在2月7日傳出遭到駭客DDoS攻擊的4家券商,包括群益證券、台新證券、德信證券和北城證券,網路下單系統多在受駭30分鐘內,恢復正常運作。

圖片來源: 

iThome

金雞年開春後,臺灣股市並不平靜,從2月2日、2月3日開始,臺灣就陸續有券商收到冒名Armada Collective(西班牙無敵艦隊)駭客集團寄發的英文勒索信,要求受駭券商支付7~10個不等的比特幣贖金(折合新臺幣22萬~32萬元),並示威式的發動DDoS攻擊展示武力;第一波攻擊後則宣稱,受駭券商如果不在2月7日前支付贖金的話,駭客集團不僅會發動第二波的DDoS攻勢,贖金立馬暴增為20個比特幣,而且每延遲一天支付贖金,贖金每天會增加10個比特幣,直到業者肯付錢為止。

據金管會表示,2月7日總計有台新證券、群益證券、德信證券和北城證券等4間證券業者都有遭到冒名Armada Collective駭客集團發動DDoS攻擊,當日攻擊流量最高為2Gbps,比第一波DDoS攻擊流量只有800Mbps,規模大了約3倍之多。金管會指出,今天遭到攻擊的券商,除了群益證券是第一波受到攻擊的券商外,包括台新證、德信證和北城證等,都是今天收到勒索信就同時遭到DDoS攻擊的受駭對象,另外有一間證券業者則是收到勒索信但沒有受到DDoS攻擊。

但是,平心而論,駭客說好的Tb級DDoS攻擊還沒有發生,Gb級的攻擊就已經足以癱瘓臺灣券商網路下單系統,即便主管機關認為ISP業者和券商的聯防有發揮預期的效果,但臺灣券商卻仍要提高警戒,攻擊流量算小的Gb級DDoS攻擊就已經打掛臺灣券商時,也很難對臺灣金融業的網路環境有多大期待。

臺灣券商先天對外頻寬不足,無力抵抗Gb級DDoS攻擊

很多人質疑,為什麼臺灣券商面對這麼小的DDoS攻擊流量就會掛點,根據台灣大哥大企業用戶事業群企業產品暨營運管理處副處長魏政賢的觀察,他認為,主要是多數臺灣券商購買的對外頻寬不夠,大型券商如果對外頻寬有100Mbps,小券商在資源有限的情況下,對外頻寬有10Mbps~20Mbps,基本上就已經很多了。

比對魏政賢提出券商所購買的對外頻寬大小,再對照自稱Armada Collective駭客組織在第一波發動DDoS攻擊800Mbps和第二波DDoS攻擊2Gbps,都已經遠遠超過臺灣券商所能夠承受的攻擊量,也難怪,即便是臺灣的大型券商或者是資安模範生,面對駭客發動的DDoS攻擊時,第一時間都是兵敗如山倒。

側面了解,很多券商的IT主管在面對這次的DDoS威脅時,有很多IT主管剛開始都是非常震驚或驚嚇;有的是覺得為什麼這麼倒楣,這事情就發生在我身上;有的則是,在思考怎麼跟老闆交代為什麼會被駭客鎖定攻擊;更有些人甚至要有第三方單位,例如就有券商工會出面召開記者會說明,「券商遭遇到的這一切DDoS攻擊,都是因為駭客攻擊能力太厲害,絕對不是因為券商資安防護能力太弱,尤其是DDoS攻擊防護能力太弱造成的。」而這種掩耳盜鈴的對外說明,根本無助於解決臺灣券商的困境。

網路安全專家劉俊雄更直言,沒有遇過DDoS攻擊的企業,通常會出現幾種態度,像是「自己不會被打」「自己擋得住」、「打死也沒關係」、「有可能被打要作點準備」、「很可能被打要作好準備」,當然,最無敵的心態就是「把錯推給駭客就好」。

