透視百Gb級DDoS攻擊趨勢 專家剖析GitHub塞爆關鍵

近2年屢屢發生重大網路大規模DDoS（Distributed Denial of Service，分散式阻斷服務攻擊）事件，而且攻擊規模更頻頻創新高，例如去年歐洲企業、香港公投網站，先後遭遇超大規模DDoS攻擊，不只攻擊流量皆突破百Gb級以上，甚至最大攻擊流量更一度達到400 Gbps。不只造成程式代管網站Code Spaces因DDoS攻擊而結束營業，就連社交網站臉書、雲端服務業者Evernote、Rackspace都曾遭攻擊塞爆中斷服務，影響上億用戶。

而今年3月，另一起超大規模的DDoS攻擊則是發生在程式碼代管網站GitHub身上，也成為該網站成立以來遭遇最大規模的一起DDoS攻擊。攻擊者不僅結合各種複雜攻擊手法，更利用植入惡意JavaScript挾持無辜民眾的瀏覽器，以每隔2秒鐘載入GitHub網頁，持續塞爆GitHub網站，駭客連續5天發動流量轟炸，持續消耗GitHub的頻寬與資源，導致使用者無法存取。

研究DDoS攻擊手法超過13年的Nexusguard首席科學官Terrence Gareau，也就近日發生的這起GitHub事件進行剖析，並提出他對於未來DDoS攻擊發展的趨勢觀察。

Terrence Gareau過去曾在網路安全廠商Prolexic擔任研究主管，更一手創立PLXsert團隊，專門負責研究DDoS攻擊手法及工具，並建立新一代DDoS防禦機制。他認為，隨著DDoS攻擊事件爆量成長，DDoS攻擊規模也將會以每年翻倍來增長，而企業面對這類動輒百Gb級以上的巨量攻擊，也得做好隨時迎戰的準備，才能在這場資安攻防大戰中站穩住腳而不被擊潰。

GitHub事件是採用網路第7層發動的DDoS攻擊

Terrence Gareau表示，這次發生於GitHub網站的DDoS攻擊主要採用針對網路第7層發動的應用層攻擊，攻擊方透過使用代管廣告服務的網站，以植入惡意JavaScript方式做為感染媒介，引發大規模DDoS攻擊來癱瘓GitHub網站。他說，透過植入惡意JavaScript形式，攻擊者可以採用任何方式來執行第7層DDoS攻擊，像是利用惡意JavaScript發送Post，取決於攻擊者在腳本內插入哪些攻擊指令。

Terrence Gareau表示，幾年前他和團隊也曾研究過被插入惡意JavaScript的DDoS攻擊手法。當時他們就了解到透過瀏覽器方式發動的攻擊，是一個非常有效的方法，因為這些瀏覽器在處理網路請求時和防火牆等防禦機制，採用的標準有所不同，使得駭客可以趁機繞過企業網路防火牆來達到攻擊目的，因此一旦被駭客拿來妥善利用的話，將對很多防禦機制造成挑戰。

儘管，現在網路幾乎隨處可見放置有JavaScript的網頁，但他認為，駭客能否達到攻擊的效果，也得視有多少個網站因植入這些惡意JavaScript腳本而遭操控。而就GitHub的案例而言，之所以嚴重，是因為它並非只有一個網站被注入惡意JavaScript，而是集合眾多的網站攻擊GitHub網站，因此也在防禦上也就更顯得困難許多。

不過，Terrence Gareau表示，這次攻擊者採用安插惡意JavaScript做為DDoS攻擊手段，比較是罕見的作法，因為一般常見到的是使用於惡意廣告（Malvertising）上，例如，將惡意JavaScript放入廣告中然後擺放在網站，針對正在瀏覽該惡意廣告的使用者，透過廣告點擊或下載來執行惡意程式竊取資料。

