在美國東部發生大規模DDoS攻擊當天,也就是臺灣時間10月21日一早,中華電信數據通信分公司資安處處長洪進福就接到來自國安體系的詢問電話。
因為這起攻擊規模估計超過1Tbps,中華電信是臺灣最大的ISP業者,同時也維運政府骨幹網路以及學術網路,所以,連電信主管機關NCC及行政院資安處都很關心一個問題,如果這樣的Tb級DDoS攻擊一旦在臺灣爆發,臺灣是否有能力阻擋呢?
「若臺灣企業只靠自己沒有能力擋住Tb級DDoS攻擊,」不過,若臺灣企業真的遇到了這類攻擊,洪進福的答案是「可以」,但得透過多種手法和聯防來防禦。他解釋,單一企業擋不住必須尋求ISP業者協助,但就單一ISP業者面對如此這樣大規模的攻擊時,必須要做到區域聯防,就能擋住這樣大規模、大流量的DDoS攻擊。
阻擋Tb級DDoS攻擊,有賴上游清洗和下游阻擋機制
資安專家劉俊雄指出,面對DDoS攻擊,包括企業和ISP業者多數無法做到完全的防禦,大部分都從減緩DDoS攻擊的強度著手,要做到有效減緩,「上游就必須有流量清洗機制,下游則必須要有防禦機制去阻擋。」他說。
洪進福也同意這樣的觀點,他表示,中華電信本身則是採取多層次的縱深防禦機制,來防堵和抵擋這類的DDoS攻擊,可以根據攻擊來源和規模,選擇最合適的阻擋方式,包括:Border端可以採取境外阻絕和邊境管制的作法;Backbone骨幹端則可以採用境內管控;Edge端則做到DDoS隔離清洗服務。
洪進福進一步解釋,有些線路是從國外的ISP連進來臺灣,有些則是從國內的ISP線路連進來,國內的ISP線路就會透過臺灣網際網路交換中心(TWIX)連接,中華電信的線路就會去銜接這兩種國外和國內的ISP線路,並在銜接兩種線路的地方做防堵。
如果這樣的DDoS攻擊是從海外的ISP業者連進來,已經影響到臺灣像是海纜的頻寬使用,臺灣ISP業者可以利用遠端驅動工具,並且呼叫Tier 1的ISP業者進行聯防,把DDoS攻擊在境外阻擋完畢;有些時候,ISP業者也會利用Black Hole(黑洞)的機制,把遭受到攻擊的用戶IP路由導入黑洞,無法從外部存取到這個網站服務,藉此保全ISP業者其他客戶的安全性;如果這些DDoS攻擊影響到國內網路安全,ISP業者也會利用網路存取控制工具搭配邊境管制的手法,阻擋這些DDoS攻擊的封包影響臺灣的用戶。
有些時候,DDoS攻擊太大量時,境外阻絕或邊境控管阻擋不住,還是進到臺灣的網路骨幹,或者是攻擊是來自臺灣內部時,則可以進行骨幹內部的管控,透過限制頻寬的方式,將攻擊封包黑洞或者是把這些封包Drop掉。
洪進福表示,一旦這些DDoS攻擊已經兵臨城下,影響到用戶端的網路服務時,就可以透過DDoS隔離清洗的方式,把遭受攻擊的流量導入隔離清洗區,透過網路設備進行規則式攻擊流量的過濾,並分析一些惡意封包的攻擊行為模式進行阻擋,也可以限制連線數量並作攻擊分析,也可以透過客製化防護等措施,讓攻擊用戶網路服務的流量,可以大部分都被過濾掉,確保用戶網路服務的安全和穩定。
臺灣因為電信等基礎網路建設普及,有許多對外連線的網路接口,劉俊雄表示,即便臺灣不幸遭到大規模的DDoS攻擊,還有可能免於因為網路癱瘓,導致網路鎖國的狀態。
物聯網裝置成DDoS幫凶情況日益嚴重
從物聯網裝置的普及,以及惡意程式作者可以操控物聯網裝置的惡意程式Mirai開源釋出後,連帶使得這類物聯網裝置發動DDoS攻擊的事件增多,可以預期,「即便到2017年,這樣的物聯網DDoS攻擊規模和數量,絕對只會更多而不會減少。」洪進福說。
為了減少Mirai惡意程式或是其他殭屍網路程式對於IoT裝置威脅,已經有國家政府提供相關的準則,呼籲IoT製造商應該提高IoT裝置的安全性,像是美國政府已經在今年11月時,對外發表一份保護IoT策略準則(Strategic Principles for Securing the Internet of Things),藉此呼籲IoT生態體系業者,應該在設計、 生產及使用IoT裝置系統時,應該負起保障IoT安全的責任。
然而,洪進福認為,美國雖然有提出相關IoT裝置安全準則,但是沒有法令的規範,僅對IoT廠商呼籲是難以減少殭屍網路程式感染IoT裝置的威脅,而且,目前許多IoT裝置似乎沒有擁有自動韌體更新功能(簡稱FOTA),如果都沒有這些相關防護措施和規範,透過IoT裝置發動的DDoS攻擊還是會持續發生。文⊙黃彥棻、黃泓瑜