在今(19)日開始的台灣駭客年會(HITCON),知名網路服務商Cloudflare執行長Metthew Prince在會場上,大爆六月香港公投網站所遭遇的網路攻擊內幕。他說,當時攻擊流量曾一度遠高於正常流量,高達700Gbps,「連專業電信商的路由器都撐不住。」Prince指出,他們監測到這些流量主要來自全球各大殭屍網路(botnet),應有不少人的電腦遭到駭客控制在背後偷偷送出攻擊封包。由於有許多流量來自台灣,Prince提醒台灣電腦使用者,趕快檢查自己的網路流量是否異常,以免被駭還不自知。
Cloudflare成立於2009年,主要提供CDN(Content Delivery Network)服務,會將網站內容暫存在各地不同的伺服器,幫助其他使用者更快速地存取網站。這間公司除了協助加速使用者的網路瀏覽速度以外,還提供使用者抵禦DDoS(Distributed Denial of Service,分散式阻斷服務攻擊)網路攻擊的技術。
公投投票遭攻擊,攻擊流量連電信商也撐不住
在今年六月時,香港民間團體「讓愛與和平佔領中環」委託香港大學民意研究計劃舉辦的「622公投」活動,要求市民在真普選聯盟方案、人民力量方案及學界方案三個政改方案中進行投票,得票最高的方案,將成為佔中運動行動支持及推動的方案。這個活動從6月20日中午開始,由於網路攻擊嚴重影響網站運作,6月22日開放實體投票,於6月29日結束,為期10天,總投票人次約78萬。
活動雖於6月20才開始,但事實上從6月14日起網站就已受到駭客攻擊,一度無法連線。原本網站服務由Amazon、UDomain與Cloudflare提供,但由於攻擊強度過高,為避免影響原先的使用者,因此Amazon與UDomain退出,剩下Cloudflare協助抵禦網軍攻擊。
今日Metthew Prince在HITCON會議上首度揭露622網路公投被攻擊祕辛。他表示,一開始他不懂為何公投網站會遭到這麼大流量的攻擊。他原以為這是一個流行歌手的投票網站,直到Mozilla公司等合作夥伴告訴他們「這個網站很重要」,他們才了解為何攻擊會如此猛烈。
由於事前已預期網軍攻擊規模將相當驚人,因此從美國時間6月19日晚間9點,協助抵禦攻擊的工程師團隊就一直睡在舊金山的辦公室。Prince指出,這次的攻擊主要由DNS放大攻擊(DNS Amplification Attacks)、NTP放大攻擊(NTP Amplification Attacks)所構成。DNS是網域查詢服務,NTP是時間查詢服務,這兩個服務有漏洞可以讓攻擊者以匿名、小流量的方式發起攻擊,而被攻擊者卻要承受很高的流量。在流量最高時,DNS放大攻擊的流量約100Gbps,NTP放大攻擊的流量則高達300Gbps。如果加上其他的攻擊流量,最高時達到700Gbps,遠高於正常流量,「連電信商的路由器都撐不住」。
Prince指出,他們監測到這些流量主要來自各大殭屍網路(botnet),應有不少遭到駭客控制的電腦在背後偷偷送出攻擊封包。由於有許多流量來自台灣,他提醒在場的聽眾,回家記得檢視自己家裡網路的流量,是否有連往openntpproject.org或的異常流量,若有的話,恐怕家裡的電腦也一起被迫參與了這場攻擊。至於這場攻擊是否為中國所發起?Prince認為,這次的攻擊難以追蹤,也很難找到確切的證據證明是中國所為。但可以確定的是,攻擊來自於全世界各地,包括巴西、印尼、美國等地。
捍衛言論自由為Cloudflare理念
由於有香港媒體抹黑Cloudflare公司與美國中情局有關連,Prince對此嚴正駁斥。他說明,Cloudflare其實還曾有攻擊中情局的客戶,他們公司和中情局沒有任何關係。Cloudflare事實上只是一間擁有技術,協助幫忙抵禦網路攻擊的公司,是網路上的中立國。Prince解釋,Cloudflare的理念是捍衛言論自由,「我們相信,應當確保沒有人的聲音因為駭客攻擊而消失」。而Prince也證實,日前台灣蘋果日報遭到駭客攻擊時,也是由Cloudflare協助進行抵禦。
也由於這個理念,目前Cloudflare正在推行Project Galileo,這個以義大利天文學家伽利略命名的專案,將會協助那些因揭穿政府貪腐而遭到政府通緝的記者,可以在難以被政府追查的狀況下安心工作,繼續以揭露貪腐的方式監督政府。(撰稿:沃草記者雨蒼)
圖說:在今(19)日開始的台灣駭客年會(HITCON),知名網路服務商Cloudflare執行長Metthew Prince在會場上,大爆六月香港公投網站所遭遇的網路攻擊內幕。Prince提醒台灣電腦使用者,趕快檢查自己的網路流量是否異常,以免被駭還不自知。
圖說:台灣駭客年會(HITCON)今年的主軸,是在面對的是無所不在的資安威脅及漏洞時,舊的阻擋思維以不足因應駭客,應該學會如何適應並與威脅共存。