DDoS 危機升級！AI 能否成為破解之道？

超大規模 DDoS 攻擊來襲：剖析攻擊手法，探討 AI 在網路安全防禦中的角色

俄烏戰爭的持續，網路戰場日益激烈。台灣近期成為親俄駭客組織攻擊目標，大規模 DDoS 攻擊頻傳。本文將從技術層面深入解析 DDoS 攻擊的原理和手法，探討如何利用人工智慧，打造更強韌的網路防禦。

編譯／Nica

台灣近期遭受多起網路攻擊，其中以親俄駭客組織 NoName057 發動的大規模 DDoS 攻擊最受矚目。該組織攻擊目標涵蓋政府機關、金融機構、電信業者和企業，台灣至少 45 個單位與企業受到影響，包括中租、兆豐、彰銀、臺灣證券交易所、地方稅務機關、主計總處、財金相關機構及部分電信業者等。 攻擊動機疑似與台灣總統賴清德的言論有關。儘管數位發展部表示各機關皆可於短時間內恢復服務，但此事件凸顯台灣面臨的網路安全威脅日益嚴峻。

除了 DDoS 攻擊外，還面臨「中國駭客組織 TIDrone」針對台灣軍事和衛星產業發動精密網路攻擊，並集中鎖定無人機製造商，攻擊手法可能涉及不當利用遠端桌面軟體與 ERP 軟體（CXCLNT 和 CLNTEND），還可能涉及供應鏈攻擊。此外還有攻擊台灣政府機關的「中國駭客 Earth Baxia」，利用 GeoServer 已知漏洞發動攻擊，並植入後門程式 EagleDoor 等。本文將探討 DDoS 攻擊原理、手法，以及人工智慧如何成為抵禦此類攻擊的關鍵利器。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ]

Netscout 報告指出，近年來針對關鍵基礎設施的 DDoS 攻擊事件大幅增加，背後主要推手是政治動機的駭客組織，特別是親俄羅斯的駭客組織。這些組織發動攻擊的目的通常是為了表達政治立場，而非追求經濟利益。攻擊目標鎖定銀行和金融服務業、政府機構、公用事業（例如能源供應）、製造業和保險業與支持烏克蘭的北約國家。主要攻擊組織則包括使用名為 DDoSia 的 DDoS 攻擊工具包，主要攻擊目標為烏克蘭和支持烏克蘭的北約國家的「NoName057(16）」、同樣 2022 年開始活躍，主要攻擊目標為公共事業機構的「俄羅斯網路軍隊（Cyber Army of Russia）」與曾與另一個經常攻擊西方基礎設施惡名昭彰的俄羅斯駭客組織 Killnet 有關的「匿名俄羅斯（Anonymous Russia）」。

攻擊手法包括：

• 應用層攻擊：攻擊者發送大量 HTTP/S 請求，試圖癱瘓目標伺服器。
• 網路層攻擊：攻擊者發動大量流量攻擊，試圖耗盡目標網路的頻寬資源。
• 混合型攻擊：結合應用層和網路層攻擊，同時攻擊目標的網路和應用程式資源。
• 低流量攻擊：攻擊者刻意降低攻擊速度與所需頻寬，躲避偵測。

DDoS 攻擊手法多樣：從應用層到網路層，再到低流量攻擊

Cloudflare 在 2024 年 9 月成功抵禦一起規模空前的 DDoS 攻擊，攻擊流量高峰值達 3.8 Tbps。該攻擊之主要特徵為使用了多種手法，包括：

• 超大規模攻擊：攻擊者注重發送數據包的數量而非大小，造成網路頻寬飽和。
• 針對特定 UDP 連接埠：攻擊者主要針對 UDP 協定特定連接埠發動攻擊。
• 利用受感染的網路伺服器和物聯網設備：攻擊者利用受感染的網路伺服器和物聯網設備（如 MikroTik 路由器和數位錄影機） 組成殭屍網路發動攻擊。

大量的封包湧入可能會壓垮處理器！Cloudflare 研究人員曾表示：「抵禦可以充飽網路頻寬的攻擊可能很難，因為如果居於飽和管道下游，幾乎無能為力。其實只有幾個選擇：獲得更大的管道、找到方法將對的流量移到未飽和的新管道，或者希望管道上游停止將一些或全部資料發送過來。」而且，不安全的物聯網裝置會助長更大規模的攻擊。越來越多脆弱或不安全的物聯網裝置連結上網路，DDoS 攻擊的規模隨之不斷增長。

[ 推薦文章：從危機中學習，2024 年重大外洩事件警示錄 ]

作為物聯網殭屍網路的一部分，可以控制的裝置越多，每秒產生的封包和頻寬就越多。最後，Cloudflare 的建議是「企業組織應使用始終連線、自動化的 DDoS 保護服務，保障其互聯網資產安全，這種服務具有足夠的全球覆蓋範圍和能力，可以吸收和緩解這些超量攻擊以及合法流量封包高峰期，同時避免影響使用者體驗和執行效能。

DDoS 防禦面臨挑戰：AI 成為關鍵解方

分散式阻斷服務攻擊（DDoS）已成為企業和組織面臨的主要威脅之一。人工智慧的興起，為網路安全防禦帶來新的希望。AI 驅動的工具和技術，可以強化現有的 DDoS 防禦系統，並提供更主動、更智慧的防禦策略。

AI 如何強化 DDoS 防禦？關鍵面向有四：

一、提升威脅偵測能力

• 行為分析：AI 可分析網路流量模式，識別異常行為，例如流量來源、目標、通訊協定和流量封包大小等，及早發現 DDoS 攻擊。
• 機器學習：利用機器學習演算法，學習和適應新的攻擊模式，提高偵測準確率，減少誤報。

二、加強攻擊阻擋機制

• 自動化流量過濾：AI 自動識別與過濾惡意流量，僅允許合法流量封包通過。
• 智慧封鎖攻擊來源：分析攻擊流量封包，追蹤攻擊來源，並自動封鎖已知的攻擊 IP 地址和殭屍網路。
• 動態調整資源配置：根據攻擊流量和模式，動態調整網路資源配置，確保關鍵服務的正常運作。

三、強化應用程式安全性

• 原始碼分析工具：AI 驅動的 SAST（靜態應用程式安全測試）工具可以更精確分析應用程式原始碼，找出可能遭不當利用發動 DDoS 攻擊的漏洞，例如緩衝區溢位、資源耗盡等。
• 自動化應用程式掃描工具：AI 可強化 DAST（動態應用程式安全測試）工具，使其能夠模擬更複雜的 DDoS 攻擊，並找出應用程式架構和設定上的弱點。

四、提升應變和復原能力

• 紅隊演練：協助紅隊模擬更逼真的 DDoS 攻擊，測試組織的整體防禦能力，包括技術、流程和人員。
• 逆向工程工具：AI 驅動的逆向工程工具可以分析 DDoS 攻擊使用的惡意軟體，了解其攻擊原理和手法，協助開發更有效的防禦措施。

DDoS 攻擊對網路安全構成嚴重威脅，而 AI 應用為防禦者帶來了新的希望。實作上，AI 技術必須與其他安全工具和技術結合，才能充份發揮更有效的 DDoS 防禦。AI 驅動的工具和技術，可以強化威脅偵測、攻擊阻擋、應用程式安全性和應變復原能力，幫助企業和組織建立更堅固的 DDoS 防禦系統。

(本文授權非營利轉載，請註明出處：CIO Taiwan)