當DDoS攻擊來臨時
Published by Yi-Lang Tsai under 惡意程式, 資訊安全, 資訊技術 on 8/03/2015 11:35:00 上午分散式阻斷服務(DDoS, Distributed Denial of Service)是目前越來越常見,且越來越難防禦的網路攻擊手法,在各種不同的網路安全威脅之後,其中分散式阻斷服務攻擊(DDoS, Distribution Deny of Service)已成為近來主要的網路安全威脅之一,而此類型的攻擊,大多非直接入侵,而是透過耗盡網路資源、計算資源等方式,降低服務主機本身的系統效能,以達成影響受害者系統的目的,因此當遭遇到此類的網路攻擊時,受害者往往在短暫的時間內就會直接影響到原本的服務;近年來透過關鍵網路服務弱點,進行網路放大攻擊,除了可以避免因為連外網路頻寬不足而無法執行大規劃的攻擊。
當DDoS攻擊發生時,大多數所採取的策略都以降低其所造成的影響為主,一旦網路服務遭受攻擊時,往往可以讓我們進行應變的時間相當有限,從攻擊手法的行為偵測,到應用資安設備進行防禦,都需要配合進行調整,因此在近幾年網路化與雲端化的趨勢之下,也出現了許多針對此類網路攻擊提供「流量清洗」的服務,利用前端網路流量特徵的偵測,收集來自網路設備的資訊,例如:路由器所提供的Netflow資料,再經過網路行為特徵的分析,找到當時攻擊者所使用的攻擊手法,將該連線的行為轉移到清洗中心進行過濾,而清洗中心針對網路的流量進行比對,當確認網路流量中的異常行為時,則將該網路封包丟棄,最後再將經過純淨處理後的流量導回原本的網路設備,讓已經過濾完成的網路流量可以到達目的地,利用清洗中心進行異常網路流量的清除,可以減輕被攻擊的目標承受來自分散式阻斷服務攻擊的影響,不過因為攻擊的手法極有可能多樣化,或是當攻擊者發現所使用的攻擊方法無法達成預期的目標時,皆有可能轉換成其它的攻擊手法,因此由資安防禦的角度而言,建立預警的偵測機制,也成為相當重要的一環,配合前端的資料收集與預警,方便後續進行應變與處置。
當DDoS攻擊來臨時,第一個直接感覺到變化的就是網路流量的激增,增加的幅度會因為攻擊者所採用的攻擊手法不同而有所不同,大多數的網管單位都會配合網路的營運,建置如MRTG之類的網路流量收集平台,透過定期的資料收集,掌握網路頻寬的使用情況。
(圖)MRTG網路流量的變化
當巨量的攻擊開始之後,第二個直接受到的影響的就是遭受攻擊的主機,有可能會因為系統的資源或是網路的資源耗盡,而無法正常的提供服務,或是因為資源不足所造成的逾期回應,而出現伺服器錯誤等相關的訊息,目前多數的網站伺服器在設計上,會依據使用者的訪問,提供對應的執行程序,當使用者超過逾期回應(Time Out)的時間,伺服器才會將該名使用者的執行程序終止,不過在未終止之前,將會持續佔用伺服器本身的硬體資源,例如:記靜體的空間等。當無法回應或回應逾時,可能會出現「404 Not Found」或是「應用程式中發生伺服器錯證」等訊息。
(圖)伺服器的錯誤訊息
網路上的情資
目前網路上提供即時DDoS攻擊資訊的網站服務相當多,以下舉幾個是個人常拜訪的網站,可以用來掌握網路上的威脅情資,這些網站所提供的資訊,主要是從該業者的角度提供參考的資訊,雖然不會是完整的呈現網際網路的現況,不過涵蓋的範圍已經是具備參考的公信力了。
- Google Digital Attack Map (http://www.digitalattackmap.com/)
(圖)Google Digital Attack Map的畫面
- ATLAS (https://atlas.arbor.net/)
(圖)ATLAS的統計資料
- Norse Dark Intelligence (http://map.norsecorp.com/)
(圖)NORSE的視覺化平台
當DDoS攻擊活動出現時,透過視覺化的平台,就可以明顯的看到攻擊發生時的情況,例如:大量的攻擊流量來自特定的區域,或是全球性的分散來源,這些資料也方便我們對應到當時的網路情資,也可以與真實世界的事件有所聯結。
(圖)Norse呈現DDoS攻擊時的情況
DDoS的幫兇-殭屍網路(Botnet)
多年來殭屍網路伴隨著許多資訊安全事件的發生,從早期簡單的惡意程式發展至今,已成為具備多種能力的惡意程式,並且因為不同的系統或是軟體弱點的出現,朝向特定弱點或是特定攻擊方式的方向發展,在追蹤與分析來自誘捕網路(Honeynet)所收集到的惡意程式,透過分析報告不難呈現惡意程式所呈現的行為特徵,已有越來越多的惡意程式具備發動DDoS攻擊的能力,可以在攻擊者的一聲令下,成千上萬的殭屍電腦(Honeypot)就會參與大規模的網路攻擊行動。
(圖)Dorkbot.Botnet具備DDoS的功能
