在雲端服務市場中,Google和Amazon無疑是全球公認的兩大龍頭,前者是搜尋引擎和多項SaaS雲端服務的霸主,光是當機5分鐘,全球網路流量就銳減了40%,後者則是IaaS雲端基礎架構服務的成功典範,據Netcraft統計,2013年在Amazon的EC2服務上執行的虛擬伺服器超過了15萬臺。但是,最近發生的一次網路攻擊,竟然連這兩大雲端龍頭都擋不住,就是線上投票網站PopVote在6月舉辦的香港公投活動。

因帶隊防禦公投DDoS攻擊事件而聲名大噪的網路服務商CloudFlare執行長Matthew Prince被譽為香港英雄,他於8月19日在臺灣駭客年會HITCON上,公開了這次DDoS攻擊的防禦過程。

在6月20日投票前幾天,PopVote網站就遭遇了好幾波大規模DDoS攻擊,攻擊流量之大就連香港當地ISP網路服務供應商都無法承受,因此PopVote轉而於16日時向CloudFlare求助。Matthew Prince深入了解情況後決定接手協助。

剛開始,CloudFlare使用了Amazon的AWS雲端服務來分散攻擊流量。攻擊PopVote網站的手法包括了第三層網路攻擊為主的DNS及NTP(Network Time Protocol)反射DDoS攻擊。在6月17日時,網路攻擊流量最高峰一度達到每秒150Gb,最後,AWS服務也因無法應付大量攻擊流量而終止提供服務。

Google知道了這件事後,原本也有意提供自家的Project Shield攻擊防禦解決方案,作為PopVote網站第二層的DDoS防禦機制。但後來也因攻擊流量太大,而影響了Google其他網路服務,最後不得不宣布退出。  

6月19日深夜,開始投票前夕,Matthew Prince更是率領技術團隊守在舊金山辦公室,一邊吃著中國菜,一邊緊盯著螢幕上的網路流量監控報表,準備迎戰隨時出現的大規模DDoS攻擊。果不其然,PopVote從投票當天起就遭受攻擊,一直持續到投票結果出爐後1小時才停止。

駭客利用了多種DDoS攻擊手法,包括了大量網路第三層攻擊如DNS反射及NTP反射攻擊試圖來癱瘓網站,光是DNS反射攻擊的流量每秒就超過了100Gb,而NTP反射攻擊流量更高達每秒300Gb。另外還出現了攻擊網路第四層為主的SYN Flood洪水攻擊,駭客利用殭屍電腦發送大量偽造的TCP連接請求,SYN封包傳送每秒鐘高達1億次。

此外,駭客也發動了網路第七層應用層攻擊,包括如HTTP洪水攻擊、HTTPS加密服務攻擊等,還有出現了許多網站最害怕的DNS Flood洪水攻擊,每秒高達2億5千萬次的有效DNS請求。

駭客動員了全球各地的殭屍電腦來發動DDoS攻擊,其中也有不少攻擊流量來自臺灣。Matthew Prince甚至稱為這是一種Kitchen Sink Attack(用盡一切可能手段的攻擊),並以可怕(Scary)來形容對付這些攻擊的棘手程度,就連CloudFlare的伺服器也一度無法承受住這些攻擊。Matthew Prince坦言,光靠一家網路服務供應商已無法抵禦這樣大規模的DDoS攻擊。

最後,CloudFlare如何成功地保住了PopVote網站,讓100萬名香港民眾順利完成投票?請看我們的報導(香港公投網站DDoS攻擊內幕大公開,連Google、亞馬遜都擋不住)

專欄作者

熱門新聞

Advertisement