分散式阻斷服務攻擊防護策略探討

阻斷服務攻擊(Denial of Service Attack, DoS)是近年來常見的一種網路攻擊模式,其目的在於使被攻擊的目標網路或資訊系統的資源耗盡,使服務暫時中斷或停止,導致其正常用戶無法存取網路及資訊系統的服務。當惡意攻擊者運用網路上大量被攻陷的電腦作為殭屍(Bot)向特定的目標發動DoS攻擊時,稱為分散式阻斷服務攻擊(Distributed Denial of Service Attack, DDoS)。在資訊安全的三要素:「機密性」、「完整性」和「可用性」中,DDoS攻擊的目標正是資訊網路系統的「可用性」[1]。隨著DDoS網路攻擊事件的對象和範圍的擴大,受害者除個人及企業外,已經逐漸升級至國家戰略層級,DDoS網路攻擊事件對企業、社會、國家安全帶來的威脅,已經不亞於恐怖攻擊,我們應該建制相關網路安全防護策略,以降低DDoS攻擊所帶來的巨大衝擊及危害。 首先回顧2016年一些嚴重的DDoS攻擊事件,簡要敘述如下[2-3]:

2016年2月勒索軟體針對好萊塢長老會醫學中心的網路安全事件[4]。攻擊者透過勒索軟體入侵醫院資訊網路系統,鎖定醫務人員的電腦並勒索比特幣作為解鎖條件。據報導,由於當時該醫院的網路無法提供服務,因此被迫將病人轉送到其他醫院,最終醫院支付了攻擊者贖金後才得以重新存取資訊網路系統。這次事件雖然不能算是一次真正的 DDoS攻擊,但卻是一起顯著的針對資訊網路系統「可用性」的攻擊行為。

2016年 4 月,Lizard Squad 組織對暴雪公司(Blizzard Entertainment)[5]伺服器發起DDoS攻擊,包括「星際爭霸2」、「魔獸世界」、「暗黑破壞神3」在內的重要網路遊戲離線,玩家無法登錄系統,對公司提供的服務產生巨大的影響[3]。

2016年9月,安全研究機構 Krebs on Security[6] 遭遇 Mirai 攻擊,當時被認為是有史以來最大的一次網路攻擊事件之一。然而沒經過多久的時間,法國主機服務供應商OVH [7]也遭到了兩次攻擊,肇事的罪魁禍首依然是 Mirai。據悉,Krebs on Security 被攻擊時流量達到了665GB,而OVH被攻擊時總流量則超過了1TB。Mirai 是一個十萬數量級別的殭屍網路,由網際網路上的IoT設備所組成。攻擊者通過猜測IoT設備的預設帳號及密碼進而控制系統,將其納入到Botnet中,在需要的時候執行各種惡意攻擊,包括發起DDoS攻擊,對網際網路造成巨大的威脅。

2016年10月提供動態DNS服務的Dyn DNS [8]遭受大規模的DDoS攻擊,攻擊主要影響其位於美國東區的服務。此次攻擊導致許多使用Dyn DNS服務的網站無法提供正常服務,其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和Shopify,攻擊事件甚至導致這些網站一度癱瘓。

接下來再檢視一下2017年截至目前為止,台灣及世界有關DDoS攻擊事件的訊息摘要如下:

2017年1月台灣股市封關之後,有證劵商在年假期間就出現了第一起的DDoS攻擊事件,2月股市開市後部分證劵商在開盤後即遭受DDoS攻擊。攻擊者大都挑選早上8點和10點之間的時段,鎖定券商發動洪水式DDoS攻擊。攻擊對象呈現隨機,造成證券商網站下單系統無法提供正常的服務,而駭客勒索最多10個比特幣,並揚言不付款將進一步發動Tb等級攻擊,駭客主要是利用NTP攻擊這些證券商的服務系統,少部分還會利用其他服務協定發動攻擊,如SNMP、TFTP,這是台灣史上第一次券商集體遭受DDoS攻擊勒索的事件,給予我們極大的震撼[10]。

美國聯邦通信委員會(Federal Communications Commission, FCC)預計要在今年5月投票廢除在歐巴馬總統時代提出的網路中立政策,該政策規定ISP業者應該平等對待網路上的所有資料,不應根據不同的使用者、內容、型態、網站、平台、通訊模式,或設備而有差別待遇。這項川普總統想要推行的政策使得FCC網站於5月8日遭到了DDoS攻擊,顯示DDoS攻擊的針對性[11-12]。

法國在2017年5月7日完成新任總統的選舉,5月10日提供網路流量管理服務的內容遞送網路業者Cedexis遭受DDoS攻擊,發生包括費加洛報(Le Figaro)、世界報(Le Monde)在內的多家媒體,網站無法正常連網的事件。Cedexis表示,遭受特殊且複雜的DDoS攻擊,導致該公司服務的部分網站發生大規模斷線狀況 [13-14]。

