http://www.ithome.com.tw/news/90246
香港公投网站DDoS攻击内幕大公开,连Google、亚马逊都挡不住
今年六月十九日周四深夜,在美国旧金山有一群人整夜待在网络服务商CloudFlare的办公
室里待命,CloudFlare共同创办人暨执行长Matthew Prince也在现场亲自坐镇,一边吃著
外送的中国菜,一边准备随时迎战即将到来的网络大战。
这天是香港民间发起全民公投来宣示民意的日子(当地时间为20日),早在投票前几天,
PopVote投票网站(popvote.hk)就遭受到一波大规模DDoS(Distributed Denial of
Service,分布式阻断服务攻击)网络攻击,为了避免影响为期多日的正式投票过程,负
责提供线上投票系统的PopVote网站向CloudFlare团队求助,以免DDoS攻击塞爆系统而中
断了投票。
果不其然,投票一开始,PopVote网站就陆续遭遇超大规模的DDoS攻击,攻击流量达网络
史上第二高,连找Amazon或Google网络服务支援也都挡不住,最后靠着多家网络业者联手
,才撑过了这段投票时间。Matthew Prince于8月19日在台湾骇客年会HITCON上,在台首
度公开了他们在香港公投防御DDoS攻击的过程。
在这起大规模的连续DDoS网络攻击中,不仅使得PopVote网站遭受到破记录的大量DDoS攻
击,攻击流量之大就连香港当地ISP网络服务供应商都无法承受;而且攻击活动中更采用
了非常复杂的多重攻击手法,造成该网站一度无法正常运作。
Matthew Prince表示,CloudFlare官方Twitter在6月16日收到暱称为Occupy Toronto的用
户传来求助讯息,请求协助香港全民投票网站Popvote.hk抵御DDoS。刚好CloudFlare在6
月初推出了一项专案Project Galileo,为符合条件的公益组织,提供免费的DDoS防御服
务。Matthew Prince收到求助讯息后,深入了解Popvote情况后,决定提供协助而出动了
Galileo专案团队。
Matthew Prince解释,近几年随着在世界各地相继上演的DDoS攻击,不管是在国家与国家
或公司与公司之间,皆造成一方网站被大量攻击所瘫痪,而无法正常提供服务;他说,身
为网络服务供应商的CloudFlare,在这样的冲突下则是选择不靠边站,而是为Internet网
路而战,确保没有网站因政治言论或特殊理由受到网络攻击而中断服务。
Project Galileo专案的目的正是为了保护政治和艺术上的重要网站、机构和新闻记者免
遭到政府或特定人士进行网络攻击。CloudFlare免费提供先进设备,以最先进的DDoS攻击
缓解技术,协助这些弱势公众利益的网站,避免遭受因恶意而发起的DDoS攻击迫害。
在协助处理香港PopVote的DDoS攻击防御上,一开始CloudFlare也使用了亚马逊(Amazon
)的AWS云端服务,加入抵御攻击的行列,但此时PopVote网站已遭受到大量DDoS攻击,包
括出现了以第三层网络攻击为主的DNS及NTP(Network Time Protocol)反射DDoS攻击,
在6月17日甚至出现网络攻击流量最高峰,一度达到每秒150Gb,最后,就连AWS服务也因
无法应付大量攻击流量而终止提供服务。
原本Google的工程团队也表明,有意以自家的Project Shield攻击防御解决方案,作为
PopVote网站第二层的DDoS防御机制,但最后也因为网络攻击流量过于庞大而影响Google
其他服务,以致于最后不得不宣布退出。
Matthew Prince表示,后来,PopVote网站为了方便更多人投票,宣布投票时间由原订6月
20日起3天,延长为10天,截至29日结束,这段期间接连发生了多起大规模DDoS攻击,从
投票当天起就遭受攻击,一直持续到投票结果出炉后的1小时才停止。其攻击手法之复杂
,Matthew Prince甚至称之为一种Kitchen Sink Attack(用尽一切可能手段的攻击),
包括出现了大量DNS反射及NTP反射攻击封包,对PopVote进行瘫痪攻击,DNS反射攻击流量
每秒超过100Gb,而NTP反射攻击流量甚至更高达每秒300Gb,当中也有许多攻击流量来自
台湾被操控的僵尸电脑,另外还出现了以攻击网络第四层为主的SYN Flood洪水攻击,骇
客利用僵尸电脑发送大量伪造的TCP连接请求,SYN封包传送每秒钟高达1亿次,就连
CloudFlare服务器也因此而无法承受住。
此外,骇客也发动了网络第七层应用层攻击,包括如HTTP洪水攻击、HTTPS加密服务攻击
等,还出现了新兴的DNS Flood洪水攻击,这也是许多网络目前最害怕的DDoS攻击。
PopVote网站遭遇到了每秒高达2亿5千万次的有效DNS请求,甚至未经放大,DNS请求就有
高达每秒128 Gb的网络流量,棘手的程度,Matthew Prince甚至以Scary(可怕)来形容它
。
另外根据Google从6月14日当日侦测到的全球网络总攻击频宽显示,锁定以香港PopVote网
站发动攻击的流量来源,遍及世界各地,以各种DDoS攻击手法,如DNS、NTP进行大量网络
流量攻击,其中又以来自巴西、印尼、美国、中国的攻击活动最为频繁,而针对如此大规
模的流量攻击,Matthew Prince指出,光靠一家网络服务供应商已无法抵御这样大规模的
DDoS攻击。
CloudFlare最后则是采用了全球任播网络(Global Anycast Network)的技术,与全球各
地的网络供应商,共同合作防堵来自四面八方的DDoS攻击,而在防御DNS Flood洪水攻击
上,CloudFlare也与GoogleDNS、OpenDNS及香港ISP业者合作加入更困难的编码DNS反应机
制,同时保护.hk的国码网域名称(ccTLD)不受到攻击瘫痪,另外也在资料中心内采取任
播(Anycast)架构,以此分散减缓DNS Flood攻击的影响。
这也让PopVote网站的网络投票服务,成功在为期10天的网络投票期间能正常运作,甚至
一直到7月24日为止,该投票系统仍可使用,而总计投票期间共约有100万人经由个人手机
、平板App及网络参与投票,而当投票结果出炉后的一小时内,针对PopVote网站发动的网
路攻击也就完全停止。
Mattew Prince提醒台湾用户,他们监测到有不少攻击流量来自台湾,极有可能是台湾的
DNS服务器被挟持,他建议大家利用www.openntpproject.org与
www.openresolverproject.org的网站服务,检查自己的DNS服务器是否被挟持了。
所以说
某国如果有心的话,GOOGLE也可被拿下??