看板 Military作者 golang (666NYCU666)標題 [新聞] 中國網攻 唐鳳出招破解了:數位發展部時間 Sun Aug 7 23:21:29 2022
中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過
原文來源:
https://www.setn.com/News.aspx?NewsID=1157893
原文摘要:
自美國眾議院議長裴洛西訪台後,中共就在台灣進行了軍演,與此同時,也有不少境外IP
頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳,近日接受媒體
專訪時提及此事,指出以Web3為主的分散式架構,將可以完全排除阻斷性攻擊。
唐鳳近日接受《自由時報》專訪,被問及政府機關網站遭到資安攻擊,政府是否有因應作
為?唐鳳則形容這幾天的狀況就像是電話佔線,而這個技術也叫大量阻斷服務攻擊(DDoS
),其實政府的資料並沒有外泄,而電話線也沒壞掉。但唐鳳指出,電話打不進去,就多
設專線的方式,從某個角度來看就像是消耗戰,要投入資源。
唐鳳說,數位發展部的網站在共軍演習當天上線,這個網站是採取Web3的架構,是個分散
型網絡、不對稱防禦的架構,在共軍開始軍演當天中午上線,「目前為止一秒鐘都沒有卡
住過」。唐鳳指出,比起傳統的流量清洗必須要花資源防禦,Web3就像是有人進線後接的
就會是機器人,不需要再有接線生了,和消耗戰不一樣。
至於是否會推廣到各機關部會,唐鳳表示,這個新的架構骨幹不需額外花錢,設計目的就
是為了避免遭阻斷攻擊,也鼓勵大家「打打看」,若能撐得住,沒問題的話就會推廣了。
事實上,自中共宣布軍演以來,我國公部門網站頻頻遭到境外勢力攻擊,外交部發言人歐
江安表示,在8月4日中午、8月4日深夜、8月5日清晨,境外網軍攻擊外交部手法更新,攻
擊更大量,惡意連線次數最大值已達每分鐘1億7000萬多次。外交部會持續保持高度警戒
,遇有任何異常情形,會即時妥為應處。
心得感想:
下午發完手殘刪到文
看起來新成立的數位發展部有在著手處理這次各部會網站遭到DDOS攻擊的問題
不過匪夷所思為什麼唐鳳要說數位發展部的解決方案是Web3之類的方案
因為我好奇看了一下數位發展部網站 moda.gov.tw
https://i.imgur.com/juXhYM1.png
https://i.imgur.com/EUezgiq.png
看起來是買了美國第三方 Cloudflare CDN 的商業服務
幫忙防禦住這次DDOS的攻擊
Cloudflare 的商業服務其實就是一個很務實解決DDOS方案
(烏克蘭的政府網站也有用)
不太確定有什麼難言之隱好不能公開透露的
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.249.90.91 (臺灣)
※ 文章代碼(AID): #1YxzXxBm (Military)
※ 文章網址: https://www.ptt.cc/bbs/Military/M.1659885691.A.2F0.html
※ 同主題文章:
[新聞] 中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過
08-07 23:21 golang.
