Distributed Denial-of-Service The Innocence of Muslims SSL Renegotiation DoS Http Post Attack DDoS Protector Apache Killer Check Point Slowloris FortiDDoS 分散式阻斷服務攻擊 Flooding Fortinet LetDown Zombie RioRey DDoS 殭屍電腦 中華龍網 IDS IPS 劉俊雄 F5

DDoS Protector強調快速辨識攻擊行為

2012-11-07
現代化DDoS攻擊手法,基本上可區分為網路層與應用層,Check Point台灣區技術顧問吳炳東說明今年推出的DDoS Protector緩解設備,不論是網路還是應用層,主要都是透過駭客行為模式分析,進行辨識與阻斷。
他以日前承接線上遊戲遭受DDoS攻擊的客戶為例,由於網路連線經常出現不穩定的現象,才找上Check Point DDoS Protector做測試。該測試方案除了第三層(Network Layer)到第四層(Transport Layer)的混合模式攻擊,也包含現在比較新型的Low-and-Slow,手法是利用三方交握的連線模式,拋一個SYN,把SYN ACK的時間拉到最長之後不回應,持續讓網頁服務慢慢消耗殆盡。經過近三天的設備學習過程後測試,DDoS Protector確實能有效緩解DDoS手法的攻擊事件,客戶才開始應用在線上環境。

▲Check Point台灣區技術顧問吳炳東認為,現代化設備都強調可抵擋應用層的攻擊,但處理駭客事件,比的是速度,誰能真正處理掉駭客行為,實機測試是最明確的驗證。
許多資安設備皆設計自動學習機制,不論流量的正常與否,網路封包都會被解析,並將行為紀錄到內建的資料庫,吳炳東表示,不過DDoS Protector除此之外還有Auto Patch的機制,就是在學習之後,若有發現新的攻擊行為,會自行產生特徵碼,進而阻擋。萬一客戶正在火線上,受到DDoS嚴重攻擊以致沒有時間學習,也可以先取出封包紀錄,送到Check Point研發單位來快速產生特徵碼。

DDoS Protector的比對技術,是來自Check Point的雲端安全Threat Cloud,其攻擊行為資料庫,結合來自全球超過二千名殭屍網路(Botnet)的攻擊行為,做為比對的準則。

吳炳東認為,其實DDoS已如同病毒般難以被消滅,隨時會有新品種、新手法被創造出來,因此透過Threat Cloud蒐集來自全球的攻擊行為,作為辨識依據來縮短應變的時間差。而所有Check Point用戶只要啟用Anti-Bot的功能,即可直接從Threat Cloud資料庫中下載已知類型的殭屍網路資訊,並可預測下一步的行為。

其實就目前DDoS攻擊事件來看,很難有單一產品可以抗衡全數的攻擊行為。因此吳炳東所認為的最佳防禦機制,第一層是透過DDoS Protector專屬設備,第二層則為IPS。「畢竟DDoS Protector的應用模式比較偏向被動型態,主要在攻擊事件發生時,可以加快反應速度,達到緩解的功效。」他說明,當一個未知型攻擊行為成功進來時,其實最重要一點是誰撐得久,同時又可維持正常的使用者連線回應時間,這部分就可搭配IPS協同防禦。而過程中所產生的日誌資料,皆可整合到Smart Center統一查看。


熱門活動

more →

追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!