不只提供資安健診 電信級實測阻斷式攻擊 挾4Tb骨幹頻寬優勢 DDoS玩真的
發佈日期:2016年12月27日
此外,中華電信基於將近4Tbps骨幹頻寬優勢,日前再增添DDoS攻擊演練服務,中華電信資通安全處處長洪進福指出,國內遊戲業經常是DDoS攻擊勒索的首要對象,同樣手法,日前亦發生在金融證券業,對此,金管會、國家資通安全會報技服中心皆已開始要求組織單位必須擬定因應措施。
「從中華電信本身掌握的網路頻寬、全球情資交換後發現,DDoS攻擊不僅是流量大幅增長,頻率也變得更高,面對如此現況,企業或組織有必要及早擬定因應DDoS攻擊的作業程序。」洪進福強調。
一般業者紙上談兵式的沙盤演練,只是為了確認組織面對災害發生時,得以儘速恢復正常運行的標準工作程序。但洪進福指出,中華電信提供的DDoS攻擊演練服務為真槍實彈,客戶端環境的網站必須先具備防禦能力。執行演練時,透過DDoS攻擊流量產生工具,由客戶選定較不影響營運的時間,配置好攻擊量與頻率,即可開始發動攻擊演練,期間防守端的職責則是盡可能抵擋攻擊行為。
整個演練過程執行完畢後提供的報告內容,包含防守端的相關人員是否有依據標準作業程序抵擋因應與通報,來檢視客戶方面擬定的標準因應作法是否實際可行,並評估抵禦能力不足的主因。
其實,對於評估實際建立防禦機制的企業,洪進福認為,企業端連外的線路通常僅100MB,只要從ISP源頭著手,確保系統得以正常運行即可,實在無須自建強大的DDoS防禦閘道設備,因為真實的攻擊流量尚未到達企業閘道端,頻寬就已先被塞爆,即便要自建,部署位置也應該是在上游的局端,而非自家閘道端,才得以發揮效果。
萬一發生如同日前法國網站代管業者OVH,遭受網路攝影機組成的殭屍網路發動近1Tbps的DDoS攻擊量,假設連線標的就在台灣,即使來自全球各地的訊務湧入,因中華電信本身擁有龐大的國際海纜,得以縱深防禦架構協助客戶因應,也就是由不同區域處理訊務的邊界路由器(Border Router)直接攔阻,而非讓流量進入島內才執行清洗。
「此服務實際上是傾整個Internet架構來處理,ISP彼此之間透過網路介接點(POI)串連,對於異常訊務,皆有能力設定阻擋攔截,不至於影響正常流量傳輸。在通過POI之後,才會進入中華電信的DDoS防護區,執行解析封包內容以過濾攻擊。」洪進福說。
資料來源:http://www.netadmin.com.tw/article_content.aspx?sn=1610270005
「從中華電信本身掌握的網路頻寬、全球情資交換後發現,DDoS攻擊不僅是流量大幅增長,頻率也變得更高,面對如此現況,企業或組織有必要及早擬定因應DDoS攻擊的作業程序。」洪進福強調。
一般業者紙上談兵式的沙盤演練,只是為了確認組織面對災害發生時,得以儘速恢復正常運行的標準工作程序。但洪進福指出,中華電信提供的DDoS攻擊演練服務為真槍實彈,客戶端環境的網站必須先具備防禦能力。執行演練時,透過DDoS攻擊流量產生工具,由客戶選定較不影響營運的時間,配置好攻擊量與頻率,即可開始發動攻擊演練,期間防守端的職責則是盡可能抵擋攻擊行為。
整個演練過程執行完畢後提供的報告內容,包含防守端的相關人員是否有依據標準作業程序抵擋因應與通報,來檢視客戶方面擬定的標準因應作法是否實際可行,並評估抵禦能力不足的主因。
其實,對於評估實際建立防禦機制的企業,洪進福認為,企業端連外的線路通常僅100MB,只要從ISP源頭著手,確保系統得以正常運行即可,實在無須自建強大的DDoS防禦閘道設備,因為真實的攻擊流量尚未到達企業閘道端,頻寬就已先被塞爆,即便要自建,部署位置也應該是在上游的局端,而非自家閘道端,才得以發揮效果。
萬一發生如同日前法國網站代管業者OVH,遭受網路攝影機組成的殭屍網路發動近1Tbps的DDoS攻擊量,假設連線標的就在台灣,即使來自全球各地的訊務湧入,因中華電信本身擁有龐大的國際海纜,得以縱深防禦架構協助客戶因應,也就是由不同區域處理訊務的邊界路由器(Border Router)直接攔阻,而非讓流量進入島內才執行清洗。
「此服務實際上是傾整個Internet架構來處理,ISP彼此之間透過網路介接點(POI)串連,對於異常訊務,皆有能力設定阻擋攔截,不至於影響正常流量傳輸。在通過POI之後,才會進入中華電信的DDoS防護區,執行解析封包內容以過濾攻擊。」洪進福說。
資料來源:http://www.netadmin.com.tw/article_content.aspx?sn=1610270005