類似GitHub事件的攻擊規模較難以被模仿

靠著過去研究各式DDoS攻擊模式，Terrence Gareau也認為，類似GitHub事件的攻擊規模較難以被大量模仿，最主要的原因是，在提供做為駭客發動DDoS攻擊的部署上，得做到長時間不間斷執行攻擊，甚至過程中還得不斷改變攻擊策略，要做到這樣子的規模，攻擊者往往必須要擁有龐大資源，所需的工具也比過去還要更多、更複雜，甚至，還得具備有一個獨立基礎設施的環境，才可以做像GitHub事件連續多天大規模DDoS攻擊。

另一方面則是來自於發動攻擊者的動機，Terrence Gareau從GitHub事件觀察到，這極有可能是一起基於政治目的而發動的DDoS攻擊。因為從GitHub遭受攻擊的時間表中，可以明顯察覺出攻擊的一方十分厭惡GitHub網站，極力想要透過各種大流量攻擊加以摧毀。

而就Terrence Gareau過往參與DDoS防禦經驗也直言，這類基於潛在政治意圖所發動的DDoS攻擊，比起一般因商業動機產生的攻擊更難以防禦，甚至，「有時靠著擁有強烈動機要擊垮對方，就算攻擊者採用較差的惡意工具來攻擊目標網站，同樣可發揮強大的攻擊效果。」他說。

就像在GitHub遭攻擊過程中，攻擊者展現相當強烈的企圖決心要做長期抗戰，除了不斷改變攻擊目標，也調整攻擊的部署方式，最終目的就是為了將該網站擊潰，這也使得面對防禦的GitHub網站，在長時間多次遭受DDoS攻擊轟炸下，也較難找出最有效的防禦機制阻斷攻擊。

Terrence Gareau也拿「西洋棋」來做比喻，在這場攻防競賽中，攻擊者就像是下棋的一方，在雙方攻防過程中，花了很多時間絞盡腦汁來修改和調整攻擊腳本，並依照防禦方的反應，隨時做好發動下一波進攻的部署準備。

儘管駭客要採用如GitHub的DDoS攻擊模式挑戰難度較大，但現在還有更多駭客是將DDoS攻擊鎖定在攻擊流量的規模，以動輒每秒超過百Gb級以上大規模流量來癱瘓目標網站，包括有採用像是第三層或第四層為主的DNS及NTP（Network Time Protocol）反射DDoS攻擊，以及針對第七層應用層的DNS Flood洪水攻擊。

每年DDoS攻擊規模成長達2倍

而隨著DDoS攻擊事件呈現爆量成長，Terrence Gareau也說，「DDoS攻擊規模將會以每年翻倍來增長。」若以去年發生最大規模DDoS攻擊流量，每秒達400Gb來估算的話，今年甚至有可能看到出現更大800Gbps流量的超大規模DDoS攻擊。

然而，Terrence Gareau也坦承，迄今企業仍未找到一個最有效的防禦模式可以處理百Gb級流量攻擊，大多仍得透過網路安全廠商提供的防禦機制，才能做到這類攻擊的防禦和緩解。

若單靠企業本身的基礎設施單打獨鬥其實相當困難，因為，面對日益龐大的DDoS規模，攻擊手法也更多變複雜，企業不只要隨時追加預算來更新防禦工具與技術，甚至目前也極少有一家公司的資安團隊，具有抵擋百Gb級以上流量攻擊的技術和能力。

他也以GitHub網站遭遇連續5天攻擊為例，假使企業可因應連續5天大規模DDoS持續攻擊，可是一旦當攻擊天數延長至1個月甚至1年時，企業光是花費在防禦上可能就已經落得疲於奔命的下場，還可能因為後門大開，而遭到其他的駭客趁機入侵竊取機密資料。

面對頻繁DDoS攻擊，企業應具備評估和長期監控能力

即便如此，Terrence Gareau依然認為，面對日益頻繁的DDoS攻擊，企業仍需具備最基礎的防禦能力，包括建立完整評估和長期監控機制。像是透過評估了解企業本身基礎設施的環境，例如針對防火牆每秒可處理多大網路封包流量，或是應用服務可承受的應用請求數量，從中找出可能遭DDoS攻擊的缺口，這也是讓企業快速了解自身弱點或不足的捷徑。

