流量清洗中心近源防護　弱化惡意癱瘓攻擊

由於過往的資安技術未能有效控制，DDoS攻擊反而日漸猖獗，Imperva大中華區技術總監周達偉觀察，比特幣興起可說是關鍵誘因。過去沒有加密貨幣的交易平台，網路勒索的風險相當高，只要追蹤金流來源、現鈔上增加的記號等方式，確實有機會查到犯罪集團。隨著加密虛擬貨幣出現，攻擊者改以數位貨幣支付贖金，追查工作門檻也隨之提高，間接助長投機罪犯加入，讓DDoS攻擊演變為常態。

DDoS攻擊服務化已然普及

根據F5 Labs威脅情資實驗室統計2016年至2018年第一季，全球遭受DDoS攻擊分布狀態來看，亞太地區每年以倍數成長，從2016年僅佔全球DDoS攻擊總數的8%，到了2018年第一季已增長到35%，幾乎接近以往DDoS攻擊主要活動的北美區域。

現代駭客攻擊活動主要目的皆為獲取利益，不論是發動DDoS阻斷服務正常運行，抑或是APT攻擊竊取資料，門檻都越來越低。例如日前台灣破獲首起提供DDoS攻擊服務的TWDDoS網站，經營者竟是未滿20歲的高中生。中華資安國際資深經理許嘉益指出，實際上，TWDDoS網站只是中介者，先向國外DDoS攻擊服務供應商註冊多個帳號，當接收到TWDDoS會員訂購，取得須支付的比特幣之後，再運用自行撰寫的API程式向國外DDoS攻擊服務供應商下單發動攻擊，不需要自行張羅DDoS攻擊資源與高深技術即可賺取差價。由此不難發現，DDoS攻擊「服務化」趨勢較前幾年更加普及，任何人基於商業利益、報復、勒索等目的，欲針對特定對象發動DDoS攻擊，只要如同線上購物般操作訂購即可達成。

就台灣本島來看，中華資安國際副總經理游?鵬觀察，近期駭客利用Memcached快取系統創造的反射放大式DDoS攻擊不僅是GitHub遭殃，中華電信骨幹網路也偵測發現超過上百Gbps利用Memcached系統反射的攻擊量，對頻寬主流為100Mbps的台灣企業連網環境而言，Gbps為單位的攻擊量勢必得仰仗上游ISP，抑或是國際流量清洗中心。

完整解析網路封包就近阻斷惡意活動

就DDoS攻擊模式來看，主要區分為針對Layer 3/4的頻寬耗盡與針對Layer 7的資源耗盡兩種方式。

F5台灣區資深技術經理許力仁觀察，現階段主流的DDoS攻擊活動，九成以上皆屬於頻寬耗盡式攻擊。若企業或組織的業務範圍為國際市場，顧客來自全球各地，可借助國際級雲端清洗中心之力，不論惡意流量從哪個地區發動，透過BGP路由先導到清洗中心可確保安全性。

只是從實際接觸客戶的經驗來看，他觀察到，金融、網路服務運營商、電子商務、線上遊戲等產業，才是台灣DDoS緩解服務的主要需求者，但由於用戶也多在本地不須經過連外海纜，除非是在島內發起的癱瘓式攻擊才會影響顧客。因此真正具有高度防禦需求的產業，主要是完全仰賴網路提供產品與服務，且客群不僅只在台灣本地，抑或是同產業之間惡性競爭嚴重，才會實際部署防範DDoS攻擊。

特別是遊戲業，近年來開始大量採用雲端平台擴充遊戲伺服器的服務容量，恐面臨的問題是，資料中心自建對外頻寬線路尚能投資租用最高等級的1Gbps，但是雲端平台供應商為服務眾多用戶，對外連線頻寬勢必得更高，一旦遊戲業者遭受遭受DDoS攻擊時，如何選用緩解服務即成為最為頭痛的問題。

「畢竟對於雲端平台供應商或ISP業者而言，主要的商業模式並非為資安防護，DDoS緩解服務只是附帶加值提供，因此通常有可處理的最高攻擊量限制。此時雲端清洗中心即可發揮優勢，才有能力承載並執行過濾每秒Gb或Tb等級的攻擊量。」許力仁說。

表1 市場上常見的DDoS緩解服務架構

目前資安市場上實作的DDoS緩解技術，Akamai合作夥伴技術支援經理王明輝說明，包含CDN搭配WAF方式提供雲端清洗中心，例如Akamai、Imperva Incapsula等；另一種是硬體式方案，例如Arbor、F5、Radware等供應商，但當本地端設備超過承載量時，再切換到雲端清洗中心，可能遇到的問題是需要一段時間切換，以及過濾後的服務導向回到地端會有網路延遲性問題。

「Akamai同時具備CDN與Prolexic流量清洗服務，處理如同GitHub事件超過Tb等級的攻擊流量，即是以Prolexic全球建置16座資料中心，總計約為7Tbps流量來緩解。只要先把流量導向資料中心，毋須變更IP位址，經過清洗過濾之後的流量再以通用路由封裝（GRE）通道回到客戶端，並非傳統CDN必須變更DNS Record設定指向服務供應商的IP位址。同時，任何通訊協定都可辨識，換言之應用程式若非為網頁系統，選用流量清洗服務較可符合需求。」王明輝說。

周達偉亦指出，近年來流量清洗服務供應商經常強調「近源防護」的概念，在最靠近攻擊來源的網路節點就必須予以處置，要達到這個層級的能力，不僅要能辨識Layer 3/4的攻擊，亦須具備Layer 7行為分析，以免夾帶惡意程式的封包四處流竄釀成災害。