技術專欄
遭到 DDoS 攻擊怎麼辦?DDoS 攻擊常見的對象及類型有哪些?如何偵測網站遭遇 DDoS 攻擊,以及會有哪些徵兆?DDoS 攻擊會癱瘓網站正常的運作,使企業遭受巨大損失,本文將整理 5 個防禦 DDoS 攻擊的方法,讓企業了解如何事前防範以及當遇到攻擊時該如何抵禦應變!
DDoS 攻擊英文全名為 Distributed Denial-of-Service Attack,意思是分散式阻斷服務攻擊。DDoS 攻擊主要以製造大量網路流量惡意癱瘓使用者的基礎設施,使其資源耗盡並導致網站無法正常運作或服務完全下線,從而阻斷目標伺服器、網站的正常流量。為確保企業網路正常維運,就必須了解 DDoS 攻擊常見手法以及防禦手段。
Dos 攻擊英文全名為 Denial-of-Service Attack,意思是阻斷服務攻擊。Dos 攻擊透過單一的電腦,以一對一的方式製造大量惡意的流量使目標伺服器過載,進而讓網站癱瘓、無法正常使用,完成阻斷正常訪問流量的目標。
顧名思義,Dos 攻擊和 DDos 攻擊最大的分別是「惡意攻擊中的連線數量」。
阻斷服務 Dos 攻擊使用單一連線,亦即只透過單一機台進行惡意攻擊,形式上較為簡單,因此也較容易被防禦。
「分散式」阻斷服務 DDoS 攻擊使用多個連線來實施惡意攻擊,透過各種設定可以從多台電腦同時或分批進行,形式上更為複雜、多變,因此就現況來說 DDos 攻擊比 Dos 來得普遍。
一般來說,政府相關單位、新聞媒體業、金融機構、知名品牌企業等,因擁有較多重要的機敏資料或個資,使得這類型的網站較容易成為 DDoS 的攻擊目標。而當企業遭受 DDoS 攻擊時,不僅可能需支付龐大的勒索贖金,也會因為網站無法運作造成商業損失並影響商譽,甚至還須承擔法律責任。因此,企業有必要採取防護措施,才能減低阻斷攻擊所帶來的衝擊。
而 DDoS 攻擊的種類有很多形式,常見的主要有以下 3 種類型:
➊ 巨流量攻擊:是最常見的攻擊形式,主要是透過使用僵屍網路,消耗目標和網際網路之間的所有可用頻寬。
➋ 應用程式層攻擊:以每秒請求數為單位計算,針對目標伺服器產生大量的封包或請求,使其消耗大量資源以致系統癱瘓。
➌ 通訊協定攻擊:又稱作狀態耗盡攻擊,是利用通訊協定第 3 層和第 4 層的弱點,使目標無法存取,並佔用網路或應用程式伺服器,造成服務被阻斷。
當網站遭遇 DDoS 攻擊時,以下幾點徵兆可做為偵測依據。
網路流量莫名大幅提升,且來自同一個 IP 位址或範圍。
無法存取特定網站或任何網站。
網路效能變得異常緩慢。
網站或服務無法使用或遭中斷下線。
.jpg)
DDos 攻擊難以抵禦的主要原因,是它會將惡意流量偽裝成正常流量,且難以追蹤來源。因此,企業須了解當遇到攻擊時該如何防禦,才能將傷害減至最低。
讓攻擊流量先通過反向代理伺服器,再轉發到目標伺服器,讓目標伺服器不需顯示真實 IP 位址,使攻擊者難以針對性攻擊。
提高網站性能,使其能夠承受更高的流量和請求,當遭受 DDos 攻擊時可爭取危機處理及應對時間。
全方位配置防禦機制以阻擋 DDOS 攻擊,在攻擊發生時封鎖攻擊源 IP 位址,或限制相同 IP 位址的訪問次數。
防火牆針對的是資源消耗類型的 DDoS 攻擊,透過限流規則的設置,過濾並限制每個 IP 位址的最大請求數量,可防止單一 IP 位址的攻擊。
將網站內容快取到全球節點,透過 CDN 流量分流配置可分散異常流量和請求,拖延 DDoS 阻斷服務攻擊進入目標伺服器的時間,可避免或降低遭遇攻擊的威脅。
企業若不幸遭受 DDoS 阻斷服務攻擊,往往使企業損失慘重,不僅可能要面對巨額的勒索贖金,還會因網站服務停擺導致商業損失,並使客戶對企業產生負面印象。因此,做好有效的事前防範,強化資安防禦措施,將可使企業遠離攻擊威脅。
定期更新病毒資料庫及軟體版本,才能防範新的攻擊手法,以避免被感染病毒成為殭屍網路的一員。
隨時做好資料備份及備援,以保障企業資料安全性。
創建高強度的安全密碼可增加破解的難度,能防止被攻擊者入侵並利用它們進行 DDoS 攻擊。
定期進行漏洞掃描和弱點檢測,驗證當遭受 DDoS 攻擊時系統及流量的耐受程度,以便及時修補安全漏洞。
