Akamai 因應300 Gb級DDoS攻防經驗談

網路DDoS攻擊（Distributed Denial of Service，分散式阻斷服務攻擊）規模屢屢創新高，像是去年先後於歐洲、香港遭遇有超大規模DDoS攻擊，不只攻擊流量皆突破百Gb級以上，甚至最大攻擊流量更超過400 Gbps。而近日，Akamai日本暨亞太地區企業安全總監John Ellis來臺時，也揭露去年發生自家網路智慧監控平臺上一起大規模DDoS攻擊，單次攻擊流量也高達每秒320Gb，這也是該平臺有始以來遭遇最大一次的DDoS攻擊。

單次攻擊流量高達每秒320Gb

John Ellis表示，去年底爆發的這起超大量的DDoS網路攻擊，主要是發生於亞洲地區，並且是鎖定一家大型線上遊戲業者來進行的網路癱瘓攻擊。而根據他事後調查也發現，發動這次攻擊的一方是來自組織犯罪發動的攻擊。

然而，當面對這類大規模的DDoS阻斷攻擊，動輒應用服務端可能每秒得承受百Gb級的攻擊流量威脅，光僅靠著提供單一集中防禦機制，根本不足以應付。Ellis也用巨象來做比喻。他說，面對這種持續性大規模的DDoS攻擊，就好比要吃掉一隻大象，必需得靠著結合眾人力量協助才能解決。

因此在作法上， Ellis採用2種防禦機制來防堵DDoS攻擊的威脅，一種是採用分散式阻斷來分散攻擊流量，因為他說，這些DDoS攻擊來源往往不會只發生在同個地方，而是分布於世界各地，因此要防堵來自四面八方的DDoS攻擊，惟有透過以分散方式才能有效殲滅，像是透過阻斷Proxy禁止任何流量通行。

不同於第一種方式是找來幫手來分散攻擊流量，Ellis表示，第2種方法則是將大象（網路攻擊流量）拆解成數個部份，然後再將拆解後的流量移至自家網路流量清洗中心，藉由分析這些流量後找出不正常流量阻斷，並僅允許正常的流量通過。Ellis也說，此方法主要用來解決遭遇網路第3層、第4層，以及第7層的DDoS網路攻擊。

Ellis也說，目前該公司在全世界總共設置有7個針對網路流量的清洗中心，平均每秒處理高達2.3Tb的網路攻擊流量，而去年發生的這起大規模DDoS攻擊，最後就是靠著採用第2種方式來加以成功阻斷。

不過，John Ellis也表示，相較於目前仍以金融及線上交易的DDoS攻擊為大宗， 該監測平臺去年下半年也偵測到不少來自鎖定線上遊戲業者發動的DDoS攻擊。此外，他也發現，針對這些線上遊戲業者而發動攻擊的動機皆有所不同，例如有的是基於個人目的，也有的則是來自於敵對的競爭對手所為。

而根據Akamai最新公布的監控網路流量數據亦發現，光是在2013～2014年之間，平均每個禮拜皆偵測到約有40至50次的大規模DDoS攻擊，包括有像是針對NTP伺服器為主的NTP放大攻擊（NTP Amplification Attack），以及鎖定基礎設施的DNS攻擊和遠端檔案引入（Remote File Inclusion）等類型攻擊。