防禦分布式拒絕服務(DDoS)攻擊
甚麼是分布式拒絕服務攻擊?
拒絕服務攻擊是指在網絡世界裡試圖令目標電腦或網絡資源不能提供正常服務予用家。而分布式拒絕服務(DDoS)攻擊是此類攻擊的變種,透過多過一台來自不同地方的電腦向目標同時發動拒絕服務攻擊,以及輸送大量虛假的網絡流量,以致目標不勝負荷。網絡攻擊者發動分布式拒絕服務攻擊的背後動機,一般是勒索、破壞競爭對手的聲譽、宣示黑客主義等等。分布式拒絕服務攻擊基本上會消耗目標機構的頻寬和伺服器資源。大規模的分布式拒絕服務攻擊通常透過殭屍網絡發動,令大量分布在世界各地受到病毒感染的電腦在不知不覺間被操縱而參與攻擊。
如何偵測分布式拒絕服務攻擊?
監測內部網絡流量和伺服器資源的使用情況,例如域名系統(DNS)伺服器和網站伺服器,及早發現網絡流量出現的突變和系統資源的異常使用情況。
與互聯網服務供應商(ISP)或資訊保安服務供應商合作,利用他們的操作中心監測互聯網通訊情況。
記錄保安事宜,並檢查各保安系統,例如網絡入侵偵測系統(IDS)或網絡入侵防禦系統(IPS)、防惡意軟件解決方案、互聯網通訊閘和防火牆等所發出的警告,及早偵測可疑的網絡活動。
我可以怎樣減低分布式拒絕服務攻擊所帶來的風險?
考慮將網絡分隔,將重要的和一般的服務歸納於不同的網絡。
使用至少兩條由不同互聯網服務供應商提供的網絡連線接駁至互聯網,提高對分布式拒絕服務攻擊的承受能力。
考慮採用第三方所提供的防禦分布式拒絕服務攻擊的服務,例如內容分發網絡服務及分布式域名系統伺服器服務。
與你的互聯網服務供應商或保安服務供應商合作,使用他們的操作中心處理大量互聯網數據,並對分布式拒絕服務的數據作出分析及堵截。
制定業務應變計劃及就如何應對分布式拒絕服務攻擊進行定期演習。
向有關機構報告情況及徵求意見,例如香港電腦保安事故協調中心(HKCERT) 及 香港警務處網絡安全及科技罪案調查科。
採用最佳作業模式對抗網絡攻擊
為電腦和網絡裝置安裝最新的安全更新和修補程式,及時修復已知的保安漏洞。
採用保安解決方案,如網絡入侵偵測系統或網絡入侵防禦系統、防惡意軟件解決方案及防火牆等,以保護電腦和網絡系統。
為與互聯網連接的伺服器建立網絡隔離區(Demilitarised Zone, DMZ),並把內部電腦設備放置於防火牆之後。
妥善配置網絡裝置,阻截不必要的網絡通訊。例如,阻擋不必要的 ping 通訊和未經授權的網絡埠要求。
定期進行保安風險評估及審計,確保已采取足夠的保安措施。
