分散式阻斷服務 (DDoS)

何謂 DDoS 攻擊?

分散式阻斷服務 (DDoS) 攻擊是一種惡意行為,它會透過大量的網際網路流量來壓過目標或其周遭基礎架構,藉此中斷目標伺服器、服務或網路的正常流量。DDoS 攻擊會利用多部已受損的電腦系統作為攻擊流量來源,藉此達到效果。遭到利用的機器可能包括電腦及其他網路資源,例如物聯網裝置。拉高層次來看,DDoS 攻擊就像高速公路塞車,致使正常的交通流量無法抵達目的地。

DDoS 攻擊如何運作?

DDoS 攻擊需要攻擊者取得線上機器網路的控制權才能展開攻擊。電腦及其他機器(例如物聯網裝置)遭到惡意軟體感染後,就會一個個變成機器人(或殭屍)。然後,攻擊者就能遠端控制這群機器人,又稱殭屍網路。一旦建立了殭屍網路,攻擊者就能夠透過遠端控制的方法,向每台機器人發送更新的指令來指揮機器。當殭屍網路鎖定受害者的 IP 位址時,每台機器人就會回應指令而向目標發送請求,可能導致目標伺服器或網路容量超載,致使正常流量的服務遭到阻斷。因為每台機器人都是合法的網際網路裝置,因此難以從正常流量中區隔這些攻擊流量。

DDoS 攻擊的常見類型?

不同的 DDoS 攻擊向量鎖定的網路連線元件也各異。若要瞭解不同 DDoS 攻擊的運作方式,務必知道網路連線是如何形成的。網際網路上的網路連線由許多不同的元件或「層級」組成。就像從地上建造一棟房子般,模型中的每一步驟都有不同的用途。OSI 模型就是一種概念架構,用來描述七個相異層級中的網路連線狀況。

減輕 DDoS 攻擊的程序是什麼?

進一步瞭解 DDoS

雖然幾乎所有 DDoS 攻擊都是有關以流量來壓過目標裝置或網路,但是攻擊可分為三個種類。攻擊者可能會利用一個或多個不同的攻擊向量,或著可能根據目標所採取的對策來循環攻擊向量。在現代網際網路中,DDoS 流量共有許多形式。流量的設計可能各有不同,從未受欺騙的單一來源攻擊,到有著複雜且具適應性的多向量攻擊。多向量 DDoS 攻擊會使用多種攻擊途徑,以不同方式企圖壓過目標,分散任何一個軌跡的減輕攻擊力道。一次鎖定多層通訊協定堆疊的攻擊,例如 DNS 放大(鎖定第 3 和 4 層)加上 HTTP 水軍(鎖定第 7 層),就是多向量 DDoS 的一個例子。減輕多向量 DDoS 攻擊需要採取各種策略來因應不同軌跡。一般而言,攻擊越複雜,就越難從正常流量中區隔攻擊流量,攻擊者的目標就是盡量「隱沒」其中,讓減輕攻擊的方法效率不彰。涉及無差別丟棄或限制流量的減輕辦法,可能會讓好流量跟著壞流量一起被拋掉,攻擊本身也可能會修改並調整以規避對策。為了破解複雜的破壞企圖,層層拆招才能發揮最大效益。

Web 應用程式防火牆 (WAF)

何謂 Web 應用程式防火牆?

Web 應用程式防火牆 (WAF) 會過濾並監控 Web 應用程式與網際網路之間的 HTTP 流量,藉此協助保護 Web 應用程式。這通常會保護 Web 應用程式免於遭到攻擊,例如跨網站偽造、跨網站 Scripting (XSS)、檔案併入及 SQL 注入等。WAF 是 OSI 模型中第 7 層的通訊協定防禦,不是旨在用來防禦所有類型的攻擊。這種攻擊減輕方法通常是一組工具的一部分,這些工具集合起來形成了對各種攻擊向量的完整防禦。在 Web 應用程式前面部署 WAF,便能在 Web 應用程式和網際網路之間形成一層防護。當 Proxy 伺服器使用媒介來保護用戶端機器的身分時,WAF 就是一種反向 Proxy,能讓用戶端先經過 WAF 再在抵達伺服器,藉此保護伺服器免於遭到曝光。WAF 是透過一組經常稱為原則的規則來運作。這些原則旨在過濾惡意流量來防禦應用程式內的漏洞。WAF 的價值部分來自於實作原則修改的速度和簡便性,因而能更快因應不同的攻擊向量;在 DDoS 攻擊期間,可透過修改 WAF 原則來快速實作速率限制。

黑名單和白名單 WAF 的差異?

