在美國東部發(fā)生大規(guī)模DDoS攻擊當(dāng)天，也就是臺灣時間10月21日一早，中華電信數(shù)據(jù)通信分公司資安處處長洪進(jìn)福就接到來自國安體系的詢問電話。

　　因?yàn)檫@起攻擊規(guī)模估計超過1Tbps，中華電信是臺灣最大的ISP業(yè)者，同時也維運(yùn)政府骨干網(wǎng)路以及學(xué)術(shù)網(wǎng)路，所以，連電信主管機(jī)關(guān)NCC及行政院資安處都很關(guān)心一個問題，如果這樣的Tb級DDoS攻擊一旦在臺灣爆發(fā)，臺灣是否有能力阻擋呢?

　　「若臺灣企業(yè)只靠自己沒有能力擋住Tb級DDoS攻擊，」不過，若臺灣企業(yè)真的遇到了這類攻擊，洪進(jìn)福的答案是「可以」，但得透過多種手法和聯(lián)防來防御。他解釋，單一企業(yè)擋不住必須尋求ISP業(yè)者協(xié)助，但就單一ISP業(yè)者面對如此這樣大規(guī)模的攻擊時，必須要做到區(qū)域聯(lián)防，就能擋住這樣大規(guī)模、大流量的DDoS攻擊。

　　阻擋Tb級DDoS攻擊，有賴上游清洗和下游阻擋機(jī)制

　　資安專家劉俊雄指出，面對DDoS攻擊，包括企業(yè)和ISP業(yè)者多數(shù)無法做到完全的防御，大部分都從減緩DDoS攻擊的強(qiáng)度著手，要做到有效減緩，「上游就必須有流量清洗機(jī)制，下游則必須要有防御機(jī)制去阻擋�！顾�說。

　　洪進(jìn)福也同意這樣的觀點(diǎn)，他表示，中華電信本身則是采取多層次的縱深防御機(jī)制，來防堵和抵擋這類的DDoS攻擊，可以根據(jù)攻擊來源和規(guī)模，選擇最合適的阻擋方式，包括： Border端可以采取境外阻絕和邊境管制的作法;Backbone骨干端則可以采用境內(nèi)管控;Edge端則做到DDoS隔離清洗服務(wù)。

　　洪進(jìn)福進(jìn)一步解釋，有些線路是從國外的ISP連進(jìn)來臺灣，有些則是從國內(nèi)的ISP線路連進(jìn)來，國內(nèi)的ISP線路就會透過臺灣網(wǎng)際網(wǎng)路交換中心(TWIX)連接，中華電信的線路就會去銜接這兩種國外和國內(nèi)的ISP線路，并在銜接兩種線路的地方做防堵。

　　如果這樣的DDoS攻擊是從海外的ISP業(yè)者連進(jìn)來，已經(jīng)影響到臺灣像是海纜的頻寬使用，臺灣ISP業(yè)者可以利用遠(yuǎn)端驅(qū)動工具，并且唿叫Tier 1的ISP業(yè)者進(jìn)行聯(lián)防，把DDoS攻擊在境外阻擋完畢;有些時候，ISP業(yè)者也會利用Black Hole(黑洞)的機(jī)制，把遭受到攻擊的用戶IP路由導(dǎo)入黑洞，無法從外部存取到這個網(wǎng)站服務(wù)，借此保全I(xiàn)SP業(yè)者其他客戶的安全性;如果這些DDoS攻擊影響到國內(nèi)網(wǎng)路安全，ISP業(yè)者也會利用網(wǎng)路存取控制工具搭配邊境管制的手法，阻擋這些DDoS攻擊的封包影響臺灣的用戶。

　　有些時候，DDoS攻擊太大量時，境外阻絕或邊境控管阻擋不住，還是進(jìn)到臺灣的網(wǎng)路骨干，或者是攻擊是來自臺灣內(nèi)部時，則可以進(jìn)行骨干內(nèi)部的管控，透過限制頻寬的方式，將攻擊封包黑洞或者是把這些封包Drop掉。

　　洪進(jìn)福表示，一旦這些DDoS攻擊已經(jīng)兵臨城下，影響到用戶端的網(wǎng)路服務(wù)時，就可以透過DDoS隔離清洗的方式，把遭受攻擊的流量導(dǎo)入隔離清洗區(qū)，透過網(wǎng)路設(shè)備進(jìn)行規(guī)則式攻擊流量的過濾，并分析一些惡意封包的攻擊行為模式進(jìn)行阻擋，也可以限制連線數(shù)量并作攻擊分析，也可以透過客制化防護(hù)等措施，讓攻擊用戶網(wǎng)路服務(wù)的流量，可以大部分都被過濾掉，確保用戶網(wǎng)路服務(wù)的安全和穩(wěn)定。

　　臺灣因?yàn)殡娦诺然�礎(chǔ)網(wǎng)路建設(shè)普及，有許多對外連線的網(wǎng)路接口，劉俊雄表示，即便臺灣不幸遭到大規(guī)模的DDoS攻擊，還有可能免于因?yàn)榫W(wǎng)路癱瘓，導(dǎo)致網(wǎng)路鎖國的狀態(tài)。

　　物聯(lián)網(wǎng)裝置成DDoS幫兇情況日益嚴(yán)重

　　從物聯(lián)網(wǎng)裝置的普及，以及惡意程式作者可以操控物聯(lián)網(wǎng)裝置的惡意程式Mirai開源釋出后，連帶使得這類物聯(lián)網(wǎng)裝置發(fā)動DDoS攻擊的事件增多，可以預(yù)期，「即便到2017年，這樣的物聯(lián)網(wǎng)DDoS攻擊規(guī)模和數(shù)量，絕對只會更多而不會減少�！购檫M(jìn)福說。

　　為了減少M(fèi)irai惡意程式或是其他僵尸網(wǎng)路程式對于IoT裝置威脅，已經(jīng)有國家政府提供相關(guān)的準(zhǔn)則，唿吁IoT制造商應(yīng)該提高IoT裝置的安全性，像是美國政府已經(jīng)在今年11月時，對外發(fā)表一份保護(hù)IoT策略準(zhǔn)則(Strategic Principles for Securing the Internet of Things)，借此唿吁IoT生態(tài)體系業(yè)者，應(yīng)該在設(shè)計、 生產(chǎn)及使用IoT裝置系統(tǒng)時，應(yīng)該負(fù)起保障IoT安全的責(zé)任。

　　然而，洪進(jìn)福認(rèn)為，美國雖然有提出相關(guān)IoT裝置安全準(zhǔn)則，但是沒有法令的規(guī)范，僅對IoT廠商唿吁是難以減少僵尸網(wǎng)路程式感染IoT裝置的威脅，而且，目前許多IoT裝置似乎沒有擁有自動韌體更新功能(簡稱FOTA)，如果都沒有這些相關(guān)防護(hù)措施和規(guī)范，透過IoT裝置發(fā)動的DDoS攻擊還是會持續(xù)發(fā)生。

本文鏈接：http://51huadong.com/cloundnews/11000587.html