推 emptie: 啊?我早上看到的時候還以為有什麼黑科技 是新聞在移花接木還是唐自己也不知道自己在說啥1F 08/07 23:23
→ emptie: 然後這網站才剛上線幾個小時也沒什麼人知道再加上裡面根本沒內容,應該不會成為攻擊的目標吧…4F 08/07 23:25
噓 QuentinHu: 就你們沒斷,其他人都被打爆,有屁用?6F 08/07 23:25
其實各部會都採購Cloudflare CDN的服務就好
烏克蘭也是開戰後全部掛上Cloudflare
靜態的內容這樣處理其實很足夠了
不過比較匪夷所思的是怎麼多出Web3/星際檔案/區塊鍊那坨東西
噓 extrada: 很像沒啥了不起,呵呵7F 08/07 23:25
→ emptie: 這外包沒啥問題吧 重新發明輪子沒意義 只是需不需要為了偶爾一次的這種攻擊花那麼多成本的問題(畢竟網站被癱瘓不等於政府機關被癱瘓)8F 08/07 23:26
推 blade0314: 事實就是上線沒多久 說不定有些DNS也沒記錄到 這個跟斷網沒上線有87%像11F 08/07 23:26
→ ramirez: 天才IT大臣就是強!!!!13F 08/07 23:27
推 tsengivy: 只要能解決問題 管它外包還是什麼 有現成的可用幹嘛從零開始 開發費用還更貴 有些噓文真的很莫名其妙16F 08/07 23:29
※ 編輯: golang (111.249.90.91 臺灣), 08/07/2022 23:30:54
推 deathrow: 因為他在吹啊 瞎掰一些名詞裝逼21F 08/07 23:32
→ taian3568: 但是說他出招破解真的多了 說有加強防護就好24F 08/07 23:33
→ finhisky: 如果沒被攻擊的話,沒卡不是正常的嗎25F 08/07 23:34
噓 JellyKing: 為什麼今天這種內宣新聞一直發阿.. 這麼厲害直接把這種系統上總統府外交部國防部阿 明明這幾天我國政府網站都卡到爆了 為什麼還要特別為"本部會不受影響"發一篇新聞阿 根本智障26F 08/07 23:38
推 birdy590: 其實這也沒什麼破解不破解的 錢砸下去就解了
對付 DDOS 只有一招有效 就是"我的水管總和比你攻擊的量大" 這樣才有辦法存活甚至清洗31F 08/07 23:45
→ deathrow: 1.沒人知道沒被攻擊 2.我買Cloudflare擋DDOS 講實話這樣就不夠天才IT大臣了34F 08/07 23:46
→ birdy590: 總之不花錢是不可能解的 這算是一種基礎建設
還蠻多雲端業者在做 DDOS mitigation, 能力高低不一36F 08/07 23:47
→ birdy590: cloudflare 網站宣稱的容量是 155Tbps(會變的)39F 08/07 23:49
→ birdy590: 有些比較小的容量建到 幾 Tbps 而已(打超過就掛了)41F 08/07 23:50
→ birdy590: 容量 就是 錢 所以 不花錢就是無解43F 08/07 23:50
推 qhapaq: 報告版主 有人違規~45F 08/07 23:51
推 emptie: 可以討論大家都用cloudflare結果有一天他出問題反而造成一大堆網站同時下線的脆弱性(過去發生過幾次,持續幾個小時)46F 08/07 23:52
→ birdy590: 樓上講的不是問題 因為"可以同時買好幾家的服務"
但是 這就"需要更多的錢"
可以參考 OTT 業者 就有不同路線 有完全自建CDN的也有兩種並行的, Disney+ 就是完全向現有業者採購起步的晚 手上現金又多 拿錢砸是最快最好的方法
沒錢就別提了 台灣業者打個幾十Gbps就死了49F 08/07 23:53
推 emptie: OTT業者可以這樣做是他本來就砸很多錢在流量上,對很多機構來說官網能否運作並不是他的生命線被掐斷等級的嚴重程度56F 08/07 23:57
→ birdy590: 這跟武器其實道理一樣 要嘛外購 要嘛自製 花錢就對兩種都不選就想要能打 天底下沒那麼便宜的事情
沒發現領頭對抗 DDOS 的全都是 CDN 業者?59F 08/07 23:57
→ birdy590: 因為他們建立基礎建設的同時就把這條路也舖好了
對抗 DDOS 重點就是要花錢 而且系統搬上去會有限制灑在全世界各地的機器就是對抗的武器 沒武器怎麼打政府網站其實算低難度 因為海外出口相對不重要64F 08/07 23:58
