暗網潛航——DDoS(四):攻守相赴(一)

        經過多個星期介紹分散式阻斷段服務攻擊(DDoS),相信大家不難發現,這些攻擊手法都有共通點。防守方如果沒有認知,我敢保證將難以面對這些攻擊。到底有哪些共通點呢?首先,這些攻擊都會透過「封包製造器」,偽裝或企圖混雜在正常流量中。如果安全監控系統無法分辨,就容易被偷襲。這解釋了為何DDoS攻擊像是突如其來,令人措手不及。

  第二,這些攻擊用封包全都有似是而非的設定,不是不完整,就是回應時間被故意調整,時快時慢。如果工程師配置軟硬件時,認為一切都理所當然,人人都會跟從標準規範使用,如此愚蠢直率的軟硬件系統,被攻擊至資源耗盡,也絕對是意料中事吧!

  第三,DDoS攻擊核心思想是軟硬件系統的負載量。常常都聽到很多客戶淒厲嚎叫,聲稱花錢買了非常足夠的線路頻寬,但仍然無法處理這些流量……很多時候我都不禁微笑搖頭。就算你有再強硬的肉體,也要有謹慎的靈魂。不管你的線路頻寬如何足夠,但你架構內的硬件負載量不足,系統及韌體在程式設計上沒有考慮負載量,依然會必死無疑。

  「負載量管理」並非只針對線路寬頻那麼簡單,它是分佈在整個網絡架構所有軟硬體內。有一些DDoS攻擊手法是故意針對系統數據庫的中介軟件及驗證碼,只攻擊整個架構中的一小部份。一旦成功,就足以令所有相連系統出現延遲,甚至不能提供服務。

  如果客戶以為只要向網絡供應商設置一條很大的線路頻寬,或倚靠防火牆或負載均衡系統,就可以解決問題,想法實在太天真了,天真的人在戰場上,通常都是扮演死屍。網絡戰場你最重要,系統被攻陷,你倒下了,戰場還有氣氛嗎?

TOZ聯合創辦人

龐博文

hd