顯示廣告
隱藏 ✕
回列表(←)
Disp BBS guest 註冊 登入(i) 線上人數: 490
首頁(home) 上頁(↑) 下頁(↓) 末頁(end)
※ 本文轉寄自 ptt.cc 更新時間: 2022-08-08 19:31:07
看板 Military
作者 golang (666NYCU666)
標題 [新聞] 中國網攻 唐鳳出招破解了:數位發展部
時間 Sun Aug  7 23:21:29 2022

中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過

原文來源:https://www.setn.com/News.aspx?NewsID=1157893
中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過 | 政治 | 三立新聞網 SETN.COM
[圖]
自美國眾議院議長裴洛西訪台後,中共就在台灣進行了軍演,與此同時,也有不少境外IP頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳,近日接受媒體專訪時提及此事,指出以Web3為主的分散式架構,將可以完全排除阻斷性攻擊。 ...

 

原文摘要:

自美國眾議院議長裴洛西訪台後,中共就在台灣進行了軍演,與此同時,也有不少境外IP
頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳,近日接受媒體
專訪時提及此事,指出以Web3為主的分散式架構,將可以完全排除阻斷性攻擊。


唐鳳近日接受《自由時報》專訪,被問及政府機關網站遭到資安攻擊,政府是否有因應作
為?唐鳳則形容這幾天的狀況就像是電話佔線,而這個技術也叫大量阻斷服務攻擊(DDoS
),其實政府的資料並沒有外泄,而電話線也沒壞掉。但唐鳳指出,電話打不進去,就多
設專線的方式,從某個角度來看就像是消耗戰,要投入資源。


唐鳳說,數位發展部的網站在共軍演習當天上線,這個網站是採取Web3的架構,是個分散
型網絡、不對稱防禦的架構,在共軍開始軍演當天中午上線,「目前為止一秒鐘都沒有卡
住過」。唐鳳指出,比起傳統的流量清洗必須要花資源防禦,Web3就像是有人進線後接的
就會是機器人,不需要再有接線生了,和消耗戰不一樣。


至於是否會推廣到各機關部會,唐鳳表示,這個新的架構骨幹不需額外花錢,設計目的就
是為了避免遭阻斷攻擊,也鼓勵大家「打打看」,若能撐得住,沒問題的話就會推廣了。

事實上,自中共宣布軍演以來,我國公部門網站頻頻遭到境外勢力攻擊,外交部發言人歐
江安表示,在8月4日中午、8月4日深夜、8月5日清晨,境外網軍攻擊外交部手法更新,攻
擊更大量,惡意連線次數最大值已達每分鐘1億7000萬多次。外交部會持續保持高度警戒
,遇有任何異常情形,會即時妥為應處。


心得感想:

下午發完手殘刪到文

看起來新成立的數位發展部有在著手處理這次各部會網站遭到DDOS攻擊的問題

不過匪夷所思為什麼唐鳳要說數位發展部的解決方案是Web3之類的方案

因為我好奇看了一下數位發展部網站 moda.gov.tw

https://i.imgur.com/juXhYM1.png
https://i.imgur.com/EUezgiq.png
[圖]
 
[圖]

看起來是買了美國第三方 Cloudflare CDN 的商業服務
幫忙防禦住這次DDOS的攻擊

Cloudflare 的商業服務其實就是一個很務實解決DDOS方案
(烏克蘭的政府網站也有用)
不太確定有什麼難言之隱好不能公開透露的

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.249.90.91 (臺灣)
※ 文章代碼(AID): #1YxzXxBm (Military)
※ 文章網址: https://www.ptt.cc/bbs/Military/M.1659885691.A.2F0.html
※ 同主題文章:
● 08-07 23:21 golang. ■ [新聞] 中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過
  08-08 04:44 wt. ■ Re: [新聞] 中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過
emptie      : 啊?我早上看到的時候還以為有什麼黑科技 是新聞在1F 08/07 23:23
emptie      : 移花接木還是唐自己也不知道自己在說啥
JiangWanan  : 外包大臣 只會花錢外包3F 08/07 23:24
emptie      : 然後這網站才剛上線幾個小時也沒什麼人知道再加上4F 08/07 23:25
emptie      : 裡面根本沒內容,應該不會成為攻擊的目標吧…
QuentinHu   : 就你們沒斷,其他人都被打爆,有屁用?6F 08/07 23:25

