中华电信提供DDoS多层次纵深防护，可以防堵从外部线路DDoS攻击进来的攻击流量，透过Border网路的境外阻绝和边境管制，将攻击封包阻挡在中华电信线路外面。如果攻击已经进入台湾的网路骨干，在Backbone网路进行控管，将攻击封包黑洞或Drop掉。最后，影响用户端网路服务，可透过隔离清洗方式过滤。（图片来源／中华电信数据通信分公司） BPc我酷网

在美国东部发生大规模DDoS攻击当天，也就是台湾时间10月21日一早，中华电信数据通信分公司资安处处长洪进福就接到来自国安体系的询问电话。BPc我酷网

因为这起攻击规模估计超过1Tbps，中华电信是台湾最大的ISP业者，同时也维运政府骨干网路以及学术网路，所以，连电信主管机关NCC及行政院资安处都很关心一个问题，如果这样的Tb级DDoS攻击一旦在台湾爆发，台湾是否有能力阻挡呢？BPc我酷网

「若台湾企业只靠自己没有能力挡住Tb级DDoS攻击，」不过，若台湾企业真的遇到了这类攻击，洪进福的答案是「可以」，但得透过多种手法和联防来防御。他解释，单一企业挡不住必须寻求ISP业者协助，但就单一ISP业者面对如此这样大规模的攻击时，必须要做到区域联防，就能挡住这样大规模、大流量的DDoS攻击。BPc我酷网

阻挡Tb级DDoS攻击，有赖上游清洗和下游阻挡机制BPc我酷网

资安专家刘俊雄指出，面对DDoS攻击，包括企业和ISP业者多数无法做到完全的防御，大部分都从减缓DDoS攻击的强度着手，要做到有效减缓，「上游就必须有流量清洗机制，下游则必须要有防御机制去阻挡。」他说。BPc我酷网

洪进福也同意这样的观点，他表示，中华电信本身则是採取多层次的纵深防御机制，来防堵和抵挡这类的DDoS攻击，可以根据攻击来源和规模，选择最合适的阻挡方式，包括：Border端可以採取境外阻绝和边境管制的作法；Backbone骨干端则可以採用境内管控；Edge端则做到DDoS隔离清洗服务。BPc我酷网

洪进福进一步解释，有些线路是从国外的ISP连进来台湾，有些则是从国内的ISP线路连进来，国内的ISP线路就会透过台湾网际网路交换中心（TWIX）连接，中华电信的线路就会去衔接这两种国外和国内的ISP线路，并在衔接两种线路的地方做防堵。BPc我酷网

如果这样的DDoS攻击是从海外的ISP业者连进来，已经影响到台湾像是海缆的频宽使用，台湾ISP业者可以利用远端驱动工具，并且呼叫Tier 1的ISP业者进行联防，把DDoS攻击在境外阻挡完毕；有些时候，ISP业者也会利用Black Hole（黑洞）的机制，把遭受到攻击的用户IP路由导入黑洞，无法从外部存取到这个网站服务，藉此保全ISP业者其他客户的安全性；如果这些DDoS攻击影响到国内网路安全，ISP业者也会利用网路存取控制工具搭配边境管制的手法，阻挡这些DDoS攻击的封包影响台湾的用户。BPc我酷网

有些时候，DDoS攻击太大量时，境外阻绝或边境控管阻挡不住，还是进到台湾的网路骨干，或者是攻击是来自台湾内部时，则可以进行骨干内部的管控，透过限制频宽的方式，将攻击封包黑洞或者是把这些封包Drop掉。BPc我酷网

洪进福表示，一旦这些DDoS攻击已经兵临城下，影响到用户端的网路服务时，就可以透过DDoS隔离清洗的方式，把遭受攻击的流量导入隔离清洗区，透过网路设备进行规则式攻击流量的过滤，并分析一些恶意封包的攻击行为模式进行阻挡，也可以限制连线数量并作攻击分析，也可以透过客製化防护等措施，让攻击用户网路服务的流量，可以大部分都被过滤掉，确保用户网路服务的安全和稳定。BPc我酷网

台湾因为电信等基础网路建设普及，有许多对外连线的网路接口，刘俊雄表示，即便台湾不幸遭到大规模的DDoS攻击，还有可能免于因为网路瘫痪，导致网路锁国的状态。BPc我酷网

物联网装置成DDoS帮凶情况日益严重BPc我酷网

从物联网装置的普及，以及恶意程式作者可以操控物联网装置的恶意程式Mirai开源释出后，连带使得这类物联网装置发动DDoS攻击的事件增多，可以预期，「即便到2017年，这样的物联网DDoS攻击规模和数量，绝对只会更多而不会减少。」洪进福说。BPc我酷网

为了减少Mirai恶意程式或是其他殭尸网路程式对于IoT装置威胁，已经有国家政府提供相关的準则，呼吁IoT製造商应该提高IoT装置的安全性，像是美国政府已经在今年11月时，对外发表一份保护IoT策略準则（Strategic Principles for Securing the Internet of Things），藉此呼吁IoT生态体系业者，应该在设计、 生产及使用IoT装置系统时，应该负起保障IoT安全的责任。BPc我酷网

然而，洪进福认为，美国虽然有提出相关IoT装置安全準则，但是没有法令的规範，仅对IoT厂商呼吁是难以减少殭尸网路程式感染IoT装置的威胁，而且，目前许多IoT装置似乎没有拥有自动韧体更新功能（简称FOTA），如果都没有这些相关防护措施和规範，透过IoT装置发动的DDoS攻击还是会持续发生。文⊙黄彦棻、黄泓瑜BPc我酷网

上一篇  下一篇

I 相关 / Other

遭勒索软件攻击？先来这求救！免费解密计划增32工具，已助6000人

由欧洲刑警组织及数间民间机构合组的对抗勒索软体计划No More Ransom，成立5个月来，陆续增加合作单位，也新增了32款不同的解密工具，希望协助遭受勒索软体之苦的个人与中小企业，不必付出赎金，便可救回遭到加密的档

快速认识常见DDoS攻击

资料来源：Arbor，iThome整理製图，2016年12月 DDoS并非是新手法，早在2000年就出现了，不过随着IoT殭尸大军的出现，让DDoS攻击更具威胁。DDoS攻击常见两种策略，一是耗尽频宽，第二策略就是耗尽系统资源，如耗尽记

Adobe修补17个Flash漏洞，包含已被攻击的零时差漏洞

示意图。 Adobe于周二（12/13）更新Adobe Flash Player，修补了17个安全漏洞，其中的CVE-2016-7892是已遭受攻击的零时差漏洞。当中有16个安全漏洞属于释放后使用（use-after-free）漏洞、缓冲区溢位（buffer overf

Tb级DDoS攻击现身，每秒1.5Tb爆量创记录

资料来源：Arbor，iThome整理製图，2016年12月 今年9月下旬，号称全球第三大、法国最大的云端服务与主机代管供应商OVH创办人兼技术长Octave Klaba，兴奋地接连在Twitter上宣布了多项自家IT架构大升级的消息，19日才

朝鲜官媒:人民军等待最后攻击信号 [焦点]

金正恩视察朝鲜军队（资料图） 国际在线专稿：据韩联社12月12日报道，朝鲜《劳动新闻》12日发表文章称，朝鲜军队和各种打击武器已经做好准备，在等待发动最后攻击的信号。 12日，朝鲜《劳动新闻》发表题为《长白山