A10 Thunder TPS結合ML偵測機制，加速緩解各種DDoS威脅

數位轉型風潮日熾，使各行各業都對網路服務多所依賴，生怕因斷網而釀成營業損失，導致越來越多企業將分散式阻斷服務（DDoS）視為重大威脅。

睿科網路科技（A10 Networks）台灣區技術總監陳志緯表示，A10長期對DDoS進行深入研究與剖析，發覺2022年DDoS攻擊趨勢，明顯轉向「頻率更高」、「強度更強」及「型態更複雜」等三大特徵，導致傳統資安機制的防禦力明顯弱化。

值此時刻，企業必須跳脫靜態偵測、被動處理的舊式做法，轉而利用專業防護設備展開機器學習（Machine Learning；ML）分析，藉由動態偵測、自動清洗的新作為，有效加快反應速度，才能適時緩解各種類型DDoS攻勢。而A10提供的「Thunder TPS＋aGalaxy」防線便符合這些特質，可望協助企業提升DDoS防禦力。

攻擊樣態日益複雜，令企業防不勝防

陳志緯說，所謂「頻率更高」，在於依IDC統計資料顯示，過去一年來多達15%企業密集遭受上百次DDoS攻擊，頻度之高前所未見。其中高達69%的DDoS攻擊流量皆小於10Gbps，可歸類為連線型攻擊，有別於眾所熟知的頻寬型攻擊樣貌，意圖以「低空飛行」姿態閃避雲端清洗機制。

至於「強度更強」，意指儘管慢速攻擊比重漸增，但頻寬型攻擊不僅依然存在，且攻勢更加猛烈。據某大公有雲平台的紀錄，去年（2021）曾遭遇單一攻擊夾帶3.47Tbps巨大流量，及每秒多達3.4億個封包，遠超過大多數防禦機制所能承受的量能。

論及「型態更複雜」，係因企業一方面需駭客藉由Botnet大軍所製造的頻寬型攻擊，另一方面又得提防基於反射放大原理的連線型攻擊，這些DDoS型態彼此互異，很容易讓企業顧此失彼、窮於應付，徒增被駭客攻破的機率。

強化Anti-DDoS佈局，解開過往防禦盲點

隨著DDoS攻擊模式不斷翻新，已對企業現有防護設備構成嚴峻考驗。陳志緯說，目前逾九成企業以「防火牆＋IPS」來構築DDoS防線，但這些設備對於辨識DDoS攻擊行為的能力不強，主要依賴預先設定的規則來執行偵測，若遭遇到規則以外的新型態攻擊，就無法精準識別，以致屢屢出現漏殺或誤擋情況，且不管是防火牆或IPS的報表，都無從交待這段期間內究竟拒絕過哪些連線、接受過哪些連線。

不僅如此，礙於防火牆對連線型攻擊的辨識能力不足，多數情況下，只能一再接受駭客所設計的大量連線請求，終至耗盡資源，釀成一堆服務同時停擺的慘劇。

鑒於傳統防護架構似已無力對抗DDoS，不少企業轉而寄託雲端業者或ISP提供的流量清洗服務，希望發揮近源防護效果，讓惡意流量在進入企業網路之前、即被清洗乾淨。陳志緯認為透過這項做法，確實有助化解10Gbps以上大流量攻擊，但依舊存在盲點；例如流量小於1Gbps的慢速攻擊，或存續時間小於5分鐘的Burst攻擊，顯然都無法憑藉清洗服務而獲得解決。

再者因清洗中心多位於海外，以致流量需從本地導向他地、清洗完畢後再返回本地，整個路徑變得冗長曲折，伴隨而來的網路延遲效應，可能對企業的服務品質造成影響。

因此比較兩全其美的做法，即是回歸基本面，透過部署A10 Thunder TPS等具備高偵測能力的專業Anti-DDoS設備，提升本地端防禦能量，確保不論小於10Gbps的頻寬型攻擊、慢速攻擊、Burst攻擊通通無所遁形，另外搭配雲端清洗服務專門應付10Gbps以上大頻寬攻擊，就能全面遏阻各種DDoS威脅。

1分鐘內完成緩解，得以對抗難纏Burst攻擊

深究A10 Thunder TPS的價值，在於不僅是市面上少數存在的Anti-DDoS方案碩果之一，且具備多項獨特利基，得以展現零時差防護功效。

陳志緯指出，首先A10設計5-Level防禦等級，以不同等級代表威脅程度高低，以利採取不同的處理策略。如Level 0代表無威脅狀態，完全不介入防禦，避免干擾合法用戶。一旦進入Level 1，才開始檢查流量，並針對異常流量展開清洗作業，若一時之間難以清洗殆盡，再提升至Level 2，採取更進階的緩解措施。

再者Thunder TPS具備「透過ML即時生成DDoS攻擊特徵並緩解」的優勢，讓Anti-DDoS的操作與設定變得極為簡單。有些企業會借助資深工程師，依序執行擷取封包、分析、產生Pattern、放回乾淨封包等作業，整段過程約歷時30分鐘～1小時；如今Thunder TPS把執行者從「人」變為「機器」，利用30秒～1分鐘自動化完成上述程序，得以爭取時效，建立Burst攻擊緩解的關鍵能力。

此外Thunder TPS利用業界最多的30餘種感測指標，藉此精準偵測DDoS流量，並精準判別它的屬性。Thunder TPS可承載高達600萬～1,000萬筆惡意IP資料，有助實現即時防禦。另一方面，A10將DDoS防禦（Thunder TPS）、報表暨控制（aGalaxy）等機制予以拆分，讓一台aGalaxy同時管控多台Thunder TPS，以利企業在單一架構下隨需擴充防禦設備，無需打掉重練。

部署DDoS解決方案時，更重要是須借重富含經驗的服務商協助整合與建置。友訊科技作為A10代理商，具備多元解決方案的整合經驗，可動員遍佈台北、新竹、台中、高雄的在地專業技術團隊，即時有效率地提供專業技術諮詢、網路與資安架構規劃、技術人員到場支援、產品暨解決方案教育訓練、售後服務等各項支援，與A10攜手協助各地企業順利建立DDoS防護架構，有效抵禦日益增長的威脅。