其實各部會都採購Cloudflare CDN的服務就好
烏克蘭也是開戰後全部掛上Cloudflare
靜態的內容這樣處理其實很足夠了

不過比較匪夷所思的是怎麼多出Web3/星際檔案/區塊鍊那坨東西

extrada     : 很像沒啥了不起,呵呵7F 08/07 23:25
emptie      : 這外包沒啥問題吧 重新發明輪子沒意義 只是需不需8F 08/07 23:26
emptie      : 要為了偶爾一次的這種攻擊花那麼多成本的問題(畢
emptie      : 竟網站被癱瘓不等於政府機關被癱瘓)
blade0314   : 事實就是上線沒多久 說不定有些DNS也沒記錄到 這個11F 08/07 23:26
blade0314   : 跟斷網沒上線有87%像
ramirez     : 天才IT大臣就是強!!!!13F 08/07 23:27
samia28     : 笑死人的陰陽人14F 08/07 23:28
wild0522    : 簡單有效啊15F 08/07 23:28
tsengivy    : 只要能解決問題 管它外包還是什麼  有現成的可用幹16F 08/07 23:29
tsengivy    : 嘛從零開始 開發費用還更貴  有些噓文真的很莫名其
tsengivy    : 妙
※ 編輯: golang (111.249.90.91 臺灣), 08/07/2022 23:30:54
elfish123   : 笑死19F 08/07 23:31
elfish123   : 你還是去救酷啦皮卡比較實際
deathrow    : 因為他在吹啊 瞎掰一些名詞裝逼21F 08/07 23:32
taian3568   : 有些回文為何以為點到八卦版22F 08/07 23:32
attitudium  : 能簡單的解決問題 沒有什麼不好23F 08/07 23:32
taian3568   : 但是說他出招破解真的多了 說有加強防護就好24F 08/07 23:33
finhisky    : 如果沒被攻擊的話,沒卡不是正常的嗎25F 08/07 23:34
JellyKing   : 為什麼今天這種內宣新聞一直發阿.. 這麼厲害直接把26F 08/07 23:38
JellyKing   : 這種系統上總統府外交部國防部阿 明明這幾天我國政
JellyKing   : 府網站都卡到爆了 為什麼還要特別為"本部會不受影響
JellyKing   : "發一篇新聞阿 根本智障
wild0522    : 這裡不是八卦二板嗎30F 08/07 23:38
birdy590    : 其實這也沒什麼破解不破解的 錢砸下去就解了31F 08/07 23:45
birdy590    : 對付 DDOS 只有一招有效 就是"我的水管總和比你攻擊
birdy590    : 的量大" 這樣才有辦法存活甚至清洗
deathrow    : 1.沒人知道沒被攻擊 2.我買Cloudflare擋DDOS 講實34F 08/07 23:46
deathrow    : 話這樣就不夠天才IT大臣了
birdy590    : 總之不花錢是不可能解的 這算是一種基礎建設36F 08/07 23:47
birdy590    : 還蠻多雲端業者在做 DDOS mitigation, 能力高低不一
HydraGG     : 這id故意發的阿38F 08/07 23:48
birdy590    : cloudflare 網站宣稱的容量是 155Tbps(會變的)39F 08/07 23:49
Howard61313 : 通資電軍就算了,數位發展部的軍武點真的要考慮一下40F 08/07 23:50
birdy590    : 有些比較小的容量建到 幾 Tbps 而已(打超過就掛了)41F 08/07 23:50
toshiba5566 : 怪裡怪氣陰陽人42F 08/07 23:50
birdy590    : 容量 就是 錢 所以 不花錢就是無解43F 08/07 23:50
tim910282   : 幾天后就會打臉了44F 08/07 23:50
qhapaq      : 報告版主 有人違規~45F 08/07 23:51
emptie      : 可以討論大家都用cloudflare結果有一天他出問題反46F 08/07 23:52
emptie      : 而造成一大堆網站同時下線的脆弱性(過去發生過幾
emptie      : 次,持續幾個小時)
birdy590    : 樓上講的不是問題 因為"可以同時買好幾家的服務"49F 08/07 23:53
birdy590    : 但是 這就"需要更多的錢"
birdy590    : 可以參考 OTT 業者 就有不同路線 有完全自建CDN的
birdy590    : 也有兩種並行的, Disney+ 就是完全向現有業者採購
birdy590    : 起步的晚 手上現金又多 拿錢砸是最快最好的方法
birdy590    : 沒錢就別提了 台灣業者打個幾十Gbps就死了
mmmimi11tw  : 這裡不是八卦二板55F 08/07 23:57
emptie      : OTT業者可以這樣做是他本來就砸很多錢在流量上,對56F 08/07 23:57
emptie      : 很多機構來說官網能否運作並不是他的生命線被掐斷
emptie      : 等級的嚴重程度
birdy590    : 這跟武器其實道理一樣 要嘛外購 要嘛自製 花錢就對59F 08/07 23:57
birdy590    : 兩種都不選就想要能打 天底下沒那麼便宜的事情
birdy590    : 沒發現領頭對抗 DDOS 的全都是 CDN 業者?
WhiteScars  : 不知道為什麼提web3要這麽反感…cloudflare的網站上62F 08/07 23:58
WhiteScars  : 就有介紹 https://www.cloudflare.com/zh-tw/web3/
birdy590    : 因為他們建立基礎建設的同時就把這條路也舖好了64F 08/07 23:58
birdy590    : 對抗 DDOS 重點就是要花錢 而且系統搬上去會有限制
birdy590    : 灑在全世界各地的機器就是對抗的武器 沒武器怎麼打
birdy590    : 政府網站其實算低難度 因為海外出口相對不重要
s8626460    : 看有沒有專業人士剖析Web3或cloudflare是否能解決68F 08/08 00:01
birdy590    : 把國內進來的流量顧好 國外就想辦法洗 洗不掉就別用69F 08/08 00:02
s8626460    : 被攻擊的問題?70F 08/08 00:02
birdy590    : 國內外分流也是一種方式 其實地域性是一種優勢71F 08/08 00:02
birdy590    : 根本沒有要讓全世界用的 幹嘛搞那麼麻煩上 CDN?
s8626460    : 問題能否解決比較重要吧? 人身攻擊或是不是由自己處73F 08/08 00:03
emptie      : 當然能解決啊 DDoS不是什麼很厲害的攻擊,你要防禦74F 08/08 00:03
emptie      : 也就砸資源跟他硬碰硬就行了
s8626460    : 理並非解決問題的好辦法76F 08/08 00:03
birdy590    : 就跟打仗一樣 你的槍比對方大支 自然就佔優勢77F 08/08 00:04
birdy590    : 攻擊也需要成本 讓對方覺得沒效 自然就會停了
birdy590    : DDOS 清洗在國外其實已經是蠻成熟的一門生意
birdy590    : 真正的問題只有經營網站的是不是負擔的起~
s8626460    : 我是知道很多網站有使用cloudflare81F 08/08 00:06
s8626460    : 只是不知道cloudflare的技術能否解決這次遇到的攻擊
