根據遠傳電信觀察到的趨勢,在2015年下半年,就已經出現100Gbps的DDoS攻擊流量,只不過,去年只是偶發事件,預計到2017年,這種上百Gbps的DDoS攻擊,將可能常為常態。

圖片來源: 

遠傳電信提供

或許對很多臺灣的產業而言,包括遊戲業、博奕業等娛樂產業,DDoS(分散式阻斷式攻擊)已經是從十多年前就必須認真面對的營運風險,一個不小心,一個DDoS攻擊就可以癱瘓該公司的網站服務,一旦網路服務中斷,就表示該公司的營運受到影響,也會影響到公司後續的營運。

即便有不少臺灣公司對於DDoS攻擊並不陌生,但是,在今年下半年卻可以發現,DDoS攻擊已經有不同型態,尤其是攻擊流量之大,超乎許多人的想像。

舉例而言,法國OVH公司遭到1.5Tbps的DDoS攻擊流量,開了大家眼界;隨即而來,在十月份,駭客也透過操控全球的網路監視器,針對美國DNS網域伺服器業者Dyn發動DDoS攻擊,攻擊流量也高達1.2Tbps。上述的攻擊行為,都讓許多人驚覺到,Gb級的DDoS攻擊已經不夠看了,未來Tb級的DDoS將可能是主流。

但是,根據遠傳電信以及子公司數聯資安過去一年對於DDoS攻擊的觀察,以臺灣而言,Gb級的DDoS攻擊出現在2015年下半年,但是到2016年逐漸成為攻擊主流,平均攻擊流量30Gbps~50Gbps,預計2017年DDoS平均攻擊流量可望倍數成長到100Gbps;至於主要受攻擊的產業,也會從傳統的遊戲業、博奕業,轉到下一波的直播網紅業者。

網路第7層DDoS攻擊變多,留意閘道端設定Bypass的資安風險

目前DDoS攻擊最常看到的攻擊型態,主要是以OSI第3層網路層、第4層傳輸層,以及第7層應用程式層的攻擊為主,遠傳電信企業產品服務管理處經理施文政表示,以往多以網路層和傳輸層的攻擊為大宗,因為,通常只需要有足夠的金錢、購買足夠的傀儡網路(Botnet)發動DDoS攻擊,就可以癱瘓鎖定目標的網站服務。

但是近年來,他也觀察到一個趨勢就是,開始有許多駭客以攻擊應用程式層為主,除了中國有出現越來越多這樣針對應用程式的DDoS攻擊事件外,臺灣則陸續傳出,有金融業遭遇這類以應用程式層為主的DDoS攻擊;另外若是遊戲業者,在手機端的遊戲業者仍以網路層和傳輸層的DDoS攻擊為主,若是現在熱門的網頁遊戲,也有越來越多以應用程式層的DDoS攻擊為主。

不過,長期觀察臺灣DDoS攻擊演變的數聯資安產品行銷部產品經理顏懋仁則特別提醒,他們近期觀察到一個特殊的現象,那就是,駭客針對特定產業,例如金融業發動DDoS攻擊時,有些時候看起來像是一波又一波的攻擊,有些時候,駭客只有攻擊1小時後便收手,有許多資安人員常常會誤以為,這只是一波短暫的DDoS攻擊而已,攻擊結束就以為事情就結束了,反而掉以輕心。

實際上,顏懋仁表示,他們發現有一些金融業者在經歷這種「短暫」的DDoS攻擊後發現,許多在網路閘道端的設備,像是IPS因為無法承受DDoS攻擊,設定便直接跳掉,變成Bypass模式,而駭客便利用這個閘道端防護設備,無法發揮應有的防護功能之際,趁機植入惡意木馬程式等等。

過往,許多企業在面對DDoS攻擊之後,往往只想著怎麼儘快讓線上服務恢復正常,通常不會意識到,有防護設備因為短暫的DDoS攻擊造成設定Bypass跳掉,而這樣的時間點就讓駭客可以甚機植入一些惡意或木馬程式,達到進一步入侵使用者電腦的目的。

直播和網紅匯集人潮和錢潮,是下一波DDoS攻擊鎖定對象

臺灣過往最認真面對DDoS攻擊的產業,其實就是遊戲業和博奕業,但是,遊戲業遭到的DDoS攻擊,有很多也是因為同業之間的競爭,透過跟駭客下訂單,針對同業發動DDoS攻擊的方式,只要同業的遊戲無法提供服務,更多沒有忠誠度的玩家們,就會再去選擇服務沒有中斷的遊戲業者玩線上遊戲。這樣,發動DDoS就可以順利達到他們的目的。人潮所在就是錢潮所在,只要有利可圖,就可能是駭客鎖定DDoS攻擊的標的。

但是,施文政表示,隨著各種直播App和網紅的興起,這種類似遊戲業的特性,也成為臺灣下一波DDoS鎖定的對象。他進一步解釋,現在的直播和網紅,特點不在於這些受歡迎的網紅,出現在哪一個直播平臺,只要網紅出現的平臺,就是人潮聚集的平臺,也就是錢潮匯集的平臺。