推 s8626460: 看有沒有專業人士剖析Web3或cloudflare是否能解決68F 08/08 00:01
→ birdy590: 把國內進來的流量顧好 國外就想辦法洗 洗不掉就別用69F 08/08 00:02
→ birdy590: 國內外分流也是一種方式 其實地域性是一種優勢
根本沒有要讓全世界用的 幹嘛搞那麼麻煩上 CDN?71F 08/08 00:02
→ s8626460: 問題能否解決比較重要吧? 人身攻擊或是不是由自己處73F 08/08 00:03
→ emptie: 當然能解決啊 DDoS不是什麼很厲害的攻擊,你要防禦也就砸資源跟他硬碰硬就行了74F 08/08 00:03
→ birdy590: 就跟打仗一樣 你的槍比對方大支 自然就佔優勢
攻擊也需要成本 讓對方覺得沒效 自然就會停了
DDOS 清洗在國外其實已經是蠻成熟的一門生意
真正的問題只有經營網站的是不是負擔的起~77F 08/08 00:04
推 s8626460: 我是知道很多網站有使用cloudflare
只是不知道cloudflare的技術能否解決這次遇到的攻擊感謝樓上的分享81F 08/08 00:06
推 shadow0326: CDN聽起來很太土了,講web3聽起來比較時髦84F 08/08 00:07
推 birdy590: 肯定可以 因為目前防禦的規模是遠超出攻擊量很多
但是1要負擔的起 2網站要想辦法搬的上去
對前面幾家大頭來說 台灣的攻擊量根本算不上什麼85F 08/08 00:07
推 s8626460: CDN聽起來會土嗎? cloudflare在雲端安全股票也算有名,同時前兩年飆很兇88F 08/08 00:10
噓 pcfox: 嗯.....出手了?呵呵90F 08/08 00:21
噓 ctw01: 造神文 見一次噓一次93F 08/08 00:27
推 BFer: 八卦柵門又壞了94F 08/08 00:29
→ nkfcc: 國內外分流不見得有用。國內肉雞本來就不少。記得以前台灣被操控發起網攻的肉雞量也是名列前矛的。我的logwatch裡也常有hinet的ip,VPS是日本的。95F 08/08 00:36
→ birdy590: 並不會 以台灣的狀況而言 國內來的攻擊流量相對小而且"業者自己會覺得痛 所以不會容忍長時間存在"
國外來的隨便也幾十 Gbps, 國內網站沒幾家撐的住100F 08/08 00:51
推 h80733: 噓的反串吧? 這篇很明顯酸唐鳳103F 08/08 01:04
→ h80733: 反正就是表面上說用了多高科技,其實就是外包給國外防ddos105F 08/08 01:05
推 xyz168: CDN跟Web3還是不太一樣,Web3走去中心,CDN還是有中心,CDN叫decentralized,IPFS是distributed
簡單來說,走到distributed,除非有辦法掌握51%的流量,不過這不可能,攻擊方的流量還是可以被吃光CDN作為一個入口網站標準服務,內容掛在IPFS,避免造成DDoS攻擊灌爆少數單點的問題108F 08/08 01:15
→ birdy590: 以政府網站而言 分散到國際業者去其實很奇怪
國內外分開是比較可行的作法 國外可訪問但流量有限或是對國外的入口分散到國際業者去 國內的也散出去有點本末倒置 本來其實也攻擊不到的
而且國內外分開 就可以考慮自建對國內的清洗服務
真正的問題只有一個 就是舊架構水管太小而且惟一114F 08/08 01:18
推 cangming: cloudflare的web3是你要跟他合作基礎架構建置才會有 不是外包就會生出來的東西好嗎
國內外分流之前香港公投就證明沒用了 DDOS的來源一堆是你各位買的IOT裝置 直接變殭屍 你還不知道120F 08/08 01:24
推 birdy590: 擋國內難度比各位想像中低~124F 08/08 01:26
推 xyz168: DDoS也並非要多高流量才能讓服務器掛掉,只要讓
服務器持續busy就好125F 08/08 01:26
→ birdy590: 而且政府網路在國內沒道理建不起夠大的水管做清洗127F 08/08 01:26
→ cangming: 看到cloudflare就只會講CDN的 大概也不懂啥叫Route53跟AnyIP128F 08/08 01:27
→ birdy590: 硬裡子還是一樣 我準備的水管比你大 就一定打不死130F 08/08 01:27
→ cangming: 清洗只對低階協定有用啦 高階協定你是要清洗啥131F 08/08 01:27
