本文作者 John Ellis 为 Akamai 亚太暨日本地区企业安全总监。

DDoS 工具套组、DDoS-for-hire、比特币、匿名邮件、TOR 连线、及形形色色的攻击动机，皆让网络攻击行动之于个人、骇客组织、网络罪犯都变得更加容易。最新的数据显示，DDoS 的攻击频率、发展成熟度、及规模都呈现成长的趋势。根据 Prolexic 发表的 2014 年第一季全球 DDoS 攻击报告，DDoS 的攻击量与去年同期相比呈现 47% 的成长，而攻击目标所处的产业也变得比以前更为广泛。这些数据充分印证了 DDoS 攻击如今已变得更有效，并成为现今攻击者囊中宝的事实。

进入网络世界

转眼间，互联网已对人类的生活产生前所未有的冲击，举凡在学术研究、多元整合、商务、甚至是战争，也都因互联网的出现，而拓展出更多应用空间。互联 网现今的发展与它最原始的样貌，也随着产业的创新与演进而一点一滴的改头换面了。在商业世界中，网络内容重新定义了企业的运作模式，除了电子商务的应用， 企业能透过网站与消费者、合作伙伴、供应商进行互动；也逐渐转移关键的专桉流程至互联网，以获得更有效的资源分配与成本效益。

互联网的生活应用涵盖了穿戴式科技、管理电力与水利的整合控制系统、金融体系、音乐串流、行动连网、社群媒体等各大生活面向。上述这些服务与系统运作皆拥有连网的特质，现实生活中，除了我们也不再需要「上网」，而是随时处于「连网」状态，网络攻击亦然。

分散式阻断服务（DDoS）——破坏性的武器

DDoS 并非网络攻击领域中的新名词，自 1990 年代晚期至 2000 年代早期以来，DDoS 被充分运用在干扰商业组织与政府网站，然而，早期的 DDoS 攻击会因规模与成熟度不足而成功阻挡在前端、抑或有效地被互联网服务供应商（ISP）拦截。

随着市场不断推出新型防御机制，网络攻击也不惶多让，具备突破防御机制更高的本事。攻击的本质是占据实际体积的，攻击方式包括了塞爆连接攻击目标的带宽、以及锁定协定或应用程序内在漏洞，进而瘫痪了网站服务与登录管道，令网络使用者不得其门而入。

旧潮流再次成为新趋势——反射与放大 UDP 攻击

在时尚产业中，旧潮流总有机会再次成为一股新趋势，使用者资料包通讯协定（UDP）最美妙之处，在于属于「（fire and forget）」类型的通讯协定，其设计主要是针对效率与速度的需求，然缺点则是较缺乏安全与可靠的特性，不过凭着网络通讯最基本的可靠性，它依然成为许 多核心网络服务如 DNS（网域名称系统）与 NTP（网络时间协定）较偏好的协定类型。
**
我非我——欺骗封包**

建于 UDP 的通讯协定如 DNS 与 NTP，不必与现存的 TPC 第四层传输层进行三向沟通便能做出回应，不过这也意味着它将盲目地对任何 IP 位址发出的要求做出回应。不幸的是，这种模式由于容易被伪造，随之出现的第一部分问题是攻击者利用受害者的 IP 位址当作其请求 IP 位址的结果。

当我问了一个简单的小问题，竟得到一个超大的答案——放大效应

放大攻击的第二部分是由服务构成的要求类型，举例来说，我们可将它想像为一个「生命问题」，攻击者在提出「生命的意义为何？」这个简单问题后，会获得一个复杂难懂的答案。除非我们在说的是《银河便车指南》，那么答案当然就是 42。1

所以，当攻击者假受害者的名义，向为数众多的一般人提出「生命的意义为何？」之后，便会随之产生排山倒海而来的复杂答案，进而让受害者的系统、网络、甚至是 ISP 因此瘫痪，而这些千篇一律的答案即为「阻断服务」。

我的防火墙可与你抗衡——传统的方法（legacy approach）

第一个对策是让防火墙具备解决问题的能力。普遍而言，这些庞大且成熟的攻击会瘫痪资料中心的网络连结，或是以应用程序架构的攻击类型，伪造成合法网站再加以发动攻击。

举例来说，热门网站流量突然暴增的情况，与攻击者对同一个内容每秒提出上千次的要求，两者的差别为何？你的防火墙在面对相似的情况时，是否具备足以辨识要求来源合法与否的能力？当我们接受了过多所谓「合法」的要求时，网络连结被塞爆的第一类问题也随之出现了。

