2012年8月13日 星期一

伺服器離奇死當?當心是DDoS 2.0作祟所致!


伺服器離奇死當?當心是DDoS 2.0作祟所致!

假設你是某企業的IT人員,哪天發現Web伺服器效能變差,同時開始接獲少許無法連線之客訴,在當下,你可能不以為意完全沒有作為,或者認定是伺服器出了問題,經查無異狀後任由其繼續照常運作。

但漸漸的,Web伺服器反應愈來愈遲鈍,連線異常的頻率也愈來愈高,終至完全停擺,此時就算重新啟動主機,也等於是苟延殘喘,要不了多久,又再度離奇死亡。你萬萬想不到,原來這竟是分散式阻斷服務(DDoS)攻擊惹的禍!但奇怪的是,它並非以瞬間流量異常爆衝的方式,讓伺服器一刀斃命,而是不著痕跡的慢性處死,這也算是DDoS?

答案是肯定的,它就是DDoS,但已經不是你所熟悉的「DDoS 1.0」,而是「DDoS 2.0」!此類攻擊並未挾帶龐大流量,Session數也不高,無立即性致命危機,然而正因為它過於低調內斂,不會像猛獸般佔爆頻寬,所以一般入侵防禦系統(IPS)根本無從察覺,不可能在第一時間予以攔阻,只得任由DNS、Web或其他應用伺服器遭受攻擊,接著就猶如罹癌的病患,一步步走向生命終點。此乃DDoS 2.0攻擊的可怕之處,舉凡「Low-and-Slow DDoS」、「Application Layer DDoS」,儘管名詞有所不同,但指的都是這件事。


Check Point DDoS Protector資安設備系列抵禦阻斷服務攻擊。

所謂DDoS 2.0,追根究底,主要是鎖定若干結構性缺失,繼而發動異常的連線請求,一步步把服務主機給癱換掉。依照正常情況,當Client端向Server端提出連線請求後,Server端就會在一段時間內加以回應,等到Client端再回覆確認訊息後,如同有了三次握手,才會建立完整的TCP連線;然而DDoS 2.0卻運用一些看似合理的竅門,咬住回應時間的極限值,硬是不完成第三次握手。

麻煩的是,雖然Client端遲未做出最終確認,但透過每回Timeout的間歇性回應,便會讓Server端有所錯覺,認為對方沒死、還依然健在,因此不會斷然將之丟棄,而會繼續重試,苦苦等待Client端完成確認。倘若駭客兵分多路,在同一時間,針對相同的攻擊對象,發動多個異常的連線請求行為,就好比同時間有大量電話湧入總機系統,把線路佔得滿滿的,後果如何,自然可想而知,等到這台伺服器的服務資源一點一滴被消耗殆盡,無法繼續處理正常的TCP連線請求,就唯有走上死亡一途。

或許有人質疑,縱使伺服器當機,再重新開機不就死而復生?但駭客絕不可能對其禁臠「憐香惜玉」,所以不管伺服器重新開機多少次,都可能難逃DDoS 2.0荼毒。企業可以忍受DNS、Web或其他應用服務陷入停停走走的惡性輪迴?尤其是靠著提供網路服務而維生的企業,譬如電信、電子商務或線上遊戲等業者,一旦遭受DDoS 2.0攻擊,將會背負多麼沈痛的損失代價?後果真是不堪設想!

這些低速DDoS攻擊,還有一個讓人頗感棘手的現象,即是它太容易被發動,有心人士只需透過網路免費取得攻擊工具,爾後不必費心學習操作技巧,就能透過GUI畫面快速上手,大肆搜括不同來源的IP,繼而製造大量的合理連線,以合法身分安然躲過任何IPS的偵查,朝著攻擊對象步步進逼,最終將系統服務能力完全摧毀。

為何IPS對DDoS 2.0無計可施?主因在於,它主要是根據流量進行管制,以往DDoS 2.0攻擊瞬間動輒佔據數個Gbps頻寬,如此招搖過市,當然難逃IPS法眼,但如今新型態DDoS攻擊輕薄短小,甚至吃不到10M頻寬,IPS還真的拿它沒輒。

有鑑於此,Check Point於日前推出DDoS Protector全新資安設備,一方面可協助企業抵禦傳統的流量氾濫式攻擊,另一方面,則可一併阻擋IPS力有未逮的應用層攻擊、低速攻擊,有能力揪出異常的連線請求,隨即加以隔離,使系統得以騰出正常的服務空間,徹底擺脫慢性死亡的陰霾。(本文由Check Point台灣區技術經理陳建宏提供,記者賴姿侑整理)

轉載自《DIGITIMES中文網》

沒有留言:

張貼留言