→ xyz168: DDoS攻法很多種,有的不是國外直接進來,是經過
國內跳板,不會那麼容易洗132F 08/08 01:28
→ cangming: 一堆殭屍送半連接給你 你是要怎麼清洗 別傻了好嗎134F 08/08 01:28
→ birdy590: DDoS 還經過"跳板"?! 你真的知道自己在講什麼嗎
就洗啊 固定的pattern並不會很難洗135F 08/08 01:28
→ xyz168: reflection過來,是要去哪裡洗137F 08/08 01:29
→ birdy590: 殭屍丟出來的 "不會是正常的訊務" 現在要搞大規模138F 08/08 01:29
→ cangming: DDOS都用殭屍IOT做跳板不是現在主流嗎...139F 08/08 01:29
→ xyz168: 原來有人不知道DDoS可以這樣攻?@@140F 08/08 01:29
→ birdy590: SYN flooding, 已經不是主流了 成本太高
amplication attack 不是"跳板" @@
那些IOT裝置本身就是反射流量的來源 但只能反射垃圾垃圾==容易清洗 (例如正常網站哪來那麼多奇怪UDP?)141F 08/08 01:29
→ cangming: SYN Flooding哪會成本太高... OSI七層先去搞懂來好嗎145F 08/08 01:31
→ birdy590: 偵測系統甚至可能在幾秒鐘內就生成過濾的規則
IOT 裝置"無法做為 SYN flooding 的來源"
這幾年的主流都是各種反射攻擊 純灌流量
並沒有取得控制權 只是利用漏洞反射放大流量
能夠反射的 都是有漏洞的服務本身生成 內容無法變化能夠產生任意流量(eg SYN flooding) 這種僵屍很值錢值錢 代表 數量少, 數量有限 也不會隨便拿來用147F 08/08 01:31
→ birdy590: 現實是 你上面那個案例 他們只是"可憐的 end user"誰幫他們清洗流量來著? 沒有 他們也負擔不起
這幾年攻擊紀錄已經推進到 Tbps 規模了159F 08/08 01:39
→ cangming: 更不是你水管就能解決 你水管再大 大得過google還是AWS嗎 人家都撐不住了162F 08/08 01:40
→ birdy590: "DNS反射攻擊流量每秒超過100Gb,而NTP反射攻擊流量甚至更高達每秒300Gb" 這些都是非常容易清洗的
以政府網路而言 國內每家骨幹先接個幾百 Gbps
還打的死你找我164F 08/08 01:40
→ cangming: 還end user勒 當年Google跟AWS的一線維運團隊都下來了...168F 08/08 01:41
→ birdy590: 香港這案例的問題 1.他們碰不到網路 2.國內外混合為什麼來自台灣的流量會打死香港的投票網站?
這其實暴露出一個問題 就是"這種網站散不到全世界"到頭來是給香港人用的, 散到全世界只是墊高成本170F 08/08 01:41
→ cangming: 站點也不在香港 是AWS
都甚麼年代了 早就都上雲了好嗎174F 08/08 01:43
→ birdy590: 從 2014 到現在 技術也進步很多了 主要是大水管降價176F 08/08 01:44
→ cangming: 你當AWS會沒有自己的流量清洗裝置嗎177F 08/08 01:44
→ birdy590: AWS 也是有區域性的 它在區域的出口是出了名的摳178F 08/08 01:44
→ cangming: 我是不知道現在TLS層級以上有什麼清洗方法啦179F 08/08 01:44
→ birdy590: 並不是上了 AWS 問題就解決了180F 08/08 01:45
→ cangming: 如果有的話 那也不需要DDOS了181F 08/08 01:45
→ birdy590: "DNS反射攻擊流量每秒超過100Gb,而NTP反射攻擊流量甚至更高達每秒300Gb" 這些都屬於低層次的
"另外還出現了以攻擊網路第四層為主的SYN Flood洪水攻擊" 真正麻煩的是這個 所以國內外分流就更重要182F 08/08 01:45
→ cangming: 你講的那些流量清洗都只對低階封包有效 你有玩過防火牆就知道 APP層級以上的NGFW那個流量容量只有一般容量的一成不到186F 08/08 01:46
→ birdy590: 分流的不只是網站入口 最好連看的網站內容都分開
你不知道反射攻擊全都是低階封包?
