探究早期分散式阻斷服務(DDoS)攻擊動機,多起源於政治事件,幾年前逐漸出現質變,先是朝向線上遊戲、賭博網路等領域的業界競爭行為發展,少數業者委託外部組織代為攻擊特定同業,藉以癱瘓對手服務能量,可謂「買兇殺人」;時至2014年,坐擁大量個資,且從事金流相關服務的企業,例如銀行,開始淪為DDoS攻擊者鎖定之重點標的。
Arbor Networks台灣區總經理金大剛指出,2014年美國某知名銀行遭駭,導致逾8千萬筆個資外洩,堪稱舉世震驚的資安事件,當時DDoS的功能在於「聲東擊西」,透過以大量的使用者連線(Session)為基礎的攻擊,耗盡防火牆或IPS的狀態表(State Table),該銀行為了搶修而暫停「大門警衛」機制,使得早已潛伏在內的APT駭客,乘隙輸送大筆個資出境。
到了2015年,包括港臺多家銀行,甚或中國比特幣交易平台BTCC,紛紛遭受DDoS攻擊,然而型態再次出現變化,不再是過往政治事件、買兇殺人或聲東擊西偷資料,已變成「暴力討債」層次,DDoS淪為駭客勒贖比特幣的工具,揚言銀行若不從,便發動猛烈攻擊以癱瘓金融服務,讓銀行蒙受巨大營收與商譽損失。
對抗DDoS勒索 不能只冀望雲端清洗
金大剛預期,展望2016、2017兩年,DDoS勒索事件勢必頻繁上演,只因以往發動APT攻擊、偷偷摸摸盜取資料,只能算是隱形威脅,如今藉由DDoS直接打到家門口,則是清楚可見的危機、災難,企業更加有感,願意支付贖金的機率不小,再加上以比特幣為支付工具,也有助於隱匿蹤跡,對駭客可謂成效顯著、風險偏低的取財之道,自然食髓知味。
更可怕之處,在於此類DDoS型態同樣以反射放大攻擊為主,表面看來僅是不足為懼的微量封包,意在耗盡資安設備的狀態表,算是一種「透明無味」的攻擊手法,反觀雲端清洗中心(Clean Pipe)提供的流量清洗服務,卻僅擅於攔阻頻寬攻擊(Volumetric Attack),恐無法偵測這些細小的有害物質;換言之,金融業者欲藉由雲端清洗服務尋求自保,似乎仍顯不足。
金大剛建議企業宜遵循Gartner倡議之Multi-Layer DDoS Protection概念,將自來水廠(雲端清洗)視為Nice-to-have的第二道防線,僅藉此對付洪水攻擊,至於更重要的第一道防線,則應託付予猶如「濾水器」的在地端DDoS防禦設備。以Arbor Networks提供的APS為例,其具備「無狀態表」獨門特色,無懼於狀態耗盡攻擊,面對不易察覺的Layer 7應用層攻擊,或夾帶Port Scan或Host Scan等任務的「探子馬」,都能明察秋毫,加以即時攔阻。
熱門新聞
2025-12-24
2025-12-26
2025-12-26
2025-12-26
2025-12-26
2025-12-29
2025-12-26