佔中公投遭黑客轟炸　五個必須知道的 DDoS 知識

「佔領中環」運動計劃在本周日（22/6）以網上投票和實體票站的形式，舉行模擬的全民公投，但卻引來黑客以分散式阻斷服務（DDoS）攻擊，網站服務一度癱瘓。雖然港大民研計劃宣稱未有市民資料外洩，但癱瘓服務其實已令黑客達到目標。DDoS 攻擊其實非常貼身，而且目標並不只有政治人物，早前 Feedly 和 Evernote 就同樣遭到黑客以 DDoS 攻擊勒索。在網路打開門做生意的中小企，又如何應對這些威脅？

有史以來最大規模攻擊

為讓巿民熟習全民投票電子投票系統，香港大學民意研究計劃在上周五（13/6）啟動了手機投票平台，讓巿民下載應用再模擬投票及預先登記。據港大民研的新聞稿表示，該系統由三家國際及本地機構提供網絡服務，包括 Amazon Web Services（AWS）、CloudFlare 及 Udomain。

該系統在順利運作 30 小時後，三家機構突然全部遭受規模罕見的 DDoS 攻擊，據記錄顯示，AWS 的域名伺服器（DNS）在 20 小時內錄得超過 100 億個系統查詢，而 CloudFlare 及 UDomain 則分別錄得每秒 75Gb 及 10Gb 的 DDoS 攻擊，規模遠超過去對投票系統的攻擊，而且後者絕大部分來自本地互聯網服務供應商。

據網絡保安專家分析指，是次攻擊規模之大及時間之長，是香港有史以來已公開的類似個案中最嚴重的。即使以互聯網使用高峰期來計算，全港互聯網的每秒流量最多也只是 400Gb 至 500Gb，故是次攻擊或已佔用全香港約兩成頻寬。在遭受攻擊前系統已成功接受超過二萬名市民預先登記，港大民研計劃表示由於黑客攻擊力強大且持續 20 多小時，三個供應商先後罕有地暫停提供服務，但強調儲存的市民資料沒有受到影響。

Q1：香港僵屍網絡規模驚人？

其實舉行民間公投已非首次，上次亦遭受到惡意的 DDoS 攻擊，據事後分析大多數攻擊 IP 均來自包括中國在內的海外地區。因此今次的系統已特地加入 IP 限制，只允許來自香港的 IP 登入，但結果仍然遭到來自香港的 IP 的大規模攻擊。

一般 DDoS 攻擊大多來自僵屍網絡（Bot-Net）的攻擊。所謂僵屍網絡是指黑客透過在網路散播惡意程式，由於這些惡意程式大都事前經黑客測試，不會被防毒軟件認到，因此能神不知鬼不覺植入到中招者的電腦中，然後再自行在網絡中散播。潛伏對像不一定是 Windows 電腦，就算是 Mac 以至伺服器系統都有可能，叫人防不勝防。

這些中了招的僵屍電腦（Zombie Computer）會成為黑客用以攻擊的工具，就像在僵屍電影的僵屍一樣，不受控地集體向目標攻擊。而一般人在使用這些僵屍電腦時往往都發現不到問題，因為程式都在背後運作，使用者其實很難發現已經中招。換言之，如果中小企在保安管理上疏忽，不僅有機會成為黑客攻擊對象，甚至可能成為黑客攻擊的跳板而不自知。

Q2：怎樣才知自己是否已成為僵屍網絡成員？

香港華爾基利信息安全研究組織電腦保安研究員賴灼東向媒體表示，估計黑客要做到如此大規模 DDoS 攻擊，背後的僵屍網絡最少需要 5,000 部電腦，甚至過萬部或更多，反映香港僵屍網絡問題非常嚴重。香港電腦保安事故中心（HKCERT）數據顯示，2013 年共接獲 1,593 宗網絡信息安全事故，去年第四季度更發現有超過 8,300 部僵屍電腦。

該中心亦經常發表保安公布，上周五就估計香港約有 2,400 部電腦受感染成為 GameOver Zeus（GOZ）殭屍網絡成員。而 2009 年出現的 Conficker 至今仍然是香港最多人中招的僵屍網絡，估計全港仍有超過 4,000 部電腦受控制。

目前已知的較知名僵屍網絡程式都能被保安軟件偵測出來，但如果有新變種就未必有效。如機構想進一步了解自己的電腦有否中招，除了到訪 HKCERT 網站下載偵測和清除程式外，其實坊間亦有多家保安方案商有提供顧問服務，免費掃描和協助清理惡意程式。就算你最終未必有幫襯，但最低限度可得到一個安心。

