作者:Tony Chung
近幾年來企業遭受 DDoS 攻擊的事件頻傳,尤其是企業新的服務、遊戲上線時特別容易被「開幕送花籃(意指被 DDoS 攻擊)」,若企業無法及時防禦或是緩解攻擊,可能會造成服務中斷導致客戶流失及對於企業產生負面形象,這時候就是對於企業 IT 對於整體系統架構韌性的考驗,本篇文章將會講解什麼是 DDoS 以及如何透過 AWS 服務來提升架構的強韌度。
近幾年來企業遭受 DDoS 攻擊的事件頻傳,尤其是企業新的服務、遊戲上線時特別容易被「開幕送花籃(意指被 DDoS 攻擊)」,若企業無法及時防禦或是緩解攻擊,可能會造成服務中斷導致客戶流失及對於企業產生負面形象,這時候就是對於企業 IT 對於整體系統架構韌性的考驗,本篇文章將會講解什麼是 DDoS 以及如何透過 AWS 服務來提升架構的強韌度。
DDoS 攻擊模式知多少,各層級手法解析給你聽
DDoS ( Distributed Denial of Service 又稱「泛洪式攻擊( SYN flood ) 」,是攻擊者透過不同的來源進行針對式的攻擊,這些攻擊的來源可能會是電腦、路由器、IoT 裝置,或是其他分散式來源進行攻擊。
一般而言,可以透過受攻擊的開放式系統互連 ( OSI ) 模型層來隔離 DDoS 攻擊。這些攻擊在基礎設施層 ( Layers 3 和 4 ) 與應用程式層 ( Layer 6 和 7 )最常見。
一般而言,可以透過受攻擊的開放式系統互連 ( OSI ) 模型層來隔離 DDoS 攻擊。這些攻擊在基礎設施層 ( Layers 3 和 4 ) 與應用程式層 ( Layer 6 和 7 )最常見。
基礎設施層攻擊 ( Layers 3 和 4 )
UDP 反射攻擊和 SYN 泛洪式攻擊都是最常見的基礎設施層 DDoS 攻擊。攻擊者透過這兩種方法中來產生大量流量,這些假流量可能會將網路流量塞爆或占用伺服器、防火牆、入侵防禦系統 ( IPS ) 或 Load Balancer 等系統上的資源,導致資源耗盡,無法正常提供服務。
應用程式層攻擊 ( Layer 6 和 7 )
應用程式層常見的攻擊手法包括 HTTP 泛洪攻擊、暫存破壞攻擊( Cache-busting )和 WordPress XML-RPC 泛洪攻擊。類似於 SYN 泛洪式攻擊,攻擊者試圖使應用程式的特定功能過載,使應用程式無法正常提供服務。攻擊者可以透過只產生少量網路流量或是請求量來達成攻擊目的,所以讓攻擊難以檢測和緩解。
層層堆疊,AWS架構的DDoS的防禦策略
DDoS 之所以難防禦是因為系統很難區分哪些是惡意的假流量和真實的流量,但要有效地緩解,企業必須建構出一個比入站流量更快進行自動擴展的網路及架構,這時候客戶應透過雲端彈性擴容的優勢能夠更輕鬆達到 DDoS 緩解策略。
AWS 預設在所有的 region 啟用 Shield standard 服務,也就是說,當企業將服務的架構建置於 AWS 上,就立即享有 DDoS 的基礎防護。您也可以進一步訂閱 Shield Advanced 服務, AWS 會提供7*24的 SRT 團隊與您一同處理使用者正在面臨的 DDoS 攻擊,並提供視覺化儀表板讓使用者能快速了解狀況。
資安議題延伸閱讀:
淺談雲端託管服務對企業的影響
AWS 資安防護簡易2功能!應用「零信任轉型」助企業全面保護資訊環境
CKmates 資安客戶案例:
17 直播與銓鍇國際合作,善用 AWS 資源拓展全方位娛樂事業
銓鍇國際協助 MR. LIVING 居家先生將 AWS 成本控管與保護資料更完善
AWS 預設在所有的 region 啟用 Shield standard 服務,也就是說,當企業將服務的架構建置於 AWS 上,就立即享有 DDoS 的基礎防護。您也可以進一步訂閱 Shield Advanced 服務, AWS 會提供7*24的 SRT 團隊與您一同處理使用者正在面臨的 DDoS 攻擊,並提供視覺化儀表板讓使用者能快速了解狀況。
資安議題延伸閱讀:
淺談雲端託管服務對企業的影響
AWS 資安防護簡易2功能!應用「零信任轉型」助企業全面保護資訊環境
CKmates 資安客戶案例:
17 直播與銓鍇國際合作,善用 AWS 資源拓展全方位娛樂事業
銓鍇國際協助 MR. LIVING 居家先生將 AWS 成本控管與保護資料更完善