s8626460    : 感謝樓上的分享
shadow0326  : CDN聽起來很太土了,講web3聽起來比較時髦84F 08/08 00:07
birdy590    : 肯定可以 因為目前防禦的規模是遠超出攻擊量很多85F 08/08 00:07
birdy590    : 但是1要負擔的起 2網站要想辦法搬的上去
birdy590    : 對前面幾家大頭來說 台灣的攻擊量根本算不上什麼
s8626460    : CDN聽起來會土嗎? cloudflare在雲端安全股票也算有88F 08/08 00:10
s8626460    : 名,同時前兩年飆很兇
pcfox       : 嗯.....出手了?呵呵90F 08/08 00:21
eggeggyayaya: 嘻嘻91F 08/08 00:25
saccharomyce: 是在捧殺喔92F 08/08 00:25
ctw01       : 造神文 見一次噓一次93F 08/08 00:27
BFer        : 八卦柵門又壞了94F 08/08 00:29
nkfcc       : 國內外分流不見得有用。國內肉雞本來就不少。記得95F 08/08 00:36
nkfcc       : 以前台灣被操控發起網攻的肉雞量也是名列前矛的。
nkfcc       : 我的logwatch裡也常有hinet的ip,VPS是日本的。
BlackBass   : 這裡是八卦板嗎?98F 08/08 00:45
wild0522    : 版主說不是99F 08/08 00:48
birdy590    : 並不會 以台灣的狀況而言 國內來的攻擊流量相對小100F 08/08 00:51
birdy590    : 而且"業者自己會覺得痛 所以不會容忍長時間存在"
birdy590    : 國外來的隨便也幾十 Gbps, 國內網站沒幾家撐的住
h80733      : 噓的反串吧? 這篇很明顯酸唐鳳103F 08/08 01:04
wild0522    : 帳號「golang」104F 08/08 01:05
h80733      : 反正就是表面上說用了多高科技,其實就是外包給國105F 08/08 01:05
h80733      : 外防ddos
bmasaya507  : 是不是要蓋牆了107F 08/08 01:07
xyz168      : CDN跟Web3還是不太一樣,Web3走去中心,CDN還是有108F 08/08 01:15
xyz168      : 中心,CDN叫decentralized,IPFS是distributed
xyz168      : 簡單來說,走到distributed,除非有辦法掌握51%的
xyz168      : 流量,不過這不可能,攻擊方的流量還是可以被吃光
xyz168      : CDN作為一個入口網站標準服務,內容掛在IPFS,避免
xyz168      : 造成DDoS攻擊灌爆少數單點的問題
birdy590    : 以政府網站而言 分散到國際業者去其實很奇怪114F 08/08 01:18
birdy590    : 國內外分開是比較可行的作法 國外可訪問但流量有限
birdy590    : 或是對國外的入口分散到國際業者去 國內的也散出去
birdy590    : 有點本末倒置 本來其實也攻擊不到的
birdy590    : 而且國內外分開 就可以考慮自建對國內的清洗服務
birdy590    : 真正的問題只有一個 就是舊架構水管太小而且惟一
cangming    : cloudflare的web3是你要跟他合作基礎架構建置才會有120F 08/08 01:24
cangming    :  不是外包就會生出來的東西好嗎
cangming    : 國內外分流之前香港公投就證明沒用了 DDOS的來源一
cangming    : 堆是你各位買的IOT裝置 直接變殭屍 你還不知道
birdy590    : 擋國內難度比各位想像中低~124F 08/08 01:26
xyz168      : DDoS也並非要多高流量才能讓服務器掛掉,只要讓125F 08/08 01:26
xyz168      : 服務器持續busy就好
birdy590    : 而且政府網路在國內沒道理建不起夠大的水管做清洗127F 08/08 01:26
cangming    : 看到cloudflare就只會講CDN的 大概也不懂啥叫Route5128F 08/08 01:27
cangming    : 3跟AnyIP
birdy590    : 硬裡子還是一樣 我準備的水管比你大 就一定打不死130F 08/08 01:27
cangming    : 清洗只對低階協定有用啦 高階協定你是要清洗啥131F 08/08 01:27
xyz168      : DDoS攻法很多種,有的不是國外直接進來,是經過132F 08/08 01:28
xyz168      : 國內跳板,不會那麼容易洗
cangming    : 一堆殭屍送半連接給你 你是要怎麼清洗 別傻了好嗎134F 08/08 01:28
birdy590    : DDoS 還經過"跳板"?! 你真的知道自己在講什麼嗎135F 08/08 01:28
birdy590    : 就洗啊 固定的pattern並不會很難洗
xyz168      : reflection過來,是要去哪裡洗137F 08/08 01:29
birdy590    : 殭屍丟出來的 "不會是正常的訊務" 現在要搞大規模138F 08/08 01:29
cangming    : DDOS都用殭屍IOT做跳板不是現在主流嗎...139F 08/08 01:29
xyz168      : 原來有人不知道DDoS可以這樣攻?@@140F 08/08 01:29
birdy590    : SYN flooding, 已經不是主流了 成本太高141F 08/08 01:29
birdy590    : amplication attack 不是"跳板" @@
birdy590    : 那些IOT裝置本身就是反射流量的來源 但只能反射垃圾
birdy590    : 垃圾==容易清洗 (例如正常網站哪來那麼多奇怪UDP?)
cangming    : SYN Flooding哪會成本太高... OSI七層先去搞懂來好145F 08/08 01:31
cangming    : 嗎
birdy590    : 偵測系統甚至可能在幾秒鐘內就生成過濾的規則147F 08/08 01:31
birdy590    : IOT 裝置"無法做為 SYN flooding 的來源"
birdy590    : 這幾年的主流都是各種反射攻擊 純灌流量
birdy590    : 並沒有取得控制權 只是利用漏洞反射放大流量
birdy590    : 能夠反射的 都是有漏洞的服務本身生成 內容無法變化
birdy590    : 能夠產生任意流量(eg SYN flooding) 這種僵屍很值錢
birdy590    : 值錢 代表 數量少, 數量有限 也不會隨便拿來用
cangming    : https://is.gd/nENEzu154F 08/08 01:37
cangming    : 你說的只存在在理想中 現實是上面那樣的
cangming    : 2014年的香港DDOS攻擊只要是網路工程師都應該知道
cangming    : 對手也正好是中共
cangming    : 當時就驗證清洗流量沒有預期效果
香港公投網站DDoS攻擊內幕大公開,連Google、亞馬遜都擋不住 | iThome
[圖]
一開始投票,PopVote線上投票網站就遭遇到了超大規模的DDoS攻擊,攻擊流量達網路史上第二高,連找Amazon或Google網路服務支援都擋不住,CloudFlare最後靠著全球網路服務業者聯手,才撐過了這10天投票過程。 ...

