馮志弘 趨勢科技資訊安全部⾨門Jonah Feng, InfoSec, Trend Micro Inc.

June, 2013

分散式阻斷攻擊(DDoS)防禦策略與經驗分享

DDoS Prevention:Strategy & Experience Sharing

內容

•瞭解DDoS•網路型防禦設備•內容遞送網路•流量清洗服務•雲端技術•強化服務體質

2

DDoS攻擊規模

• 2011年紀錄最⼤大規模的攻擊約達100 Gbps• 2012年紀錄最⼤大規模約達60 Gbps•⼤大約50%左右的攻擊低於5 Gbps，也是⼤大部份組織的防禦重點

*Prolexic Quarterly Global DDoS Attack Report Q1 2013

3

DDoS攻擊常⾒見類型

•攻擊來源可能為真實或偽造，兩者之防禦⽅方法不同•主要類型為針對網站服務的SYN floods及GET Floods•針對DNS服務的攻擊有上昇趨勢

*Prolexic Quarterly Global DDoS Attack Report Q1 2013

4

網路型防禦設備

•通常部署在網路前端，•根據內建的攻擊模式，篩檢過濾有害封包，僅允許正常流量通⾏行

•對於特定型態攻擊模式相當有效，如⼩小規模的SYN flooding，或針對特定系統弱點的攻擊。但對於⼤大流量的攻擊幾無抵抗能⼒力

•可依網路或應⽤用服務協定做總量管制•除防禦功能外，另可提供監控警⽰示作⽤用

5

•不是設計⽤用來做為安全防禦技術，但對DDoS攻擊⾮非常有效 (Web或FTP服務)

•原始內容由距離最近的edge servers代為傳送給訪問客⼾戶

•絕⼤大部份的攻擊流量落在edge servers，僅⼩小部份會回流⾄至origin server (個⼈人經驗約為10%)–增加資料逾期時間以減少回流量

內容遞送網路(Content Delivery Network)

6

流量清洗服務 (Traffic Scrubbing Service)

•當攻擊發⽣生時，調整路由透過服務業者過濾DDoS攻擊封包•考量重點

–服務啓動⾨門檻與時機(⾃自動或⼿手動)–業者保證反應時間–網路延滯時間、誤判、服務適⽤用性等–執⾏行功能測試及壓⼒力測試，具體評估可⾏行性及適⽤用性–業者是否供應⾜足夠容量(under-provisioning)

•可考慮上游ISP業者提供的清洗服務–減少路由切換時間

7

雲端技術(以亞⾺馬遜AWS服務為例)

•以Route53建⽴立DNS服務–更⾼高的可⽤用性及可靠度–可在多個網站間做DNS負載平衡 (weighted round-robin)

•利⽤用EC2虛擬主機建⽴立主網站或多個備援網站–備援網路

•⼩小型的全球內容遞送網路CloudFront–全球約四⼗十個投送點

•利⽤用IAM和security groups加強網路資源存取安全管理•優勢

–Pay as you go、彈性架構、⾼高度擴充性和可靠度、安全性

8

強化服務體質

•健全強化的服務環境是所有安全防護的基礎•考量重點

–提昇DNS服務安全–落實業務永續規劃及災難復原演練

•異地備援(在此指服務⽽而⾮非資料備援)、hot/warm sites規劃設計–多重網路出⼝口(雙資料中⼼心、第⼆二ISP、雲端備援)–與上游業者建⽴立緊急連繫管道，許多安全過濾要靠雙⽅方協⼒力達成–切實執⾏行弱點補強作業及系統效能調校–安全監控及緊急應變程序

9

建議

• DDoS防禦不可寄望於單⼀一⽅方案•所有安全防護技術必須以良好的基礎服務架構為根基•委外服務可為其他選擇並⾏行，但切勿成為惟⼀一⽅方案

10