佔中公投遭黑客轟炸 五個必須知道的 DDoS 知識

「佔領中環」運動計劃在本周日(22/6)以網上投票和實體票站的形式,舉行模擬的全民公投,但卻引來黑客以分散式阻斷服務(DDoS)攻擊,網站服務一度癱瘓。雖然港大民研計劃宣稱未有市民資料外洩,但癱瘓服務其實已令黑客達到目標。DDoS 攻擊其實非常貼身,而且目標並不只有政治人物,早前 Feedly 和 Evernote 就同樣遭到黑客以 DDoS 攻擊勒索。在網路打開門做生意的中小企,又如何應對這些威脅?

 

有史以來最大規模攻擊

為讓巿民熟習全民投票電子投票系統,香港大學民意研究計劃在上周五(13/6)啟動了手機投票平台,讓巿民下載應用再模擬投票及預先登記。據港大民研的新聞稿表示,該系統由三家國際及本地機構提供網絡服務,包括 Amazon Web Services(AWS)、CloudFlare 及 Udomain。

該系統在順利運作 30 小時後,三家機構突然全部遭受規模罕見的 DDoS 攻擊,據記錄顯示,AWS 的域名伺服器(DNS)在 20 小時內錄得超過 100 億個系統查詢,而 CloudFlare 及 UDomain 則分別錄得每秒 75Gb 及 10Gb 的 DDoS 攻擊,規模遠超過去對投票系統的攻擊,而且後者絕大部分來自本地互聯網服務供應商。

據網絡保安專家分析指,是次攻擊規模之大及時間之長,是香港有史以來已公開的類似個案中最嚴重的。即使以互聯網使用高峰期來計算,全港互聯網的每秒流量最多也只是 400Gb 至 500Gb,故是次攻擊或已佔用全香港約兩成頻寬。在遭受攻擊前系統已成功接受超過二萬名市民預先登記,港大民研計劃表示由於黑客攻擊力強大且持續 20 多小時,三個供應商先後罕有地暫停提供服務,但強調儲存的市民資料沒有受到影響。

 

Q1:香港僵屍網絡規模驚人?

其實舉行民間公投已非首次,上次亦遭受到惡意的 DDoS 攻擊,據事後分析大多數攻擊 IP 均來自包括中國在內的海外地區。因此今次的系統已特地加入 IP 限制,只允許來自香港的 IP 登入,但結果仍然遭到來自香港的 IP 的大規模攻擊。

一般 DDoS 攻擊大多來自僵屍網絡(Bot-Net)的攻擊。所謂僵屍網絡是指黑客透過在網路散播惡意程式,由於這些惡意程式大都事前經黑客測試,不會被防毒軟件認到,因此能神不知鬼不覺植入到中招者的電腦中,然後再自行在網絡中散播。潛伏對像不一定是 Windows 電腦,就算是 Mac 以至伺服器系統都有可能,叫人防不勝防。

這些中了招的僵屍電腦(Zombie Computer)會成為黑客用以攻擊的工具,就像在僵屍電影的僵屍一樣,不受控地集體向目標攻擊。而一般人在使用這些僵屍電腦時往往都發現不到問題,因為程式都在背後運作,使用者其實很難發現已經中招。換言之,如果中小企在保安管理上疏忽,不僅有機會成為黑客攻擊對象,甚至可能成為黑客攻擊的跳板而不自知。

 

Q2:怎樣才知自己是否已成為僵屍網絡成員?

香港華爾基利信息安全研究組織電腦保安研究員賴灼東向媒體表示,估計黑客要做到如此大規模 DDoS 攻擊,背後的僵屍網絡最少需要 5,000 部電腦,甚至過萬部或更多,反映香港僵屍網絡問題非常嚴重。香港電腦保安事故中心(HKCERT)數據顯示,2013 年共接獲 1,593 宗網絡信息安全事故,去年第四季度更發現有超過 8,300 部僵屍電腦。

該中心亦經常發表保安公布,上周五就估計香港約有 2,400 部電腦受感染成為 GameOver Zeus(GOZ)殭屍網絡成員。而 2009 年出現的 Conficker 至今仍然是香港最多人中招的僵屍網絡,估計全港仍有超過 4,000 部電腦受控制。

目前已知的較知名僵屍網絡程式都能被保安軟件偵測出來,但如果有新變種就未必有效。如機構想進一步了解自己的電腦有否中招,除了到訪 HKCERT 網站下載偵測和清除程式外,其實坊間亦有多家保安方案商有提供顧問服務,免費掃描和協助清理惡意程式。就算你最終未必有幫襯,但最低限度可得到一個安心。

 

Q3:我不碰政治議題,應該不會受到攻擊吧?

