- 積分
- 470
- 最後登入
- 1970-1-1
- 閱讀權限
- 40
- 積分
- 470
- 帖子
- 精華
升級
24.29%
|
本帖最後由 z24374203 於 2013-1-14 19:41 編輯
作者:編輯部 -01/10/2013前期文章中已為讀者談到DDoS的種類與攻擊手法,但對企業來說重點還是在如何維持網路的正常運作,所以本期將接著介紹DDoS攻擊的解決方案。在進入主題之前,不少人會有一個疑問就是:「DDoS攻擊由來己久,許多像UTM、IPS這類的網路安全閘道設備,甚至是一些低階的防火牆都宣稱有防禦DDoS攻擊的功能,難道都沒用嗎?」
具備DDoS阻擋功能的產品為何沒用?
要討論為何這些號稱具有DDoS功能的網路設備為何無法達到應有的效果前,我們得先將DDoS攻擊分為網路前端與客戶端兩邊來看。網路前端指的就是企業所申請ISP業者的線路,除非是遭到企業內部僵屍電腦所發動的DDoS攻擊,否則DDoS的攻擊流量應該(也只能)從ISP業者提供的網路而來,所以我們先了解當ISP業者發現其客戶遭到DDoS攻擊時會有什麼反應?
遭DDoS攻擊時,ISP業者所採取的自保方式
有些人會以為,ISP既然提供網路連線服務給企業,如果客戶遭到DDoS攻擊,暴增的網路流量不但會增加ISP業者的負擔,也會影響到其他客戶的網路服務,所以理所當然會對DDoS攻擊做一些基本過濾的工作。事實不然,ISP業者只是販賣頻寬服務給企業,而無論是像DDoS或病毒的過濾偵測等工作,都會增加ISP業者營運成本的負擔,而且監控用戶的網路流量也可能會有侵犯隱私的疑慮,所以一般情況下ISP不會針對客戶網路流量做任何的阻擋過濾,而會把這些威脅的檢測視為是一種資安加值服務。
中華電信數據通信分公司資訊處四科二股許嘉益表示,當企業遭到頻寬式DDoS攻擊且大到會影響其他客戶時,就會採取一些措施以維護其他客戶的權益。舉例來說,一個承租50M網路頻寬的企業,在遭受到1、2G的網路攻擊而塞爆ISP業者網路頻寬時,為避免影響其他企業客戶的網路,中華電信會先調整遭攻擊IP的路由,將被攻擊IP的網路流量導引到一些流量負擔較小或是做為備援的網路骨幹上。
如果情況還是沒有減緩的話,便會將此IP位址移到DDoS隔離區中,進行更嚴格的QoS頻寬管制。雖然這時企業網路服務還在,但因為有限的頻寬已被多數的異常流量所佔據,也會造成企業網路服務的異常。如果情況依舊的話,最後中華電信可依照與客戶簽訂的網路服務合約,當客戶遭受攻擊而嚴重影響其他用戶時,在通知客戶後採取Blackhole方式停止提供被攻擊目標的網路服務,以確保其他企業客戶的網路不受影響。
但Check Point台灣區技術顧問吳炳東認為,這種從頭端直接切掉網路連線的方式雖然能截斷攻擊來源,但受害企業的網路同時也無法對外連結,所以上述做法只能算是ISP業者為了確保其網路的正常運作所採取的應變措施,並不算真正的DDoS解決方案。
客戶端設備無用武之地
中華電信數據通信分公司資訊處科長游峯鵬則提到,像這種針對網路頻寬的流量式攻擊還沒到客戶端的設備前,光在ISP線路上就已被激增的網路流量擠爆癱瘓,客戶端有再好的設備也無用武之地。Nexusguard高級研究員謝輝輝直接表示,如......《未完》
|
From
http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=7299
|
|