地緣政治引發DDoS攻擊的有效防禦策略

台灣產經新聞網/思路迅互動行銷有限公司
1 年前
新聞圖片

親俄駭客組織 NoName057 持續對台灣發動 DDoS 攻擊,目標涵蓋政府機構、金融單位及高科技產業。台灣作為地緣政治的熱點,長期以來一直是網絡攻擊的重災區。NoName057 事件更突顯出兩個主要警訊:

首先,儘管 DDoS 攻擊手法歷久不衰,並有相應的防禦方案,但仍有部分機構未能有效抵擋攻擊,顯示出防禦措施的不足;其次,攻擊標的正在擴大,除了重大基礎設施和知名企業,中小型企業及民間組織也面臨威脅。

認識攻擊手法與防禦重點

相較於 2017 年台灣券商遭遇的首次集體 DDoS 攻擊,NoName057 的攻擊以明確的政治目的發起,力求擴大影響範圍和傷害程度。其最大挑戰在於攻擊的真人化。這一組織透過 Telegram 招募志願者參與 DDoS 攻擊,據 Akamai 分析,近期攻擊來自 25 個國家,其中包括本地流量,攻擊使用的 User Agent 種類接近 70 種,這種分散式的攻擊行為使得防禦難度加大。

此外,當前的 DDoS 攻擊主要針對第七層(應用層),其加密內容難以偵測,而許多電信業者及組織的防禦措施仍主要集中在第三層(網路層)和第四層(傳輸層),這限制了防禦效果的發揮。

使用雲端服務進行 DDoS 防禦的最大優勢在於能夠在攻擊發動點即時阻擋。例如,Akamai 的 SLA 提供零秒啟動的防禦機制,從成本和時效性上都優於傳統電信商及自建的防禦系統。此外,Akamai 在台灣也具備針對本地流量的快速反應能力。

短中長期措施持續強化防禦機制

針對 NoName057 對台灣發動的攻擊,Akamai 發現攻擊流量雖僅為平常的兩倍,卻仍有不少單位因此中斷服務。分析顯示,原因可能包括預留流量空間不足、防禦機制缺失或反應時間過長。

基於 Akamai 在國外對應此駭客組織的經驗,顧問團隊提出了短期、中期及長期的防禦策略:

短期措施

  • 透過 WA F進行動態內容的精細緩存及設置調整。
  • 重新審視 WAF 的流量控制設置。
  • 引入 CDN 的故障轉移設定,確保原始伺服器故障時能向用戶提供適當通知。

中期措施

  • 在緊急情況下通過 WAF 增強地理封鎖等訪問限制。
  • 利用 Client Reputation 技術提升防禦效果。
  • 隱匿或混淆原始伺服器的主機名和 IP,以防直接攻擊。
  • 通過 EdgeDNS 防範 DNS 查詢型 DDoS 攻擊。

中長期措施

  • 使用 Bot Manager 過濾機器人流量的影響。
  • 通過 MSS 進行緊急處理,確保及時應對。
  • 將原始伺服器設置於具備高 DDoS 耐受性的數據中心,以降低被牽連的風險。

總的來說,WAF 和流量控制機制是防禦的基礎。企業應考慮數據中心的防禦等級,並進行相應的基建。此外,由於當前攻擊模式以機器人為主,對此類攻擊的防禦措施也需到位。

政府針對金融業及上市公司的安全規範要求,如設置資安長及定期發布公告等,都是正確的做法,建議此範圍可擴展至中小型企業,並結合持續的演練以檢驗防禦有效性。台灣作為網攻的重災區,無論產業規模大小,皆需提升防禦準備。

關於 Akamai 安全

Akamai 安全致力於在每個互動點保護推動業務的應用程式,同時保障性能和客戶體驗。通過利用全球平台的規模及其對威脅的可見性,Akamai 與客戶合作預防、檢測和緩解各種威脅,幫助客戶建立品牌信任,實現商業願景。

欲了解更多關於 Akamai 的雲計算、安全和內容交付解決方案,請訪問 akamai.comakamai.com/blog,或在 X(前身為Twitter)和 LinkedIn 上關注 Akamai Technologies。