從DDoS到DDDoS 複合式阻斷攻擊更難防

從這些應用趨勢來看，我們可以很明顯地發現，網路已經深植現代人的生活之中，一旦沒有網路所給予的便利性，生活將會造成一定程度的不便與慌亂。

網路攻擊再進化 複合程序造成破壞

過去最常遭遇到的攻擊方式就是DoS/DDoS攻擊，因為啟動快速、危害高，同時對惡意人士來說是相當隱密的攻擊方法。

不過隨著技術進步，網路安全設備，如防火牆、入侵防禦系統或是具安全功能的路由器，已經可以阻擋傳統的DoS/DDoS攻擊，因此駭客們為了達到更隱密且更有力的功效，將傳統的DoS/DDoS攻擊演化成DDDoS（Diverse Distributed Denial of Service，亦可稱3DoS），不但攻擊方式更加複雜，難以察覺，同時影響也更為深遠；此攻擊可以跳過網路上各個安全防護設備，所有因攻擊而造成的細微封包都會直攻應用伺服器，造成應用服務中斷，也讓企業蒙受更大的損害。

為什麼3DoS可以避開現行的安全防護措施？這就要從傳統的防護方式談起。傳統因應DoS/DDoS的方式是阻斷來源IP，這在同時由同一位置湧入的封包或許可行，因為可以明確地從網路第二或第三層察覺攻擊模式與型態，網路安全設備可以輕易地根據設定辨認出攻擊地點為何。

但3DoS的攻擊型態則不是如此，它已經徹底模擬成使用者的操作模式，直接從第七層攻擊應用服務的弱點，包含程式語言、協定漏洞甚至是人為疏失等。

但如同前面所述，網路已經成為每個人生活當中的必需品，每天我們都會使用相當大量的網路服務，許多不妥當的操作行為是為了增加便利性而默許存在的。

例如，有些網站為了保持使用者依然在線上，會刻意將Session存活時間延長，避免因行動網路連線而造成中斷或速度不足等問題。但也因為這些默許存在的操作模式，讓惡意人士有了可趁之機。

網路層的防禦模式都是透過連線狀態與行為分析，達到搜尋並偵測惡意來源IP的功效。像是F5 TMOS就能夠以最短的時間分析出各個連線的行為模式，過濾出哪些是惡意來源IP或使用者，並藉由連線控制或丟棄封包等方式，讓伺服器能保持在最安全的狀態。

改變防禦策略與模式方能阻擋

如果把3DoS的攻擊行為拆解開來看，在不同層級上都可被列入「無害」的類別，但就是這些看似無害的內容，組合起來卻對應用服務造成相當大的影響。

舉例來說，每個人都有遇到對方打錯電話的時候，無心狀態之下當然笑笑就算了。DoS跟DDoS就像是由一組或一群固定的電話號碼不斷發話到你電話上，干擾溝通聯絡的管道，但我們可以請求電話公司將已知的電話列入黑名單，以拒絕騷擾。傳統DoS/DDoS的主要防禦方式就是如此。

3DoS則不相同，每次攻擊的來源、方式或危害可能都不盡相同，就像是很多不同來源的電話號碼，有的響一聲就掛斷，有的一直打不停，有的則是接起來不說話，有的則是接起來卻是打給不知名的第三者??如此會嚴重干擾電話擁有人，但卻不知道如何阻斷與拒絕。

因此新的防禦策略應該是由上而下，先從應用層的允許方式開始，追蹤不當的應用呼叫方式往下回追網路層的足跡，進而由網路安全設備阻斷來源，這才是徹底的防護之道。

而且網路上的安全設備不能把自己侷限單一層級上，像是傳統防火牆就僅能阻擋第二層與第三層的攻擊，而IDS/IPS設備雖然可以分析第七層的威脅，但也限於已知的威脅攻擊模式，無法阻擋未知模式的攻擊。

現在的攻擊防護必須要拉高層級到第七層，甚至還要更進一步分析政策管理上的合理性，無論是來源IP/目的地IP位址、所使用的通訊協定、發送的指令與字串、帳號密碼的正確性，甚至是合法的時間與使用者等，都要納入安全防護體系的規範之中，這樣才能最大程度的保障企業網路與伺服器的安全。

智慧分析全代理管控 防護更全面

就如同F5的iRules，可以偵測並分析使用者的使用模式，找出各種有意的攻擊事件，並且整合所有網路安全設備，從不同方式阻擋攻擊進入，達到安全且全面的防護功效。

舉例來說，過去的防護體系會認為只要帳號密碼正確，來源與目的地IP位址正確，所使用的通訊協定正確，就算他是在半夜登入也視為合法登入。但是在F5 iRules中，我們可以發現如果在非上班時間登入，系統也會主動跳出警示，告知此種非正常行為，藉此由根本杜絕惡意攻擊的發生。

因為攻擊模式不斷改變，企業的安全防護策略也必須不斷提昇，最重要的就是不能再執著於網路層的安全防護，必須要能夠判讀並協助分析各項應用服務要求的正確性與安全性，這樣才能有效防止惡意人士藉由安全管道，或是安全的服務入侵而造成危害。

<本文作者為F5 Networks香港及台灣區董事總經理，負責發展F5在香港與台灣的應用傳送網路及數據解決方案業務，成功地拓展F5於金融界、政府機構、製造及電訊業的客源，擁有逾17年的資訊及電訊行業經驗。>