既然網紅直播的性質類似遊戲業者,除了具備娛樂的特性,當然免不了同業競爭。目前看來,臺灣各家直播平臺在使用上的差異其實不大,甚至於,除了少數特定的網紅外,各家直播平臺甚至都有具備類似特質的網紅。

網紅最重要就是要受歡迎,許多直播平臺也會提供類似儲值方式,讓網友們可以針對心儀的網紅送花或提供類似的獎勵措施,讓網友們可以以實際的方式,表達他們對網紅的支持。

「粉絲們並不在意網紅出現在哪一個直播平臺,」施文政坦言,因此,和遊戲業一樣,出現同業競爭甚至是發動攻擊、癱瘓直播網路服務的情況,也在預期之內。

例如,某個受歡迎的網紅出現在A直播平臺,其他競爭同業也會透過發動DDoS攻擊,癱瘓A直播平臺後,其他的BCDEF......等平臺,就可以跟這個受歡迎的網紅,重新談定合作關係,只要粉絲們知道網紅接著會出現在新的直播平臺,聚集足夠的人潮後,粉絲們儲值鼓勵網紅的獎勵方式,也同樣對直播平臺的營運有加分,可能會以和網紅拆帳的方式,鼓勵網紅的受歡迎,也同樣對直播平臺營運有正面效益。

施文政表示,臺灣的一些直播先驅業者,其實都已經有意識到,他們可能遭到DDoS攻擊的可能性,因此在相關的DDoS的防護上,不論是閘道端的資安防護設備,甚至是和ISP網路業者端採購的流量清洗服務等,是早就做好萬全準備的。不敢說,當這些直播先驅業者遭到DDoS攻擊時,一定可以完好無缺的倖免於難,但相較於其他毫無意識有遭到DDoS攻擊可能性的產業而言,這些直播先驅業者,早就已經對這種可能會癱瘓網路服務的DDoS攻擊,做好事先防範措施了。

每間企業都可能遭到DDoS攻擊,心中都應該有一套面對攻擊的劇本

資安專家劉俊雄就曾經指出,DDoS其實從開始出現到演變到今日,已經是快20年的老問題了,但是,攻擊手法最明顯的差異就是,攻擊流量越來越大,從早期只要幾Mbps的攻擊流量,就可以癱瘓一臺主機、一個網路服務,慢慢升級到要幾十Gbps甚至是幾百Gbps的攻擊流量,到現在,甚至出現1Tbps的攻擊流量。

但即便攻擊流量越來越大,劉俊雄認為,攻擊手法卻依舊大同小異,仍然是以網路第3層網路層、第4層傳輸層以及第7層應用層式層為主要的攻擊方式。他也以開店為例,把店門口及前方道路視為網路出入口及上游,店裡設施和走道空間視為基礎建設,把結帳櫃檯視為應用程式系統的話,所謂的L3攻擊,就是一群人衝到店門口堵住門和馬路;L4攻擊就是一群人塞爆店裡的走道和空間;L7的攻擊就是一群人假裝結帳,癱瘓櫃檯。

近期剛發生的DDoS攻擊事件,就是前兩天歐盟委員會( European Commission)的官網,遭到DDoS攻擊,網站服務中斷數小時就已經恢復,目前也由歐盟CERT進行相關的調查和處理。

但是,以目前臺灣的網路攻防能力來看,臺灣企業是否有能力處理DDoS攻擊呢?劉俊雄認為,以目前臺灣為例,只要遭到10Gbps的洪水流量攻擊,10Mpps的SYN洪水攻擊,或者是每秒1千萬次的DNS查詢、HTTP請求或者是SSL連線等,甚至把上面的攻擊數據再減少為10分之1,臺灣企業都不見得有能力可以擋住。

劉俊雄表示,臺灣因為電信等基礎網路建設普及,有許多對外連線的網路接口,即便遭到大規模的大流量DDoS攻擊,還有可能免於因為網路癱瘓導致網路鎖國的狀態。

但他也坦言,目前臺灣許多ISP業者針對遭到DDoS攻擊的客戶,即便這些客戶都有另外購買流量清洗的服務,一旦超出ISP業者可以承受的處理範圍,ISP業者會以黑洞(Black Hole)的方式處理這個遭到DDoS攻擊的客戶,讓這個客戶IP路由導入黑洞,無法由外部存取到,藉此保全ISP業者其他客戶的安全性。

「不管是誰,第一次遭到DDoS攻擊時,面對這種打帶跑的攻擊形式,受害者往往是束手無策。」劉俊雄認為,多數有能力處理DDoS攻擊的業者,也都是從多次的受害經驗中,慢慢找出因應之道。不過,只要每個人、每間企業都能有意識到,每個人都有可能遭到DDoS攻擊,慢慢推演出一套因應DDoS攻擊的劇本,都有可能大幅降低DDoS對企業和使用者帶來的衝擊。

 


Advertisement

更多 iThome相關內容