09/08 2023

DDoS 攻擊是什麼? 3分鐘了解的防護DDoS攻擊策略

DDoS 攻擊的四大防護守則

網路攻擊的事件頻傳,根據Check Point 的調查資料就顯示,2023年第一季全球約有三分之一 DDoS的攻擊事件就發生在台灣,居於全球之冠。更令人心慌的是,台灣各個企業組織平均每周受到外部DDoS 惡意攻擊的次數高達3250次,年增 24%。台灣的企業資安正處於高風險的狀態,再面對日新月異的網路攻擊,像是勒索病毒或惡意軟體攻擊,並要求以虛擬貨幣形式支付,若未有完善的資安防護規劃,迎來的便是資料外洩、系統遭癱瘓等後果。在科技發達的時代,企業不可不知的攻擊手法博弘雲端一次帶您掌握!

什麼是DDoS攻擊?

試想今天一間餐廳在晚間用餐時段已經無法再接待更多客人,然而突然接連有超過10組的客人爭先恐後要來餐廳用餐,想必店長與員工會因負荷不了因而無法提供完善的服務,甚至讓流程變慢。

DDoS 攻擊也與餐廳客人爆量的例子雷同!”

DDoS 攻擊全名為分散式阻斷服務攻擊(Distributed Denial of Service Attack),目的在於讓目標網站、伺服器或網路服務變得無法正常運作,導致對該服務的正常使用者沒有辦法取得訪問的權限。DDoS攻擊通常涉及大量的電腦設備或殭屍機器人偕同工作,由駭客進行控制,針對目標的伺服器與網站發送大量的網路流量請求,讓系統超載,造成服務中斷,進而對營運者造成損害。

就連大型企業也會受到DDoS攻擊的傷害,2023年6月,全球大型品牌微軟 (Microsoft) 發布聲明表示,旗下的Microsoft 365 辦公軟體 Outlook 與 Teams 曾在月初短暫當機超過兩小時,後續又出現長達半天的服務中斷,影響數以萬千的使用者;不僅如此,Azure 雲平台中的虛擬專用伺服器 (Virtual Private Servers, VPS),相當於AWS 中的 EC2,也因服務流量激增因而導致服務中斷。由此可見,網路攻擊是不分國界與企業規模大小的「進行式」。

DDoS 如何攻擊?

DDoS 攻擊具有四個特點,上述提到Microsoft Azure 遭駭客攻擊的例子就具備以下的特色:

分散式攻擊源

網路攻擊者通常使用大量受感染的設備或殭屍電腦來發起攻擊,通常這些設備是遍佈全球,讓網路攻擊者可以遠端控制,向目標電腦發送大型流量或請求。

高流量

DDoS攻擊通常涉及大量的流量,從數十兆位元組到數百吉位元組皆有可能同時攻擊單一系統,這樣的大流量會讓目標系統的寬頻和處理能力超出負荷範圍,進而無法正常運作。

多種攻擊向量

除此之外,DDoS攻擊更具備不同的攻擊向量,包括 SYN 洪泛,是向目標系統發送大量未完成的傳輸控制協定(TCP)連接請求;UDP 洪水攻擊,是向目標系統的使用者資料包通訊協定(UDP)端口發送大量數據包,壓垮系統的處理負載量能,或是 HTTP 洪水攻擊,模擬正常的HTTP請求,但在大量的連接和請求次數之下,讓伺服器無法正常回應。

攻擊長度和持續時間

DDoS攻擊者可以根據其目標選擇攻擊的持續時間,最後目的依舊是讓企業的系統應用癱瘓,進而長時間影響生意。

藉由多種的攻擊手段,以及長時間的攻擊量能,癱瘓企業的系統。根據Fortinet 的調查顯示,台灣政府機關在上半年每個月平均受到 3,000 萬次的境外網路攻擊。這樣高居全球之冠的「資安威脅」,該如何建立DDoS攻擊的防護策略,確保資安安全無虞呢?

