【資安周報第51期】臺灣2017年直播網紅業將是下一波DDoS攻擊標的

或許對很多臺灣的產業而言，包括遊戲業、博奕業等娛樂產業，DDoS（分散式阻斷式攻擊）已經是從十多年前就必須認真面對的營運風險，一個不小心，一個DDoS攻擊就可以癱瘓該公司的網站服務，一旦網路服務中斷，就表示該公司的營運受到影響，也會影響到公司後續的營運。

即便有不少臺灣公司對於DDoS攻擊並不陌生，但是，在今年下半年卻可以發現，DDoS攻擊已經有不同型態，尤其是攻擊流量之大，超乎許多人的想像。

舉例而言，法國OVH公司遭到1.5Tbps的DDoS攻擊流量，開了大家眼界；隨即而來，在十月份，駭客也透過操控全球的網路監視器，針對美國DNS網域伺服器業者Dyn發動DDoS攻擊，攻擊流量也高達1.2Tbps。上述的攻擊行為，都讓許多人驚覺到，Gb級的DDoS攻擊已經不夠看了，未來Tb級的DDoS將可能是主流。

但是，根據遠傳電信以及子公司數聯資安過去一年對於DDoS攻擊的觀察，以臺灣而言，Gb級的DDoS攻擊出現在2015年下半年，但是到2016年逐漸成為攻擊主流，平均攻擊流量30Gbps～50Gbps，預計2017年DDoS平均攻擊流量可望倍數成長到100Gbps；至於主要受攻擊的產業，也會從傳統的遊戲業、博奕業，轉到下一波的直播網紅業者。

網路第7層DDoS攻擊變多，留意閘道端設定Bypass的資安風險

目前DDoS攻擊最常看到的攻擊型態，主要是以OSI第3層網路層、第4層傳輸層，以及第7層應用程式層的攻擊為主，遠傳電信企業產品服務管理處經理施文政表示，以往多以網路層和傳輸層的攻擊為大宗，因為，通常只需要有足夠的金錢、購買足夠的傀儡網路（Botnet）發動DDoS攻擊，就可以癱瘓鎖定目標的網站服務。

但是近年來，他也觀察到一個趨勢就是，開始有許多駭客以攻擊應用程式層為主，除了中國有出現越來越多這樣針對應用程式的DDoS攻擊事件外，臺灣則陸續傳出，有金融業遭遇這類以應用程式層為主的DDoS攻擊；另外若是遊戲業者，在手機端的遊戲業者仍以網路層和傳輸層的DDoS攻擊為主，若是現在熱門的網頁遊戲，也有越來越多以應用程式層的DDoS攻擊為主。

不過，長期觀察臺灣DDoS攻擊演變的數聯資安產品行銷部產品經理顏懋仁則特別提醒，他們近期觀察到一個特殊的現象，那就是，駭客針對特定產業，例如金融業發動DDoS攻擊時，有些時候看起來像是一波又一波的攻擊，有些時候，駭客只有攻擊1小時後便收手，有許多資安人員常常會誤以為，這只是一波短暫的DDoS攻擊而已，攻擊結束就以為事情就結束了，反而掉以輕心。

實際上，顏懋仁表示，他們發現有一些金融業者在經歷這種「短暫」的DDoS攻擊後發現，許多在網路閘道端的設備，像是IPS因為無法承受DDoS攻擊，設定便直接跳掉，變成Bypass模式，而駭客便利用這個閘道端防護設備，無法發揮應有的防護功能之際，趁機植入惡意木馬程式等等。

過往，許多企業在面對DDoS攻擊之後，往往只想著怎麼儘快讓線上服務恢復正常，通常不會意識到，有防護設備因為短暫的DDoS攻擊造成設定Bypass跳掉，而這樣的時間點就讓駭客可以甚機植入一些惡意或木馬程式，達到進一步入侵使用者電腦的目的。

直播和網紅匯集人潮和錢潮，是下一波DDoS攻擊鎖定對象

臺灣過往最認真面對DDoS攻擊的產業，其實就是遊戲業和博奕業，但是，遊戲業遭到的DDoS攻擊，有很多也是因為同業之間的競爭，透過跟駭客下訂單，針對同業發動DDoS攻擊的方式，只要同業的遊戲無法提供服務，更多沒有忠誠度的玩家們，就會再去選擇服務沒有中斷的遊戲業者玩線上遊戲。這樣，發動DDoS就可以順利達到他們的目的。人潮所在就是錢潮所在，只要有利可圖，就可能是駭客鎖定DDoS攻擊的標的。

但是，施文政表示，隨著各種直播App和網紅的興起，這種類似遊戲業的特性，也成為臺灣下一波DDoS鎖定的對象。他進一步解釋，現在的直播和網紅，特點不在於這些受歡迎的網紅，出現在哪一個直播平臺，只要網紅出現的平臺，就是人潮聚集的平臺，也就是錢潮匯集的平臺。

