面對大規模 DDoS 時只可啞忍?
DDoS 近日成為全城熱話,事關 PopVote 普及投票網站及其手機應用均完全被 DDoS 所癱瘓;其實全球不同國家之間一直以來都有很多 DDoS 流量,只是今次事件觸及香港人神經,加上規模之大前所未見,因此才引起極大回響;可能你會問:為什麼不報警處理?為什麼 DDoS 的始作俑者來無影去無蹤?且看以下分解:
1. 追查元兇十分困難
其實要追查 DDoS 元兇並非易事,全因 DDoS 始作俑者往往會預先針對欠缺安全意識的電腦用戶植入惡意軟件,令其成為其彊屍網絡的成員,當收到上頭指令後,始作俑者便會發送一段簡單的指令,從而令彊屍電腦之間互傳指令,最終令數以百萬計的彊屍於極短時間內針對目標發送大量指令/封包;由此可見始作俑者往往會潛藏在最底層,而始作俑者可通過感染外國電腦,從而增加追查上的難度。
2. 大規模攻擊、傳統防禦方案作用不大
由於目標往往受限於物理性的設備例如網絡閘道的(bottleneck)瓶頸又或者是數據中心的頻寬所限,加上網絡設備本身亦有其效能極限,因此顯而易見的就是傳統的防禦設備根本難以抵擋突如其來的流量,最終反而防火牆/或相關設備會成為瓶頸的一部份,成為癱瘓整個服務的其中一大位置。
當然,這類所指的是大規模的攻擊,就好像今次的 PopVote 普及投票被攻擊時,防禦方案才未能應付;然而針對一般企業常常面對的 DDoS 攻擊,坊間的確有方案能起到有效的防禦作用。
3. 備案是可以的..但執法困難重重
其實這類型國與國之間的大規模攻擊,很多時的確要求助於執法部門;但不幸地,即使你已「報案」,由於這類型案件涉及非常繁複的搜證過程,包括需要與他國取得搜查或調查的批准,加上網絡的靈活性動輒便可感染數十、甚至是數百個國家的電腦並令其成為彊屍成員之一,調查過程慢長;因此這些案件很多時都只會是停留於「報案」階段。
於是作為網絡管理員,老實說可以做的事情不多,唯一可以做的就是寄望政府… 的協助;但假如你已經失去耐性,又或者想快一步得知最新的 DDoS 攻擊趨勢,其實亦可透過由 Google 與 ARBOR 合作推出的免費世界網絡地圖的協助,此地圖可讓你實時了解到不同國家之間的 DDoS 攻擊情況,接下來將會為大家深入地模擬調查一下攻擊的來源。