 
birdy590    : 現實是 你上面那個案例 他們只是"可憐的 end user"159F 08/08 01:39
birdy590    : 誰幫他們清洗流量來著? 沒有 他們也負擔不起
birdy590    : 這幾年攻擊紀錄已經推進到 Tbps 規模了
cangming    : 更不是你水管就能解決 你水管再大 大得過google還是162F 08/08 01:40
cangming    : AWS嗎 人家都撐不住了
birdy590    : "DNS反射攻擊流量每秒超過100Gb,而NTP反射攻擊流量164F 08/08 01:40
birdy590    : 甚至更高達每秒300Gb" 這些都是非常容易清洗的
birdy590    : 以政府網路而言 國內每家骨幹先接個幾百 Gbps
birdy590    : 還打的死你找我
cangming    : 還end user勒 當年Google跟AWS的一線維運團隊都下來168F 08/08 01:41
cangming    : 了...
birdy590    : 香港這案例的問題 1.他們碰不到網路 2.國內外混合170F 08/08 01:41
birdy590    : 為什麼來自台灣的流量會打死香港的投票網站?
birdy590    : 這其實暴露出一個問題 就是"這種網站散不到全世界"
birdy590    : 到頭來是給香港人用的, 散到全世界只是墊高成本
cangming    : 站點也不在香港 是AWS174F 08/08 01:43
cangming    : 都甚麼年代了 早就都上雲了好嗎
birdy590    : 從 2014 到現在 技術也進步很多了 主要是大水管降價176F 08/08 01:44
cangming    : 你當AWS會沒有自己的流量清洗裝置嗎177F 08/08 01:44
birdy590    : AWS 也是有區域性的 它在區域的出口是出了名的摳178F 08/08 01:44
cangming    : 我是不知道現在TLS層級以上有什麼清洗方法啦179F 08/08 01:44
birdy590    : 並不是上了 AWS 問題就解決了180F 08/08 01:45
cangming    : 如果有的話 那也不需要DDOS了181F 08/08 01:45
birdy590    : "DNS反射攻擊流量每秒超過100Gb,而NTP反射攻擊流量182F 08/08 01:45
birdy590    : 甚至更高達每秒300Gb" 這些都屬於低層次的
birdy590    : "另外還出現了以攻擊網路第四層為主的SYN Flood洪水
birdy590    : 攻擊" 真正麻煩的是這個 所以國內外分流就更重要
cangming    : 你講的那些流量清洗都只對低階封包有效 你有玩過防186F 08/08 01:46
cangming    : 火牆就知道 APP層級以上的NGFW那個流量容量只有一般
cangming    : 容量的一成不到
birdy590    : 分流的不只是網站入口 最好連看的網站內容都分開189F 08/08 01:46
birdy590    : 你不知道反射攻擊全都是低階封包?
birdy590    : 連 router ACL 都可以輕易擋下, 只是水管要夠大條
cangming    : 前提是你還要先把憑證塞進去 問題是你敢把你的私鑰192F 08/08 01:47
cangming    : 給ISP只為了做流量清洗嗎 別傻了
birdy590    : SYN flooding 比較麻煩是可能跟正常的混在一起194F 08/08 01:47
birdy590    : 憑證? 你以為反射攻擊那些垃圾流量有什麼鬼憑證
birdy590    : 拜託一下 如果不懂真的少講 @@
birdy590    : 看前面我也講過了 "這幾年 SYN flooding 不流行了"
birdy590    : 以前對岸出現在最恐怖是連 source IP 全都假造的
birdy590    : 你只能看到從上游某個介面進來 然後沒有了
birdy590    : 你向上游報修 變成上游要想辦法找出哪一家進來的
birdy590    : 中間隔幾層就要找幾次 等你找到可能一星期過去了
birdy590    : 這種流量現在也能洗 但是成本會墊高蠻多的
birdy590    : 而且前提一樣 "水管總和必須大於攻擊流量"
birdy590    : 進來 500G, 實際上有意義 10G, 你就得準備 500G+
birdy590    : 對一般人來說哪有那種財力, 但政府網路應該要有
birdy590    : 2014 年 100G 介面還是天價, 但現在早就不是了
a8785007    : ………207F 08/08 01:56
smaxtor2002 : 這種靜態的還被ddos就好笑 外包大臣208F 08/08 01:57
mmnnoo 
mmnnoo      : 這次外包給誰?209F 08/08 01:59
birdy590    : 自建CDN  灑到國內各家業者去 這也可以210F 08/08 01:59
birdy590    : 總之 維持舊架構穩死 直接買國際業者服務 這也很怪
