台灣防疫得當,已經連續多日無本土病例,然而國際疫情仍然持續蔓延中。在防疫期間,對所有人來說網路變得更加不可或缺。在全世界建置200個資料中心,協助企業加速傳遞靜態、動態內容的全球CDN領導廠商Cloudflare在這段期間也關注到全球網路流量的變化,以及電商、遊戲等線上服務網站這段期間頻頻遭受規模小但短暫快速的DDoS攻擊。企業應了解網路趨勢變化及早因應。
防疫期間,視訊會議、串流服務、電子商務及新聞頻道的網路流量大幅增加。在全球逾200個城市佈有網路節點,Cloudflare觀察到今年3月隨著各國陸續宣布進入緊急狀態,採取封城、關閉非必要商店等措施之後,網路流量立即增加10%~40%。而當企業組織陸續採取在家上班措施後,網路流量的分佈更是由市中心或商業區轉向郊區、住宅區(如圖1)。
之所以能夠掌握流量變化,因爲Cloudflare 在200多個節點設有邊際路由器,負責交換傳遞當地使用者所請求的網路內容,這些路由器也會去採樣所經過的流量的IP封包等資訊,如IP來源/目的地位址、通訊埠以及封包大小等。
而在Q1這段防疫期間,隨著人們上網時間的增加,不論是線上購物、點餐、線上遊戲或從事其他線上活動,線上流量的提升代表線上服務業者每分鐘營收也隨之增加,因此在尖峰時間服務的中斷也意味著業者將承受巨大損失。無疑地,攻擊者將利用此機會增加DDoS攻擊。
Cloudflare觀察到Q1疫情這段期間,尤其1月至2月大部分攻擊的bit rate相當小,92%的攻擊小於10 Gbps,相較於去年Q4的84%。其中Q1最大宗的是500 Mbps以下的攻擊佔64%,而從Packet rate來看也是如此,大部分攻擊的packet rate每秒封包數在100萬以下。不僅如此,攻擊持續期間也明顯縮短,30至60分鐘間的DDoS攻擊在Q1達79%,而去年Q4僅60%。
透過規模較小且短暫快速的攻擊來勒索這些線上服務業者,為攻擊者帶來更高的ROI。而特別的是,去年Q4攻擊者較為難纏,鎖定目標後會用各種手法不斷發動攻擊,同一天針對同一Cloudflare IP最高曾發動523次DDoS攻擊,而在Q1對同一IP最高僅311次。
另方面以攻擊手法來看,在Q1最多的是ACK攻擊(50.1%),SYN攻擊居次(16.6%),第三則是透過IoT殭屍網路Mirai所發動的攻擊。但值得注意的是,3月隨著各國政府採取居家隔離等措施,3月下旬的DDoS攻擊次數比起3月上旬增加55%,且攻擊規模大都來到300至400 Gbps,最大更達550 Gbps。(如圖2)
對此,Cloudflare團隊提醒,過去多數DDoS防護供應商在SLA合約上所承諾15分鐘內紓解DDoS攻擊已不敷實際所需。透過自動偵測及處理技術,Cloudflare在處理大多數網路層DDoS攻擊都在10秒鐘內。此外,越來越多DDoS攻擊都是由在地發起,因此僅透過清洗中心的防護方式恐怕也不太可行,因為DDoS流量需要被來回疏通,而他們有限的全球覆蓋率將成為瓶頸。
在Gartner近期所發佈的DDoS雲端清洗中心解決方案比較研究報告指出,對網路連線速度達10 Gbps以上的企業來說,在沒有DDoS防護下受到短暫但頻繁的10 Gbps攻擊仍然具有破壞性。Gartner建議企業應選擇具備你所在區域內曾遭受最大量攻擊的3倍清洗能力的供應商,而目前為止史上最大的攻擊是在2018年針對原始碼代管服務平台GitHub所發動的DDoS攻擊,當時攻擊流量高達1.3 tbps。而Cloudflare擁有高達37 tbps的網路乘載能力,相當於6家友商清洗能力的總和。
此外,現今DDoS攻擊規模越來越大,由分佈在世界各地上百萬個獨立IP同時發動,因此需要在源頭立即處理,而非再用過去將流量導引到特定清洗中心的做法。Cloudflare分散在200個城市的資料中心都具備完整DDoS攻擊處理能力。且Cloudflare DDoS解決方案整合網頁應用防火牆(WAF)、CDN服務等,在不犧牲效能下能提供整合式的安全。
CloudMile 協助遊戲發行商採用Cloudflare獲得絕佳防禦效能!
近期CloudMile團隊亦協助某遊戲發行商成功導入Cloudflare 解決方案,該發行商過往遭遇攻擊時導致遊戲中斷,除造成發行商本身在開發商端以及客戶端的形象受損、上千萬行銷預算的浪費外,遭遇過程中,員工需放下手邊工作去支援,且玩家收益減少更是直接造成公司損失。
經評比後Cloudflare雀屏中選,主要因為Cloudflare全球200個資料中心總計擁有37 tbps的清洗中心規模與效能遠勝於其他友商,例如某業者僅達到6 tbps。且Cloudflare對於TCP/UDP攻擊能提供絕佳防禦能力。
此外,曾遭受攻擊的他們對於Cloudflare收費方式也十分有感,Cloudflare採無限高防的計費模式,不會讓企業因受到攻擊後突然收到暴漲帳單。例如某A業者當客戶發生攻擊事件時,會另外收取高額費用,且事件處理耗時過久,需花30分鐘以上調整組態設定,造成客戶停機風險損失。
另一家A業者採網域數計價,子網域越多費用越高,且防禦時間還有24小時的限制;另一I業者則採級距式,一開始只能防一定程度,若要無限高防,費用會暴漲,費用落差恐以數十倍、百倍為級距。第三、Cloudflare能提供全球無時差7X24X365的電話/Live Chat/電子郵件支援,讓企業無後顧之憂。
展望未來,某些資源豐富的駭客團體仍可能伺機發動1 tbps以上的攻擊,因此企業應選擇具備大規模網路乘載能力,具全球分散架構能在源頭處理攻擊,透過一站式服務能協助後端架構整合,以及合理收費模式的合作夥伴,才能確保永續經營線上服務不中斷。
