香港公投網站DDoS攻擊內幕大公開

On 2014年08月20日, in soft, by netoearth

今年六月十九日周四深夜,在美國舊金山有一群人整夜待在網路服務商CloudFlare的辦公室裡待命,CloudFlare共同創辦人暨執行長Matthew Prince也在現場親自坐鎮,一邊吃著外送的中國菜,一邊準備隨時迎戰即將到來的網路大戰。

這天是香港民間發起全民公投來宣示民意的日子(當地時間為20日),早在投票前幾天,PopVote投票網站(popvote.hk)就遭受到一波 大規模DDoS(Distributed Denial of Service,分散式阻斷服務攻擊)網路攻擊,為了避免影響為期多日的正式投票過程,負責提供線上投票系統的PopVote網站向CloudFlare 團隊求助,以免DDoS攻擊塞爆系統而中斷了投票。

果不其然,投票一開始,PopVote網站就陸續遭遇超大規模的DDoS攻擊,攻擊流量達網路史上第二高,連找Amazon或Google網路服務 支援也都擋不住,最後靠著多家網路業者聯手,才撐過了這段投票時間。Matthew Prince於8月19日在臺灣駭客年會HITCON上,在臺首度公開了他們在香港公投防禦DDoS攻擊的過程。

在這起大規模的連續DDoS網路攻擊中,不僅使得PopVote網站遭受到破記錄的大量DDoS攻擊,攻擊流量之大就連香港當地ISP網路服務供應商都無法承受;而且攻擊活動中更採用了非常複雜的多重攻擊手法,造成該網站一度無法正常運作。

Matthew Prince表示,CloudFlare官方Twitter在6月16日收到暱稱為Occupy Toronto的用戶傳來求助訊息,請求協助香港全民投票網站Popvote.hk抵禦DDoS。剛好CloudFlare在6月初推出了一項專案 Project Galileo,為符合條件的公益組織,提供免費的DDoS防禦服務。Matthew Prince收到求助訊息後,深入了解PopVote情況後,決定提供協助而出動了Galileo專案團隊。

Matthew Prince解釋,近幾年隨著在世界各地相繼上演的DDoS攻擊,不管是在國家與國家或公司與公司之間,皆造成一方網站被大量攻擊所癱瘓,而無法正常提供 服務;他說,身為網路服務供應商的CloudFlare,在這樣的衝突下則是選擇不靠邊站,而是為Internet網路而戰,確保沒有網站因政治言論或特 殊理由受到網路攻擊而中斷服務。

Project Galileo專案的目的正是為了保護政治和藝術上的重要網站、機構和新聞記者免遭到政府或特定人士進行網路攻擊。CloudFlare免費提供先進設 備,以最先進的DDoS攻擊緩解技術,協助這些弱勢公眾利益的網站,避免遭受因惡意而發起的DDoS攻擊迫害。

在協助處理香港PopVote的DDoS攻擊防禦上,一開始CloudFlare也使用了亞馬遜(Amazon)的AWS雲端服務,加入抵禦攻擊的 行列,但此時PopVote網站已遭受到大量DDoS攻擊,包括出現了以第三層網路攻擊為主的DNS及NTP(Network Time Protocol)反射DDoS攻擊,在6月17日甚至出現網路攻擊流量最高峰,一度達到每秒150Gb,最後,就連AWS服務也因無法應付大量攻擊流量 而終止提供服務。

原本Google的工程團隊也表明,有意以自家的Project Shield攻擊防禦解決方案,作為PopVote網站第二層的DDoS防禦機制,但最後也因為網路攻擊流量過於龐大而影響Google其他服務,以致於最後不得不宣布退出。

Matthew Prince表示,後來,PopVote網站為了方便更多人投票,宣布投票時間由原訂6月20日起3天,延長為10天,截至29日結束,這段期間接連發生了多起大規模DDoS攻擊,從投票當天起就遭受攻擊,一直持續到投票結果出爐後的1小時才停止。其 攻擊手法之複雜,Matthew Prince甚至稱之為一種Kitchen Sink Attack(用盡一切可能手段的攻擊),包括出現了大量DNS反射及NTP反射攻擊封包,對PopVote進行癱瘓攻擊,DNS反射攻擊流量每秒超過 100Gb,而NTP反射攻擊流量甚至更高達每秒300Gb,當中也有許多攻擊流量來自臺灣被操控的殭屍電腦,另外還出現了以攻擊網路第四層為主的SYN Flood洪水攻擊,駭客利用殭屍電腦發送大量偽造的TCP連接請求,SYN封包傳送每秒鐘高達1億次,就連CloudFlare服務器也因此而無法承受 住。

此外,駭客也發動了網路第七層應用層攻擊,包括如HTTP洪水攻擊、HTTPS加密服務攻擊等,還出現了新興的DNS Flood洪水攻擊,這也是許多網路目前最害怕的DDoS攻擊。PopVote網站遭遇到了每秒高達2億5千萬次的有效DNS請求,甚至未經放大,DNS 請求就有高達每秒128 Gb的網路流量,棘手的程度,Matthew Prince甚至以Scary(可怕)來形容它。

另外根據Google從6月14日當日偵測到的全球網路總攻擊頻寬顯示,鎖定以香港PopVote網站發動攻擊的流量來源,遍及世界各地,以各種 DDoS攻擊手法,如DNS、NTP進行大量網路流量攻擊,其中又以來自巴西、印尼、美國、中國的攻擊活動最為頻繁,而針對如此大規模的流量攻 擊,Matthew Prince指出,光靠一家網路服務供應商已無法抵禦這樣大規模的DDoS攻擊。

CloudFlare最後則是採用了全球任播網路(Global Anycast Network)的技術,與全球各地的網路供應商,共同合作防堵來自四面八方的DDoS攻擊,而在防禦DNS Flood洪水攻擊上,CloudFlare也與GoogleDNS、OpenDNS及香港ISP業者合作加入更困難的編碼DNS反應機制,同時保 護.hk的國碼網域名稱(ccTLD)不受到攻擊癱瘓,另外也在資料中心內採取任播(Anycast)架構,以此分散減緩DNS Flood攻擊的影響。

這也讓PopVote網站的網路投票服務,成功在為期10天的網路投票期間能正常運作,甚至一直到7月24日為止,該投票系統仍可使用,而總計投票 期間共約有100萬人經由個人手機、平板App及網路參與投票,而當投票結果出爐後的一小時內,針對PopVote網站發動的網路攻擊也就完全停止。

Mattew Prince提醒臺灣用戶,他們監測到有不少攻擊流量來自臺灣,極有可能是臺灣的DNS伺服器被挾持,他建議大家利用www.openntpproject.orgwww.openresolverproject.org的網站服務,檢查自己的DNS伺服器是否被挾持了。

底下為受邀參加本次HITCON駭客年會的CloudFlare共同創辦人暨執行長Matthew Prince,首度公開揭露發生於今年6月,香港PopVote民意網站遭受連續大規模DDoS攻擊的內幕:

Tagged with:  

发表评论