另一方面，企業也得針對可能遭DDoS攻擊威脅入口做長期性的監控，包括監測系統服務流量及狀況，以此判斷為正常或異常的流量。

而隨著近幾年，DDoS攻擊事件層出不窮，Terrence Gareau也解釋，造成這類攻擊事件遽增的主因，在於入門工具的取得簡單，像是現在只要任何有意圖犯罪者，都能以較便宜的價格透過黑市取得DDoS工具。

此外，他也說，不同過去施行DDoS攻擊，攻擊的一方得具有足夠技術和知識才能執行，然而，現在發動攻擊的方案已簡化到只需購買幾臺可執行惡意攻擊的伺服器，任何人皆有能力拿來癱瘓中小型企業的網站，甚至，簡單到連小學生都懂得如何使用。

不僅如此，他同樣觀察到，駭客採用的DDoS攻擊手法，不再只是靠著注入惡意攻擊碼來操控龐大的網路機器部隊，更多時候也開始仰賴背後建立起的基礎設施，進而鎖定網路上目標，來發動網路第7層的大規模DDoS攻擊。

Terrence Gareau說，透過此種方式往往也能發揮更強大的攻擊效果，也是目前常見的DDoS攻擊手法之一。

面對未來2年DDoS攻擊的發展趨勢，Terrence Gareau也提出自身的觀察，他認為，除了DDoS攻擊事件將持續攀升外，未來也將出現有更多以行動裝置做為媒介進行的DDoS攻擊。

同時也將有更多鎖定網路協定（Protocol）漏洞，如NTP等發動的放大DDoS攻擊。

此外，若從攻擊者的動機來看，Terrence Gareau也說，過去看到的DDoS攻擊，大多是基於商業動機而發動攻擊癱瘓企業網站服務，以此做為威脅勒索手段。

但未來發動的DDoS攻擊，將有更多是出自於政治動機意圖，不只是在抗議事件的使用會更為普遍，甚至，將有更多國家級的網軍開始將DDoS視為主要的軍事攻擊手段之一，「而未來兩年，也將出現越來越多的數位戰爭開打。」他說。

Nexusguard首席科學官Terrence Gareau表示，從GitHub遭遇一連5天大規模DDoS攻擊的時間表中，攻擊者不只展現強烈政治企圖心，期間也不斷調整攻擊方式要將該網站擊潰，使得防禦的一方也較難找出有效阻斷攻擊方式。（圖片來源／Nexusguard）

CTO小檔案

Terrence Gareau

Nexusguard首席科學官

經歷：早前曾任職於美國布羅瓦德社區學院擔任資工系教授，後來延攬進美國食品藥品管理局成為安全架構師，更在網路安全廠商Prolexic任職期間，一手創立 PLXsert團隊，專門負責DDoS攻擊分析研究，2015年正式加入Nexusguard擔任首席科學官，肩負起新一代DDoS防禦機制的重責大任。

（圖片來源／Nexusguard）

公司檔案

Nexusguard

●  總部：美國舊金山

●  成立時間：2008年

●  主要業務：DDoS攻擊防禦、緩解、網路安全解決方案

●  網址： www.nexusguard.com

●  創辦人：Ryan Chin

●  執行長：Jolene Lee

●  員工數：約100～250人

●  年營收：約2,500萬～5,000萬美元

公司大事紀

●  2008年：由Ryan Chin創辦Nexusguard

●  2009年：正式進軍臺灣，並於臺灣成立Nexusguard分公司

●  2011年：在臺灣設置大型流量清洗中心，提供企業緩解及淨化來自大量網路攻擊威脅

●  2012年：取得ISO 27001:2005資安認證、加入Arbor Networks的雲端信號聯盟，可通過ISP業者協助緩解DDoS威脅

●  2013年：由Jolene Lee接掌公司CEO、提出新InfraProtect Auto方案縮短DDoS攻擊防禦時間

●  2015年：Terrence Gareau正式加入擔任首席科學官