連 router ACL 都可以輕易擋下, 只是水管要夠大條189F 08/08 01:46
→ cangming: 前提是你還要先把憑證塞進去 問題是你敢把你的私鑰給ISP只為了做流量清洗嗎 別傻了192F 08/08 01:47
→ birdy590: SYN flooding 比較麻煩是可能跟正常的混在一起
憑證? 你以為反射攻擊那些垃圾流量有什麼鬼憑證
拜託一下 如果不懂真的少講 @@
看前面我也講過了 "這幾年 SYN flooding 不流行了"以前對岸出現在最恐怖是連 source IP 全都假造的
你只能看到從上游某個介面進來 然後沒有了
你向上游報修 變成上游要想辦法找出哪一家進來的
中間隔幾層就要找幾次 等你找到可能一星期過去了
這種流量現在也能洗 但是成本會墊高蠻多的
而且前提一樣 "水管總和必須大於攻擊流量"
進來 500G, 實際上有意義 10G, 你就得準備 500G+
對一般人來說哪有那種財力, 但政府網路應該要有
2014 年 100G 介面還是天價, 但現在早就不是了194F 08/08 01:47
→ mmnnoo …
推 mmnnoo: 這次外包給誰?209F 08/08 01:59
推 birdy590: 自建CDN 灑到國內各家業者去 這也可以
總之 維持舊架構穩死 直接買國際業者服務 這也很怪因為大部份政府機關網站 對境外連線全斷也不會怎樣要先搞清楚想要維持的服務範圍到底長什麼樣子210F 08/08 01:59
推 birdy590: 可能把網路戰也算是戰爭的一環吧~215F 08/08 02:10
推 kevin020792: 看上面推文神仙打架很歡樂,啊就是會穿插一些人身攻擊超煩的。217F 08/08 02:13
推 Bf109G6: 國軍 '據說' 軍網已經實體隔離 但是那種人治的環境以往出事情都是越高階越大包 實在不好說..
ex. 無期徒刑那位219F 08/08 03:01
噓 KJoshT: 數位發展部只顧好自己就可以了嗎?222F 08/08 03:46
推 izplus: 一直攻擊性取向很無聊耶224F 08/08 05:04
推 semicoma: 這篇就不是在說用cloudflare有問題 而是在說唐鳳亂用buzzwords裝模作用 另外 台灣對軟工的不重視 從政府標案到民營企業都一樣廢 7-eleven已經是數一數二大的零售商了 app的ui/ux什麼鳥樣? 一堆券商萬年的三竹系統 如果跟美國和中國的券商app比根本恐龍時期產物 再來是像ez way或健保快易通ui/ux有夠爛都是那種開發者知道怎麼使用就覺得一般使用者也知道怎麼使用的情況 你開發公司就算沒請夠專業的ui/ux設計師 至少也找個測試工程師吧? 我甚至還沒提從中央到地方對政府標案的驗收漏洞 有些政府軟體標案不知道為什麼 就是會讓某些公司做 然後又剛好驗收時會睜一隻眼閉一隻眼 或者像taiwan plus花10億打造結果只有不到四萬次下載量這種鳥事 那反正這些鳥事都還要有人護航 那就隨便吧 反正看極限情況時壓力測試會有多精彩225F 08/08 05:44
推 Arbin: 自建CDN...
