真的需要SOC嗎?SOC助企業及早發現、有效聯防 (副本)

19 February, 2024


企業轉型時,同時也將自己暴露在危機四伏的環境下,了解 DDoS 攻擊與防護,便成了公司企業不可不知的重要課題。。。


近年 DDoS 攻擊事件層出不窮,台灣前 13 大證券商網路瞬間被幾十 GB 的流量癱瘓,估計高達百億的交易也被迫中斷,耗費數小時才解除危機!科技轉型時代來臨,當企業進化正需網路滋養時,同時也將自己暴露在危機四伏的環境下,若沒做好 DDoS 防護,損失非同小可,了解 DDoS 攻擊與防護,便成了公司企業不可不知的重要課題。 

什麼是 DDoS 攻擊?為什麼會有 DDoS 攻擊?


DDoS (Distributed Denial of Service) 意為「分散式阻斷服務」:攻擊者利用「殭屍程式」植入多台電腦後門,組成「殭屍電腦」大軍後,製造大量網路流量,惡意泛洪特定目標,癱瘓其系統運作與服務,又稱「洪水式攻擊」。 DDos 攻擊惡劣難防,而發起攻擊無非起於以下 5 點原因: 

利益導向,駭客勒索贖金 

商業利益,同業惡意競爭 

癱瘓網路,外洩重要機密 

攻擊政府,為達政治目的 

純粹好玩,駭客網路練兵 

DDoS 攻擊不只偶發 網路上甚至有常態演練,讓企業無時無刻暴露在資安危機之下。要確保企業網路維運,首先得知道 DDoS 常用攻擊手法。

DDoS 攻擊有哪些種類?

DDoS 攻擊主要以企業網路結構的第 3、4 層與第 6、7層為目標,而這 7 層所負責的通訊工作由外到內簡列如下:

Layer

型態

工作內容

DDoS 攻擊方式

7

Application

資料

應用程式網路程序

HTTP 泛洪、DNS 查詢泛洪

6

Presentation Layer

資料

資料展示和加密

SSL 濫用

Session Layer

資料

中間主機通訊

不適用

Transport Layer

區段

端對端連線和可靠性

SYN 泛洪

Network Layer

封包

路徑判定和邏輯定址

UDP 反射攻擊

Data Link Layer

框架

實體定址

不適用

Physical Layer

位元

媒體、訊號和二進位傳輸

不適用

DDoS攻擊型態千變萬化,主要以「頻寬耗損」和「資源耗損」兩種方式攻擊應用程式層和網路層,細節討論如下。

DDoS 攻擊應用程式層 

針對應用程式層,攻擊者對登入頁面或搜尋 API ,發出超量 HTTP 請求讓目標系統泛洪,或是從偽裝 IP 位置,對開放 DNS 伺服器建構請求,讓 DNS 以大量資訊回應攻擊目標,佔用大量系統資源,達到癱瘓系統的目的。 

DDoS 攻擊網路層 

針對網路層的 DDoS 攻擊繁多,主要以下列 3 項為主: 

1.SYN-FLOODING 

利用 TCP 三方交握的漏洞,攻擊者對目標伺服器投出大量要求初始連線的 SYN 被攻擊的目標會回應每個連線請求,然後等待最終交握步驟,但惡意請求不會完成這個動作,讓伺服器開啟大量連結後空等,最終耗盡資源停擺。 

2.UDP / ICMP-FLOODING 

由於 UDP 協議不需要產生連結,不是以「佔用目標主機連結數」的方式來達到目的,而是發送大量 UDP 封包泛洪目標主機的帶寬,而且 UPD-flooding 不用費盡心思安排特殊置位,只要在一定時間內傳送大量 UDP 封包就能產生效果。ICMP 泛洪原理相同。 

3.SLOW ATTACK 

利用通訊協定中的漏洞,與目標主機建立「超慢速」網路連線,刻意拉長回應時間讓伺服器無法完成要求,佔用網路連線來耗盡目標系統的資源。 

DDoS 攻擊對企業有哪些重大影響? 

遭受 DDoS 攻擊,企業系統不是停擺幾小時就撥雲見日,以下棘手問題將接踵而來: 

被勒索贖金,導致重大財務損失 

資安漏洞造成企業負面形象 

影響商譽、流失客群 

承擔法律責任 

駭客攻擊對企業最為挑戰的是營運面,定期做好資安檢測與防護是將威脅風險降到最低的不二法門。



in Blog