占中公投遭黑客轰炸 五个必须知道的 DDoS 知识

“占领中环”运动计划在本周日(22/6)以网上投票和实体票站的形式,举行模拟的全民公投,但却引来黑客以分布式阻断服务(DDoS)攻击,网站 服务一度瘫痪。虽然港大民研计划宣称未有市民资料外泄,但瘫痪服务其实已令黑客达到目标。DDoS 攻击其实非常贴身,而且目标并不只有政治人物,早前 Feedly 和 Evernote 就同样遭到黑客以 DDoS 攻击勒索。在网络打开门做生意的中小企,又如何应对这些威胁?

占中公投遭黑客轰炸 五个必须知道的 DDoS 知识

有史以来最大规模攻击

为让巿民熟习全民投票电子投票系统,香港大学民意研究计划在上周五(13/6)启动了手机投票平台,让巿民下载应用再模拟投票及预先登记。据港大民 研的新闻稿表示,该系统由三家国际及本地机构提供网络服务,包括 Amazon Web Services(AWS)、CloudFlare 及 Udomain。

该系统在顺利运作 30 小时后,三家机构突然全部遭受规模罕见的 DDoS 攻击,据记录显示,AWS 的域名服务器(DNS)在 20 小时内录得超过 100 亿个系统查询,而 CloudFlare 及 UDomain 则分别录得每秒 75Gb 及 10Gb 的 DDoS 攻击,规模远超过去对投票系统的攻击,而且后者绝大部分来自本地互联网服务供应商。

据网络保安专家分析指,是次攻击规模之大及时间之长,是香港有史以来已公开的类似个案中最严重的。即使以互联网使用高峰期来计算,全港互联网的每秒 流量最多也只是 400Gb 至 500Gb,故是次攻击或已占用全香港约两成带宽。在遭受攻击前系统已成功接受超过二万名市民预先登记,港大民研计划表示由于黑客攻击力强大且持续 20 多小时,三个供应商先后罕有地暂停提供服务,但强调储存的市民资料没有受到影响。

Q1:香港僵尸网络规模惊人?

其实举行民间公投已非首次,上次亦遭受到恶意的 DDoS 攻击,据事后分析大多数攻击 IP 均来自包括中国在内的海外地区。因此今次的系统已特地加入 IP 限制,只允许来自香港的 IP 登陆,但结果仍然遭到来自香港的 IP 的大规模攻击。

一般 DDoS 攻击大多来自僵尸网络(Bot-Net)的攻击。所谓僵尸网络是指黑客透过在网络散播恶意程序,由于这些恶意程序大都事前经黑客测试,不会被防毒软件认 到,因此能神不知鬼不觉植入到中招者的电脑中,然后再自行在网络中散播。潜伏对像不一定是 Windows 电脑,就算是 Mac 以至服务器系统都有可能,叫人防不胜防。

这些中了招的僵尸电脑(Zombie Computer)会成为黑客用以攻击的工具,就像在僵尸电影的僵尸一样,不受控地集体向目标攻击。而一般人在使用这些僵尸电脑时往往都发现不到问题,因 为程序都在背后运作,使用者其实很难发现已经中招。换言之,如果中小企在保安管理上疏忽,不仅有机会成为黑客攻击对象,甚至可能成为黑客攻击的跳板而不自 知。

占中公投遭黑客轰炸 五个必须知道的 DDoS 知识

Q2:怎样才知自己是否已成为僵尸网络成员?

香港华尔基利信息安全研究组织电脑保安研究员赖灼东向媒体表示,估计黑客要做到如此大规模 DDoS 攻击,背后的僵尸网络最少需要 5,000 部电脑,甚至过万部或更多,反映香港僵尸网络问题非常严重。香港电脑保安事故中心(HKCERT)数据显示,2013 年共接获 1,593 宗网络信息安全事故,去年第四季度更发现有超过 8,300 部僵尸电脑。

该中心亦经常发表保安公布,上周五就估计香港约有 2,400 部电脑受感染成为 GameOver Zeus(GOZ)僵尸网络成员。而 2009 年出现的 Conficker 至今仍然是香港最多人中招的僵尸网络,估计全港仍有超过 4,000 部电脑受控制。

目前已知的较知名僵尸网络程序都能被保安软件侦测出来,但如果有新变种就未必有效。如机构想进一步了解自己的电脑有否中招,除了到访HKCERT 网站下载侦测和清除程序外,其实坊间亦有多家保安方案商有提供顾问服务,免费扫描和协助清理恶意程序。就算你最终未必有帮衬,但最低限度可得到一个安心。

占中公投遭黑客轰炸 五个必须知道的 DDoS 知识

 

Q3:我不碰政治议题,应该不会受到攻击吧?

