暗網潛航——DDoS(三):魑魅魍魎(五)

  要發動DDoS攻擊,其實不止是攻擊線路頻寬或網絡硬件,利用應用層更簡單容易,也就是我們常說的應用層攻擊。網絡不僅由線路和硬件組成,更包括「硬件靈魂」韌體、作業系統及應用程式。後者又包括軟件、軟件程式館、中介軟件及資料庫等,這些應用層元件都可以作為DoS或DDoS攻擊手段。

  這種攻擊手法,比之前介紹的網絡層攻擊更難抵抗,防不勝防,因為網絡層內機器設備所使用的端口,不管哪個品牌都有共同標準,故可制定普及防禦方法。但應用層就不同,天下軟件千千萬萬,每名程序員的編寫習慣和手法又有差異,一千個人敍述同一件事情,就會有一千種風格,也有機會出現一千種語病,故應用程式中的程式錯誤、缺陷或弱點也千變萬化。應用層攻擊是利用軟件及程式中的邏輯弱點,作為攻擊手段。要應對攻擊,不但在硬件安全工具上設置規條阻斷,更重要的是檢視程式碼邏輯錯誤,甚至在開發時已對程式進行安全編碼來抵擋攻擊。

  幸運的是,訊息安全專家已開發多種安全工具。例如在防火牆範疇,已經分成網絡防火牆和應用防火牆,分別作針對性保護;甚至將網絡常見的代理伺服器,逆轉製成逆轉代理,再構成網絡沙盒,像漫畫中的忍者影分身術一樣,變成替身承受攻擊。近年也出現內容傳遞網絡,分散流量對抗DDoS。另外,設有基於安全設計軟件開發規範和指南、數之不盡的程式碼測試和檢測工具,以及軟件進程監察,追蹤入侵者及對軟件變化和產生的數據進行監察除錯等,都是抵擋應用層DDoS攻擊方法之一。

  這些處理安全編碼及應用安全工具,其數量、組合對於大部份技術人員來說,複雜程度和變化媲美中醫的百子櫃和藥方。但也只有這樣靈活運用,才能更有效防範麻煩的應用層DDoS攻擊!

TOZ聯合創辦人

龐博文


hd