有了HiNet CDN這負面例子
讓我不是很想相信台灣的CDN240F 08/08 06:00
→ CYL009: 太神了 請各單位好好學習喔243F 08/08 06:12
→ gcnet: 辦公室也可以準備設在國外了244F 08/08 07:10
推 cangming: HTTPS HTTP DDOS又不是什麼新攻擊手法 你隨便找一台爛IOT都能瞬發上千個連線 光是慢攻擊就能讓你升天了 這種攻擊甚至不需要多少流量 你講的離實務根本太遠 現在NGFW也沒幾家 你講的業者多半也是使用fotigate這些廠商 不需要你親自去玩 你去找他們機器看spec就知道 app層級的清洗沒有什麼在上百G的 你所說的都僅限低階協定的清洗
就連有專用晶片的fortigate也沒能超過10gbe的能力iot威脅有多大 各位先想想有在玩智慧家電的有多少是用中國小米 就算不是中國小米好了 今年年初asus router 被apt攻破 你各位有記得去更新嗎247F 08/08 09:00
推 birdy590: 拜託一下 目前 DDOS 的紀錄是微軟 Azure 接下的
3.47 Tbps... 應該說 2020 以後規模就突破 Tbps 了258F 08/08 09:08
→ birdy590: 有沒有死? 沒有... fortigate 連圖都進不去
把防火牆和這個混在一起 這個觀念就第一個錯了263F 08/08 09:10
→ cangming: 至於為什麼現在也不考慮流量了 因為慢連結只在乎數量 他連線建完就不會消耗流量 但會消耗你後台的CPU跟記憶體資源 所以你一直在流量上打轉 根本就沒弄清現在DDOS是怎麼做的265F 08/08 09:10
→ birdy590: 你上面這套思路都是錯的 為什麼超過 Tbps 打不死?很簡單 因為一進門就被丟掉了 後台CPU?269F 08/08 09:11
→ cangming: TLS連線都是加密資料 你是要怎麼丟啦XDDD271F 08/08 09:12
→ birdy590: 傳統那種, 防火牆擋在網站前面的模式 對抗不了DDOS272F 08/08 09:12
→ cangming: 你說的都僅限未加密連線好嗎273F 08/08 09:12
→ birdy590: 你為什麼總是幻想那些放大攻擊有辦法建立起連線?
流量清洗之所以可行 正是因為"那些都可以直接丟掉"274F 08/08 09:12
→ cangming: 那麽這幾年HTTP DDOS是鬼嗎XD276F 08/08 09:13
→ birdy590: 它就是純粹的 用很大的流量把傳統架構的水管灌爆
又鬼打牆了 "SYN flooding 這幾年較不流行了"277F 08/08 09:13
→ cangming: 事實就證明這個很有效 老俄今年攻擊烏克蘭DDOS也是用這招279F 08/08 09:13
→ birdy590: 因為主角是那些 IOT 裝置, 並不是你們想像的"跳板"對現在那些雲服務為主的業者, 這招一點用也沒有
人家總水管破百 T 了, 小的至少也有幾T 你慢慢灌吧281F 08/08 09:14
→ cangming: 現在都用殭屍網路布局 先用APT打下IOT裝置 然後利用CC server控制這些變成殭屍的裝置去發連線 這又不是什麼很難的東西284F 08/08 09:15
→ birdy590: ... 發連線? 你真的知道什麼叫"放大攻擊"嗎287F 08/08 09:15
→ cangming: 連線本身都是合法的 人家只是資料送得慢而已288F 08/08 09:16
→ birdy590: 昨天在 FB 有看到一些討論... 上雲以後很多會變快照... 放大攻擊哪來的連線? 就是純粹的垃圾流量
事實上很多網站已經是這樣 使用者看到的未必是即時後台出問題的時候 使用者看到的是之前留下的快照
這是不會全死沒錯 但是對政府網站來說不是很實際289F 08/08 09:16
→ cangming: DDOS又不是只有放大攻擊 而且放大攻擊就那幾種 現在DDOS都是複合性的 攻擊時不會只有反射放大一種294F 08/08 09:18
→ birdy590: 你沒發現 就算是2014年 流量的主角都是放大攻擊?
