專訪安全專家:DDoS 防禦方案絕不能將搜尋流量誤判為攻擊(下)
問:現時市面上有很多 CDN 服務,究竟 Nexusguard 有甚麼優勢?
是否能以其他創新方式抵抗 DDoS 等攻擊?
答:針對 DDoS 攻擊與 DNS 防禦,Nexusguard 具有多年經驗,我們也提供多樣化的部署模式,如代理伺服器模式(Proxy based mitigation)。
就此問題,其實所有未經過濾的流量,都混合著攻擊流量與正常流量,在透過 Nexusguard 流量清洗中心的清洗後,在到達企業後端伺服器之前,流量已經過 Nexusguard 的多層次 DDoS 防禦過濾。有些 DDoS 攻擊會同時攻擊 DNS 和網站,如果 DNS 無法使用,用戶就因為 DNS 被打而不能用域名範圍,間接造成網頁也下線的假象,因此,防禦 DNS 的攻擊亦是同等重要,DNS 的基礎建設也需要進一步的防護。
問:假設數據中心希望使用 Nexusguard 的 DDoS 防護,那你們又會如何替客戶進行測試?
答:來自資料中心的需求,Nexusguard 可依照使用者需要分作兩個保護層次,一是針對企業基礎建設的 InfraProtect、其二便是針對網路服務供應商的 SPE(Service Provider Enablement)。
在 Nexusguard 的標準設定中,在啟動 DDoS 防禦服務之前需進行一些測試,以確保企業用戶的網站在設定前後都可以正常開啟;另外再進行模擬攻擊測試以保證防護設定無誤,例如模擬小規模流量的攻擊和針對應用程式層的 DDoS 攻擊,則需對應到最新的虛擬 IP 位址設定,或將流量重新導向至流量清洗中心。
問:搜尋機械人的流量往往都佔有一定比例,很多 DDoS 方案都會出現誤判情況,就此你可以分享一下你的想法嗎?
答:其實一套 DDoS 防禦方案必需能保證搜尋引擎對客戶網站的存取不會受影響;例如需確保零誤判率、零漏判率,前者是搜尋引擎爬蟲被錯判為殭屍網路,後者則是將殭屍網路漏判為搜尋引擎爬蟲。因此一個具有巨量資料分析能力的全球網路安全中心,便是整體資安策略的重要一環。所以強大的廠商必需擁有安全團隊與豐沛的網路防禦資源作配合,才可發揮出方案的最大能力。
問:現時網站很多時都建基於一些開源的 CMS 系統之上,例如是 WordPress、Opencart 等等,然而當這些平台出現漏洞時﹐由於極多網站採用相同的平台的關係,所以往往會做成大量網站出現問題或被成功入侵;針對黑客就網站漏洞植入惡意程式的情況,你們會有甚麼建議?
答:這些漏洞都是一些常見且經典的網站應用程式攻擊,實際上攻擊手法是低階又慢速,當攻擊發生時可能只是發出少數的 http 連線請求並且插入攻擊程式碼到伺服器之中;一般來說,傳統的防火牆或是常見的 CDN 服務供應商是無法偵測到這種低階慢速的手法。
在 Nexusguard 的安全雲端服務平台上,企業客戶可以申請啟動 WAF(網站應用程式防火牆)便能對應到這樣的攻擊,例如 SQL 資料隱碼攻擊(SQL Injection)、跨站請求偽造(CSRF, Cross-site request forgery) 和跨站腳本攻擊(XSS, Cross-site Scripting)等,這都將有效的遏止攻擊者企圖使用 CMS 框架、CMS 軟件套件或 CMS 外掛漏洞。
更甚者,在企業接受 Nexusguard 的 DDoS、WAF 防禦服務之前,這些網站如果已經被攻擊,我們的安全監控中心團隊仍然可以立即接手,透過偵測並阻斷可疑的惡意程式中繼站(C&C, Command and Server),來斷絕攻擊者與受害者伺服器之間的通訊,以有效遏阻攻擊。
瀏覽相關文章
專訪安全專家:APT 混合 DDoS 攻擊成最新趨勢 (上)
專訪安全專家:DDoS 防禦方案絕不能將搜尋流量誤判為攻擊(下)