主要的攻擊類型:
目前在DDoS攻擊行動中常見的攻擊手法,主要可以歸納出以下幾項:
- 系統資源耗盡
從遭受攻擊的主機上來看,系統資源的耗盡是常見的手法,中央處理器的負載,在承受攻擊的當下,極可能直接飆高到100%,多核心的系統也可以看到同樣的情況,此時系統的效能將會快速降低,直接影響到正常使用者。
(圖)系統資源的使用
- 網路資源耗盡
網路頻寬是昂貴且有限的,在大量的網路攻擊行為發生時,網路頻寬的使用率將會是第一個反應的,以目前來自國內與來自國外的DDoS攻擊事件來看,來自國外的攻擊來源位址或是假冒的攻擊來源,仍然是最主要的攻擊手法,因此並沒有辦法從網路設備單純的拒絕特定的來源對目標的攻擊,而透過台灣網際網路的連線頻寬來看,目前大多數的ISP都有相當多的連外線路,頻寬的大小其實也跟各自的服務對象有關,不過這些連外的頻寬,就會成為DDoS攻擊過程的瓶頸,因此後來發展出來的針對基礎設施進行放大攻擊的手法,多是為了避免在這個關鍵點出現瓶頸所運用的技術。
(圖)台灣網際網路連線頻寬
- 針對系統或網路設備本身的弱點
(圖)CVE-201305211 NTP弱點資訊
- 運用關鍵網路服務
國際知名的資安研究組織Shadowserver,曾經進行了全球的Open Resolver DNS服務掃瞄計畫(https://dnsscan.shadowserver.org/),其中出乎個人意料的是中國大陸(China)高達二百萬台以上的DNS有開啟Recursive(遞迴) DNS的查詢服務,經由 Recursive的方式,讓使用者可以從網域名稱的樹狀結構的根 ( Root ) 來進行遞迴式的查詢,可以找到需要的網址,這和實際的連結到 Authoritative DNS Server 進行的方式是類似的,如果在企業內建置具備遞迴查詢的服務,可以節省部份的流量,不過但也可能帶來部份的資安風險。
如果以ASN的方式進行統計,其中Hinet掃瞄出34萬台具備遞回查詢功能的DNS伺服器,也是全球的第三名,主要在於國內許多企業大多還是選擇自行架設DNS的服務,也可以擁有較高的自主性。
(圖)Openresolver.com的檢測服務
應變機制的建立
當DDoS來臨前,需事先完成應變團隊的建立,透過資訊安全管理系統的建立,可以透過事先的準備,減輕當事件發生時的應變以及處理的時效,避免因為緊急事件的發生,而亂了自身的分寸,影響對事件的處理流程,如果想要建立相關的應變機制,建議可以參考建立以下的表單:(資料來源:https://zeltser.com/ddos-incident-cheat-sheet/)
- 事件應變團隊(Incident Response Team)
- 運作手冊(Runbook)
完善資訊安全事件的應變團隊,在事件發生時可以避免因為手忙腳亂了失去了處理該事件的黃金時間。
一個縱深防禦的概念
從網路服務供應商(ISP, Internet Service Provider)的角度來看,皆需要針對DDoS的網路攻擊建立一套標準的作業流程以及因應的方案,以降低遭受攻擊時的影響範圍與遭受的損失,在網際網路的世界中,以ASN代表著不同的ISP,也意謂著不同的網路管理單位,因此以ISP為一個DDoS攻擊的防制中心,是最經濟且可以實施的方案,再透過不同的ISP之間的互助合作,快速的針對所造成的網路攻擊進行因應。
網路流量清洗的概念,目前已有多家網路服務與資安設備業界提供了網路清洗的解決方案,基本的運作原理多從應用層的服務或是特定的網路服務進行處理,以解決單純收集Netflow資料而無法掌握深度資訊的問題,當偵測到異常的網路流量時,可以依據攻擊者所使用的手法,例如:攻擊者使用的通訊協定,將網路流量引導到流量清洗中心進行處理,將異常的通訊清洗完成之後,再將乾淨的流量回到目標主機。
近年來許多ISP業者的頻寬因應網路使用需求的增加,不斷的加大網路的頻寬,以因應使用者以及新興網路應用服務的需求,而台灣的學研網路也即將進入100Gbps以上的世代,因為頻寬的增加,對於DDoS此類網路攻擊的威脅而言,更需要積極的面對與尋求解決方案,傳統單純使用Netflow進行資料收集與情資分析的方式,在目前網路流量激增的環境中,更面臨了挑戰。
一個DDoS的防禦概念,須具備縱深防禦的架構,就如同國際資安社群FIRST組織(https://www.first.org/),建構以各國的CERT、CSIRT為主的情資平台,利用彼此之間的事件通報,讓各國的事件應變單位進行資訊安全事件的處理,對於廣域的事件處理,從兩個端點切入進行處理,而DDoS的防禦機制,也應具備相同的處理機制,從各個不同地點的設備進行分析與偵測,並且能夠進行全球性的攻擊情資的交換,由位於攻擊來源的區域直接進行處理。
