超大規模 DDoS 攻擊來襲:剖析攻擊手法,探討 AI 在網路安全防禦中的角色
俄烏戰爭的持續,網路戰場日益激烈。台灣近期成為親俄駭客組織攻擊目標,大規模 DDoS 攻擊頻傳。本文將從技術層面深入解析 DDoS 攻擊的原理和手法,探討如何利用人工智慧,打造更強韌的網路防禦。
編譯/Nica
台灣近期遭受多起網路攻擊,其中以親俄駭客組織 NoName057 發動的大規模 DDoS 攻擊最受矚目。該組織攻擊目標涵蓋政府機關、金融機構、電信業者和企業,台灣至少 45 個單位與企業受到影響,包括中租、兆豐、彰銀、臺灣證券交易所、地方稅務機關、主計總處、財金相關機構及部分電信業者等。 攻擊動機疑似與台灣總統賴清德的言論有關。儘管數位發展部表示各機關皆可於短時間內恢復服務,但此事件凸顯台灣面臨的網路安全威脅日益嚴峻。
除了 DDoS 攻擊外,還面臨「中國駭客組織 TIDrone」針對台灣軍事和衛星產業發動精密網路攻擊,並集中鎖定無人機製造商,攻擊手法可能涉及不當利用遠端桌面軟體與 ERP 軟體(CXCLNT 和 CLNTEND),還可能涉及供應鏈攻擊。此外還有攻擊台灣政府機關的「中國駭客 Earth Baxia」,利用 GeoServer 已知漏洞發動攻擊,並植入後門程式 EagleDoor 等。本文將探討 DDoS 攻擊原理、手法,以及人工智慧如何成為抵禦此類攻擊的關鍵利器。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
Netscout 報告指出,近年來針對關鍵基礎設施的 DDoS 攻擊事件大幅增加,背後主要推手是政治動機的駭客組織,特別是親俄羅斯的駭客組織。這些組織發動攻擊的目的通常是為了表達政治立場,而非追求經濟利益。攻擊目標鎖定銀行和金融服務業、政府機構、公用事業(例如能源供應)、製造業和保險業與支持烏克蘭的北約國家。主要攻擊組織則包括使用名為 DDoSia 的 DDoS 攻擊工具包,主要攻擊目標為烏克蘭和支持烏克蘭的北約國家的「NoName057(16)」、同樣 2022 年開始活躍,主要攻擊目標為公共事業機構的「俄羅斯網路軍隊(Cyber Army of Russia)」與曾與另一個經常攻擊西方基礎設施惡名昭彰的俄羅斯駭客組織 Killnet 有關的「匿名俄羅斯(Anonymous Russia)」。
攻擊手法包括:
- 應用層攻擊:攻擊者發送大量 HTTP/S 請求,試圖癱瘓目標伺服器。
- 網路層攻擊:攻擊者發動大量流量攻擊,試圖耗盡目標網路的頻寬資源。
- 混合型攻擊:結合應用層和網路層攻擊,同時攻擊目標的網路和應用程式資源。
- 低流量攻擊:攻擊者刻意降低攻擊速度與所需頻寬,躲避偵測。
DDoS 攻擊手法多樣:從應用層到網路層,再到低流量攻擊
Cloudflare 在 2024 年 9 月成功抵禦一起規模空前的 DDoS 攻擊,攻擊流量高峰值達 3.8 Tbps。該攻擊之主要特徵為使用了多種手法,包括:
- 超大規模攻擊:攻擊者注重發送數據包的數量而非大小,造成網路頻寬飽和。
- 針對特定 UDP 連接埠:攻擊者主要針對 UDP 協定特定連接埠發動攻擊。
- 利用受感染的網路伺服器和物聯網設備:攻擊者利用受感染的網路伺服器和物聯網設備(如 MikroTik 路由器和數位錄影機) 組成殭屍網路發動攻擊。
大量的封包湧入可能會壓垮處理器!Cloudflare 研究人員曾表示:「抵禦可以充飽網路頻寬的攻擊可能很難,因為如果居於飽和管道下游,幾乎無能為力。其實只有幾個選擇:獲得更大的管道、找到方法將對的流量移到未飽和的新管道,或者希望管道上游停止將一些或全部資料發送過來。」而且,不安全的物聯網裝置會助長更大規模的攻擊。越來越多脆弱或不安全的物聯網裝置連結上網路,DDoS 攻擊的規模隨之不斷增長。
[ 推薦文章:從危機中學習,2024 年重大外洩事件警示錄 ]
作為物聯網殭屍網路的一部分,可以控制的裝置越多,每秒產生的封包和頻寬就越多。最後,Cloudflare 的建議是「企業組織應使用始終連線、自動化的 DDoS 保護服務,保障其互聯網資產安全,這種服務具有足夠的全球覆蓋範圍和能力,可以吸收和緩解這些超量攻擊以及合法流量封包高峰期,同時避免影響使用者體驗和執行效能。
DDoS 防禦面臨挑戰:AI 成為關鍵解方
分散式阻斷服務攻擊(DDoS)已成為企業和組織面臨的主要威脅之一。人工智慧的興起,為網路安全防禦帶來新的希望。AI 驅動的工具和技術,可以強化現有的 DDoS 防禦系統,並提供更主動、更智慧的防禦策略。
AI 如何強化 DDoS 防禦?關鍵面向有四:
一、提升威脅偵測能力
- 行為分析:AI 可分析網路流量模式,識別異常行為,例如流量來源、目標、通訊協定和流量封包大小等,及早發現 DDoS 攻擊。
- 機器學習:利用機器學習演算法,學習和適應新的攻擊模式,提高偵測準確率,減少誤報。
二、加強攻擊阻擋機制
- 自動化流量過濾:AI 自動識別與過濾惡意流量,僅允許合法流量封包通過。
- 智慧封鎖攻擊來源:分析攻擊流量封包,追蹤攻擊來源,並自動封鎖已知的攻擊 IP 地址和殭屍網路。
- 動態調整資源配置:根據攻擊流量和模式,動態調整網路資源配置,確保關鍵服務的正常運作。
三、強化應用程式安全性
- 原始碼分析工具:AI 驅動的 SAST(靜態應用程式安全測試)工具可以更精確分析應用程式原始碼,找出可能遭不當利用發動 DDoS 攻擊的漏洞,例如緩衝區溢位、資源耗盡等。
- 自動化應用程式掃描工具:AI 可強化 DAST(動態應用程式安全測試)工具,使其能夠模擬更複雜的 DDoS 攻擊,並找出應用程式架構和設定上的弱點。
四、提升應變和復原能力
- 紅隊演練:協助紅隊模擬更逼真的 DDoS 攻擊,測試組織的整體防禦能力,包括技術、流程和人員。
- 逆向工程工具:AI 驅動的逆向工程工具可以分析 DDoS 攻擊使用的惡意軟體,了解其攻擊原理和手法,協助開發更有效的防禦措施。
DDoS 攻擊對網路安全構成嚴重威脅,而 AI 應用為防禦者帶來了新的希望。實作上,AI 技術必須與其他安全工具和技術結合,才能充份發揮更有效的 DDoS 防禦。AI 驅動的工具和技術,可以強化威脅偵測、攻擊阻擋、應用程式安全性和應變復原能力,幫助企業和組織建立更堅固的 DDoS 防禦系統。
(本文授權非營利轉載,請註明出處:CIO Taiwan)