DDoS 攻擊來勢洶洶 如何強化安全性?
DDoS攻擊是相當常見的手法,也是企業最易忽視的細節。

如何防護DDoS攻擊?

面對日新月異的攻擊型態,且DDoS攻擊是最直接影響不少企業生產系統的網路攻擊形式,防護策略就成為企業打造資安的首要任務:

流量分析和監控

企業在部署DDoS 攻擊防護時,可以先進行即時流量監控,以便能夠迅速偵測出異常的流量模式,同步使用網絡流量分析工具,可以讓企業抓出DDoS攻擊的特徵,像是有來自單一個IP地址發送大量的請求,讓惡意流量無所遁形。

使用防火牆和入侵檢測系統

優化防火牆設置是第二個關鍵,防火牆(Firewall)就好比家門口配置良好的密碼鎖,以限制不必要的流量進入企業生產環境,因惡意流量襲擊而造成破壞。除此之外,入侵檢測和入侵防禦系統(IDS/IPS)可以幫助檢測並過濾掉可疑的流量。

採用負載平衡器

DDoS攻擊是針對單一的伺服器或者系統進行高流量的襲擊,因此加裝負載平衡器可以將流量分散到多個伺服器,以防止單一伺服器被淹沒。負載平衡器除了能夠幫助檢測和阻止不正常流量,同時也能不讓遭DDoS攻擊而癱瘓的系統有流量進入,進而影響使用者體驗。

容量規劃和預備備份

在資安防護的概念裡,設計合適的頻寬和伺服器資源,以應對無預期的流量峰值造成系統不穩,除此之外,定期備份資料,以避免DDoS攻擊來臨時,重要資料遺失,造成無法挽回的情形。

AWS提供哪些防護DDoS攻擊的解決方案?

傳統上,若是在地端的環境設計相關資源,對中小型企業來說不外乎是一大挑戰,首先是在設備配置上,留存過多的資源將會造成成本上的負擔。因此在公有雲端環境上的彈性與安全優勢,能夠給予使用者最佳的保障。從上面我們看到,在「官網」與「SaaS軟體」這兩個是最容易受DDoS攻擊的系統,該如何藉由公有雲的力量,防護DDoS攻擊?AWS提供了完善的解決方案,讓企業能在網路應用程式上設計簡單又具彈性的防護DDoS攻擊架構:

AWS雲端架構上的DDoS攻擊防護架構
藉由AWS架構設計,提供企業在DDoS攻擊上的保護。

從上圖便可瞭解到,AWS Shield是AWS原生的DDoS保護服務,免費提供自動檢測常見的網路攻擊的服務。而在這張架構圖中使用的是AWS Shield Advanced,則提供更高級的保護和攻擊可視性,藉由從網路存取層(NACL)來評斷流量的可疑度,進而更靠近攻擊來源,當機立斷封鎖。除此之外,Amazon Route 53是一個域名系統(DNS)服務,可以幫助企業管理域名解析,保護 DNS 應用程式層攻擊。同時也配備Amazon CloudFront與ELB負載平衡,以協助防止DDoS攻擊,更能夠分散流量達到平衡。

面對日新月異的攻擊型態,博弘雲端的年度「資安高峰會」,將從各個資安事件的層面以及近期發生次數過多的DDoS攻擊為出發點,探討在雲世代下的資安戰略規劃。除此之外,博弘雲端更取得AWS資安認證,並在先前協助饗賓集團搬遷至AWS及資安架構的規劃,提升客戶資料的保障與隱密性。您也正苦惱於地端環境維護不易且資安具有一定程度的風險,卻又無法規劃安全的AWS雲端架構嗎?立即諮詢博弘雲端,讓您在網路攻擊猖獗的世代,仍能夠從容不迫地應對!

DDoS 攻擊資安事件延伸閱讀