既然網紅直播的性質類似遊戲業者，除了具備娛樂的特性，當然免不了同業競爭。目前看來，臺灣各家直播平臺在使用上的差異其實不大，甚至於，除了少數特定的網紅外，各家直播平臺甚至都有具備類似特質的網紅。

網紅最重要就是要受歡迎，許多直播平臺也會提供類似儲值方式，讓網友們可以針對心儀的網紅送花或提供類似的獎勵措施，讓網友們可以以實際的方式，表達他們對網紅的支持。

「粉絲們並不在意網紅出現在哪一個直播平臺，」施文政坦言，因此，和遊戲業一樣，出現同業競爭甚至是發動攻擊、癱瘓直播網路服務的情況，也在預期之內。

例如，某個受歡迎的網紅出現在A直播平臺，其他競爭同業也會透過發動DDoS攻擊，癱瘓A直播平臺後，其他的BCDEF......等平臺，就可以跟這個受歡迎的網紅，重新談定合作關係，只要粉絲們知道網紅接著會出現在新的直播平臺，聚集足夠的人潮後，粉絲們儲值鼓勵網紅的獎勵方式，也同樣對直播平臺的營運有加分，可能會以和網紅拆帳的方式，鼓勵網紅的受歡迎，也同樣對直播平臺營運有正面效益。

施文政表示，臺灣的一些直播先驅業者，其實都已經有意識到，他們可能遭到DDoS攻擊的可能性，因此在相關的DDoS的防護上，不論是閘道端的資安防護設備，甚至是和ISP網路業者端採購的流量清洗服務等，是早就做好萬全準備的。不敢說，當這些直播先驅業者遭到DDoS攻擊時，一定可以完好無缺的倖免於難，但相較於其他毫無意識有遭到DDoS攻擊可能性的產業而言，這些直播先驅業者，早就已經對這種可能會癱瘓網路服務的DDoS攻擊，做好事先防範措施了。

每間企業都可能遭到DDoS攻擊，心中都應該有一套面對攻擊的劇本

資安專家劉俊雄就曾經指出，DDoS其實從開始出現到演變到今日，已經是快20年的老問題了，但是，攻擊手法最明顯的差異就是，攻擊流量越來越大，從早期只要幾Mbps的攻擊流量，就可以癱瘓一臺主機、一個網路服務，慢慢升級到要幾十Gbps甚至是幾百Gbps的攻擊流量，到現在，甚至出現1Tbps的攻擊流量。

但即便攻擊流量越來越大，劉俊雄認為，攻擊手法卻依舊大同小異，仍然是以網路第3層網路層、第4層傳輸層以及第7層應用層式層為主要的攻擊方式。他也以開店為例，把店門口及前方道路視為網路出入口及上游，店裡設施和走道空間視為基礎建設，把結帳櫃檯視為應用程式系統的話，所謂的L3攻擊，就是一群人衝到店門口堵住門和馬路；L4攻擊就是一群人塞爆店裡的走道和空間；L7的攻擊就是一群人假裝結帳，癱瘓櫃檯。

近期剛發生的DDoS攻擊事件，就是前兩天歐盟委員會（ European Commission）的官網，遭到DDoS攻擊，網站服務中斷數小時就已經恢復，目前也由歐盟CERT進行相關的調查和處理。

但是，以目前臺灣的網路攻防能力來看，臺灣企業是否有能力處理DDoS攻擊呢？劉俊雄認為，以目前臺灣為例，只要遭到10Gbps的洪水流量攻擊，10Mpps的SYN洪水攻擊，或者是每秒1千萬次的DNS查詢、HTTP請求或者是SSL連線等，甚至把上面的攻擊數據再減少為10分之1，臺灣企業都不見得有能力可以擋住。

劉俊雄表示，臺灣因為電信等基礎網路建設普及，有許多對外連線的網路接口，即便遭到大規模的大流量DDoS攻擊，還有可能免於因為網路癱瘓導致網路鎖國的狀態。

但他也坦言，目前臺灣許多ISP業者針對遭到DDoS攻擊的客戶，即便這些客戶都有另外購買流量清洗的服務，一旦超出ISP業者可以承受的處理範圍，ISP業者會以黑洞（Black Hole）的方式處理這個遭到DDoS攻擊的客戶，讓這個客戶IP路由導入黑洞，無法由外部存取到，藉此保全ISP業者其他客戶的安全性。

「不管是誰，第一次遭到DDoS攻擊時，面對這種打帶跑的攻擊形式，受害者往往是束手無策。」劉俊雄認為，多數有能力處理DDoS攻擊的業者，也都是從多次的受害經驗中，慢慢找出因應之道。不過，只要每個人、每間企業都能有意識到，每個人都有可能遭到DDoS攻擊，慢慢推演出一套因應DDoS攻擊的劇本，都有可能大幅降低DDoS對企業和使用者帶來的衝擊。