CDN防禦指標:世足賽(上) 東南亞/中東/中國的DDoS緩解關鍵報告

全文分上下兩篇,本篇為上篇。
全球瘋迷的「世足賽」對CDN資安團隊來說也是與DDoS攻擊的賽局,各大運動賽事相關網站的熱絡引來巨量網路攻擊,尤其東南亞、中東和中國,CDN能成功擋下?
全文上下集精華(以受世足賽衝擊的運動賽事網站為例):
- 最新DDoS攻擊樣貌:東南亞/中東/中國
- 東南亞/中東/中國的「DDoS攻擊」數據:緩解成效、具體作法
- 世足賽前中後,網站的訪問數差異(包含攻擊流量)變化
- 上述網站流量變化之「東南亞/中東/中國」市場比較
CDN的DDoS防禦陣線:從中國、日本到東南亞、中東
ApeiroCDN一直致力於扎根亞洲、放眼國際,協助客戶守下一場場的DDoS攻擊,防禦陣線也從東北亞擴及至東南亞,乃至中東。
中國加速方案享有「多條線路彈性」
過去所服務的客戶,多面向中國、日本市場等地,當然這與線路包含了各種前進中國加速線路的ISP:中國聯通(CU), 中國移動(CM),中國電信(CT)等息息相關。客戶訂閱ApeiroCDN即享有多條連線中國的ISP線路,當某ISP網路品質不穩定時,ApeiroCDN的線路可以視情況調整路由至其他中國加速線路,享有多條線路的彈性。
運動賽事網站疫後發展蓬勃,DDoS攻擊擴及東南亞與中東
隨著各地逐漸從新冠肺炎的陰影中掙脫,全球迎來了新一波商業高峰,其中最具代表性的,即是運動賽事相關產業。因此,我們觀察到客戶旗下的各服務平台(網站),其市場有逐步向東南亞、中東市場拓展的趨勢,尤其在2022年底的世界杯足球賽期間達到前所未有的高峰。
⬛延伸閱讀:中國CDN解決方案:必學的CDN優勢與限制,成功進軍中國
世足賽外的東南亞資安賽局:巨量DDoS攻擊阻擋率高達95%
儘管過去客戶多面向中國市場,但ApeiroCDN節點部署分布於香港、台灣、東南亞、以及其他各亞洲區域。因此,不僅能有效發揮防禦型CDN的本業,將攻擊阻擋在源伺服器(origin server)之外,同時,域名服務在東南亞也有顯著的加速線路優化體驗。
以下將分享東南亞的DDoS攻擊型態與緩解成果。
*本文所稱東南亞市場為以下具有代表性之10個東南亞國家
國家 | 縮寫 | 國家 | 縮寫 | 國家 | 國家 |
---|---|---|---|---|---|
越南 | VN | 緬甸 | MM | 菲律賓 | PH |
寮國 | LA | 馬來西亞 | MY | 汶萊 | BN |
柬埔寨 | KH | 新加坡 | SG | ||
泰國 | TH | 印尼 | ID |
1. DDoS攻擊現況:頻率與力度皆翻數倍
目前盛行的DDoS攻擊並不一定來自同一地區,攻擊者很可能使用其利用非法手段與惡意程式所掌控的來自多地區設備(俗稱肉雞、殭屍網路),分別對線路以及伺服器資源進行消耗。
以我們過去經驗,基本上較多來自於中國、其次即是東南亞。而隨著各地區經濟逐漸隨著疫情開放而有所成長,近兩年攻擊的頻率也有所增加。頻率上來看,過去單一客戶約兩三週可能會遭遇一次攻擊,但現今一週內即有可能有多個標的遭受兩三次攻擊。更有甚者,2023年伊始更監控到同一時間內單一客戶竟有數十筆域名同時遭受DDoS之苦。
攻擊的流量峰值方面,以自身多年擔任運維經理經驗(目前管理並協助數十客戶群組),綜觀在2022年阻擋的巨量攻擊,由2021年底的數百Mbps直至如今2023年高達數百Gbps的攻擊峰值,已屬常見現象。
⬛延伸閱讀:殭屍網路是什麼?原理與種類詳細介紹,關鍵4招預防攻擊

ApeiroCDN確保攻擊時服務仍正常運作
2. DDoS緩解實際成果
以下5張圖為真實數據,可看出我們於東南亞的DDoS緩解成果優異。此為2023年3月針對單一客戶的某次攻擊流量監控,此次攻擊持續時間約為一個多小時,攻擊的最高峰值達到1.5Gbps。
在前3張ELK流量圖中,從惡意訪問觸發防禦規則的綠色攻擊流量線(code 403)以及正常訪問行為流量線(code 200),可觀察到在攻擊持續或是惡意流量有所變化的同一時間,正常訪問的流量穩定且不受影響。
因ApeiroCDN多樣化的waf規則功能設置,以及充滿彈性的線路調整,才能確保區分攻擊流量及正常流量,並確實攔截於CDN。
⬛延伸閱讀:WAF防火牆全攻略!攻擊型態破解、防禦邏輯與佈署策略解析
▼比對第一張圖(正常流量加上DDoS攻擊流量的總請求數,34,598,077)與第二張圖的阻擋流量數(23,616,125/34598077),清晰指出ApeiroCDN Layer7 waf 規則阻擋率高達九成五。


▼第三張圖為正常流量(code 200),顯示ApeiroCDN在阻擋惡意流量的同時,同時保證正常流量穩定不中斷。

⬛延伸閱讀:DDoS攻擊是什麼?6種DDoS解決方法,使用CDN省下資安成本
▼接著看第4、5張圖(ApeiroCDN Portal對該次攻擊流量的監控),能發現正常情況下該筆域名流量、訪問量,與攻擊當下(09:00-12:30)有極大差距。


3. 24×7團隊即時切換線路、佈署WAF規則,快狠準!
監控到異常流量當下,ApeiroCDN專業CSS人員(SOC+NOC團隊)立即針對受攻擊標的做「線路切換」,並監控異常流量或識別攻擊特徵後,於CDN平台上設置 Layer7 WAF規則阻擋攻擊。同時,線路會將攻擊流量與正常流量分開,以確保客戶託管的其他域名服務不受影響。
如前面所展示實際受攻擊情況,可以觀察到正常流量沒有因為受到攻擊而有波動,更將至少95%的攻擊流量全數阻擋在CDN端,有效防止針對消耗客戶伺服器資源的DDOS攻擊。
⬛延伸閱讀:CDN服務:緩解DDoS攻擊背後功臣—24/7監控中心到底忙什麼?
4. 「東南亞地區」訪客數量、資料傳輸用量:世足賽前中後增長比較
透過觀察客戶網站於世足賽前後的資料傳輸量,能清晰看出資源用量在世足賽前、世足賽進行中、世足賽結束後的變化。造訪人次於世足賽達到爆發性增長,賽後即使降低,卻仍然能維持一定的增長水平。
註:以下提供圖片數據均為ApeiroCDN全客戶時間段總量,分別以『世足賽前的兩個月』、『世足賽進行中的兩個月』、『世足賽結束後至今』,這三個時間段去做觀察。
▼下面兩張圖為世足賽前的兩個月(2022.8.1~2022.9.30),ApeiroCDN全客戶的東南亞市場訪問量以及資料傳輸量。


▼世足賽進行中(2022.11.1~2022.12.31)

⬛延伸閱讀:WAF是什麼?Web Application Firewall特點、優勢一次告訴你!

▼現今情況(2023.1.1~2023.2.28)