並沒有什麼"都是複合性的" 這回事
然後 SYN flooding 會耗用的殭屍資源是比較值錢的你想像的 真的有辦法建立加密連線的 這就更值錢296F 08/08 09:18
→ cangming: 建議你先去看近期的資安報告或新聞 你想得到的攻擊者也都知道300F 08/08 09:19
→ birdy590: 但這同樣不代表有辦法打的死 因為以現在的狀況
服務分散開來以後 容量已經是打不死的程度
前提還是一樣 "你必須先有比攻擊量更大的水管"302F 08/08 09:19
→ cangming: 你的對手是中國耶 你都有辦法花大錢弄水管 擁有世界數一數二 APT組織的中國沒錢用殭屍網路?305F 08/08 09:20
→ birdy590: 因為 IOT 裝置"並不能做到你想要的 值錢的攻擊"
數量最多的就只能灌水 純粹的丟垃圾流量307F 08/08 09:21
→ cangming: 你要不要先看看這兩年爆出來的APT攻擊 推測的幕後組織是哪國的
你太小看IOT裝置了 再爛也是ARM CPU 你想都能連wifi 發個HTTPS連線困難嗎309F 08/08 09:21
→ birdy590: 能做 SYN flooding 甚至 spoof IP 的 用一個少一個你太大看IOT裝置了 它的漏洞並不是讓你拿root
都是利用協定本身的漏洞 以前設計的時候沒想到這個313F 08/08 09:22
→ cangming: 事實上近兩年HTTP DDOS層出不窮 這也不是甚麼新聞了 你覺得不存在 但他就是在那裡316F 08/08 09:23
→ cangming: 就因為是協定漏洞才會因為符合pattern 被清洗啊 你的網路世代還停留在這種攻擊技巧嗎320F 08/08 09:24
→ birdy590: ... 協定漏洞 代表的是"它只能是該協定的回傳封包"所以簡單的 L4 filter 就全部濾光了 完全不費力322F 08/08 09:25
→ cangming: 世代又反過來了好嗎 DNS放大都出來多久了 現在只是因為會被清洗 所以又回去用HTTP而已324F 08/08 09:25
→ birdy590: HTTP 沒辦法放大 謝謝
而且SYN flooding 一樣能洗 就是判斷建不建的起來326F 08/08 09:26
→ birdy590: 一個IP每秒發一堆request 但是建不起來 這就能擋329F 08/08 09:27
→ cangming: HTTP不需要放大 又不是DDOS就一定是放大攻擊 兩個沒有等義好嗎 麻煩看看業界現況...
http req都發了 就是連線建起來了啦Xdd 去看一下tcp握手流程好嗎330F 08/08 09:28
→ birdy590: 你貼的這個就是 1.7Tbps "reflection/amplification334F 08/08 09:30
→ cangming: 殭屍網路貴是貴 但人家中國不缺錢也不缺技術335F 08/08 09:30
→ birdy590: attack" TCP 規模大不了 這是常識 不需要解釋的
這不是錢買的到的 Zzz "值錢" 指的是"數量有限"
能夠用來反射的裝置很多 真正能取得控制的卻很少336F 08/08 09:30
→ cangming: 你自己往下捲 然後HTTP攻擊不在乎流量 你一直在流量上跳針是哪招
不多啦 上億台而已339F 08/08 09:31
→ birdy590: 純粹灌垃圾這種方式 發起相對容易而且子彈用不完342F 08/08 09:32
→ birdy590: 上面講過了 目前最多是 3.47 Tbps, 大咖是打不死的軍備競賽其實已經進行蠻多年了 一開始是很有效的
就像你上面貼 2014 的香港 那年代幾百G就很恐怖344F 08/08 09:32
→ birdy590: 但是現在再打幾百G? 就輕鬆接下來 不然怎樣?
你"以為"10G就是很大的介面 這觀念確實需要更新
"有專用晶片的fortigate也沒能超過10gbe的能力"
這就不是 NGFW 的強項 別把它硬扯進來348F 08/08 09:33
→ birdy590: 我猜這裡的 HTTP 應該就是 SYN flooding354F 08/08 09:38
→ cangming: DDOS攻擊手法百百種 不是只有利用協定漏洞打的反射... 你哪天真的在業界處理到case就知道了
syn flood是L3 層級就不一樣了 怎麼會是一樣的東西不要亂猜 先去把計概念熟355F 08/08 09:38
→ birdy590: 還是老話一句 "完全取得控制的資源相對寶貴"
SYN flooding 80/443 不就是HTTP/HTTPS 攻擊?359F 08/08 09:39