持續改善應變措施、提高對 DDoS 攻擊的識別能力。
.jpg)
流量清洗的運作原理在於識別與分析造訪流量行為是否正常,以阻擋潛在的攻擊流量。當系統偵測到異常流量時,會自動進行過濾或移除異常流量,再將安全流量導回目標伺服器,確保一般用戶可以正常造訪目標網站。
以 Akamai Prolexic 流量清洗為例,可以達到以下效果:
支援零秒緩解的 SLA
提供專屬 10 Tbps 高訪問網頁利用全球 36 座清洗中心,阻止攻擊流量抵達 ISP 端
全面託管式,隨時在線保護混合雲環境
Akamai Prolexic 流量清洗能配合客戶不同環境做整合,有效緩解DDoS 攻擊指令,曾阻擋超過 1.35 Tbps 攻擊,目前最大防禦量最大的攻擊頻寬是 1.44 Tbps 及 809 Mbps。
中信房屋在實踐 DDoS 防護戰績表現卓越:在疫情期間,中信房屋官網「線上影音賞屋」使用量呈倍數成長。然而,大量的外部網路爬蟲湧入爬取資訊,導致官網速度下降,影響使用者的瀏覽體驗。為了因應這些挑戰,中信房屋選擇了Akamai的解決方案,包括AAP和CDN服務,以提高官網的速度和保護免受DDoS攻擊。在概念驗證期間,官網經歷明顯提速,攻擊事件減少16.9%,網頁載入速度提升50%,徹底發揮 DDoS 防禦綜效,為中信房屋官網提供最優質的使用體驗。
更多邁達特 Metaage 協助企業抵擋 DDoS 攻擊案例:台中銀投信、藍新科技
DDoS 攻擊猖獗氾濫,影響金融業者的網路銀行性能、證券下單APP、線上投保等功能,身為金融業者的您,企業資安超前部署了嗎?
全台超過八成的金融業者導入 Akamai AAP (Cloud WAF + CDN )解決方案抵禦 DDoS 攻擊,唯一結合多種防禦、緩解 DDoS 攻擊技術的單一解決方案,符合金融業法規、評級最佳、SLA 100 % 的 CDN,金融業者資安神隊友。
Akamai 作為資安應用領導品牌,每天服務全球約 15~30% 的流量,在資安領域有豐富經驗。有關 DDos 攻擊,Akamai 提醒有三大重點不可不察:
無一倖免:過去 DDos 攻擊對象常為大型網站、遊戲或博弈產業,但近年包括金融、製造、高科技業都被列為攻擊目標。
無法復原:因台灣電信商對外頻寛有限,若被 DDoS 攻擊,ISP 會將 IP 拉黑,使其無法提供服務,即使購買新的硬體設備都無法復原。
多重攻擊:DDos 攻擊有兩種:1. 頻寬塞爆類型、2. 用封包數攻擊設備乘載量。近年趨為混合形,夾帶多重類型手法。
也就是說目前 DDos 攻擊有更加普遍、複雜的趨勢,因此預防勝於治療,事前防範、強化資安措施,遠比事後修復更為重要!
企業面對 DDoS 阻斷服務攻擊唯有增強資安防禦能力,並持續更新保護機制,才是有效防禦 DDoS 攻擊的唯一解決方案。針對 DDoS 攻擊,MetaAge 邁達特 推薦使用 Akamai 進行防禦與流量清洗,除了在 L7 的 AAP 可以進行網站 DDoS 的防禦外,在 L3/4 也有 7/24 全託管的 Prolexic 流量清洗服務。Akamai 網路安全服務具備以下 5 大優勢:
Akamai 已在全球部署了超過 40 萬台伺服器,高涵蓋率的防禦系統部署,可快速分析、定位和清洗攻擊流量,保障客戶網站的正常運行。
Akamai 可隱藏真實源站伺服器位址,以預防源站遭到鎖定,阻止攻擊流量進入目標系統。
Akamai 可以根據攻擊流量的變化自動調整防禦策略,提供企業所需的自適應的防禦機制,可適應不同的攻擊手段和形式。
Akamai 擁有強大的清洗能力,可以在短時間內清洗大量 DDoS 攻擊流量,有效降低客戶的網站遭受攻擊所帶來的損失。
Akamai 提供 24/7 全天候的監控和技術支援服務,可快速並即時解決客戶的問題。
Akamai 擁有足夠的大數據去分析目前最新的網路威脅,若您在尋找可靠的 DDoS 與網路安全方案,Akamai 將能提供全方位的強大保障。您可立即 線上填寫表單 與 MetaAge 邁達特聯繫,我們將有專人與您接洽說明,以儘速協助您保護系統安全,為您的企業做到全方位的資安提升!
