用殭屍網路發動DDoS攻擊輕而易舉，傳垃圾訊息、竊取資料、癱瘓服務等造成巨大損失。防守遠遠不夠，告訴你善用CDN Log與告警機制有多重要！

什麼是殭屍網路？誰都可能是受害者

殭屍網路（Botnet）是指眾多連接網路的設備，受到駭客、電腦病毒或是木馬程式入侵，使惡意人士可以以C&C（Command & Control）的方式遠端控制大量受到入侵的設備，進而構成「殭屍網路」（Botnet），發動惡意攻擊。

由於殭屍網路影響的設備並不只局限於可以連接網路的電腦，甚至包含了智慧型手機、家庭路由器、網路監視攝影機等。並且隨著物聯（IOT, Internet of Thing）日益興盛，大量可以連接網路的設備也隨之增加，除降低了殭屍網路建構的難度外，也提高了一般使用者的設備被殭屍網路感染的風險。

恐怖的殭屍網路，被感染將毫無察覺！

「Botnet」會被翻譯為「殭屍網路」也與其特性有關。一般使用者其實難以察覺自己的設備受到感染，因為它並不像傳統的電腦病毒或勒索軟體，讓人感受到電腦有明顯異常，或是檔案無法開啟等，受到感染的裝置可以繼續正常運作，系統的執行速度也不會受到太多影響，因此，受到感染的裝置就像個殭屍一樣，外面看起來無異狀，但其實早已經受到感染，任由駭客擺佈。

⬛延伸閱讀：網站趨勢！滿足速度、資安、一站式管理的 CDN 架構如何運作？

殭屍網路不只能發動多種攻擊，甚至能挖礦！

由於駭客控制受感染的裝置後可以進行的惡意攻擊不勝枚舉，並且隨著時間進步也迭代更新出各種不同的使用方法，從簡單的傳送大量機器人電子郵件，到近期進行比特幣的挖礦，都可以做到，當然也有駭客會利用惡意攻擊來獲取特定的利益。

分散式阻斷服務攻擊（DDoS）

大部分的殭屍網路都具有可以執行DDoS任務的能力，大量受到感染的裝置向被攻擊的目標傳送海量的請求，使其因收到過多的請求導致服務過載，無法回應正常的請求。同時，這些攻擊也會佔用服務的大量頻寬，若佔滿頻寬也會使被攻擊的目標產生「回應無法正常傳送」的情況。

⬛ 網站必看關鍵指標、攻擊分析懶人包：掌握10項專業級監控報表 ╳ 學習流量分析方法！

大量傳送垃圾訊息

大量散播訊息可以作為一種服務，讓有心人士以金錢購買此服務來大量傳遞想要散播的訊息。另外，殭屍網路自身也可能透過傳送大量釣魚郵件，誘使使用者開啟附加檔案，增加受到感染的裝置。

竊取資料

駭客可以透過殭屍網路竊取受到感染裝置的各類敏感訊息，包含您所使用的帳號密碼、信用卡資訊、受感染裝置上儲存的資料等，都有可能是被竊取的目標。

殭屍網路挖礦

過去曾經出現過一個名為ZeroAccess的殭屍網路，主要利用受到感染的裝置，執行比特幣挖掘及其他的惡意任務進行獲利，據研究人員估計，其規模龐大到每年足以獲利數千萬美元。

⬛ 延伸閱讀：WAF是什麼(Web Application Firewall)？傳統防火牆不管用了？

殭屍網路與DDos攻擊及關鍵事件

殭屍網路與DDoS的關係可以說是密不可分，殭屍網路一次可以控制多台設備的特性與DDoS本身的攻擊原理本身不謀而合。

Mirai Botnet

2016年Mirai botnet 開始受到世人關注。知名網路安全專家Brian Krebs 的網站遭到Mirai Botnet進行超過620Gbps的DDoS攻擊，自2012起Brian Krebs都會記錄網站受到的攻擊，而此次的攻擊量是以往的攻擊的三倍。

法國知名伺服器代管商OVH也公布一起針對其客戶的Mirai Botnet的DDoS攻擊事件，估計同時有超過145,000個裝置發起攻擊，並且產生高達每秒1.1Tbps的攻擊，並且持續了大約7天。

DNS服務提供商Dyn受到了1.5Tbps的攻擊，使得許多大型知名網站都無法開啟，包含Airbnb、GitHub、HBO、 Netflix、Twitter、PayPal以及Reddit等。