birdy590    : 因為大部份政府機關網站 對境外連線全斷也不會怎樣
birdy590    : 要先搞清楚想要維持的服務範圍到底長什麼樣子
rcat2010    : 這跟軍武版的關聯性?214F 08/08 02:09
birdy590    : 可能把網路戰也算是戰爭的一環吧~215F 08/08 02:10
lupefan4eva : …216F 08/08 02:13
kevin020792 : 看上面推文神仙打架很歡樂,啊就是會穿插一些人身217F 08/08 02:13
kevin020792 : 攻擊超煩的。
Bf109G6     : 國軍 '據說' 軍網已經實體隔離 但是那種人治的環境219F 08/08 03:01
Bf109G6     : 以往出事情都是越高階越大包 實在不好說..
Bf109G6     : ex. 無期徒刑那位
KJoshT      : 數位發展部只顧好自己就可以了嗎?222F 08/08 03:46
aw7square   : 可憐哪把這小丑當寶捧223F 08/08 04:44
izplus      : 一直攻擊性取向很無聊耶224F 08/08 05:04
semicoma    : 這篇就不是在說用cloudflare有問題 而是在說唐鳳亂225F 08/08 05:44
semicoma    : 用buzzwords裝模作用 另外 台灣對軟工的不重視 從
semicoma    : 政府標案到民營企業都一樣廢 7-eleven已經是數一數
semicoma    : 二大的零售商了 app的ui/ux什麼鳥樣? 一堆券商萬年
semicoma    : 的三竹系統 如果跟美國和中國的券商app比根本恐龍
semicoma    : 時期產物 再來是像ez way或健保快易通ui/ux有夠爛
semicoma    : 都是那種開發者知道怎麼使用就覺得一般使用者也知
semicoma    : 道怎麼使用的情況 你開發公司就算沒請夠專業的ui/u
semicoma    : x設計師 至少也找個測試工程師吧? 我甚至還沒提從
semicoma    : 中央到地方對政府標案的驗收漏洞 有些政府軟體標案
semicoma    : 不知道為什麼 就是會讓某些公司做 然後又剛好驗收
semicoma    : 時會睜一隻眼閉一隻眼 或者像taiwan plus花10億打
semicoma    : 造結果只有不到四萬次下載量這種鳥事 那反正這些鳥
semicoma    : 事都還要有人護航 那就隨便吧 反正看極限情況時壓
semicoma    : 力測試會有多精彩
Arbin       : 自建CDN...240F 08/08 06:00
Arbin       : 有了HiNet CDN這負面例子
Arbin       : 讓我不是很想相信台灣的CDN
CYL009      : 太神了 請各單位好好學習喔243F 08/08 06:12
gcnet       : 辦公室也可以準備設在國外了244F 08/08 07:10
hn84679402  : 就只有CDN擋得住DDOS Web3?245F 08/08 08:53
DoBahaha    : 大內宣唬爛洨246F 08/08 08:57
cangming    : HTTPS HTTP DDOS又不是什麼新攻擊手法 你隨便找一台247F 08/08 09:00
cangming    : 爛IOT都能瞬發上千個連線 光是慢攻擊就能讓你升天了
cangming    :  這種攻擊甚至不需要多少流量 你講的離實務根本太遠
cangming    :  現在NGFW也沒幾家 你講的業者多半也是使用fotigate
cangming    : 這些廠商 不需要你親自去玩 你去找他們機器看spec就
cangming    : 知道 app層級的清洗沒有什麼在上百G的 你所說的都僅
cangming    : 限低階協定的清洗
cangming    : 就連有專用晶片的fortigate也沒能超過10gbe的能力
cangming    : iot威脅有多大 各位先想想有在玩智慧家電的有多少是
cangming    : 用中國小米 就算不是中國小米好了 今年年初asus rou
cangming    : ter 被apt攻破 你各位有記得去更新嗎
birdy590    : 拜託一下 目前 DDOS 的紀錄是微軟 Azure 接下的258F 08/08 09:08
birdy590    : 3.47 Tbps... 應該說 2020 以後規模就突破 Tbps 了
cangming    : https://is.gd/zZGKZf 殭屍網路的DDOS越來越變成主260F 08/08 09:09
cangming    : 流 就是因為流量清洗對他幾乎無效 你只能靠anyip和r
cangming    : oute53技術把他分到不同的後端去
殭屍網路發動大規模DDoS攻擊,每秒發出逾1,700萬次HTTP請求 | iThome
[圖]
內容遞送網路(CDN)暨資安服務業者Cloudflare近期攔截一波大規模的DDoS攻擊,目標是該公司金融業客戶,攻擊流量來自全球超過2萬個殭屍網路的機器人(Bot),它們僅在數十秒之內發出了3.3億次HTTP請求 ...

