中華電信第一手DDoS對抗經驗大公開

今年2月7日清晨12點之際，正是許多人準備入睡的時候，但此時中華電信資安監控中心（SOC）的成員卻還在熬夜加班，因為，他們還在協助客戶進行流量清洗的設定。這些客戶其實就是在今年開春後，收到自稱是Armada Collective（西班牙無敵艦隊）駭客組織發送勒索信的臺灣券商。

全臺灣的券商總計有79家，面對國外駭客來勢洶洶的恫嚇勒索的手段，中華電信資安處處長洪進福說：「身為臺灣最大的網路電信服務業者，也擁有為數最多證券業者的中華電信，面對此次充滿許多未知因素的DDoS網路攻擊，都必須要戰戰兢兢的保持高度警戒。」

在駭客宣稱發動DDoS攻擊的前一天（2月6日）臺灣也有包括群益證券和大眾證券傳出遭到攻擊，面對2月7日駭客宣稱將對不願意支付比特幣贖金的券商，發動超過1Tbps的DDoS攻擊流量，上從臺灣金融業者的主管機關金融監督管理委員會，以及政府資安主管機關行政院資安處和ISP電信業者主管機關NCC（國家通訊傳播委員會），下到全臺灣79家券商以及其他相關金融業者等，莫不全面嚴陣以待，深怕一個疏忽，爆量的DDoS攻擊不僅癱瘓臺灣的券商網路交易平臺。更有甚者，都可能讓全臺灣的網路連線服務，變成網路鎖國的情況。

董事長下令成立資安緊急應變中心，攻擊來源是海外IP

面對這一場臺灣券商網路下單平臺與國外駭客的網路攻防戰役中，中華電信扮演相當關鍵的角色。洪進福表示，因為中華電信擁有最多的金融客戶，加上這一波已經有超過20家的券商和金融業者，紛紛委託中華電信提供DDoS的防護服務時，中華電信能否穩穩的守住這一局，已經不單純是中華電信這間公司的事情而已，甚至已經成為全臺灣所有使用網路服務的民眾和業者，都必須關注的議題。

面對外界對中華電信深切的期待，洪進福表示，在董事長鄭優一聲令下，中華電信便從2月7日一早，針對券商DDoS攻擊事件臨時成立資安緊急應變中心，他說：「這個小組成員包括他在內，總共有來自資安監控中心、網路維運中心（NOC）以及各個IDC機房主管共計12名的核心決策成員，而董事長甚至也親自視察該應變中心的運作狀況。」

「核心決策小組聚集在一起時，一旦有任何攻擊情況發生，就可以立刻和客戶溝通並快速下達因應的指令，」洪進福表示，而支撐這12人決策小組的則是中華電信來自資安監控中心、網路維運中心以及各地機房近百名的第一線工程師的經驗和能力。

他也進一步解釋，在中華電信緊急成立的戰情室中，透過網路連線，同步監看來自資安監控中心、網路維運中心以及各個機房所有儀表板，決策成員都可以在第一時間，便從投影螢幕上看到哪個客戶的網路遭到攻擊、有多少攻擊流量、採用什麼樣的攻擊手法，甚至是，這樣的攻擊到底是從海纜還是哪個網路節點進來，都可以看的一清二楚。

洪進福指出，這次的DDoS攻擊事件中，可以從儀表板上的資訊發現，駭客針對券商的攻擊IP多來自海外，不過，因為相關的IP都是偽造的，並無法真正確認駭客的所在地；其中，超過50％以上的攻擊IP，則是從中華電信美國海纜的介面對臺灣發動攻擊。

中華電信提供DDoS多層次縱深防護，可以防堵從外部線路DDoS攻擊進來的攻擊流量，透過Border網路的境外阻絕和邊境管制，將攻擊封包阻擋在中華電信線路外面。如果攻擊已經進入臺灣的網路骨幹，在Backbone網路進行控管，將攻擊封包黑洞或Drop掉。最後，影響用戶端網路服務，可透過隔離清洗方式過濾。圖片來源／中華電信數據通信分公司

受駭券商最高2Gbps攻擊流量，攻擊封包每秒70萬個

不過，洪進福坦言，DDoS攻擊其實已經是相當普遍的網路攻擊手法，以中華電信來說，針對目前已經提供DDoS防護服務的客戶中，有許多像是線上遊戲、代管甚至是博奕等產業的業者，DDoS攻擊根本是家常便飯，駭客不只是照三餐攻擊，有許多時候還有一天多次攻擊同家公司的紀錄。

以中華電信平常面臨的DDoS網路攻擊情況而言，每天都有超過100多次攻擊流量介於1Gbps～10Gbps的DDoS攻擊，超過10Gbps～30Gbps的攻擊流量次數也有1％，而攻擊來源IP位址，許多都是來自海外。

但若以2月7日當天遭攻擊狀況來看，除了群益證券、台新證券、德信證券和北城證券都確認有遭受到DDoS攻擊外，從中華電信觀察到的DDoS攻擊態勢來，這4家遭到DDoS攻擊的券商，平均都遭到2Gbps～3Gbps瞬間攻擊流量，平均的攻擊封包則約為每秒70萬個封包，平均駭客針對券商發動DDoS攻擊的時間，最短為20～30分鐘，最長也有持續攻擊1小時不中斷的案例。

