資訊安全網: 拒絕服務 / 分布式拒絕服務攻擊

拒絕服務 / 簡介

拒絕服務（Denial of Service，簡稱DoS）攻擊和分布式拒絕服務（Distributed Denial of Service，簡稱DDoS）攻擊是互聯網上一種常見的網絡威脅。這些攻擊都是採用類似的攻擊方式，試圖削弱目標系統的效能或消耗其資源，使其不能提供正常服務。這些目標系統包括網站、電子郵件服務、域名系統、網絡應用程式等。

DoS攻擊通常只涉及少數的主機發動攻擊，甚至只涉及一台主機，意圖令目標機構系統不勝負荷。如果目標系統無法處理攻擊主機發出的網絡請求，目標系統的可用性就會受到影響。

另一方面，DDoS攻擊是大規模的DoS攻擊，攻擊者通過遠端控制多台受到感染的主機向特定目標機構的服務 / 網絡 / 伺服器同時發動DoS攻擊。攻擊者可能會採用一些常用的攻擊技倆，例如利用反射放大技術以加強攻擊，設法令運作受阻。根據一篇報道指出，有一家資訊科技服務供應商在2021年4月經歷了一次針對域名系統的DDoS攻擊，導致其全球服務中斷數小時，用戶因而無法使用該服務供應商提供的一些雲端服務。由此可見，DDoS攻擊可能會對機構的服務造成重大影響，為機構帶來潛在的損失。

圖一：一般的DoS / DDoS攻擊圖表

除此之外，DDoS攻擊有時候會被用作誘餌以分散目標機構在網絡安全運作上的注意力，以掩飾其他惡意行為（例如資料盜竊或網絡入侵）。

簡而言之，下文的DDoS將包括DoS和DDoS。

DDoS攻擊的影響

DDoS事故可在財政和運作上對有關機構造成災難性影響。DDoS攻擊所引致的後果包括：

服務中斷 – 電腦系統因異常大的通訊流量而不勝負荷，令用戶無法使用系統的服務（例如網上的銷售服務被干擾導致持份者失去信心）。

業務運作中斷 – DDoS攻擊可能會影響機構電腦網絡的表現，導致其性能降低甚至停止運作（即違反服務層面協議）。

損害機構聲譽 – 網上服務中斷可能會引致客戶不滿或投訴，損害機構的聲譽。

財政損失 – 攻擊者可能會發送勒索電子郵件，要脅機構支付贖金以換取不發動DDoS攻擊。

妨礙網絡保安防禦能力 – 攻擊者利用DDoS攻擊作為誘餌以分散網絡保安團隊的注意力，同時試圖通過惡意軟件攻擊或網絡入侵破壞機構系統的保安防線。

常見的DDoS攻擊

DDoS攻擊大致可分為以下四類：

洪水或流量攻擊 – 攻擊者發送大量的數據封包以圖完全佔用目標機構的互聯網頻寬，從而令合法用戶的網絡流量中斷，使系統服務無法被接達。

例子：用戶數據報規約（User Datagram Protocol，簡稱UDP）洪水攻擊、互聯網控制信息規約（Internet Control Message Protocol，簡稱ICMP）洪水攻擊和域名系統洪水攻擊

連接狀態攻擊（亦稱為規約攻擊） – 位於網絡基礎設施和伺服器中的連接狀態資源必須符合應用系統的規約，一般涉及規約交握。在設計上，規約交握會發送互相協調的連接請求到目標伺服器進行確認及要求回應。攻擊者會利用交握機制偽裝成合法的連接，產生難以由無狀態防火牆或邊界路由器裝置阻隔的網絡流量，其目的在於消耗目標機構伺服器的資源。這些攻擊所產生的網絡流量最終可能成功耗盡目標機構的系統資源，導致合法用戶無法接達系統。

例子：SYN洪水攻擊和保密插口層（Secure Sockets Layer，簡稱SSL） / 傳輸層保安（Transport Layer Security，簡稱TLS）通訊規約攻擊

圖二：SYN 洪水攻擊的例子

應用層攻擊 – 攻擊者發動針對應用層內部特定功能的惡意活動。目標機構的應用程式因面對過量的系統資源請求，使所有可用的資源被耗盡，最後導致無法回應合法用戶的請求。

例子：Slowloris DoS / DDoS攻擊、超文本傳輸規約（Hyper Text Transmission Protocol，簡稱HTTP）洪水攻擊

反射及放大流量攻擊 – 攻擊者利用用戶數據報規約或傳輸控制規約（Transmission Control Protocol，簡稱TCP）向一些有保安漏洞和對外開放的伺服器（也稱為流量放大器）發送小型的仿冒服務請求，請求發送大量數據到攻擊目標的互聯網規約地址，當中的流量可達百萬字節或十億字節。由於攻擊目標需要處理和回應大量的網絡封包，可能導致伺服器資源耗盡，令合法用戶無法接達。

