還在網站家門前抵抗 DDoS 攻擊？連電信商也要合作的 Akamai 如何境外決戰 DDoS？

你何時第一次聽到 DoS 攻擊？事實上，打從第一隻蠕蟲被發明以來，使用的就是 DoS 手法。幾十年來，Web 與網路鋪天蓋地而來，DoS 攻擊手法也不斷進化成為 DDoS，規模也從數百 Mbps，擴張到數 Gbps，連用途目的也呈現多方面的發展。

顯然，企業主與網站站長們，再也難以在自家網站門口防禦海嘯般的 DDoS 攻擊，必須求助於境外網路的防護方案。但是，你們知道境外網路又是如何保證自己擋得住規模一波比一波龐大的 DDoS 攻擊嗎？Akamai 資訊安全總監 Michael Smith 接受本刊專訪，揭開 Akamai 發展網路安全防護的歷程與建議。

DDoS 成為數位惡棍的萬靈丹

由於 2011 年網路界開始盛行勒索型 DDoS 攻擊，從 2012 年開始，Akamai 發表了安全產品 KONA Site Defender，為所有在 Akamai CDN 服務上的網站提供安全保護。然而，從 2012 年到 2013 年，一場專門針對全美銀行金融機構進行 DDoS 攻擊的 Operation Ababil 如風暴般肆虐，因此 Akamai 資訊安全總監 Michael Smith 臨危受命，在 Akamai 安全中心成立了 CSIRT 計畫，向日益猖獗的 DDoS 宣戰。

CSIRT 計畫的主要兩大作用為：

• 根據前端安全裝置與服務所蒐集到的威脅情報，協助辨識駭客來源及惡意行為，並提供相對應的復原機制；
• 回應其他資安事件，加以分析後提出解決方案及復原機制。

換言之，CSIRT 計畫成為 Akamai 安全方案的第三道防線，在原有的 WAF 服務與 Kona Site Defender 之外成立了 CSIRT 代管服務，除了對資安事件發出警訊並加以分類外，若遇到未知的威脅攻擊也必須能夠回應緊急事件，平常也必須肩負起教育所有人員各種安全應變標準程序 (SOP) 的工作。

當 Akamai 安全代管服務每天蒐集並分析各種資安事件，擁有大量的資安威脅資料之後，2014 年 Akamai 開始試著將這些威脅資料丟到巨量資料 (Big Data) 系統去進行分析，所得到的安全資訊稱之為雲端安全資訊 (Cloud Security Intelligence, CSI)，協助 Akamai WAF 服務能夠蒐證並比對各種威脅活動，進而提升 WAF 系統的防禦精準度；另一方面，透過雲端安全資訊，Akamai 為全球曾存取過 Akamai CDN 網路的 IP 端點建立了 IP 信譽紀錄，每個 IP 均記載了 4 種分數－DDoS 參與、Web 漏洞、攻擊特徵與爬蟲 (Scraper)，來評斷該 IP 的安全威脅程度。

為何境外安全監控如此重要？

對單一企業來說，安全防護的重點在保護自己的網路系統與資料，卻因此欠缺偵測威脅攻擊的整體觀。舉例而言，2015 年初時曾發生一場 DDoS for Bitcoin(DD4BC) 攻擊，對目標網站發動持續 1 小時的 DDoS 攻擊，要求網站站長以 Bitcoin 支付勒索費才收手；而更早之前，同樣的犯罪集團則在美國與西歐地區也曾發動過類似的攻擊，隨後在澳洲、新加坡、泰國、香港等亞太市場的金融銀行與電商網站也傳出受害災情。

「透過 Akamai 的 KONA 服務與 CSI 分析，可以找出多場攻擊活動之間的關連，並找出其中的攻擊模式，」Michael Smith 解釋道：「全球型的攻擊活動會在不同的地區依序蔓延，可能從北美先開始，然後蔓延到西歐、澳洲或亞洲等地；另一種攻擊模式則是限定在亞洲，不會擴散到其他區域，通常這種亞洲限定的攻擊活動多半起因於某種愛國者活動，如越南、中國、菲律賓等南中國海地區國家之間的 DDoS 攻擊，屬於區域性小規模整合戰。」

