分散式阻斷服務攻擊 (DDoS) 造成的安全威脅會攻擊各種規模的企業,從而導致服務中斷,甚至讓企業失去客戶信任。這些威脅正是 Google 建立堅固的網路基礎、重視服務可靠性的原因。
這篇文章中,我們將深入研究 DDoS 造成的威脅以及我們所看到的趨勢,並描述我們如何防禦 TB 級的攻擊,以確保您的網站可以正常運行。
攻擊類型分類
在 DDoS 攻擊中,攻擊方會藉由大量無用的流量,破壞受害者的服務。儘管這類攻擊不會洩露用戶數據也不會導致直接危害,但如果不盡快處理解決,則可能會導致服務中斷、降低客戶信任感。
(如果您對 DDoS 已有初步了解,也歡迎閱讀我們的白皮書:GCP 上防護並緩解 DDoS 的最佳實踐)
現在的攻擊方,正不斷開發破壞系統的新技術,還給攻擊手段起了各類怪異的名字,例如藍精靈、海嘯、聖誕樹、浩克、樹懶…等等。攻擊手段也五花八門,包括破壞 cache、TCP 放大、JavaScript 插入式攻擊、Reflection 式攻擊等。
同時,遭攻擊方必須考慮從網路層(路由器 / 交換機和連線容量)到應用程式層(Web、DNS 和郵件伺服器)的防禦。有些攻擊甚至可不針對特定目標,而是攻擊網路中的每個 IP。考慮數十種攻擊類型和多樣的基礎設施,企業恐怕得面對無窮無盡的攻擊手段。
那麼,我們如何簡化問題以及管理?Google 並不將重點放在攻擊方法上,而是將其分為幾個關鍵指標:
- bps:每秒網路位元→針對網路連結的攻擊
- pps:每秒網路數據封包→針對網路設備或 DNS 伺服器的攻擊
- rps:每秒 HTTP(S)請求→針對應用程式伺服器的攻擊
這樣,我們可以集中精力確保每個系統針對相關指標,都有足夠的能力抵禦攻擊。
了解 iKala Cloud 如何協助艾玩天地利用 Google Cloud 抵禦大規模 DDoS 攻擊
DDoS 攻擊趨勢
下一步,我們要為每個關鍵指標決定最大容量,以排除 DDoS 攻擊。設定正確的容量值是建立可靠網路的必要步驟──過度配置會浪費昂貴的資源,而配置不足則可能導致服務中斷。
為此,Google 分析各個關鍵指標,收到的上百種重大攻擊,包括了其他人共享的資訊後。據此,Google 列出過去十年中發現的大型攻擊,藉此了解 DDoS 攻擊趨勢。
由這張圖不難發現,不論是從 bps、pps、rps 來看,DDoS 攻擊都呈指數增長,這樣的攻擊量增長常引起廣大的關注。但是事實上,我們同時也需要考慮網際網路本身,就呈指數增長,網路的發展的同時,也為防禦者提供更多頻寬和運算能力。在考慮了網路的發展之後,儘管仍然存在問題,似乎較不那麼令人擔憂了。
設計可防禦的基礎架構
根據數據和觀察到的趨勢,我們現在可以推斷出備用容量來吸收可能發生的大型攻擊。
了解了近年常見的 DDoS 攻擊類型與趨勢後,我們將於下一篇文章,繼續介紹各種 Google Cloud 在防範 bps、pps、rps 等不同類型的 DDoS 攻擊案例,以及用戶如何使用像 Cloud Armor 這類的服務,有效抵禦 DDoS 攻擊,確保服務不中斷!
(本文翻譯改編自 Google Cloud。)