http://www.ithome.com.tw/news/90246
香港公投網站DDoS攻擊內幕大公開,連Google、亞馬遜都擋不住
文/余至浩 | 2014-08-20發表
根據Google從6月14日當日偵測到的全球網路總攻擊頻寬顯示,其中鎖定香港PopVote網站
的網路攻擊活動,遍及世界各地,以各種DDoS攻擊手法,如DNS、NTP進行大規模網路流量
的癱瘓攻擊。
今年六月十九日周四深夜,在美國舊金山有一群人整夜待在網路服務商CloudFlare的辦公
室裡待命,CloudFlare共同創辦人暨執行長Matthew Prince也在現場親自坐鎮,一邊吃著
外送的中國菜,一邊準備隨時迎戰即將到來的網路大戰。
這天是香港民間發起全民公投來宣示民意的日子(當地時間為20日),早在投票前幾天,
PopVote投票網站(popvote.hk)就遭受到一波大規模DDoS(Distributed Denial of
Service,分散式阻斷服務攻擊)網路攻擊,為了避免影響為期多日的正式投票過程,負
責提供線上投票系統的PopVote網站向CloudFlare團隊求助,以免DDoS攻擊塞爆系統而中
斷了投票。
果不其然,投票一開始,PopVote網站就陸續遭遇超大規模的DDoS攻擊,攻擊流量達網路
史上第二高,連找Amazon或Google網路服務支援也都擋不住,最後靠著多家網路業者聯手
,才撐過了這段投票時間。Matthew Prince於8月19日在臺灣駭客年會HITCON上,在臺首
度公開了他們在香港公投防禦DDoS攻擊的過程。
在這起大規模的連續DDoS網路攻擊中,不僅使得PopVote網站遭受到破記錄的大量DDoS攻
擊,攻擊流量之大就連香港當地ISP網路服務供應商都無法承受;而且攻擊活動中更採用
了非常複雜的多重攻擊手法,造成該網站一度無法正常運作。
Matthew Prince表示,CloudFlare官方Twitter在6月16日收到暱稱為Occupy Toronto的用
戶傳來求助訊息,請求協助香港全民投票網站Popvote.hk抵禦DDoS。剛好CloudFlare在6
月初推出了一項專案Project Galileo,為符合條件的公益組織,提供免費的DDoS防禦服
務。Matthew Prince收到求助訊息後,深入了解PopVote情況後,決定提供協助而出動了
Galileo專案團隊。
Matthew Prince解釋,近幾年隨著在世界各地相繼上演的DDoS攻擊,不管是在國家與國家
或公司與公司之間,皆造成一方網站被大量攻擊所癱瘓,而無法正常提供服務;他說,身
為網路服務供應商的CloudFlare,在這樣的衝突下則是選擇不靠邊站,而是為Internet網
路而戰,確保沒有網站因政治言論或特殊理由受到網路攻擊而中斷服務。
Project Galileo專案的目的正是為了保護政治和藝術上的重要網站、機構和新聞記者免
遭到政府或特定人士進行網路攻擊。CloudFlare免費提供先進設備,以最先進的DDoS攻擊
緩解技術,協助這些弱勢公眾利益的網站,避免遭受因惡意而發起的DDoS攻擊迫害。
在協助處理香港PopVote的DDoS攻擊防禦上,一開始CloudFlare也使用了亞馬遜(Amazon
)的AWS雲端服務,加入抵禦攻擊的行列,但此時PopVote網站已遭受到大量DDoS攻擊,包
括出現了以第三層網路攻擊為主的DNS及NTP(Network Time Protocol)反射DDoS攻擊,
在6月17日甚至出現網路攻擊流量最高峰,一度達到每秒150Gb,最後,就連AWS服務也因
無法應付大量攻擊流量而終止提供服務。
原本Google的工程團隊也表明,有意以自家的Project Shield攻擊防禦解決方案,作為
PopVote網站第二層的DDoS防禦機制,但最後也因為網路攻擊流量過於龐大而影響Google
其他服務,以致於最後不得不宣布退出。
Matthew Prince表示,後來,PopVote網站為了方便更多人投票,宣布投票時間由原訂6月
20日起3天,延長為10天,截至29日結束,這段期間接連發生了多起大規模DDoS攻擊,從
投票當天起就遭受攻擊,一直持續到投票結果出爐後的1小時才停止。其攻擊手法之複雜
,Matthew Prince甚至稱之為一種Kitchen Sink Attack(用盡一切可能手段的攻擊),
包括出現了大量DNS反射及NTP反射攻擊封包,對PopVote進行癱瘓攻擊,DNS反射攻擊流量
每秒超過100Gb,而NTP反射攻擊流量甚至更高達每秒300Gb,當中也有許多攻擊流量來自
臺灣被操控的殭屍電腦,另外還出現了以攻擊網路第四層為主的SYN Flood洪水攻擊,駭
客利用殭屍電腦發送大量偽造的TCP連接請求,SYN封包傳送每秒鐘高達1億次,就連
CloudFlare服務器也因此而無法承受住。
此外,駭客也發動了網路第七層應用層攻擊,包括如HTTP洪水攻擊、HTTPS加密服務攻擊
等,還出現了新興的DNS Flood洪水攻擊,這也是許多網路目前最害怕的DDoS攻擊。
PopVote網站遭遇到了每秒高達2億5千萬次的有效DNS請求,甚至未經放大,DNS請求就有
高達每秒128 Gb的網路流量,棘手的程度,Matthew Prince甚至以Scary(可怕)來形容它
。
另外根據Google從6月14日當日偵測到的全球網路總攻擊頻寬顯示,鎖定以香港PopVote網
站發動攻擊的流量來源,遍及世界各地,以各種DDoS攻擊手法,如DNS、NTP進行大量網路
流量攻擊,其中又以來自巴西、印尼、美國、中國的攻擊活動最為頻繁,而針對如此大規
模的流量攻擊,Matthew Prince指出,光靠一家網路服務供應商已無法抵禦這樣大規模的
DDoS攻擊。
CloudFlare最後則是採用了全球任播網路(Global Anycast Network)的技術,與全球各
地的網路供應商,共同合作防堵來自四面八方的DDoS攻擊,而在防禦DNS Flood洪水攻擊
上,CloudFlare也與GoogleDNS、OpenDNS及香港ISP業者合作加入更困難的編碼DNS反應機
制,同時保護.hk的國碼網域名稱(ccTLD)不受到攻擊癱瘓,另外也在資料中心內採取任
播(Anycast)架構,以此分散減緩DNS Flood攻擊的影響。
這也讓PopVote網站的網路投票服務,成功在為期10天的網路投票期間能正常運作,甚至
一直到7月24日為止,該投票系統仍可使用,而總計投票期間共約有100萬人經由個人手機
、平板App及網路參與投票,而當投票結果出爐後的一小時內,針對PopVote網站發動的網
路攻擊也就完全停止。
Mattew Prince提醒臺灣用戶,他們監測到有不少攻擊流量來自臺灣,極有可能是臺灣的
DNS伺服器被挾持,他建議大家利用www.openntpproject.org與
www.openresolverproject.org的網站服務,檢查自己的DNS伺服器是否被挾持了。