|
在美国东部发生大规模DDoS攻击当天,也就是台湾时间10月21日一早,中华电信数据通信分公司资安处处长洪进福就接到来自国安体系的询问电话。
因为这起攻击规模估计超过1Tbps,中华电信是台湾最大的ISP业者,同时也维运政府骨干网路以及学术网路,所以,连电信主管机关NCC及行政院资安处都很关心一个问题,如果这样的Tb级DDoS攻击一旦在台湾爆发,台湾是否有能力阻挡呢?
「若台湾企业只靠自己没有能力挡住Tb级DDoS攻击,」不过,若台湾企业真的遇到了这类攻击,洪进福的答案是「可以」,但得透过多种手法和联防来防御。他解释,单一企业挡不住必须寻求ISP业者协助,但就单一ISP业者面对如此这样大规模的攻击时,必须要做到区域联防,就能挡住这样大规模、大流量的DDoS攻击。
阻挡Tb级DDoS攻击,有赖上游清洗和下游阻挡机制
资安专家刘俊雄指出,面对DDoS攻击,包括企业和ISP业者多数无法做到完全的防御,大部分都从减缓DDoS攻击的强度着手,要做到有效减缓,「上游就必须有流量清洗机制,下游则必须要有防御机制去阻挡。」他说。
洪进福也同意这样的观点,他表示,中华电信本身则是采取多层次的纵深防御机制,来防堵和抵挡这类的DDoS攻击,可以根据攻击来源和规模,选择最合适的阻挡方式,包括: ?Border端可以采取境外阻绝和边境管制的作法;Backbone骨干端则可以采用境内管控;Edge端则做到DDoS隔离清洗服务。
洪进福进一步解释,有些线路是从国外的ISP连进来台湾,有些则是从国内的ISP线路连进来,国内的ISP线路就会透过台湾网际网路交换中心(TWIX)连接,中华电信的线路就会去衔接这两种国外和国内的ISP线路,并在衔接两种线路的地方做防堵。
如果这样的DDoS攻击是从海外的ISP业者连进来,已经影响到台湾像是海缆的频宽使用,台湾ISP业者可以利用远端驱动工具,并且唿叫Tier ?1的ISP业者进行联防,把DDoS攻击在境外阻挡完毕;有些时候,ISP业者也会利用Black ?Hole(黑洞)的机制,把遭受到攻击的用户IP路由导入黑洞,无法从外部存取到这个网站服务,借此保全ISP业者其他客户的安全性;如果这些DDoS攻击影响到国内网路安全,ISP业者也会利用网路存取控制工具搭配边境管制的手法,阻挡这些DDoS攻击的封包影响台湾的用户。
有些时候,DDoS攻击太大量时,境外阻绝或边境控管阻挡不住,还是进到台湾的网路骨干,或者是攻击是来自台湾内部时,则可以进行骨干内部的管控,透过限制频宽的方式,将攻击封包黑洞或者是把这些封包Drop掉。
洪进福表示,一旦这些DDoS攻击已经兵临城下,影响到用户端的网路服务时,就可以透过DDoS隔离清洗的方式,把遭受攻击的流量导入隔离清洗区,透过网路设备进行规则式攻击流量的过滤,并分析一些恶意封包的攻击行为模式进行阻挡,也可以限制连线数量并作攻击分析,也可以透过客制化防护等措施,让攻击用户网路服务的流量,可以大部分都被过滤掉,确保用户网路服务的安全和稳定。
台湾因为电信等基础网路建设普及,有许多对外连线的网路接口,刘俊雄表示,即便台湾不幸遭到大规模的DDoS攻击,还有可能免于因为网路瘫痪,导致网路锁国的状态。
物联网装置成DDoS帮凶情况日益严重
从物联网装置的普及,以及恶意程式作者可以操控物联网装置的恶意程式Mirai开源释出后,连带使得这类物联网装置发动DDoS攻击的事件增多,可以预期,「即便到2017年,这样的物联网DDoS攻击规模和数量,绝对只会更多而不会减少。」洪进福说。
为了减少Mirai恶意程式或是其他僵尸网路程式对于IoT装置威胁,已经有国家政府提供相关的准则,唿吁IoT制造商应该提高IoT装置的安全性,像是美国政府已经在今年11月时,对外发表一份保护IoT策略准则(Strategic ?Principles for Securing the Internet of Things),借此唿吁IoT生态体系业者,应该在设计、 ?生产及使用IoT装置系统时,应该负起保障IoT安全的责任。
然而,洪进福认为,美国虽然有提出相关IoT装置安全准则,但是没有法令的规范,仅对IoT厂商唿吁是难以减少僵尸网路程式感染IoT装置的威胁,而且,目前许多IoT装置似乎没有拥有自动韧体更新功能(简称FOTA),如果都没有这些相关防护措施和规范,透过IoT装置发动的DDoS攻击还是会持续发生。 |
|