大錯特錯的想法。雖然會登上報紙的 DDoS 攻擊案例,大多涉及政治議題,但這不代表只有政治議題會受到 DDoS 攻擊。國家級的黑客攻擊時有聽聞,早前中美爭拗便涉及有關議題,而今次港大民研計劃遭受的攻擊亦懷疑是來自中國黑客組織。但早前 Feedly 和 Evernote 都受到 DDoS 攻擊,顯示對象從來都不限於政治。

上星期網上 RSS 閱讀器 Feedly 和網上筆記服務 Evernote,都遭受到 DDoS 攻擊,而且黑客更趁此勒索要求贖金,換取不再遭受 DDoS 攻擊。Feedly 不妥協,因此在受到攻擊被逼將網站暫時離線並重啟服務。Feedly 和 Evernote 的業務運作全得靠網路進行,如果網路服務因為 DDoS 攻擊而停止,那就不能為客戶提供服務,不僅影響商譽,更隨時要向客戶賠償損失。

這並不是遠在天邊的罪案,2012 年香港金銀業貿易場就同樣遭到黑客以 DDoS 攻擊勒索。由於金銀業貿易場的交易都要靠網路進行,網路受攻擊將令關鍵業務完全停擺。雖然最後警方成功破案並抓到攻擊的黑客,但這些威脅仍然存在,值得同樣以網路為業務關鍵的機構,尤其是中小企業的正視。

 

Q4:我要靠網路來做生意,應該怎樣防範 DDoS 攻擊?

首先要知道,傳統防火牆產品是很難防禦 DDoS 攻擊的。據 Akamai 公布的今年首季全球 DDoS 攻擊報告,針對基礎架構攻擊(Layer 3 & 4)的攻擊,去年同期相比上升 68%;而針對應用層(Layer 7)的攻擊,亦比去年同期上升 21%。其中針對應用層的攻擊特別難防,傳統防火牆和 IPS 都對此無能為力,用實體商店舉例的話,就像攻擊者找一堆閒人湧入你店內但不消費,阻礙你的真正客人使用,從而癱瘓你的業務。

就算你找保安員在門外把守,但仍難在大量閒人中篩選出真正的顧客,導致客人因長時間等待而放棄離開。由於大多數以網路為業務重心的機構,大都依賴網路應用(Web Application)工作,例如網媒的 WordPress、討論區的 Discuz,或是網上商店、拍賣網、團購等都有自己的專用網路應用程式。由於這些應用都打開大門,因此必須依靠「網路應用防火牆」來防範 DDoS 和數據庫注入攻擊等威脅。

如果是資源較少,或是缺乏 IT 經驗的一般中小企,可以考慮把 IT 基建外判出去,例如直接使用 AWS 來架建網站,這樣就能一併把 IT 保安的風險外判。由於這些服務供應商具備足夠資源,能提供比中小企自行管理來得更高的保安水平。而一旦出現針對性的攻擊,也可用相對低廉的價格得到其他技術支援。

 

Q5:那我把網站放到 AWS 上就可以一勞永逸囉?

非常遺憾,答案是「否」。在港大民研計劃的 DDoS 案件中,AWS 就是其中一家承接服務的供應商,但經過長時間攻擊後,AWS決定不再提供 DNS 服務,而本地公司 UDomain 亦退出網絡保安服務,只餘下 CloudFlare 繼續提供有限服務。

Amazon 那麼大的服務供應商都「投降」,可能令不少人到驚訝或失望。但考慮到事件可能涉及國家級攻擊,而港大民研也沒有足夠的金錢資源配合,AWS 停止對港大民研計劃提供支援,未必是因為 Amazon 真的承受不來。但從中小企的角度考慮,其實也同樣未必有足夠預算,應付因為突發 DDoS 攻擊而需要付出的額外支出,因此除了靠 AWS 的 Marketplace 租用虛擬的防火牆,其實還可找其他雲端保安廠商協助,例如 Cloudfare、Incapsula、NeuStar、Prolexic 等。透過將網站的 DNS 伺服器轉移到他們提供的 DNS 服務,將 DDoS 流量轉移到這些專門應付 DDoS 攻擊的公司,他們會過濾走問題的 IP 連接後,再將正常的訪問流量導回,從而阻隔 DDoS 攻擊。

由於這些公司本身就以解決 DDoS 為前題,所以大多擁有海量的頻寬,足夠承載 DDoS 攻擊的巨大流量,緩和 DDoS 攻擊。當然就算「讓專業的來」,由於黑客愈來愈先進,可以「以小敵大」,利用反射及放大攻擊工具來加強攻擊威力,因此專家也未必抵擋得住,這時就可能要靠國家級層面協助。不過,恐怕一般中小企未必會如此「榮幸」吧?