進一步瞭解 WAF

根據黑名單(負面安全模型)運作的 WAF 可防禦已知攻擊。請把黑名單 WAF 想像成俱樂部保鏢,當客人不符合服裝規定時,保鏢得按令拒絕他們入場。相反地,根據白名單(正面安全模型)的 WAF 則是僅允許已預先核准的流量。這就像私人派對的保鏢,只會讓名單上的人進場。黑名單和白名單都有其優點和缺點,這就是為什麼許多 WAF 都提供混合安全模型,來實現兩者的優點。

內容遞送網路 (CDN)

何謂內容遞送網路?

內容遞送網路 (CDN) 是指一個地理位置分散的伺服器群組,會共同運作以快速遞送網際網路內容。一個 CDN 可以快速傳輸載入網際網路內容所需的資產,包括 HTML 頁面、JavaScript 檔案、樣式表、影像和影片。CDN 服務越來越普及,因此現今大部分 Web 資料流量都是透過 CDN 提供。

CDN 如何運作?

CDN 的核心就是一個互相連結的伺服器網路,目標是儘可能快速、便宜、可靠和安全地遞送內容。為了提高速度和連線功能,CDN 會在不同網路之間的交換點放置伺服器。這些網際網路交換點 (IXP) 是不同網際網路提供者連線的主要位置,讓彼此存取源自其各自網路之間的流量。擁有這些高速和高度互連位置的連線之後,CDN 提供者就能在高速資料遞送中降低成本並縮短轉移時間。

CDN 如何縮短網站載入時間?

進一步瞭解 CDN

當網站載入內容時,使用者會因為網站變慢而馬上離去。CDN 的全域分佈性質代表,縮短使用者與網站資源之間的距離。CDN 可讓使用者連線到地理位置更接近的資料中心,而非必須連接到網站的原始伺服器所在位置。縮短傳送時間,代表服務更快速。

網域名稱系統 (DNS)

何謂 DNS?

網域名稱系統 (DNS) 是網際網路的電話簿。人們透過網域名稱(例如 nytimes.com 或 espn.com)線上存取資訊。Web 瀏覽器透過網際網路通訊協定 (IP) 位址進行互動。DNS 將網域名稱轉換為 IP 位址,以便瀏覽器可以載入網際網路資源。連線至網際網路的每台裝置都有一組唯一的 IP 位址,可讓其他機器用來尋找此裝置。DNS 伺服器讓人不用再記住 IP 地址,例如 192.168.1.1 (IPv4),或更複雜的新版英數字元 IP 位址,例如 2400:cb00:2048:1:c629:d7a2 (IPv6)。

DNS 如何運作?

DNS 解析的程序包括將主機名稱(例如 www.ibm.com)轉換成電腦適用的 IP 位址(例如 192.168.1.1)。網際網路上的每台裝置都有一組 IP 位址,必須要有這個位址才能找到適當的網際網路裝置,就像用來尋找特定住家的街道地址一樣。當使用者想要載入 Web 頁面時,其在 Web 瀏覽器 (example.com) 輸入的內容必須轉換成找到 example.com 網頁所需的機器易認位址。若要瞭解 DNS 解析背後的處理程序,請務必知道 DNS 查詢必須傳遞的不同硬體元件。對於 Web 瀏覽器,DNS 查詢會在背後進行,而且除了初始請求之外,並不需要與使用者電腦互動。

何謂 DNS 解析器?

進一步瞭解 DNS

DNS 解析器是 DNS 查閱的第一站,它負責處理發出初始請求的用戶端。解析器會啟動查詢序列,最後引導將 URL 轉換為必要的 IP 位址。附註:一般未快取的 DNS 查閱將同時包含遞迴查詢和反覆運算查詢。區分遞迴 DNS 查詢與遞迴 DNS 解析器是很重要的。查詢是指向需要解析查詢的 DNS 解析器發出的要求。DNS 遞迴解析器則是指接受遞迴查詢並透過發出必要請求來處理回應的電腦。

開始使用

準備開始?運用我們的入口網站及 API,只需按幾下就能擁有更快速、更安全的網際網路。