跳過主内容

DDoS 防禦指南

對許多人而言,佳節期間是放鬆身心、與親朋好友相聚,以及慶祝傳統節慶的絕佳時刻,而許多組織也對佳節期間期待萬分 (例如零售業期望提升銷售量,而遊戲公司也可望吸引更多玩家)。但遺憾的是,網路攻擊者也在摩拳擦掌、蓄勢待發,企圖在眾人慶祝即將到來的佳節傳統慶典之際,大肆進行分散式阻斷服務 (DDoS) 攻擊。 

儘管我們一年到頭都可觀察到 DDoS 攻擊,佳節期間的發生頻率卻最高,而且這段期間最受矚目的攻擊事件更是層出不窮。在去年 10 月的印度節慶期間,以常用服務為目標的 DDoS 攻擊數量便一舉暴增 30 倍之多,而受害者則涵蓋了媒體串流、網際網路電話服務和線上遊戲等對象1。去年 10 月到 12 月,Microsoft 實際緩解了多起大規模 DDoS 攻擊,包括史上規模最大的攻擊事件之一,當中包含將近 10,000 個攻擊來源,範圍更涵蓋多個國家/地區2 

1. DDoS 的攻擊數量和發生時間分布圖3 

雖然零售業和遊戲公司最常在佳節期間遭到攻擊,但各行各業、大小規模不一的組織,都有可能淪為 DDoS 攻擊的受害者。畢竟,現在比過往更容易發動攻擊。只要支付 $500 美元,任何人就都能使用 DDoS 訂閱服務進行 DDoS 攻擊。鑑於新的攻擊方法層出不窮,以及網路罪犯紛紛採用更進階的攻擊技巧 (例如以 AI 為基礎的攻擊),DDoS 攻擊的抵禦難度正年年提升。 

Microsoft 準備了這份指南,協助您掌握 DDoS 攻擊的概觀、我們觀察到的趨勢,以及有助於抵禦 DDoS 攻擊的各項技巧。 

什麼是 DDoS 攻擊?DDoS 攻擊又會如何運作? 

DDoS 攻擊會透過分散式網路服務鎖定網站和伺服器,並試圖讓應用程式資源超出負荷。攻擊者會讓網站或伺服器湧入大量的流量,進而造成網站功能不良,或迫使網站直接離線。DDoS 攻擊是透過感染惡意程式碼的個人裝置 (機器人) 或裝置網路 (殭屍網路) 發動,兩者都可用來讓網路或服務湧入大量的流量。DDoS 攻擊可持續數小時之久,甚或長達數天。 

發動 DDoS 攻擊的動機為何? 

DDoS 攻擊背後有許多動機,當中涉及財務、競爭優勢或政治等不同層面。攻擊者會以網站功能做為人質,藉此脅迫對方付款,以便停止攻擊,並讓網站和服務重新上線。根據我們的觀察,有越來越多的網路罪犯正結合 DDoS 攻擊,以及勒索軟體等其他勒索攻擊手法 (所謂的三重勒索軟體攻擊),藉此施加更多壓力,並索取更高的報酬。出於政治動機的「激進駭客行動」(Hacktivism),也越來越常被用來干擾政治程序。烏克蘭政府指出,在 2022 年初烏克蘭戰爭爆發初期,該國面臨了史無前例的嚴重 DDoS 攻擊,而攻擊者企圖癱瘓其銀行和政府網站4。 此外,網路罪犯也經常使用 DDoS 攻擊做為煙霧彈,以分散人們對縝密攻擊的注意力,例如惡意程式碼植入和資料滲透。 

為什麼佳節期間 DDoS 攻擊頻傳? 

通常,許多組織會在這段期間縮減網路和應用程式的專屬監控資源,進而讓威脅製造者有機可趁並發動攻擊。由於流量會持續處於高峰 (對電子商務網站和遊戲提供者而言更是如此),IT 人員往往難以區分合法和非法流量。對尋求財務收益的攻擊者而言,由於佳節期間獲利最高,同時組織會極力避免服務不停擺,他們就勢必有機會要求更高的報酬。畢竟,在此一情況下,組織勢必更願意付錢停止攻擊,以盡可能減少銷售損失、客戶不滿或商譽受損。 

為什麼要抵禦 DDoS 攻擊? 

