THE TACTICS OF USING APPLICATION-BASED FIREWALL FOR DEFENDING AGAINST DISTRIBUTED DENIAL-OF-SERVICE ATTACKS

摘要

因学校的伺服器易遭受许多不明来源的资安攻击，故现今大多数学校为了可以有效且准确的保护重要的伺服器，多采购application-based防火墙，做为对外网路进出的gateway，用来侦测及封锁各种类型的资安攻击，防火墙将查看每个不同来源IP的封包到第7层的应用层。但application-based防火墙通常采session-base来设计，对每秒可以处理的session数(max sessions＆new sessions per second)会有一个上限。当学校内的伺服器遭遇到分散式阻断式服务(distributed denial-of-service (DDoS))攻击时，瞬间将产生大量的session数，进而将导致防火墙CPU负荷过重，当防火墙CPU loading达80%以上时，即有可能无法维持正常运作，甚至导致网路服务中断。网路系统整合商针对此一限制，通常会建议学校再采购规格较高的设备来因应，如此，将造成学校在资讯服务成本上不断增加。本研究设计一套系统，运用application-based防火墙日志(syslog)来分析需要封锁的特征，并将符合这些特征来源的IP，于对外的路由器(router)上即时自动封锁，取代application-based防火墙部分的封锁功能，藉此降低application-based防火墙的CPU负担。本研究于2015年3月在校园内所设计建置之系统，验证其可行性与效益。比较系统建置前后后一年期间(2014/4～2015/3，2015/4～2016/3)之资料统计及实际情况，在系统建置前2014年7月及11月之NTP Denial-Of-Service Attack，导致校园网路服务中断。但在本系统建置完成后，即未再发生因资安攻击事件而导致校园网路服务中断。