至於曾經遇過DDoS攻擊的客戶,劉俊雄則說,這些曾經遭駭企業的心態則會變成「被打過,覺得不會再被打」、「算了,打死也沒關係」、「會再被打,快作點準備」、「會再被打,快作好準備」,以及再次出現的無敵萬靈丹「把錯推給駭客就好」。只可惜,這次臺灣券商面對的是全臺灣都關注的駭客組織發動的DDoS攻擊,一切雖然都是駭客的錯,但是,企業面對這樣的威脅如果沒有任何因應對策,一切只能向下沈淪。

面對DDoS攻擊,主要解決塞爆頻寬和主機資源耗盡問題

要解決DDoS的問題就得針對攻擊類型對症下藥,一般而言,DDoS可以分成塞爆頻寬或者是耗盡主機資源兩大類。魏政賢表示,企業面對DDoS攻擊時,可以從幾個層面來處理,首先,在本地端,至少要有一些防火牆或者是入侵偵測防禦(IDP)設備,監控並阻擋惡意的流量進入企業內部,大流量甚至可能耗盡主機系統處理器或記憶體的資源,導致當機或服務中斷。

中華電信資安處處長洪進福則指出,面對更大量的DDoS攻擊流量時,就得委由ISP業者協防,主要是透過流量清洗的方式,搭配阻擋來自某些海外攻擊IP的方式,將惡意攻擊流量先導到ISP的流量清洗中心後,再導回到券商的下單網站,確保連上券商下單網站的都是正常的封包。

當然,如果攻擊流量真的到達所謂的Tb級的檔次,魏政賢認為,以臺灣既有ISP業者的能力,是無法單靠自己一己之力,就做到流量清洗和阻擋,勢必得往更上游的國際流量清洗中心和國際組織請求協助。

這樣其實是非常合理的作法,洪進福便說,中華電信也只承諾提供Always On的DOoS防護服務的最高流量只承諾到30Gbps,因為,如果是無限制的清洗DDoS流量,除了成本太高,更重要的是,也會影響到其他使用中華電信網路的客戶。

同樣的,魏政賢也說,台灣大哥大對於DDoS防護的流量上限達80Gbps,雖然比中華電信的流量高,但以目前頻繁遭到DDoS攻擊的對象以線上遊戲業者為多,平均攻擊量約為40Gbps,他認為,駭客集團真的要發動近百Gbps攻擊不是不可能,目前看來,除少數投機高風險的產業外,其他產業面臨這麼大量攻擊的機會相對較小。

劉俊雄也建議,如果企業面對的洪水式的DDoS攻擊,可以請求ISP或流量清洗業者協助,可以採用黑洞(Black Hole)、更換IP、多重ISP線路和使用全球伺服器負載平衡(Global Server Load Balancing,GSLB)都可以解決這類洪水式的DDoS攻擊;至於網路層的攻擊,他認為,可以透過更換設備、關閉功能和調整系統參數因應;若是應用層的攻擊,就必須增加主機服務能量、減少異常存取。

此外,他認為,企業面對DDoS攻擊時,還是可以使用辨識網路層和應用層的特徵加上封包過濾的手法,降低DDoS的威脅;同樣的,其他像是轉址(Redirection)、Challenge或是認證(Authentication)等,並且協調資安業者借調設備,都是有助於減緩DDoS對企業造成威脅的方式。

至於其他相關防禦考量重點,則可以參考行政院資通安全會報技術服務中心的建議,包括:建置多層次過濾防護;提升伺服器安全(DNS、NTP伺服器等);落實企業持續營運規劃(BCP)與異地備援機制(DRP);設計多重網路出口;建立與 ISP 業者的緊急聯繫管道;定期執行弱點更新與系統效能調校和進行流量監控與建立緊急應變程序等方式。

 相關報導 

多家券商證實遭DDoS攻擊,駭客揚言不付錢要再開打

第一波10家券商DDoS攻擊勒索名單曝光,2月7日迎戰超大流量Tb級攻擊

對抗DDoS攻擊勒索,多家券商要靠中華電信協防

2月7日證券商DDoS攻擊流量公布!金管會:最高2Gbps

臺灣首次券商集體遭DDoS攻擊勒索名單出爐:累計13家!


Advertisement

更多 iThome相關內容