 
birdy590    : 有沒有死? 沒有... fortigate 連圖都進不去263F 08/08 09:10
birdy590    : 把防火牆和這個混在一起 這個觀念就第一個錯了
cangming    : 至於為什麼現在也不考慮流量了 因為慢連結只在乎數265F 08/08 09:10
cangming    : 量 他連線建完就不會消耗流量 但會消耗你後台的CPU
cangming    : 跟記憶體資源 所以你一直在流量上打轉 根本就沒弄清
cangming    : 現在DDOS是怎麼做的
birdy590    : 你上面這套思路都是錯的 為什麼超過 Tbps 打不死?269F 08/08 09:11
birdy590    : 很簡單 因為一進門就被丟掉了 後台CPU?
cangming    : TLS連線都是加密資料 你是要怎麼丟啦XDDD271F 08/08 09:12
birdy590    : 傳統那種, 防火牆擋在網站前面的模式 對抗不了DDOS272F 08/08 09:12
cangming    : 你說的都僅限未加密連線好嗎273F 08/08 09:12
birdy590    : 你為什麼總是幻想那些放大攻擊有辦法建立起連線?274F 08/08 09:12
birdy590    : 流量清洗之所以可行 正是因為"那些都可以直接丟掉"
cangming    : 那麽這幾年HTTP DDOS是鬼嗎XD276F 08/08 09:13
birdy590    : 它就是純粹的 用很大的流量把傳統架構的水管灌爆277F 08/08 09:13
birdy590    : 又鬼打牆了 "SYN flooding 這幾年較不流行了"
cangming    : 事實就證明這個很有效 老俄今年攻擊烏克蘭DDOS也是279F 08/08 09:13
cangming    : 用這招
birdy590    : 因為主角是那些 IOT 裝置, 並不是你們想像的"跳板"281F 08/08 09:14
birdy590    : 對現在那些雲服務為主的業者, 這招一點用也沒有
birdy590    : 人家總水管破百 T 了, 小的至少也有幾T 你慢慢灌吧
cangming    : 現在都用殭屍網路布局 先用APT打下IOT裝置 然後利用284F 08/08 09:15
cangming    : CC server控制這些變成殭屍的裝置去發連線 這又不是
cangming    : 什麼很難的東西
birdy590    : ... 發連線? 你真的知道什麼叫"放大攻擊"嗎287F 08/08 09:15
cangming    : 連線本身都是合法的 人家只是資料送得慢而已288F 08/08 09:16
birdy590    : 昨天在 FB 有看到一些討論... 上雲以後很多會變快照289F 08/08 09:16
birdy590    : ... 放大攻擊哪來的連線? 就是純粹的垃圾流量
birdy590    : 事實上很多網站已經是這樣 使用者看到的未必是即時
birdy590    : 後台出問題的時候 使用者看到的是之前留下的快照
birdy590    : 這是不會全死沒錯 但是對政府網站來說不是很實際
cangming    : DDOS又不是只有放大攻擊 而且放大攻擊就那幾種 現在294F 08/08 09:18
cangming    : DDOS都是複合性的 攻擊時不會只有反射放大一種
birdy590    : 你沒發現 就算是2014年 流量的主角都是放大攻擊?296F 08/08 09:18
birdy590    : 並沒有什麼"都是複合性的" 這回事
birdy590    : 然後 SYN flooding 會耗用的殭屍資源是比較值錢的
birdy590    : 你想像的 真的有辦法建立加密連線的 這就更值錢
cangming    : 建議你先去看近期的資安報告或新聞 你想得到的攻擊300F 08/08 09:19
cangming    : 者也都知道
birdy590    : 但這同樣不代表有辦法打的死 因為以現在的狀況302F 08/08 09:19
birdy590    : 服務分散開來以後 容量已經是打不死的程度
birdy590    : 前提還是一樣 "你必須先有比攻擊量更大的水管"
cangming    : 你的對手是中國耶 你都有辦法花大錢弄水管 擁有世界305F 08/08 09:20
cangming    : 數一數二 APT組織的中國沒錢用殭屍網路?
birdy590    : 因為 IOT 裝置"並不能做到你想要的 值錢的攻擊"307F 08/08 09:21
birdy590    : 數量最多的就只能灌水 純粹的丟垃圾流量
cangming    : 你要不要先看看這兩年爆出來的APT攻擊 推測的幕後組309F 08/08 09:21
cangming    : 織是哪國的
cangming    : 你太小看IOT裝置了 再爛也是ARM CPU 你想都能連wifi
cangming    :  發個HTTPS連線困難嗎
birdy590    : 能做 SYN flooding 甚至 spoof IP 的 用一個少一個313F 08/08 09:22
birdy590    : 你太大看IOT裝置了 它的漏洞並不是讓你拿root
birdy590    : 都是利用協定本身的漏洞 以前設計的時候沒想到這個
cangming    : 事實上近兩年HTTP DDOS層出不窮 這也不是甚麼新聞了316F 08/08 09:23
cangming    :  你覺得不存在 但他就是在那裡
birdy590    : 十年前 HTTP DDOS 可是主角呢 但主客異位很久了318F 08/08 09:24
birdy590    : https://bit.ly/3P8yTzc
How UDP Amplification is Taking DDoS Attacks to the Next Level - Secplicity - Security Simplified
[圖]
Distributed denial of service (DDoS) attacks have grown significantly in size over the last three years. A recent instance nicknamed “Memcrashed” was  ...

