2012年9月3日 星期一

DDoS 2.0恐為煙幕彈 後頭的Botnet才是主角!


DDoS 2.0恐為煙幕彈 後頭的Botnet才是主角!

分散式阻斷服務(DDoS)沈潛多時,近兩年又開始以Low & Slow DDOS、Application Layer DDOS等新姿態現身,由此揭開「DDoS 2.0攻擊事件」序曲;它之所以難纏,在於行事風格頗為低調內斂,讓受害企業的DNS、Web或其他應用伺服器,一步步走向生命終點,在此之前,該企業甚至渾然不知大禍已然臨頭。

不免有人質疑,綜觀近幾年來各大資安專家的論點,最常聽聞的說法是,過去駭客發動惡意攻擊,一為炫技、二為成名,所以總是大張旗鼓地發動攻擊;但如今駭客則非如此,往往是接受委託、拿錢辦事,才會想方設法隱匿行蹤,以沈靜低調的方式攻進受害者網路,竊取機敏資料後揚長而去。

然而觀察DDoS 2.0攻擊型態,一樣屬於安靜無聲的緩攻格局,沒有瞬間異常爆衝之流量,亦未製造大量Session,甚至生怕別人發現行跡;倘若驅動攻擊的駭客,大費周章只為了癱瘓某公司服務主機,不存在任何利益動機,未免太讓人匪夷所思。

諸如此類的質疑或納悶,其實有幾分道理,因為DDoS 2.0攻擊挾帶的「唯利是圖」成分,實在不甚明顯,相較於現今其他惡意程式,著實有太多不尋常之處。

當然,駭客之所以這麼做,絕對不是想慢慢宰殺受害者的應用伺服器,更不是想提醒受害者,光靠入侵防禦系統(IPS)無法明哲保身,必須趕緊導入更適合阻擋DDoS 2.0的工具。因此合理懷疑,DDoS 2.0攻擊的背後依然包藏禍心,甚至在繞了一圈後,仍會串接到不當的牟利行徑。

如此說法,反倒更令人百思不解。所謂DDoS 2.0,乃是利用若干TCP協定的結構性缺失,接著發動異常請求,一點一滴將主機Service Buffer侵蝕殆盡,讓主機對外回應的能力歸零;觀察其行為模式,實與傳統DDoS攻擊多所不同,但兩者皆以癱瘓主機的服務能力為依歸,因此整段行為過程,的確看不出有盜取資料、伺機牟利的巧門。

沒錯!倘若只看DDoS 2.0,確實並非「取巧豪奪」的主角,但就算不是主謀,起碼也是幫兇,甚至是為惡程度不輕的共犯。看到這裡,大家理當嗅出若干詭譎氣息,因為背後疑犯,不僅止於單一攻擊,而是一群聯合攻擊兵團,DDoS 2.0不過是先遣部隊,實際執行闖空門任務者,極可能是尾隨在後的殭屍網路(Botnet)。

等到DDoS 2.0肆虐效果,逐漸由隱性轉為顯性,亦即伺服器效能不斷走低、當機頻率節節高升,此時受害者必然驚覺大事不妙,開始思索服務主機的復原大計,甚至研擬DDoS 2.0的攔阻對策,但是一切的一切,竟然只是製造干擾因素,逼使用戶分散注意力,緊接著,一些小Bot就趁亂悄然進門,準備執行下一階段任務。

更值得留意的是,台灣Botent氾濫程度高居全球第二,每隔3~5分鐘即可能新增一缸子受害者,這般產量,等同於歐美國家3~5天水準,差異之大令人咋舌;因此台灣企業遭受Botent感染的機會甚大,藉由DDoS掩護Botent之模式,可謂精心設計且結構紮實的劇本,不容企業掉以輕心。

面對險惡的複合式攻擊,企業應該如何防範?既然矛頭指向DDoS 2.0、Botent共犯結構,則企業不妨以子之矛攻子之盾,你採取聯攻,我就用聯防機制來堵你:面對DDoS 2.0,便透過類似「DDoS Protector」的解決方案加以攔截;面對Botent,即藉由近似「Anti-Bot」的軟體予以防護。

但只導入前述兩類單點式解決方案,顯然還不太夠,因為Botent併發症太多,必須借助防毒牆、防火牆與IPS等外力,一併加入聯防機制,才能壯大軍容,徹底斷絕駭客的後路。只不過,前面提到的幾種解決方案,假使出自不同廠牌,恐將淪於拼裝車,彼此難以互通訊息,亦無從發揮聯防成效,還可能因疊床架屋衍生一堆管理難題。

因此透過單一主控台,一舉指揮調度旗下各大戰將,聯防效果有了,報表與管理的連貫性,也跟著出現了,真的可謂一舉數得。 (本文由Check Point台灣區技術顧問吳炳東提供,記者賴姿侑整理)

轉載自《DIGITIMES中文網》