從以上案例可得知殭屍網路在DDoS方面的規模與力道是不容忽視的，並且在作者開放原始碼後，任何稍具能力的人都可以建立自己的殭屍網路，並且輕鬆地執行DDoS任務。

⬛延伸閱讀：境外網站進軍中國該使用中國CDN嗎？

如何預防受到殭屍網路感染？

相信沒有人希望自己的裝置成為殭屍網路的一員，以下告訴你如何避免裝置受到感染：

1.不使用預設密碼、並且使用高強度的密碼

預設密碼或是過於簡單的密碼在面對入侵時形同虛設，因為惡意軟體常常使用預設密碼與常見密碼來進行暴力破解，使用高強度的密碼，可以提升自身裝置的安全性。

2.即時套用系統與韌體更新

有時候裝置的更新並不一定是有新的功能，而是針對一些發現的漏洞進行修正與預防。即時套用可以保護您的裝置受到有心人士利用裝置的漏洞進行攻擊。

3.避免接觸來源不明的網頁、軟體

不明的釣魚網站與免費的盜版軟體都有可能潛藏風險，為了使自己的電腦不受到侵害，使用者也必須注意，讓自身有安全使用裝置的習慣。

⬛ SOC託管：24/7技術支援，真人回覆；事件分析、威脅監控，攻擊無機可趁

如何預防殭屍網路攻擊？

殭屍網路演變至今已經是個難以遏止的生態，縱使我們可以使自己的裝置不受到感染，也不一定能夠避免自己架設的網站或伺服器不受到殭屍網路的群起圍攻。有方法可以預防殭屍網路的攻擊嗎？以下這邊提供一些建議：

確認防火牆的配置，並且檢查是否有不應開啟起的網路服務與通訊埠。
檢查防禦系統是否將系統與韌體更新，並且確認攻擊識別的資料庫等是否都是最新版本。
定期檢視網路設備是否有異常活動。
確保網路防禦機制可以正常運作，並且考慮若無法是否需要添購可以用於緩解攻擊的設備，或是使用第三方的服務進行DDoS緩解。

⬛ 延伸閱讀：這篇就夠！DDoS是什麼意思？有哪些類型？OSI對照！完全解析

善用CDN的Log與告警機制，主動式防禦DDoS攻擊

DDoS攻擊已越趨普遍且防不勝防，這也是越來越多的網站採用防禦型CDN服務的主要原因，一舉了解決網站加速與網路攻擊問題。但DDoS防禦可不只清洗中心與WAF這兩個明星而已，許多網站資安人員可能沒發現，Log與告警機制也是預防DDoS攻擊不可或缺的利器。

完整Log事件紀錄，每項資訊都重要

在事件查詢（Log）當中您可以查看到每一個訪問的完整資訊，包含了域名、URI、IP、國家、觸發規則、http code、請求表頭、請求耗時、源站耗時等等。

Http code、請求耗時與源站耗時以及Upstream status可以協助您判斷目前用戶的訪問是否正常，以及源站的回應是否正常。而透過訪問的IP與表頭是否存在異常，再輔以監控面板的外部訪問做觀察，則可以查看目前是否有異常的訪問量。

詳盡的請求資訊與專業資安人員的分析技術，可以幫助您更全面的了解攻擊發生的情況，並能事先預防。

⬛ 延伸閱讀：WAF防火牆全攻略！攻擊型態破解、防禦邏輯與佈署策略解析

使用進階搜尋，分析異常流量

在事件查詢（Log）當中，您可以使用進階搜尋（Filter）功能找出想查看的資訊，例如，符合某些條件時，訪問的域名、URI、客戶端 IP及表頭等等的相關資訊。

例如：部分異常訪問會在表頭當中缺少一些常見的表頭，例如：accept-encoding、accept-language、user-agent。這些表頭在一般正常的瀏覽器訪問的情況下，都會帶有的Request header，若有大量異常的訪問時，訪問並不會帶有這些表頭，或是表頭的內容有異常，此時，您可以考慮設置WAF規則進行阻擋。

另外您也可以從來訪的IP國家查看是否有異常的攻擊，若您的來訪用戶大部分都是來自亞洲地區，但是異常流量卻來自於歐美國家，也可以考慮針對該國家進行限制訪問。