 
cangming    : 就因為是協定漏洞才會因為符合pattern 被清洗啊 你320F 08/08 09:24
cangming    : 的網路世代還停留在這種攻擊技巧嗎
birdy590    : ... 協定漏洞 代表的是"它只能是該協定的回傳封包"322F 08/08 09:25
birdy590    : 所以簡單的 L4 filter 就全部濾光了 完全不費力
cangming    : 世代又反過來了好嗎 DNS放大都出來多久了 現在只是324F 08/08 09:25
cangming    : 因為會被清洗 所以又回去用HTTP而已
birdy590    : HTTP 沒辦法放大 謝謝326F 08/08 09:26
birdy590    : 而且SYN flooding 一樣能洗 就是判斷建不建的起來
cangming    : https://is.gd/Ugzhdd328F 08/08 09:27
【臺灣資安大會直擊】1.7Tb流量的DDoS攻擊來襲,IoT僵屍網路威脅不可輕忽 | iThome
[圖]
關於分散式阻斷服務(DDoS)攻擊,並非是新的網路攻擊手法,但隨著IoT殭屍大軍的出現,讓它更具威脅,每個人都可能是幫兇,也可能是受害者 ...

 
birdy590    : 一個IP每秒發一堆request 但是建不起來 這就能擋329F 08/08 09:27
cangming    : HTTP不需要放大 又不是DDOS就一定是放大攻擊 兩個沒330F 08/08 09:28
cangming    : 有等義好嗎 麻煩看看業界現況...
cangming    : http req都發了 就是連線建起來了啦Xdd 去看一下tcp
cangming    : 握手流程好嗎
birdy590    : 你貼的這個就是 1.7Tbps "reflection/amplification334F 08/08 09:30
cangming    : 殭屍網路貴是貴 但人家中國不缺錢也不缺技術335F 08/08 09:30
birdy590    : attack"  TCP 規模大不了 這是常識 不需要解釋的336F 08/08 09:30
birdy590    : 這不是錢買的到的 Zzz "值錢" 指的是"數量有限"
birdy590    : 能夠用來反射的裝置很多 真正能取得控制的卻很少
cangming    : 你自己往下捲 然後HTTP攻擊不在乎流量 你一直在流量339F 08/08 09:31
cangming    : 上跳針是哪招
cangming    : 不多啦 上億台而已
birdy590    : 純粹灌垃圾這種方式 發起相對容易而且子彈用不完342F 08/08 09:32
cangming    : 打你一個site夠了343F 08/08 09:32
birdy590    : 上面講過了 目前最多是 3.47 Tbps, 大咖是打不死的344F 08/08 09:32
birdy590    : 軍備競賽其實已經進行蠻多年了 一開始是很有效的
birdy590    : 就像你上面貼 2014 的香港 那年代幾百G就很恐怖
Oisiossos   : 外包了347F 08/08 09:33
birdy590    : 但是現在再打幾百G? 就輕鬆接下來 不然怎樣?348F 08/08 09:33
birdy590    : 你"以為"10G就是很大的介面 這觀念確實需要更新
birdy590    : "有專用晶片的fortigate也沒能超過10gbe的能力"
birdy590    : 這就不是 NGFW 的強項 別把它硬扯進來
cangming    : https://i.imgur.com/jn9KWhI.png352F 08/08 09:35
cangming    : https://i.imgur.com/qv8QbO6.png
[圖]
 