→ cangming: 你這樣說沒用啊 現在最讓人頭大的就是這些攻擊 中國有錢有人有技術 你覺得他會怎麼做361F 08/08 09:40
→ birdy590: 現實上近年來攻擊的分佈就是灌流量為主, 這種高層次不是錢的問題好嗎 到底要講幾次 "值錢"指的是取得難IOT 裝置幾乎是免費的 因為打完也不用怕會被拆掉363F 08/08 09:40
→ cangming: 當然不是... syn flooding 是tcp握手不回覆ack... http攻擊是慢連結或是已知大量耗用資源的api...366F 08/08 09:41
→ birdy590: 你又把值錢程度拉的更高了~ 這種現在佔比例其實很低368F 08/08 09:42
→ cangming: 所以syn flooding是L3 不是L7= = 為啥我要在軍事版上幫人上計概啊...369F 08/08 09:42
→ birdy590: 我的工作範圍就包括這個 這種高層次的攻擊 十次也沒看到一次 現實上灌流量對一般目標是很有效371F 08/08 09:43
→ cangming: L7攻擊都是合法連線跟應用 你清洗洗不掉的373F 08/08 09:44
→ birdy590: 例如一般企業 網站 搬也搬不走 散不開也上不了雲
這種只能從網站架構上去改進 但政府網站屬於這類?我不認為政府網站是綁死搬不走也分散不開的那種
slow attack 在教科書上比較重要 真實世界裡還好
你看哪份攻擊報告有提到這個的? 大部份都關心刷紀錄他們講 web3 就是特別不怕這個, 你卡一個worker無用374F 08/08 09:44
→ birdy590: 這應該反過來問 你最近看到哪次事故是真的被打死的?"攻擊者運用由5,067臺設備組成的殭屍網路"
5067 台 其實是很少很少的一個數字382F 08/08 09:53
推 ByronX: 這篇文竟然在這po 出來了385F 08/08 09:55
→ birdy590: 這攻擊目標應該很值錢 因為被入侵的VM/伺服器最稀少而且你一旦用過 很容易就被發現並且修補了386F 08/08 09:59
推 cangming: HTTP攻擊效果非常好 不管是那個site都不可能保證每個放在外頭的api有C1K的能力 C10K更不要說了 這個case每個vm發兩個connection 就破10k了
然後aws或是GCP辦個帳號你要一口氣拉起上百台也不是的問題 更別說中國自己有阿里雲388F 08/08 10:05
推 jerrylin: 因為根本沒人聽過吧 沒被攻擊
今天晚上看會不會被攻陷393F 08/08 10:14
→ birdy590: 這還是被傳統架構綁住的腦子 @@397F 08/08 10:20
推 cangming: 烏克蘭的例子就是被全球分散的殭屍網路發動HTTP DDOS
其實說傳統架構 就算是上雲也不一定能解啦 DB的操作如果不能有效scale out 一樣會炸掉398F 08/08 10:22
→ birdy590: 講白話一點 這個世界上 多數網站可說完全沒有防護這種簡單丟個幾十G就死了 不需要什麼麻煩的手法
我們的政府網站 其實多數也停留在這個層次402F 08/08 10:24
推 cangming: 是啊 尤其是現在IOT裝置越來越多 一堆裝置能聯網 但訊息都沒加密 甚至連升級韌體的對外連線都是裸奔 想到就可怕
但是一般用戶怎麼可能會知道要記得用防火牆擋一擋這種隨隨便便就變成別人家的殭屍406F 08/08 10:27
→ birdy590: 爛 AP 本身就是漏洞的來源好嗎, UPNP 這幾年是主角DNS/NTP 之類 比較新的很多都修補過了 只會愈來愈少411F 08/08 10:30
推 cangming: 對 就是那個asus 比tplink還脆弱是哪招413F 08/08 10:31
推 s8626460: 非常感謝推文裡幾位理性大量的討論
趁機了解一些皮毛,當初學的計概已是年代久遠的東西414F 08/08 10:46
→ serrier: 這麼簡單方法?國防部其他部門都不會?你敢信?416F 08/08 10:55
→ askeing: Cloudflare看起來有提供Web3,IPFS gateway等服務417F 08/08 12:10
推 ewjfd: 真奇葩 沒有一則推文譴責中國攻擊 全在譴責唐鳳
這些人才是實體DDOS吧419F 08/08 13:27
推 codehard: 就心理戰啊 不怪拉屎的 怪清屎的421F 08/08 13:55
推 labell: 感覺先拿下台大比較重要
不然PTT一堆水桶愛台帳號422F 08/08 14:25
--