發生在佳節期間的網站或伺服器停機事件,都有可能造成銷售量下滑和客戶流失、衍生出昂貴的復原成本,或是損害您的商譽。此一情況對規模較小組織所造成的衝擊往往更加驚人,原因在於,這類型組織可能難以自攻擊中復原。即便在流量持續處於最高峰的佳節期間之外,持續的保護機制仍為必要之舉。2021 年觀測到最多攻擊次數的日期為 8 10 日,由此可以看出,攻擊趨勢有「隨時皆有可能發生」的傾向2 

抵禦和因應 DDoS 攻擊的秘訣 

  1. 不要等到攻擊發生,才開始尋求自我保護途徑:雖然您無法完全逃離 DDoS 攻擊的魔掌,主動進行規劃和準備,將可協助您更有效地抵禦攻擊。 
  • 建議找出組織內部會接觸公共網際網路的應用程式,並評估潛在的資訊安全風險和弱點。 
  • 請務必掌握旗下應用程式的正常行為,如此才能預做準備,進而在應用程式發生非預期行為時採取行動。Azure 提供多個監控服務最佳做法,可協助您取得應用程式健全狀況的深入解析,並診斷問題。 
  • 建議您執行攻擊模擬作業,以便測試您的服務如何回應攻擊。您可以在自身的 Azure 環境中,使用我們的測試合作夥伴 (BreakingPoint Cloud RedButton) 提供的服務來模擬 DDoS 攻擊。 
  1. 務必預做準備:由於 DDoS 攻擊會於佳節期間邁向高峰,您需要透過具備進階防禦功能的 DDoS 保護服務,以因應各種規模的攻擊事件。 
  • 建議您啟用 Azure DDoS 保護,它可提供保持啟用的流量監控功能,以便在偵測到攻擊時自動加以緩解;比較您的實際流量和預先定義的門檻,以即時進行彈性微調;以及透過即時遙測、監控和警示,享有 DDoS 攻擊的完整監控能力。 
  • 如果虛擬網路中的應用程式會透過公共網際網路公開,請務必為其啟用 Azure DDoS 保護。而需要抵禦 DDoS 攻擊的虛擬網路,則可使用包含 Azure 應用程式閘道、Azure Load Balancer、Azure 虛擬機器和 Azure 防火牆在內的資源。 
  • 如需全方位抵禦不同類型的 DDoS 攻擊,請搭配 Azure Web 應用程式防火牆 (WAF) 部署 Azure DDoS,以建構多層級的防禦機制。Azure DDoS 保護可守護網路層 ( 3 層和第 4 ),而 Azure WAF 則可守護應用程式層 ( 7 )。只要搭配 Azure WAF 部署 DDoS 網路保護,即可享有 Azure WAF 折扣價,以利降低成本。 
  • Azure DDoS 保護可在無需任何使用者介入的情況下,識別並緩解 DDoS 攻擊。您可以設定警示,以便在透過作用中緩解作業保護公共 IP 資源時收到通知。 
  1. 擬定 DDoS 回應策略:建立回應策略,為協助您識別、緩解和快速自 DDoS 攻擊中復原的重要關鍵。明確定義角色和職責的 DDoS 回應團隊,會於策略中扮演一大要角。這個 DDoS 回應團隊應了解如何識別、緩解和監控攻擊,且有能力協調內部專案關係人及客戶。在此建議您使用模擬測試,以找出自身回應策略中的任何落差。 
  1. 在遭受攻擊期間向外尋求協助:如果您正遭受攻擊,請務必向適當的技術專業人士尋求協助。Azure DDoS 保護客戶可聯繫 DDoS 快速回應 (DRR) 團隊,對方能協助您在攻擊期間進行調查,並於攻擊後著手分析。歡迎參閱本指南,以深入了解在遭遇作用中攻擊當下的 DRR 團隊聯繫時機和方法。 
  1. 自攻擊中汲取教訓,並做出調整:雖然在遭受攻擊後,您可能會想要盡快重回正軌,但是請務必持續監控您的資源,並且要在攻擊後進行回顧。您應該運用自攻擊中汲取的任何心得,著手改善 DDoS 回應策略。 

Azure 提供多款雲端原生且採零信任架構的網路安全性解決方案,可協助您寶貴的資源抵禦不斷進化的威脅。Azure DDoS Protection 有雲端規模的進階防護機制,能防範規模最大且最縝密的 DDoS 攻擊。 

請別讓 DDoS 攻擊壞了您的佳節興致!敬請使用本指南,為即將到來的佳節期間預做準備,在此同時,也別忘了考慮將 Azure DDoS 納入佳節採購清單中。 

參考資料 

1<印度的 DDoS 網路攻擊數量於節慶期間暴增 30 倍>(Thirty-fold increase in DDoS cyber attacks in India in festive season),CIO News,ET CIO (indiatimes.com) 

2《Azure DDoS Protection—2021 年第 3 季和第 4 DDoS 攻擊趨勢》(Azure DDoS Protection—2021 Q3 and Q4 DDoS Attack Trends) 

3《2022 Microsoft 數位防禦報告》(Microsoft Digital Defense Report 2022) 

4<烏克蘭表示在對峙期間遭受史上最嚴重的 DDoS 攻擊>(Ukraine says it suffered worst DDoS Attack in Standoff) 

其他資源 

Azure DDoS Protection 參考架構 

DDoS 回應策略的組成要素 

Azure DDoS Protection 的基本最佳做法 

Azure 網路安全性資源 

文章所屬類別 

網路安全性網路資訊安全安全性策略威脅防護