卡巴斯基實驗室發現,目前有Win32環境的伺服器,成了Windows版殭屍網路Mirai的散佈者,其中有些是中文系統的主機,甚至將主機部署在台灣,用以竊取中國IoT設備製造商的程式碼簽署憑證。Windows版Mirai主要感染對象是採用Windows作業系統的IP攝影機、DVR、家庭媒體和樹莓派(Raspberry Pi)裝置。Windows版Mirai利用了Telnet、SSH、WMI、SQL injection和IPC等技術,來入侵Windows裝置,比原來Mirai木馬的感染方式更多元[15]。

從1988年Morris網蟲DDoS攻擊的首次出現,迄今已經過了數十年,近年來病毒及惡意程式逐漸低調銷聲匿跡的同時,DDoS攻擊卻成為網路攻擊者最常用的攻擊模式,其中最主要的原因就是因為DDoS攻擊可以用合法掩護非法,利用網際網路協定的弱點及企業必須開放網路應用服務,而發動大量且難以辨識的攻擊封包。DDoS攻擊的主要型態有四種:流量攻擊、非對稱式攻擊、資源消耗攻擊,以及漏洞攻擊。每一次DDoS攻擊並不一定只有一種類型,多樣變化難以捉摸是其特色。根據 Incapsula調查報告,企業受到DDoS攻擊所需付出的實際代價,預估成本每小時為4萬美元,此外公司可能也需要負擔非財務面的無形成本,例如:失去客戶信任、智慧財產損失、惡意程式感染、硬體更換,以及在DDoS攻擊之後發生資料外洩與客戶資訊遭竊取的風險[16]。

有關DDoS的防護機制,首先在企業端是持續修補資訊安全弱點,增加攻擊者的難度及成本。企業進一步可以運用防火牆、IPS及WAF等防護設備,建構一個整合式安全防護系統,但客觀的來看這樣的防護機制,可能會增加系統架構的複雜性和安全事件處理的延遲度,同時可能在網路中增加故障點。因此有資訊安全廠商推出如圖2所示的智慧型DDoS防護統一技術平台,它是一種動態多層次的安全解決方案,可以防護網路不同層級的DDoS攻擊,降低企業資訊技術人員必須維護複雜防護系統及設備的人力及成本。

而Neustar在2017年5月發佈第一季全球DDoS攻擊報告中顯示,受訪的1010個組織,有84%的組織表示曾受到DDoS攻擊,其中45%的攻擊流量超過10Gbps,15%超過50Gbps[18]。針對DDoS如此龐大的攻擊流量,除了企業本身的安全防護機制之外,也必須有ISP的共同協助才能獲得最佳的安全防護時機及阻絕DDoS攻擊的致勝地點。目前ISP於骨幹網路,如圖3建置DDoS防禦設備,並設計開發多層次DDoS防護機制, 透過攻擊流量分析及主動偵測防禦機制,可以直接有效阻擋大量DDoS攻擊封包,防止攻擊封包耗盡企業頻寬,協助企業減緩DDoS攻擊所造成之網路壅塞情形。從網路骨幹防護DDoS攻擊,並配合資訊安全營運中心SOC全天候持續不間斷的資訊安全監控平台,能即時監控全球網路環境的變化,一旦發現有異常流量,便立刻進行分析與做出防護決策,才能有效顯著防護DDoS攻擊。

針對未來DDoS為網路攻擊常態的發展趨勢,建構更有深度及廣度的聯防機制是必須發展的方向,因此不僅企業與ISP的合作,ISP及ISP間的多方聯防體系的建立,要做好網路安全防護,資安事件處理時需要更透明、更即時、更全面,以及更智慧化。防護系統能夠提供多層次DDoS安全防護,以全面抵禦L3-L7攻擊,甚至達成料敵機先,決戰境外的廣域聯防體系的建立,網路流量清洗即時防護機制,這樣才能讓企業保有穩定的網路服務,提升整體競爭力。

參考資料:
1.阻斷服務攻擊,Wikipedia 2.年末了,盤點2016年最嚴重的7起DDoS攻擊事件 3.The 10 biggest security incidents of 2016 4.Hollywood Presbyterian Medical Center 5.Blizzard Entertainment 6.Krebs on Security 7.OVH.com 8.Dyn DNS 9.Update: Timeline of the Massive DDoS DYN Attacks 10.iThome,臺灣史上第一次券商集體遭DDoS攻擊勒索事件 11.Federal Communications Commission website suffers DoS attack 12.iThome,FCC網站遭網路中立支持者灌爆, FCC:我們被DDoS攻擊了! 13.French Websites Knocked Offline in Cyber-Attack on Cedexis 14.iThome,法國剛選完總統,媒體就遭DDoS攻擊一度掛點 15.iThome,500臺Mirai木馬主機專攻Windows設備,臺灣境內也有主機淪陷成幫兇 16.Incapsula Survey : What DDoS Attacks Really Cost Businesses 17.智慧型DDoS防護統一技術平台 18.May 2017 Worldwide DDoS Attacks Cyber Insights Research Report 19.ISPDDoS進階防護服務
當期電子報
透過電子報,隨時了解來自世界各地的網域資訊!
訂閱電子報,請輸入email: