網路攻擊的現況與未來發展趨勢

黃勝雄
黃勝雄博士長期參與全球網際網路政策制定,擔任亞太網路資訊中心董事APNIC Executive Council、APrIGF委員、香港dot Asia管理局諮詢委員、ICANN Root Zone CGP 共同主席、IETF RFC3743作者、TWNIC委員、達創股份有限公司董事、國際合作發展基金會諮詢委員、美國PIR公司董事、東海大學兼任助理教授等。

今年10月21日,知名DNS服務供應商Dyn遭到大規模分散式網路阻斷服務攻擊(DDoS);包含Amazon、Twitter、Netflix、Github等該公司的知名用戶,其服務都受到嚴重影響。

阻斷服務攻擊係由攻擊者發射大量網路封包,耗盡受害者系統資源,致使無法提供服務;這種攻擊基本上是攻擊者和防守者之間數據砲台大小的戰爭。當防守者的網路管徑容量,大於攻擊者數據砲發射的攻擊量,防守方將可獲勝;反之則是攻擊者獲勝。其他如CDN或流量清洗技術等,原理是相同的,差別在於由中介服務者擔任防守者,來承受數據砲攻擊。

Dyn攻擊事件反映的三個趨勢

攻擊者有不同的動機:有的基於炫耀或抗議、或是犯罪者利用攻擊作為勒索手段,更甚者可能屬於網路戰爭行為。10月21日的Dyn攻擊事件並不是新鮮事,但這事件反應了幾個重要的趨勢。

物聯網已快速佔領網際網路各角落,可以預期透過物聯網發動攻擊的模式,在未來仍會持續增加。

首先,攻擊程式原始碼在事件發生三週前剛公佈,說明防禦系統更新速度,趕不上攻擊程式部署並發動的速度;再者,本次攻擊的流量高達1.2Tbps,攻擊來源IP位址超過數千萬組,刷新了攻擊流量的歷史紀錄;在此之前的攻擊最高紀錄為620Gbps,發生在今年9月中旬。令人訝異的是,原記錄僅維持短短一個月就被刷新,而強度更是倍數成長。這種快速成長模式在過去幾乎聞所未聞。最後、這次事件是由物聯網攝影機發動攻擊。由於物聯網已快速佔領網際網路各角落,可以預期透過物聯網發動攻擊的模式,在未來仍會持續增加。

防範網路攻擊,是誰的責任?

目前為止尚未聽過物聯網製造商將有安全瑕疵的產品召回。事實上,這些被公佈有安全瑕疵的物聯網產品,對其製造商聲譽損失並不大,社會關注也不會維持太久。市場機制鼓勵物聯網產品壓低價格以快速進入市場,而安全性要求往往因此被犧牲了。

防範阻斷服務攻擊最有效的方式,是在上游骨幹服務供應商的階段,就針對攻擊訊務進行清理與過濾。這點在現行市場機制下也不容易發生:骨幹網路服務供應商營收增加來自用戶頻寬的成長,而網路攻擊不會影響骨幹服務商的營運,服務供應商也不會因清理攻擊訊務而得到相對報酬。何況以服務供應商現有設施,提升頻寬的成本,要比清理相同訊務量的成本低廉的多。

未來網路攻擊仍會不斷地發生,發生的頻率與規模會持續地擴大。

期待物聯網製造商生產高安全規範產品,或期待骨幹網路服務商清理攻擊流量,似乎等同緣木求魚。網際網路將持續地不安全。或許某些系統商或服務商宣稱擁有解決方案,但這些方案通常只能應付小型或舊式的攻擊;昂貴的服務成本同樣讓許多人望而卻步。如果考量導入這類產品,應該瞭解它還是有一定程度的侷限性。

我們處於一個險峻的網路環境,可以確定的是未來網路攻擊仍會不斷地發生,發生的頻率與規模會持續地擴大,攻擊者也有可能獲勝。不論是事前的防範或面臨最壞結果,我們都需要有所準備。


喜歡我們的文章嗎?按讚立即加入粉絲團 :)

獎勵作者

歡迎您以點數獎勵作者:

關於點數的獲得與使用方式,請參閱說明