![[數位觀點] 政府網站頻遭DDoS攻擊,兇手在哪抓得到嗎?](https://3.bp.blogspot.com/-RV3nRDeldcA/VcConTiI_kI/AAAAAAABHwc/obyve5Y-Pz4/s1280/%25E8%259E%25A2%25E5%25B9%2595%25E5%25BF%25AB%25E7%2585%25A7%2B2015-08-04%2B%25E4%25B8%258B%25E5%258D%25887.56.40.png)
國際最大駭客組織「匿名者」亞洲(Anonymous Asia)從1日凌晨起,攻擊教育部與總統府網站,並強制封鎖5個小時,後續國防部、經濟部、國民黨、新黨、以及國民黨台北市黨部等網站都一一淪陷,紛紛遭受分散式阻斷服務(DDoS)攻擊。根據最新消息指出,4日下午匿名者亞洲再度攻擊法務部網站、行政院主計處網站、臺北市政府警察局刑事警察大隊等等,不過網站很快就恢復正常。
所謂DDoS攻擊,是一種駭客攻擊的手法,也稱為「洪水攻擊」,通常駭客是利用網路上已被攻陷的「殭屍」電腦,向特定目標網站發動密集式的拒絕服務式攻擊,用來耗盡目標網站的網路和系統資源,也就是說,等於大量使用者發動封包瀏覽、查詢網站,超出政府網站的主機和頻寬的負荷程度,因而網站被癱瘓(掛掉),無法正常瀏覽。
先前也曾發生有人提供DDoS攻擊工具,發動民眾進行大量DDoS攻擊,例如,2013年菲律賓槍殺台灣漁民事件,台灣網友也用「PTTATK鍵盤開戰」發動DDoS攻擊,癱瘓菲律賓多個官方網站。
(圖說:匿名者亞洲分部頻攻擊政府網站。圖片來源:截圖自網站。)
政府回應能力仍顯不足,呼籲民眾勿以身試法
政府機關網站遭受攻擊,權責單位雖是法務部調查局,但法務部調查局新聞聯繫科科長卻指出,此案已交由調查局內的資通安全處立案偵辦,由於偵查不公開,不便透露目前進度,也不願意透露自己的名字。至於調查局需要多少資源才能找出DDoS攻擊者?有沒有能力處理這個事件?這位科長的回應是:講這些都沒有意義,會依照辦案的SOP來進行,積極蒐集相關證據。
若是一般網站遭受攻擊,權責單位則是刑事局偵九隊,刑事局強調此次事件非他們權責,但同時又呼籲民眾勿以身試法,表示警方已把攻擊來源的IP位址全部錄下,將循線追查攻擊政府網站的攻擊者。將依據刑法第360條妨害電腦使用罪規定,「以電腦程式或其他電腦方式干擾他人電腦或其相關設備,致生損害於公眾或他人者須負相關法律責任」,來追查攻擊民眾,提起公訴罪。
Anonymous Taiwan / 台灣匿名者也在粉絲專頁上呼籲:
勿使用任何工具或網站攻擊政府包括"教育部旅遊網、Torshammer、LOIC..."等,一來是這些工具效果十分有限,二來依照我們的消息指出,如果偵九隊或調查局抓不到最主要的攻擊者,會拿好奇的、誤點連結的朋友們開刀,把他們當作是替死鬼。
行政院發言人孫立群3日發出聲明指出,
此種攻擊並不意味網站原有資安漏洞而遭入侵,亦無重要資料遭竊的問題。以百貨公司週年慶或高速公路為例,當瞬間湧入過多客人或車輛時,服務水準勢必低落甚至達到無法動彈的地步,但此並不意味百貨公司或高速公路的設施安全有問題。換言之,「分散式阻斷服務」是人為刻意導入網站的瞬間高流量,使網站失能的惡意作法。
教育部與相關單位即設法鑑別攻擊來源,對主要的來源在網路閘道口等處設法阻擋其連線,進行流量過濾與清洗,同時也調查攻擊來源的所在地為境內或是境外。如為境內,則進一步追查來源所屬單位或電信業者、用戶。如為境外,則透過國際資安合作組織CERT通報,請求協助查緝攻擊來源。經鑑別處理,網站多已恢復正常。
然而,DDoS攻擊雖然並非入侵政府系統漏洞,但DDoS攻擊也是資安防護的一環,近日來多個網站被攻擊而無法因應,此事件也顯示政府的反應能力仍顯不足。資安專家表示,「目前出狀況的網站,應該是缺乏適當的壓力測試來做把關,很可能是以程式寫出來能跑就好為目標,壓根沒考慮到大流量的情況。」而DDoS攻擊縱使很難事前預防,也不應將攻擊與網站的安全性脫勾,並非系統被入侵,才算是資安有問題,政府的回應能力將是一大重點。(延伸閱讀:如何進行網站壓力測試)
如何降低DDoS攻擊的影響?
趨勢科技資深技術顧問簡勝財說,遇到DDoS攻擊的話,的確需要很多資源來處理!一般網站約幾千人連線,駭客利用幾十萬、上百萬台電腦,伺服器、頻寬都負荷不了,網站就掛了。
簡勝財說,分散式阻斷式攻擊很難防護,因為網站是設計來讓使用者連線,沒辦法確定誰可以連你的網站。只能用一些方法來降低DDoS的影響,例如內容傳遞網路CDN業者,在全世界有很大頻寬的伺服器,能降低影響,但服務費用比較高。另一種是網頁過濾服務,把流量導到雲端,進行DDoS流量過濾。
如何處理DDoS攻擊?
簡勝財說,有些ISP業者、雲端服務有提供流量清掃服務,或擋下不正常的流量。另一種方法則是,把網站架在公有雲服務如AWS上,比較有彈性,但還是要看攻擊狀況怎麼樣,流量大的話也代表費用會變高。
另一位資安專家表示,針對已遭受DDoS攻擊的網站處理建議,向外尋求ISP業者及IDC(Internet Data Center)協助。
若是內部要自行處理的話,有兩個方式:
* 高連線數:建置Mod_Security、mod_evasive等模組啟用軟體式防禦。
* 高CPU、記憶體:檢視網站記錄檔,看有無不正常量存取某些特定 URL,該進入點可能佔用過多系統資源,例如搜尋等,可針對該頁面阻擋。
行政院資通安全辦公室說,常見的DDoS攻擊、置換網頁攻擊,部會多可自行因應,遇類似狀況,通常調整頻寬、清洗流量就可解決。只有出現APT攻擊時,資安辦才會介入協助。
然而,事實上,大部分各部會的網站都是外包公司做的,縱使有一個資安辦公室,但各級部會對資安的認知和意識是否已經足夠?以目前政府資安的編制,有那麼多資源和設備能處理DDoS嗎?如果為了保護政府網站,而要花許多頻寬和設備資源費用來因應DDoS攻擊,是否符合效益?此外,政府真的有技術能力及資源能找出真正的攻擊者是誰嗎?將IP位址錄下不是難事,但要如何辨認出攻擊者是誰?將會需要大量電信警察以及國安等級的人員來追蹤,恐怕都是隨著此事件一起浮上檯面的問題,在在考驗政府對資安危機事件的耐受力。行政院在呼籲網友理性的同時,能否下定決心完善國家的資安政策布局?