Q3：我不碰政治議題，應該不會受到攻擊吧？

大錯特錯的想法。雖然會登上報紙的 DDoS 攻擊案例，大多涉及政治議題，但這不代表只有政治議題會受到 DDoS 攻擊。國家級的黑客攻擊時有聽聞，早前中美爭拗便涉及有關議題，而今次港大民研計劃遭受的攻擊亦懷疑是來自中國黑客組織。但早前 Feedly 和 Evernote 都受到 DDoS 攻擊，顯示對象從來都不限於政治。

上星期網上 RSS 閱讀器 Feedly 和網上筆記服務 Evernote，都遭受到 DDoS 攻擊，而且黑客更趁此勒索要求贖金，換取不再遭受 DDoS 攻擊。Feedly 不妥協，因此在受到攻擊被逼將網站暫時離線並重啟服務。Feedly 和 Evernote 的業務運作全得靠網路進行，如果網路服務因為 DDoS 攻擊而停止，那就不能為客戶提供服務，不僅影響商譽，更隨時要向客戶賠償損失。

這並不是遠在天邊的罪案，2012 年香港金銀業貿易場就同樣遭到黑客以 DDoS 攻擊勒索。由於金銀業貿易場的交易都要靠網路進行，網路受攻擊將令關鍵業務完全停擺。雖然最後警方成功破案並抓到攻擊的黑客，但這些威脅仍然存在，值得同樣以網路為業務關鍵的機構，尤其是中小企業的正視。

Q4：我要靠網路來做生意，應該怎樣防範 DDoS 攻擊？

首先要知道，傳統防火牆產品是很難防禦 DDoS 攻擊的。據 Akamai 公布的今年首季全球 DDoS 攻擊報告，針對基礎架構攻擊（Layer 3 & 4）的攻擊，去年同期相比上升 68%；而針對應用層（Layer 7）的攻擊，亦比去年同期上升 21%。其中針對應用層的攻擊特別難防，傳統防火牆和 IPS 都對此無能為力，用實體商店舉例的話，就像攻擊者找一堆閒人湧入你店內但不消費，阻礙你的真正客人使用，從而癱瘓你的業務。

就算你找保安員在門外把守，但仍難在大量閒人中篩選出真正的顧客，導致客人因長時間等待而放棄離開。由於大多數以網路為業務重心的機構，大都依賴網路應用（Web Application）工作，例如網媒的 WordPress、討論區的 Discuz，或是網上商店、拍賣網、團購等都有自己的專用網路應用程式。由於這些應用都打開大門，因此必須依靠「網路應用防火牆」來防範 DDoS 和數據庫注入攻擊等威脅。

如果是資源較少，或是缺乏 IT 經驗的一般中小企，可以考慮把 IT 基建外判出去，例如直接使用 AWS 來架建網站，這樣就能一併把 IT 保安的風險外判。由於這些服務供應商具備足夠資源，能提供比中小企自行管理來得更高的保安水平。而一旦出現針對性的攻擊，也可用相對低廉的價格得到其他技術支援。

Q5：那我把網站放到 AWS 上就可以一勞永逸囉？

非常遺憾，答案是「否」。在港大民研計劃的 DDoS 案件中，AWS 就是其中一家承接服務的供應商，但經過長時間攻擊後，AWS決定不再提供 DNS 服務，而本地公司 UDomain 亦退出網絡保安服務，只餘下 CloudFlare 繼續提供有限服務。

Amazon 那麼大的服務供應商都「投降」，可能令不少人到驚訝或失望。但考慮到事件可能涉及國家級攻擊，而港大民研也沒有足夠的金錢資源配合，AWS 停止對港大民研計劃提供支援，未必是因為 Amazon 真的承受不來。但從中小企的角度考慮，其實也同樣未必有足夠預算，應付因為突發 DDoS 攻擊而需要付出的額外支出，因此除了靠 AWS 的 Marketplace 租用虛擬的防火牆，其實還可找其他雲端保安廠商協助，例如 Cloudfare、Incapsula、NeuStar、Prolexic 等。透過將網站的 DNS 伺服器轉移到他們提供的 DNS 服務，將 DDoS 流量轉移到這些專門應付 DDoS 攻擊的公司，他們會過濾走問題的 IP 連接後，再將正常的訪問流量導回，從而阻隔 DDoS 攻擊。

由於這些公司本身就以解決 DDoS 為前題，所以大多擁有海量的頻寬，足夠承載 DDoS 攻擊的巨大流量，緩和 DDoS 攻擊。當然就算「讓專業的來」，由於黑客愈來愈先進，可以「以小敵大」，利用反射及放大攻擊工具來加強攻擊威力，因此專家也未必抵擋得住，這時就可能要靠國家級層面協助。不過，恐怕一般中小企未必會如此「榮幸」吧？