澳洲政府網站採孤島策略卻被不正常流量灌爆 原因竟與台灣有關?

Akamai Technologies日本暨亞太地區安全部門技術長Michael Smith公佈2016年最近兩季網際網路現況調查。他談到從www.stateoftheinternet.com每季度所做的全球網際網路資安調查與分析報告,報告來源來自於Web應用防火牆(Web Application Firewall, WAF)、自兩年多前併購Prolexic取得全球有7個DDoS緩解/流量清洗中心的持續性攻擊源頭的資料分析與作業系統防火牆(OS Firewall)。隨著資料探勘(Data mining)與資料來源的進步,未來這份網路狀態報告的內容與風貌也將隨之改變。

Akamai Technologies日本暨亞太地區安全部門技術長Michael Smith公佈2016年最近兩季網際網路現況調查。他談到從www.stateoftheinternet.com每季度所做的全球網際網路資安調查與分析報告,報告來源來自於Web應用防火牆(Web Application Firewall, WAF)、自兩年多前併購Prolexic取得全球有7個DDoS緩解/流量清洗中心的持續性攻擊源頭的資料分析與作業系統防火牆(OS Firewall)。隨著資料探勘(Data mining)與資料來源的進步,未來這份網路狀態報告的內容與風貌也將隨之改變。

 

圖1:DDoS攻擊的密度與次數分布圖

DDoS攻擊的特性是低頻率高影響力,2016年Q2 DDoS攻擊總數較2015年Q2增長129%,Akamai 觀察到發生在6月20日針對一個歐洲媒體客戶的最大規模的363 Gbps DDoS攻擊;中型攻擊規模縮小了36%,有12次超過100 Gbps的攻擊,其中有兩次分別針對媒體與娛樂產業達300 Gbps,而Akamai在第二季共緩解了4,919次DDoS攻擊。

DDoS已成現代網路攻擊的普遍現象

Michael指出從圖一最近10季所作的DDoS攻擊流量/頻率趨勢圖中,這兩年至少從10Gbps的攻擊流量起跳,且攻擊量/頻率都逐季增加,僅2016Q2稍微下滑,隨著攻擊流量與頻率越來越提高,大家被攻擊的風險自然會提昇。而亞洲大部分網站的連外頻寬頂多幾百Mbps到1Gbps x 2,一旦遭受DDoS攻擊就必然停擺甚至癱瘓。

圖2:2016年第二季Web應用攻擊種類統計

另一種與DDoS截然不同的類型是網頁攻擊,2016Q2透過本機文件的script的本機文件入侵(Local File Inclusion, LFI)佔44.7%,SQL injection(SQLi)佔44.11%,其他像XSS、Rfi、PHPi則佔5.91、2.27、1.81%。要防堵、緩解DDoS與Web網頁攻擊手法,要用到龐大的CPU、DRAM等硬體資源,自然也是Akamai所關注的焦點。

 

圖3:全球被Web應用攻擊國家排行榜

Michael表示在第二季全球前十大網頁攻擊事件,巴西躍升為攻擊流量發源地第一名(佔25%),主因為主辦奧運與世界盃,加上多年來的國內衝突問題所導致;向來居首位的美國落到第二(佔23%),較上一季43%下滑;第3~5名依序是德國9%、俄羅斯7%、中國4%等。

這三個月重大的資安攻擊事件中,像10月12日針對IoT物聯網裝置的DDoS攻擊、10月1日Kaiten/STD Router的DDoS、8月9日Analysus of XSS Exploitation Through Remote Resource Injection,7月25日 363 Gbps超巨量DDoS攻擊,7月22日對MIT活動的DDoS攻擊,與6月1日DDoS映射的小型文件傳輸協議(Trivial File transfer protocol, TFTP)事件等

以用戶信譽資料庫分析網路異常入侵、攻擊行為

Michael提到,台灣曾經躍上網路資安檯面兩次。一次是澳洲以網路化進行人口普查,為了因應最後一天網路填表期限所造成的網路爆量,當局提出「澳洲孤島(Island Australia)」計畫-收表單的網站只接受澳洲IP的連線,來自其他地區的連續一律中斷,但由於Google亞太資料中心設在台灣,此舉造成在台灣的Google DNS IP又被澳洲網站擋掉而無法正確解析URL,衍生出不必要的DNS解析流量,行為就像是小規模的DDoS攻擊。

另一個來自台灣的大量Mirai/IoT botnet攻擊,主要原因是台灣的家用頻寬大,且對路由器、IoT裝置的密碼防護性不佳(用戶疏於設定,預設密碼被駭客掌握),被駭客輕易植入木馬並成為攻擊全球的跳板。受限於ISP須自行負責網路內攻擊的準則,Akamai無法進一步得知並掌握家用botnet網路的規模與細節。

圖4:如何計算出用戶信譽評價?

Michael指出,Akamai為旗下CDN客戶建立了Hadoop@5PB的信譽資料庫機制,可以連續紀錄、保留30天的各IP位址,根據WAF與Akamai log的紀錄比對,以及scanner、web attacker、DDoS Scrubber與bot四種類別的行為分析,來判斷IP端的評級。

圖5:Akamai的資料庫可追蹤到某IP用戶的行為

當IP分級別後,WAF客戶可封鎖特定類別或某風險分數過高的IP,Michael實際列出一個來自韓國,以PHP injection(PHPi)手法進行攻擊的實際防堵案例(圖5~圖6)。

圖6:分析出駭客可能的入侵時間與入侵點

台灣的網路現況的安全狀態

 

圖7:攻擊台灣以及從台灣發出的攻擊統計表

Michael指出以台灣為攻擊對象的攻擊來源國,前四名分別是美國、菲律賓、俄羅斯與中國,則是第四名,可能的原因是Akamai在台灣沒有金融服務業(FSI)與政府客戶。至於從台灣發起的攻擊對象,中國、美國、新加坡、義大利、日本佔前五名,因為Akamai在的中國客戶多半為電商、航空公司等服務業,而第三名新加坡,主要是金融服務與航太業在台灣有總部。

圖8:2016年Q4的惡意攻擊種類統計

從惡意攻擊流量分析來看,在9月21、9月24、9月27有針對台灣某家製造商客戶發動的大量爬蟲攻擊;10月15日則是針對新聞網站的DDoS攻擊。至於惡意攻擊IP數來分析,在10月15日針對某新聞網站的DDoS的攻擊IP數爆升到約710-715個。

圖9:所有惡意攻擊的來源數統計

若以受攻擊產業佔比做分析,其中製造業高達85.6%佔第一,其次依序是媒體娛樂產業、高科技業、公共區域、遊戲產業、零售業、消費性貨運業(Consumer goods)、飯店與旅遊業與其他等。

圖10:被目標攻擊的產業統計

Michael點出台灣的資安盲點,在於安全威脅資訊無法彼此共享,無從了解自己產業的情資,因此他現在正在主持一個以國家為層級的分析報告,這類以國家、產業層級的分析報告,會對台灣有幫助。

快速FastDNS技術防止DNS詐騙或污染攻擊

Michael指出,Akamai正在測試一個EDNS0 Client subnet extension延伸解決方案,它是Akamai CDN內容遞送網路元件一環,以自己開發的FastDNS技術,掌握用戶端的DNS解析,以及建立DNS白名單方式,提供URL filtering給電信端部署,有效解決像上述澳洲孤島衍生的DNS查詢流量、詐騙或污染攻擊事件,回應最佳的伺服器IP給用戶端。整個方案預計明年(2017年)提供給企業用戶。

CSIRT也正進行另一個計畫,是透過旗下客戶的回饋,更精確化WAF的規則。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416