電腦遭到惡意程式入侵成為殭屍電腦,接受駭客的攻擊指令,成為了DDoS攻擊的來源。
而對於由內對外的DDoS攻擊行為來說,李培寧強調,就必須採以殭屍網路識別技術。由於企業網路內部常透過DHCP來分配IP位址,且內對外的DDoS常常會使用偽裝IP,因此當攻擊爆發時,不易定位來源找出內部殭屍電腦。唯有具備識別殭屍網路識別能力,才能在攻擊之前找出殭屍電腦,阻斷殭屍電腦與外部控制端伺服器(Command and Control,C&C)的溝通管道,除了預防攻擊發生,亦可在攻擊發生之時立即定位來源並阻斷異常流量。
威播科技今年才剛發佈的新一代入侵防禦系統EnforcerX,具有對於DDoS攻擊的預防措施,李培寧說明,除了已具備進階的應用層流量分析能力外,且可搭配用戶身分認證功能,針對內部爆發的DDoS攻擊事件,可立即掌握攻擊來源,提昇危機處理的效率。再加上網頁應用防火牆模組,可進一步分析用戶對於網站伺服器的連線要求。他強調,特別之處是內建殭屍網路識別引擎,可以有效阻斷殭屍電腦與控制端伺服器之間的聯繫。
其實預防重於治療,李培寧認為要能夠即時監控DDoS攻擊有賴於平時的準備,也就是必須深入了解單位的網路流量連線型態,建置安全性資訊和事件管理系統,以便收集各設備完整資訊,並定時檢視系統產生之報表,皆有助於監控且預防DDoS攻擊發生的機率。