例子：非連線式輕量型目錄接達規約（Connection-less Lightweight Directory Access Protocol，簡稱CLDAP）放大流量攻擊、域名系統放大流量攻擊、DDoS反射攻擊（Distributed reflective denial of service，簡稱DRDoS）

圖三：CLDAP放大流量攻擊的例子

防範DDoS攻擊的良好作業模式

機構可以採用以下一些良好作業模式以防範DDoS攻擊。

集中式資料收集和分析

建立集中監測儀表板，包括網絡封包監測系統，以監測整個網絡、系統和流量模式，以便及早發現和準確預測可能發生的DDoS攻擊。

可按需求縮放和靈活的基礎設施

當攻擊流量接近頻寬的飽和水平時，考慮把服務轉移至以雲端平台為基礎的解決方案，例如內容分發網絡（Content Delivery Network，簡稱CDN）和分布式域名系統服務。

通過採用多個互聯網服務供應商（Internet Service Provider，簡稱ISP）的互聯網接達服務以提高網絡的復原能力。

層級防禦方法

使用、來源位址過濾服務、DDoS攻擊清理等網絡安全措施來阻擋惡意流量。

為面向互聯網的伺服器設置非軍事區（Demilitarised Zone，簡稱DMZ）網絡，並使用防火牆保護內部電腦設備。

把機構的網絡劃分為多個分網，以確保即使其他網絡受到DDoS攻擊時，關鍵網絡也能正常運行。

考慮採用持續或按需要選擇的DDoS緩解服務以保護機構網絡免受DDoS攻擊。

檢查和分析應用程式的行為

檢查和分析一般應用程式的行為，包括其效能和使用模式，以便一旦因應用層攻擊而導致出現異常應用程式行為時，能够迅速作出回應。

制訂DDoS應變計劃

在DDoS攻擊出現之前制定DDoS應變計劃，確保機構可以更快、更冷靜地作出回應，並將任何潛在的運作風險和財務損失降至最低。

進行資訊保安風險評估和審計

定期進行保安風險評估和審計，以確保已採取足夠的保安措施抵禦DDoS攻擊。

如何偵測DDoS攻擊

機構應定期監察網絡流量和系統資源的使用情況，偵測DDoS攻擊，以便機構能夠迅速採取行動減低攻擊所造成的損害並阻擋DDoS攻擊。

監察內部網絡流量和伺服器資源的使用情況，例如域名系統和網頁伺服器，以及早偵測系統中流量急升和系統資源異常使用的情況。

與互聯網服務供應商或保安服務供應商合作，利用其運作中心監察互聯網流量。

記錄安全事故，並檢查由或、反惡意軟件解決方案、互聯網通訊閘和防火牆等保安系統產生的警報，以偵測可疑活動。

如何應對DDoS攻擊

遏制
機構應遏制DDoS攻擊造成的破壞，以免耗盡資源，令破壞程度加劇。

中斷受影響的網絡設備與機構網絡之間的連接。

與互聯網服務供應商或保安服務供應商合作，分析流量等異常流量負載和互聯網規約的信譽，檢查已知的DDoS攻擊特徵並在保安服務供應商的運作中心阻止DDoS攻擊的流量。

使用DDoS黑洞（black hole）路由 / 過濾技術建立特定的IP路由表堵截網絡攻擊，並將DDoS攻擊流量導向至「黑洞」棄置。

考慮就可疑攻擊向相關機構（例如香港網絡安全事故協調中心）報告並尋求意見。如有涉及犯罪活動，請向執法機構或規管機構（例如香港警務處）舉報。

復原
機構應評估DDoS攻擊造成的損害並制定合適的復原措施，以恢復受影響的服務並防範日後再被相同的攻擊損害。

按照DDoS應變計劃把服務復原至原有狀態。

進行分析以找出保安事件的根本原因並修復任何潛在的保安漏洞。

考慮通過增加網絡處理能力、採用第三方的DDoS防禦服務、使用WAF等措施提升防禦DDoS攻擊的保安水平，以防止日後可能遭受更大規模的DDoS攻擊。