大错特错的想法。虽然会登上报纸的 DDoS 攻击案例,大多涉及政治议题,但这不代表只有政治议题会受到 DDoS 攻击。国家级的黑客攻击时有听闻,早前中美争拗便涉及有关议题,而今次港大民研计划遭受的攻击亦怀疑是来自中国黑客组织。但早前Feedly 和 Evernote 都受到 DDoS 攻击,显示对象从来都不限于政治。

上星期网上 RSS 阅读器 Feedly 和网上笔记服务 Evernote,都遭受到 DDoS 攻击,而且黑客更趁此勒索要求赎金,换取不再遭受 DDoS 攻击。Feedly 不妥协,因此在受到攻击被逼将网站暂时离线并重启服务。Feedly 和 Evernote 的业务运作全得靠网络进行,如果网络服务因为 DDoS 攻击而停止,那就不能为客户提供服务,不仅影响商誉,更随时要向客户赔偿损失。

这并不是远在天边的罪案,2012 年香港金银业贸易场就同样遭到黑客以 DDoS 攻击勒索。由于金银业贸易场的交易都要靠网络进行,网络受攻击将令关键业务完全停摆。虽然最后警方成功破案并抓到攻击的黑客,但这些威胁仍然存在,值得同 样以网络为业务关键的机构,尤其是中小企业的正视。

占中公投遭黑客轰炸 五个必须知道的 DDoS 知识

 

Q4:我要靠网络来做生意,应该怎样防范 DDoS 攻击?

首先要知道,传统防火墙产品是很难防御 DDoS 攻击的。据 Akamai 公布的今年首季全球 DDoS 攻击报告, 针对基础架构攻击(Layer 3 & 4)的攻击,去年同期相比上升 68%;而针对应用层(Layer 7)的攻击,亦比去年同期上升 21%。其中针对应用层的攻击特别难防,传统防火墙和 IPS 都对此无能为力,用实体商店举例的话,就像攻击者找一堆闲人涌入你店内但不消费,阻碍你的真正客人使用,从而瘫痪你的业务。

就算你找保安员在门外把守,但仍难在大量闲人中筛选出真正的顾客,导致客人因长时间等待而放弃离开。由于大多数以网络为业务重心的机构,大都依赖网 路应用(Web Application)工作,例如网媒的 WordPress、讨论区的 Discuz,或是网上商店、拍卖网、团购等都有自己的专用网络应用程序。由于这些应用都打开大门,因此必须依靠“网络应用防火墙”来防范 DDoS 和数据库注入攻击等威胁。

如果是资源较少,或是缺乏 IT 经验的一般中小企,可以考虑把 IT 基建外判出去,例如直接使用 AWS 来架建网站,这样就能一并把 IT 保安的风险外判。由于这些服务供应商具备足够资源,能提供比中小企自行管理来得更高的保安水平。而一旦出现针对性的攻击,也可用相对低廉的价格得到其他技 术支持。

 

Q5:那我把网站放到 AWS 上就可以一劳永逸囉?

非常遗憾,答案是“否”。在港大民研计划的 DDoS 案件中,AWS 就是其中一家承接服务的供应商,但经过长时间攻击后,AWS决定不再提供 DNS 服务,而本地公司 UDomain 亦退出网络保安服务,只余下 CloudFlare 继续提供有限服务。

Amazon 那么大的服务供应商都“投降”,可能令不少人到惊讶或失望。但考虑到事件可能涉及国家级攻击,而港大民研也没有足够的金钱资源配合,AWS 停止对港大民研计划提供支持,未必是因为 Amazon 真的承受不来。但从中小企的角度考虑,其实也同样未必有足够预算,应付因为突发 DDoS 攻击而需要付出的额外支出,因此除了靠 AWS 的 Marketplace 租用虚拟的防火墙,其实还可找其他云端保安厂商协助,例如 Cloudfare、Incapsula、NeuStar、Prolexic 等。透过将网站的 DNS 服务器转移到他们提供的 DNS 服务,将 DDoS 流量转移到这些专门应付 DDoS 攻击的公司,他们会过滤走问题的 IP 连接后,再将正常的访问流量导回,从而阻隔 DDoS 攻击。

由于这些公司本身就以解决 DDoS 为前题,所以大多拥有海量的带宽,足够承载 DDoS 攻击的巨大流量,缓和 DDoS 攻击。当然就算“让专业的来”,由于黑客愈来愈先进,可以“以小敌大”,利用反射及放大攻击工具来加强攻击威力,因此专家也未必抵挡得住,这时就可能要靠国家级层面协助。不过,恐怕一般中小企未必会如此“荣幸”吧?

占中公投遭黑客轰炸 五个必须知道的 DDoS 知识

这里是你留言评论的地方

8 + 7 =
Copyright © 2007 - 2018 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】