隨著數位化和遠距工作的興起,網路犯罪率也同時不斷增長。其中,根據資安公司 Radware 的統計,全球分散式阻斷服務攻擊(DDoS 攻擊)的案件在2022年就成長了1.5倍。除了攻擊次數更頻繁以外,DDoS 攻擊也變得更具有威脅性。 目前抵禦 DDoS 攻擊常見的措施有:Anti-DDoS、網路應用程式防火牆 (WAF)和流量清洗。今天和嗨雲一起了解預防 DDoS 攻擊的流量清洗是如何運作的吧!
📚 延伸閱讀:DDoS 攻擊是什麼?企業如何抵禦 DDoS 攻擊?
流量清洗如何運作?
DDoS 攻擊的原理是操縱大量裝置對伺服器或系統送出請求,讓伺服器工作量超載,進而無法正常運作。最大規模的 DDoS 攻擊,每秒請求數可以達到7100萬。我們都有使用電腦時,開太多程式或是網頁而造成電腦當機或無法即時執行命令的經驗。可以想像一下在一秒內同時打開7100萬個程式,電腦的反應會是什麼。
流量清洗的原理是透過分析和過濾進到一個網頁的流量來抵禦 DDoS 攻擊。在企業的資安系統偵測到異常大量的流量時,以前端網路設備的 BGP (Border Gateway Protocol) 路由或 DNS 等方式把惡意的伺服器請求引導至第三地的流量清洗中心 (Scrubbing Center)。而在流量清洗中心,入站的流量會被一一檢視、分析,把惡意的請求清洗之後,再送回本來的目的地,以有效防禦 DDoS 攻擊。
💡 嗨雲小知識:什麼是 BGP? Border Gateway Protocol (BGP) 中文叫做邊界閘道通訊協定,可以想像成網路中的郵政服務。收到信件之後,郵政系統會考慮此封信所有可能傳遞的路徑,然後選擇其中最佳的一個。而在網路上,當有資料要被傳輸的時候,BGP 也會負責找出最迅速的一條路徑。
流量清洗中心是一個中央流量清洗站,除了可以移除 DDoS 攻擊的請求,也可以清洗掉其他惡意的漏洞和攻擊。網路服務供應商和雲端供應商都有建置或使用流量清洗中心,或提供流量清洗服務。而流量清洗中心會配有在網路層和應用層可以應付巨量流量攻擊的系統。
其他 DDoS 防禦方法
除了流量清洗以外,其他常見的 DDoS 防禦方式有:
- 網站應用程式防火牆 Web Application Firewall (WAF) WAF 也是一種可以檢查和過濾網路流量的技術,可以分析並加以阻擋惡意請求。主要用於緩解較複雜的 OSI 第七層攻擊。
- 內容傳遞網路 Content Delivery Network (CDN) 內容傳遞網路主要是用來儲存快取資料,減輕原伺服器負擔。使用 CDN 之後,惡意請求的流量被引導至節點,而非原伺服器,以此抵禦 DDoS 攻擊。
- 負載平衡器 負載平衡器可以用來引導並控制進入到一個應用程式伺服器的流量,分析目前伺服器的使用狀況,再以此為依據分配訪客或使用者的流量。負載平衡器因而可以用來保護伺服器免於大規模 DDoS 攻擊。
