暗网潜航——DDoS(四):攻守相赴(四)
庞博文
2021-01-11 04:17 HKT
字体大小
上周笔者跟大家介绍,用「主动式防御」对抗分散式阻断服务(DDoS)攻击,要有效拦截攻击,要在设计和建构系统时,已要开始考虑防御。然而现实上却很难做到,因为不少公司倚赖坊间水准不高的系统集成商或顾问,去构建他们的系统,这些机构只不过凑合一般商业或开源解决方案,系统能正常运作已算万幸,如要具备主动式防御的安全设计意识,基本上是天方夜谭。
甚至我可以刻薄的说,他们其实不明白自己在做甚么。我已不下数十次在研讨会上公开说:「完成一个正常跑得动的讯息项目,有甚么值得庆祝的?系统能够正常运作,不就是应份的事情吗?一个正常跑得动的系统是理所当然的事情,否则凭甚么拿钱?我们期望的是一个不但能运作正常,更加是稳定和安全系统,这个项目才算是真正完成吧?」
但现实是残酷的,政府部门机构、大公司、公共服务构建出来的系统,往往都是「讲就天下无敌,做就延期无力,上线之后俾人打到仆直!」结果成为新闻头条及社会焦点。在这十多年来,我见过无数被DDoS攻击打爆的系统,根本原因是使用的设备、网络及程序设计上先天不足,或者估算网络资源及容量时发生错误等问题。这些先天设计不良的系统,除了砍掉重练外,根本不可能拥有「主动式防御」DDoS攻击功能。然而有谁会直接承认,早前花一笔钱买来的系统,以及其后的维护开支,原来都是有缺陷的?
相比「主动式防御」,「消极式防御」就是你逃避不了被打,也不管你的系统本身设计和管理有多糟糕,但可以「减缓」被攻击对系统影响。系统可能有延迟或不稳定,但最少还能提供部份服务。所以消极式防御,就变成现在市面上防御DDoS攻击最常见方式。
TOZ联合创办人
庞博文
甚至我可以刻薄的说,他们其实不明白自己在做甚么。我已不下数十次在研讨会上公开说:「完成一个正常跑得动的讯息项目,有甚么值得庆祝的?系统能够正常运作,不就是应份的事情吗?一个正常跑得动的系统是理所当然的事情,否则凭甚么拿钱?我们期望的是一个不但能运作正常,更加是稳定和安全系统,这个项目才算是真正完成吧?」
但现实是残酷的,政府部门机构、大公司、公共服务构建出来的系统,往往都是「讲就天下无敌,做就延期无力,上线之后俾人打到仆直!」结果成为新闻头条及社会焦点。在这十多年来,我见过无数被DDoS攻击打爆的系统,根本原因是使用的设备、网络及程序设计上先天不足,或者估算网络资源及容量时发生错误等问题。这些先天设计不良的系统,除了砍掉重练外,根本不可能拥有「主动式防御」DDoS攻击功能。然而有谁会直接承认,早前花一笔钱买来的系统,以及其后的维护开支,原来都是有缺陷的?
相比「主动式防御」,「消极式防御」就是你逃避不了被打,也不管你的系统本身设计和管理有多糟糕,但可以「减缓」被攻击对系统影响。系统可能有延迟或不稳定,但最少还能提供部份服务。所以消极式防御,就变成现在市面上防御DDoS攻击最常见方式。
TOZ联合创办人
庞博文
更多文章