我的 ISP 上有你的号码——传统的方法（legacy approach）

让我们接着谈谈 ISP 的问题，ISP 的挑战在于有些攻击规模壮大到差点超过 400Gbps，此外，大型企业倾向拥有多个 ISP，以作为备援（Redundancy）及负载平衡（Load Balancing）之用途。这种作法除了需要由 ISP 提供「以牙还牙」的缓解能力，也需要 IT 部门劳师动众，整合各个 ISP 以确保缓解方案会持续被付诸执行。

为什么有人想对我发动攻击？

现在就让我们直捣问题的核心：「为什么会有人想对我的企业发动 DDoS 攻击？」 答案其实相当广泛，必须依各企业不同的本质而定。对政府机构而言，受攻击的原因可能与政策制定或是代表的国家有关；而对电子商务零售商或金融机构而言，则 有可能与钱财勒索、或特定的代表人物相关。

事实上，现今的攻击动机形形色色，且几乎任何人都能对其他网站发动攻击，如此普遍的程度意味着：一旦有动机产生，人人都有发动攻击的机会。

该投降吗？ 我又该怎么做？ 解决方案

近期的 IDG 研究服务调查显示，现今绝大多数的科技与安全经理人，对网站安全抱持高度顾虑。这份调查将网站安全定义为能保护网站伺服器与使用者，使其免于与资料及系统 妥协、及遭受阻断服务的科技与程序，例子包括网站应用程序的防火墙、DDoS 缓解、及使用者认证。在这份调查中，受访者普遍认为网站安全与电子邮件或 FTP 安全同等重要（佔 76%），或认为网站安全更具重要性（佔 14%）。这些由企业 IT 解决的主要问题，需要投入 79% 的时间；其中与安全性相关的问题仅佔 50% 的时间。当然，网站安全并非本次受访者唯一的顾虑，网站可取得性也是受访者常态的答案，紧接着还包括恶意软体、资料损失、及恶意破坏等情况。

对于想解决 DDoS 攻击问题的组织，我的第一个建议为：仔细思考当企业或组织沦为 DDoS 攻击目标，而陷入被瘫痪的危机时，我们应採取哪些因应与恢复策略？是否需主动与媒体互动？是否有潜在的金融冲击？能忍受处于线下情况的最大时数为何？如何 回应股东、利害关係人、及合作伙伴？是否能透过替代方案维持业务运作？该如何进行事后恢复？

以上的问题（或更多）都必须在我们开始投资缓解方案前，亲自审慎思考一遍，并一一找出问题的答案。那么，你决定要如何化解危机了吗？最佳方案又会是什么呢？

**区分机密与非机密
**
我常常看到许多组织将电子商务、营收及品牌资讯，与一般非机密的应用程序（如：外部浏览内容、电子邮件等）放在同一个网络连结上头，我建议大家花点时间，将所有的应用程序依机密程度分门别类，并分开处理。
**
导致失败的一大重点——最脆弱的连结
**
「你与你最脆弱的连结一样强大」这句俗谚也可用来印证对抗 DDoS 的情况，攻击者能相对轻易地找出你最脆弱的网站连结，并加以攻击。

分散式攻击需要用分散式防御抗衡

在互联网的各个角落，配置适合你的专属安全防御措施，是对抗分散式攻击的绝佳方法。如果你只是将网站「推送」出去，那么你大可不必接受来自内部 DNS 或 NTP 的流量！Akamai 拥有全球规模最大的分散式防御平台，请试着想像一下你在攻击者经常连线的 ISP 内，拥有专属的安全政策，能在互联网的各个角落有效阻挡负面效应，并加速正面效益是一个多么强而有力的方法啊！

保护来源

如果你想在网络世界中达到防护效果，却又无法分散流量，那么对整个资料中心进行防护也是一个聪明的策略。透过为 DDoS 攻击而特别设计的缓解服务，进行流量引导规划，例如 Akaami 旗下的 Prolexic 服务，能让你抵御各种类型 DDoS 攻击，其中涵盖各种大小的攻击，以及应用程序层级的成熟型攻击。