DDoS 攻擊對台灣境內網路的影響？

面對這種國際級的大規模網路攻擊活動，台灣自身的網際網路該如何面對處理？

「目前台灣境內的網路連外頻寬約為 1.5Tbps，所有的電信商目前約只用到 1.2Tbps，因此還有 300Gbps 的緩衝空間可以應付從境外連進來的 DDoS 攻擊，」Michael Smith 表示：「但現今多數大規模 DDoS 攻擊的容量遠遠超過 300Gbps，因此台灣境內網路的網站若要阻擋來自境外的 DDoS 攻擊，很可能乾脆直接封鎖某些區域的所有 IP 連線，雖然降低了 DDoS 的威脅，卻也難免封鎖了無辜的合法連線。」

對此，Akamai 建議不要將 DDoS 攻防戰場放在台灣境內網路，而是透過 CDN 網路來應付因 DDoS 攻擊而暴增的流量，或是乾脆透過 BGP 協定將連線流量導引至流量清洗工具 (Packet Scraper Tools)，再透過 GRE 通道將清洗過的流量導引回原網站。

目前 Akamai 在日本、香港與澳洲等地均設立有清洗中心，而全球不少地方性電信業者也設立了清洗中心。電信營運商所建立的清洗中心其優點為可以個別處理遭受 DDoS 攻擊的 IP 目的流量，甚至可手動設定開啟或關閉某些來自特定區域 IP 的流量，直到攻擊結束。但缺點是電信營運商所能容納清洗的流量只能在電信商本身的 Peering 容量以內，偏偏許多電信業者的 Peering 容量有限，間接限制了清洗中心所能負擔的流量。

目前 Akamai 的雲端清洗中心的總容量為 3Tbps，有足夠的能力一次處理多個大型 DDoS 攻擊，

台灣企業又該如何選擇哪種 DDoS 防禦方案呢？

Michael Smith 認為，台灣企業的網站，在選擇 DDoS 防護方案時，首先要針對自身產業所受到的影響來進行評估，以金融業為例，應先分析有多少線上客戶來自海外，若比例不高，不如在 DDoS 攻擊發生時先行封鎖來自海外的流量，以待攻擊浪潮過去即可，對本地用戶的影響微乎其微；若是科技產業，可能許多客戶或供應商均來自海外，不能說斷就斷，那麼就建議採用境外網路處理的方式，例如 Akamai 的 Cloud WAF、清洗中心或 DNS 安全方案來緩解 DDoS 攻擊流量。

面對未來，Akamai 將遍地開花佈點攻防

過去，Akamai 扮演著專業服務供應商的角色，在全球銷售 CDN、安全、串流等服務，但這世界創新的腳步從未停止，競爭廠商也提出各種境外網路安全方案，例如來自加拿大的 Wedge Network 採取與電信營運商合作的模式，在電信商的資料中心建立安全營運中心，負責為其電信商的訂閱客戶清洗從 L3-L7 的流量，直接將攻擊威脅扼殺在電信商的資料中心的網路中，而向來獨立運作的 Akamai Network，是否有可能擴大合作的範圍？

Michael Smith 相當保留的表示，目前 Akamai 的確有進行這方面的發展，在電信端的網路邊界進行安全防護，的確是未來發展趨勢。兩年前 Akamai 便針對電信商市場成立專責的事業單位，提供各種解決方案如代管安全管理、影音串流、CDN 服務等。目前已經有兩家營運商 (Web host) 與 Akamai 合作，在資料中心內部署伺服器。

除此之外，Akamai 與電信業客戶之間的關係也將有所轉變，未來電信業也將成為代理商，透過電信業的服務直接銷售 Akamai 的安全服務，意味著 Akamai 透過當地電信業者的銷售網路，更加深入各種產業。