新聞類別
財經
詳情#
【明報專訊】至於「分散式阻斷服務攻擊」(Distributed Denial of Service, DDoS),其實早在2000年2月已曾發生過一宗大新聞。當年,在兩日之內,美國8個大型網站都曾受到DDoS攻擊(當時譯作「拒絕服務攻擊」),而一度被堵塞癱瘓,包括:Amazon.com、雅虎、eBay、Buy.com、CNN.com等。只不過,當時的事件不涉及勒索金錢而已。
古煒德坦言,沒有絕對有效的方法能夠抵擋DDoS,外國久不久都有這類報道,甚至將來仍然有可能出現類似的事件。
因為DDoS的原理,其實是利用大批電腦,不斷向目標伺服器發出大量連結要求,但回覆地址(return address)卻全部是假的。
伺服器回應時自然找不到它們,於是就被拖着一段時間,才中斷連結。但攻擊者這時又繼續發出大量連結要求,直至令伺服器癱瘓為止。
古煒德表示,要抵抗DDoS,一方面是要頻寬夠大。另一方面,則要網站的「防火牆」(Firewall)和「入侵防禦系統」(Intrusion Prevention System, IPS)處理能力夠快夠強。說穿了,這其實是和攻擊者鬥規模、鬥資源。
用一個比喻來解釋,DDoS攻擊就好像發動大批人打白撞電話給某公司,令該公司接不到真正的電話。但如果該公司有極大量的電話線和接聽員,就仍然可以接到其他人的電話。
但應付DDoS之難,是因為攻擊者不是自己付錢買電腦來發動攻擊,而是預先在其他機構的電腦中植入了程式,「騎劫」一大批電腦來發動攻擊。在外國,有些黑客甚至是明碼實價地出售Attack Power,可以按其「客戶」的要求,發動多少部電腦向某個網站攻擊多少小時等等!
需評估自身行業風險
究竟要撥出多少資源、添置多少軟硬件來防範DDoS,其實很視乎企業的業務和商業模式倚靠互聯網的程度大不大,以及一旦發生DDoS時,損失會有多大。
好像銀行、證券行、大型購物網站等,就可能每分每秒都要靠互聯網來進行交易。一旦被DDoS癱瘓,後果相當嚴重。因此,就應該在防範DDoS上投資多一些。
相反,若是零售商店和食肆,其網站只是作為資料介紹,即使癱瘓一段時間,也不會對其生意造成多少損失,就未必要撥出太多資源去防範DDoS。
此外,另一個方法,則是和一些雲端服務供應商協議,由後者來把守防範DDoS的第一關,並協議按數據流量收費。不過,一旦真的遇上DDoS,收費也可能相當高。
古煒德坦言,沒有絕對有效的方法能夠抵擋DDoS,外國久不久都有這類報道,甚至將來仍然有可能出現類似的事件。
因為DDoS的原理,其實是利用大批電腦,不斷向目標伺服器發出大量連結要求,但回覆地址(return address)卻全部是假的。
伺服器回應時自然找不到它們,於是就被拖着一段時間,才中斷連結。但攻擊者這時又繼續發出大量連結要求,直至令伺服器癱瘓為止。
古煒德表示,要抵抗DDoS,一方面是要頻寬夠大。另一方面,則要網站的「防火牆」(Firewall)和「入侵防禦系統」(Intrusion Prevention System, IPS)處理能力夠快夠強。說穿了,這其實是和攻擊者鬥規模、鬥資源。
用一個比喻來解釋,DDoS攻擊就好像發動大批人打白撞電話給某公司,令該公司接不到真正的電話。但如果該公司有極大量的電話線和接聽員,就仍然可以接到其他人的電話。
但應付DDoS之難,是因為攻擊者不是自己付錢買電腦來發動攻擊,而是預先在其他機構的電腦中植入了程式,「騎劫」一大批電腦來發動攻擊。在外國,有些黑客甚至是明碼實價地出售Attack Power,可以按其「客戶」的要求,發動多少部電腦向某個網站攻擊多少小時等等!
需評估自身行業風險
究竟要撥出多少資源、添置多少軟硬件來防範DDoS,其實很視乎企業的業務和商業模式倚靠互聯網的程度大不大,以及一旦發生DDoS時,損失會有多大。
好像銀行、證券行、大型購物網站等,就可能每分每秒都要靠互聯網來進行交易。一旦被DDoS癱瘓,後果相當嚴重。因此,就應該在防範DDoS上投資多一些。
相反,若是零售商店和食肆,其網站只是作為資料介紹,即使癱瘓一段時間,也不會對其生意造成多少損失,就未必要撥出太多資源去防範DDoS。
此外,另一個方法,則是和一些雲端服務供應商協議,由後者來把守防範DDoS的第一關,並協議按數據流量收費。不過,一旦真的遇上DDoS,收費也可能相當高。
回應 (0)
