暗網潛航——DDoS(四):攻守相赴(四)

  上周筆者跟大家介紹,用「主動式防禦」對抗分散式阻斷服務(DDoS)攻擊,要有效攔截攻擊,要在設計和建構系統時,已要開始考慮防禦。然而現實上卻很難做到,因為不少公司倚賴坊間水準不高的系統集成商或顧問,去構建他們的系統,這些機構只不過湊合一般商業或開源解決方案,系統能正常運作已算萬幸,如要具備主動式防禦的安全設計意識,基本上是天方夜譚。

  甚至我可以刻薄的說,他們其實不明白自己在做甚麼。我已不下數十次在研討會上公開說:「完成一個正常跑得動的訊息項目,有甚麼值得慶祝的?系統能夠正常運作,不就是應份的事情嗎?一個正常跑得動的系統是理所當然的事情,否則憑甚麼拿錢?我們期望的是一個不但能運作正常,更加是穩定和安全系統,這個項目才算是真正完成吧?」

  但現實是殘酷的,政府部門機構、大公司、公共服務構建出來的系統,往往都是「講就天下無敵,做就延期無力,上線之後俾人打到仆直!」結果成為新聞頭條及社會焦點。在這十多年來,我見過無數被DDoS攻擊打爆的系統,根本原因是使用的設備、網絡及程序設計上先天不足,或者估算網絡資源及容量時發生錯誤等問題。這些先天設計不良的系統,除了砍掉重練外,根本不可能擁有「主動式防禦」DDoS攻擊功能。然而有誰會直接承認,早前花一筆錢買來的系統,以及其後的維護開支,原來都是有缺陷的?

  相比「主動式防禦」,「消極式防禦」就是你逃避不了被打,也不管你的系統本身設計和管理有多糟糕,但可以「減緩」被攻擊對系統影響。系統可能有延遲或不穩定,但最少還能提供部份服務。所以消極式防禦,就變成現在市面上防禦DDoS攻擊最常見方式。

TOZ聯合創辦人

龐博文


hd