網路安全專家劉俊雄先前受訪時曾經表示，這類DDoS攻擊是透過多重來源進行攻擊，讓資訊服務無法正常運作，其主要的目的大致不脫離勒索獲利、打擊競爭對手、政治意圖、引人注意以及練功等。此次駭客DDoS攻擊臺灣券商主要的目的，很單純就是為了勒索獲利，還看不到其他的攻擊目的。

而從受駭的券商名單來比對，金管會則認為，駭客組織發動的DDoS攻擊應該是「亂槍打鳥」式的攻擊行為，並沒有一份所謂的攻擊清單，可以用來確認，到底哪些臺灣券商曾經發動過DDoS攻擊，哪些還沒遭到DDoS的攻擊。所有的臺灣券商都可能是駭客攻擊的目標。

NTP反射放大攻擊最多，其次是UDP和ICMP洪水攻擊

目前DDoS的攻擊可以分成消耗網路頻寬，使正常網路使用者因為連線頻寬耗盡，而無法取得網路服務的攻擊形式，以及消耗系統記憶體或是處理器資源，讓系統無法處理合法的封包請求的諮詢消耗型的攻擊形式。

若進一步分析駭客集團發動的DDoS攻擊手法，洪進福表示，這次最主要的攻擊手法，多是針對OSI網路第三層（L3）的攻擊，主要目的就是要消耗大量網路頻寬的攻擊手法為主，少數才是消耗主機的系統支援的攻擊方式。

至於這次券商DDoS攻擊的手法中，洪進福指出，針對NTP（校時伺服器）發動的反射（Reflection）放大（Amplification）攻擊，是此次所有攻擊中比例最高的攻擊模式；其次就是UDP Flood和ICMP Flood等2種洪水攻擊的類型。

一般而言，多數電腦的時間快慢仍會有些許差異，許多對於時間要求精確的產業別，例如金融業等，就會透過衛星訊號進行正確的時間校正。而負責進行校正時間服務的伺服器就是NTP（Network Time Protocol）伺服器，校正時間的目的就是希望交易的時間和系統的時間是一致的。

由於NTP校時伺服器使用的通訊協定是使用UDP 123埠進行傳輸，NTP伺服器中包含一個Monlist指令，攻擊主機就可以偽造受駭主機的IP位址，向NTP伺服器傳送 MON_GETLIST 指令查詢；由於IP位址是假的，此時NTP伺服器接收到這個查詢指令後，就會不斷地回傳大量資料給受駭伺服器；受駭伺服器因為接收到大量偽造（Spoofing）的、非自身發出的時間校正需求的封包，就會導致該伺服器無法正常運作而掛點。

這類NTP反射放大的DDoS攻擊，因為都是偽造IP，往往很難追蹤實際的攻擊來源，加上駭客利用網路上非常普遍的校時伺服器作為發動假需求封包的工具，受駭伺服器馬上就會被來自全球的NTP伺服器提出的校時封包的需求淹沒。而最關鍵的問題在於，因為NTP伺服器的校時需求所使用的通訊協定，就是一種只要提出小小需求，就可以造成系統大量回應的UDP（User Datagram Protocol）協定。

至於UDP Flood洪水攻擊，主要就是將大量的UDP Fragment封包直接塞爆網路頻寬，也可以利用駭客將針對任何通訊埠所產生的UDP封包傳送到鎖定攻擊的受駭主機後，這些受駭主機接收這些UDP封包時，因為沒有程式可以處理這些UDP封包，受駭主機就會把這些沒有辦法處理的封包，又回傳給偽造的來源IP，這也使得整個網路充滿了ICMP（Internet Control Message Protocol）封包，因此塞爆整個網路頻寬。

他指出，第三種其實就是攻擊比例比較少的ICMP Flood洪水攻擊，主要是因為駭客針對不安全的或者是設定不良的網路路由器發送廣播訊息，藉此占用主機系統的資源，讓系統無法繼續提供服務。

即便事先租用流量清洗服務，仍須細部設定更能發揮效果

面對未知的攻擊威脅，絕對不能掉以輕心，洪進福表示，從股市開市之前，所有的成員都繃緊神經，深怕真的會有爆量的Tb級DDoS攻擊，會出現措手不及的情況，他笑說：「很多人根本連水都沒時間喝、連廁所都沒有時間上。」

然而為何事前已嚴陣以待，仍有一些證券商在2月7日股市一開市時受攻擊影響，洪進福表示，阻擋DDoS攻擊的流量清洗服務，除了電信服務端要做設定，客戶端也必須調整細部設定，才能達到最好的流量清洗效果。所幸，這個問題在半小時內就完全排除了。至於其他受駭券商所面臨的DDoS攻擊狀況，雖然受攻擊時間有先後之分，但大多也都在半小時內障礙完全排除、恢復正常運作

從這次的實地攻防經驗來看，洪進福認為，中華電信有一次很好的練兵機會，關鍵不在於這次有多麼爆量驚人的DDoS攻擊流量，而是透過企業和ISP電信業者的共同協防的實際運作狀態，真正讓臺灣的企業體會到，DDoS攻擊對企業可能造成的危害，從所有事前的沙盤推演，更是擬真度百分百的DDoS攻防演練。