[圖]
birdy590    : 我猜這裡的 HTTP 應該就是 SYN flooding354F 08/08 09:38
cangming    : DDOS攻擊手法百百種 不是只有利用協定漏洞打的反射.355F 08/08 09:38
cangming    : .. 你哪天真的在業界處理到case就知道了
cangming    : syn flood是L3 層級就不一樣了 怎麼會是一樣的東西
cangming    : 不要亂猜 先去把計概念熟
birdy590    : 還是老話一句 "完全取得控制的資源相對寶貴"359F 08/08 09:39
birdy590    : SYN flooding 80/443 不就是HTTP/HTTPS 攻擊?
cangming    : 你這樣說沒用啊 現在最讓人頭大的就是這些攻擊 中國361F 08/08 09:40
cangming    : 有錢有人有技術 你覺得他會怎麼做
birdy590    : 現實上近年來攻擊的分佈就是灌流量為主, 這種高層次363F 08/08 09:40
birdy590    : 不是錢的問題好嗎 到底要講幾次 "值錢"指的是取得難
birdy590    : IOT 裝置幾乎是免費的 因為打完也不用怕會被拆掉
cangming    : 當然不是... syn flooding 是tcp握手不回覆ack... h366F 08/08 09:41
cangming    : ttp攻擊是慢連結或是已知大量耗用資源的api...
birdy590    : 你又把值錢程度拉的更高了~ 這種現在佔比例其實很低368F 08/08 09:42
cangming    : 所以syn flooding是L3 不是L7= = 為啥我要在軍事版369F 08/08 09:42
cangming    : 上幫人上計概啊...
birdy590    : 我的工作範圍就包括這個 這種高層次的攻擊 十次也371F 08/08 09:43
birdy590    : 沒看到一次 現實上灌流量對一般目標是很有效
cangming    : L7攻擊都是合法連線跟應用 你清洗洗不掉的373F 08/08 09:44
birdy590    : 例如一般企業 網站 搬也搬不走 散不開也上不了雲374F 08/08 09:44
birdy590    : 這種只能從網站架構上去改進 但政府網站屬於這類?
birdy590    : 我不認為政府網站是綁死搬不走也分散不開的那種
birdy590    : slow attack 在教科書上比較重要 真實世界裡還好
birdy590    : 你看哪份攻擊報告有提到這個的? 大部份都關心刷紀錄
birdy590    : 他們講 web3 就是特別不怕這個, 你卡一個worker無用
cangming    : https://is.gd/ZMMyl4380F 08/08 09:49
cangming    : 真的有錢人不在乎成本的時候甚至不用iot了
大規模HTTPS加密流量DDoS攻擊鎖定Cloudflare用戶,每秒最高近2,600萬次請求 | iThome
[圖]
雲端服務業者Cloudflare揭露發出大量請求的DDoS攻擊事故,駭客約從晚上10時26分30秒開始行動,透過雲端伺服器與VM產生HTTPS流量,網路攻擊流量在約3秒之後達到高峰,發出的請求次數為每秒近2,600萬次 ...

 
birdy590    : 這應該反過來問 你最近看到哪次事故是真的被打死的?382F 08/08 09:53
birdy590    : "攻擊者運用由5,067臺設備組成的殭屍網路"
birdy590    : 5067 台 其實是很少很少的一個數字
ByronX      : 這篇文竟然在這po 出來了385F 08/08 09:55
birdy590    : 這攻擊目標應該很值錢 因為被入侵的VM/伺服器最稀少386F 08/08 09:59
birdy590    : 而且你一旦用過 很容易就被發現並且修補了
cangming    : HTTP攻擊效果非常好 不管是那個site都不可能保證每388F 08/08 10:05
cangming    : 個放在外頭的api有C1K的能力 C10K更不要說了 這個ca
cangming    : se每個vm發兩個connection 就破10k了
cangming    : 然後aws或是GCP辦個帳號你要一口氣拉起上百台也不是
cangming    : 的問題 更別說中國自己有阿里雲
jerrylin    : 因為根本沒人聽過吧  沒被攻擊393F 08/08 10:14
jerrylin    : 今天晚上看會不會被攻陷
cangming    : 今年趨勢可以看cloudflare報告395F 08/08 10:18
cangming    : https://is.gd/h1yETJ
birdy590    : 這還是被傳統架構綁住的腦子 @@397F 08/08 10:20
cangming    : 烏克蘭的例子就是被全球分散的殭屍網路發動HTTP DDO398F 08/08 10:22
cangming    : S
cangming    : 其實說傳統架構 就算是上雲也不一定能解啦 DB的操作
cangming    : 如果不能有效scale out 一樣會炸掉
birdy590    : 講白話一點 這個世界上 多數網站可說完全沒有防護402F 08/08 10:24
birdy590    : 這種簡單丟個幾十G就死了 不需要什麼麻煩的手法
birdy590    : 我們的政府網站 其實多數也停留在這個層次
tin123210   : 新部會沒被打吧,吹到天上去405F 08/08 10:27
cangming    : 是啊 尤其是現在IOT裝置越來越多 一堆裝置能聯網 但406F 08/08 10:27
cangming    : 訊息都沒加密 甚至連升級韌體的對外連線都是裸奔 想
cangming    : 到就可怕
cangming    : 但是一般用戶怎麼可能會知道要記得用防火牆擋一擋
cangming    : 這種隨隨便便就變成別人家的殭屍
birdy590    : 爛 AP 本身就是漏洞的來源好嗎, UPNP 這幾年是主角411F 08/08 10:30
birdy590    : DNS/NTP 之類 比較新的很多都修補過了 只會愈來愈少
cangming    : 對 就是那個asus 比tplink還脆弱是哪招413F 08/08 10:31
s8626460    : 非常感謝推文裡幾位理性大量的討論414F 08/08 10:46
s8626460    : 趁機了解一些皮毛,當初學的計概已是年代久遠的東西
serrier     : 這麼簡單方法?國防部其他部門都不會?你敢信?416F 08/08 10:55
askeing     : Cloudflare看起來有提供Web3,IPFS gateway等服務417F 08/08 12:10
ethanwu0414 : 某媒體又在造神418F 08/08 12:54
ewjfd       : 真奇葩 沒有一則推文譴責中國攻擊 全在譴責唐鳳419F 08/08 13:27
ewjfd       : 這些人才是實體DDOS吧
codehard    : 就心理戰啊 不怪拉屎的 怪清屎的421F 08/08 13:55
labell      : 感覺先拿下台大比較重要422F 08/08 14:25
labell      : 不然PTT一堆水桶愛台帳號

--
※ 看板: Military 文章推薦值: 0 目前人氣: 0 累積人氣: 30 
作者 golang 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