資訊單位利用現有設備與資源,於事前規劃多層次防護架構,完成系統/服務之設定與申請,作好DDoS防禦準備,「事前準備階段查核清單」詳附件1。
-
一、維護系統及網管人員/廠商聯繫資訊:
除內部資訊人員聯繫資訊外,亦須維護相關系統及網管人員/廠商聯繫資訊,確保聯繫管道的暢通,當DDoS攻擊事件發生時,可快速依狀況聯絡所需之人員協助應處。「系統及網管人員/廠商聯繫表」詳附件2。
-
二、調校系統/服務設定
服務主機應定期進行系統安全更新,避免遭駭客入侵利用外,同時可透過其他防護設備防止遭DDoS攻擊,針對其提供之服務進行安全防護設定,透過「連線數量」、「連線速率」、「通訊埠(Port)」及「主機防火牆」等限制/過濾流量方式,抵擋大量連線需求,以維持提供服務之主機的可用性,亦可避免遭利用造成主機本身成為或間接參與DDoS攻擊,而導致其網路頻寬耗損。
-
三、修改程式設定
透過適當的程式撰寫及設定,不僅能確保資料的安全,更能增進網站抵禦來自網路上的攻擊,任何資料輸入的地方都應嚴格審查及控管,網站維運時更應勤快更新補洞,針對程式的設定建議做法如下:
-
(一)排除不合理的查詢條件,如長時間區間、輸出內容過大之搜尋結果進行查詢限制。
-
(二)限制查詢格式,檢查輸入的格式是否含有非法字元。
-
(三)限制API查詢方式,利用token或key進行查詢次數(頻率)限制。
-
(四)限制自動化工具,搜尋結合動態驗證碼。
-
四、設置網路流量/系統資源監控機制
透過設置網路流量與系統資源監控流量監測等工具,即時監控網路及系統使用率外,亦可計算業者網路每日流量與使用量平均值,藉以定義網路流量與系統資源門檻值,確保業者能即時發現網路攻擊行為;另可定期檢視業者網路架構或狀態,並視情況進行調校,確實掌握業者網路流量與系統資源狀況。
-
五、啟用網路/防護設備DDoS防禦功能
一般的網路設備例如防火牆、交換器、路由器等,多有配置類似功能可協助防禦DDoS攻擊,針對應用層的攻擊則多需借助DDoS防禦系統、網站應用程式防火牆(Web Application Firewall,WAF)或內容傳遞網路(Content Delivery Network,CDN)服務,以達到多層防護的效果。若業者發現開啟相關功能後造成系統效率不彰或使用者體驗不佳,可評估將此步驟移至「第五條(事中應變)」執行。
-
六、申請/建置流量清洗服務
流量清洗(Cleaning Pipe)是一種由邊界閘道器協定(Border Gateway Protocol,BGP)對路由進行廣播,將原本的攻擊流量導向流量清洗中心(Scrubbing Center),藉由資安廠商自有的封包深度分析、連線特徵等技術來檢查、分析、過濾惡意封包之服務。此時再把過濾後的流量導回原本對應的伺服器後,即便流量中仍有殘存的惡意攻擊封包,原本的防護設備應有足夠的能力來因應。
目前已有多家網際網路服務提供者(Internet Service Provider,ISP)與資安設備廠商提供流量清洗服務,業者可視網站流量需求採購所需服務項目,於事前提出申請,並支付月租費用,後續可視情況選購清洗流量。
-
七、申請CDN服務
業者可評估申請CDN服務,其目的是依照現有的網路架構,藉由內容分散式儲存、系統平衡負載、網路服務請求重導等功能,將網站的內容轉發至最接近用戶的網路節點,使用戶可就近取得服務的內容,解決單一服務主機因網路擁塞而造成服務效能不彰的狀況,進而在提高用戶訪問網站的回應速度、降低頻寬成本的同時,仍能維持服務品質。
當導入CDN服務的網頁伺服器主機遭受DDoS攻擊時,封包會導向最靠近攻擊者位址的服務主機,有助於稀釋攻擊封包流量。此外,透過CDN內部的DNS轉址與HTTP重導功能,可讓正常使用者轉接到負載較輕的其他服務主機,以維持網站服務的可用性。
-
八、建置/申請雲端備援
業者可評估透過雲端服務系統設置重要系統/服務之雲端備援機制,以確保攻擊事件發生時,重要系統/服務可持續對外提供服務。
惟採購雲端虛擬資源時,業者亦須規劃相關系統/服務資料庫同步方式,並確認雲端服務系統提供DDoS防禦機制。