[新聞] 中國網攻唐鳳出招破解了：數位發展部網站一秒都沒卡過 - Military板

首頁(home) 上頁(↑) 下頁(↓) 末頁(end)

※ 本文轉寄自 ptt.cc 更新時間: 2022-08-08 19:31:07

看板 Military

作者 golang (666NYCU666)
標題 [新聞] 中國網攻　唐鳳出招破解了：數位發展部
時間 Sun Aug 7 23:21:29 2022

中國網攻　唐鳳出招破解了：數位發展部網站一秒都沒卡過

原文來源：https://www.setn.com/News.aspx?NewsID=1157893

中國網攻　唐鳳出招破解了：數位發展部網站一秒都沒卡過 | 政治 | 三立新聞網 SETN.COM

自美國眾議院議長裴洛西訪台後，中共就在台灣進行了軍演，與此同時，也有不少境外IP頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳，近日接受媒體專訪時提及此事，指出以Web3為主的分散式架構，將可以完全排除阻斷性攻擊。 ...

原文摘要：

自美國眾議院議長裴洛西訪台後，中共就在台灣進行了軍演，與此同時，也有不少境外IP
頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳，近日接受媒體
專訪時提及此事，指出以Web3為主的分散式架構，將可以完全排除阻斷性攻擊。

唐鳳近日接受《自由時報》專訪，被問及政府機關網站遭到資安攻擊，政府是否有因應作
為？唐鳳則形容這幾天的狀況就像是電話佔線，而這個技術也叫大量阻斷服務攻擊（DDoS
），其實政府的資料並沒有外泄，而電話線也沒壞掉。但唐鳳指出，電話打不進去，就多
設專線的方式，從某個角度來看就像是消耗戰，要投入資源。

唐鳳說，數位發展部的網站在共軍演習當天上線，這個網站是採取Web3的架構，是個分散
型網絡、不對稱防禦的架構，在共軍開始軍演當天中午上線，「目前為止一秒鐘都沒有卡
住過」。唐鳳指出，比起傳統的流量清洗必須要花資源防禦，Web3就像是有人進線後接的
就會是機器人，不需要再有接線生了，和消耗戰不一樣。

至於是否會推廣到各機關部會，唐鳳表示，這個新的架構骨幹不需額外花錢，設計目的就
是為了避免遭阻斷攻擊，也鼓勵大家「打打看」，若能撐得住，沒問題的話就會推廣了。

事實上，自中共宣布軍演以來，我國公部門網站頻頻遭到境外勢力攻擊，外交部發言人歐
江安表示，在8月4日中午、8月4日深夜、8月5日清晨，境外網軍攻擊外交部手法更新，攻
擊更大量，惡意連線次數最大值已達每分鐘1億7000萬多次。外交部會持續保持高度警戒
，遇有任何異常情形，會即時妥為應處。

心得感想：

下午發完手殘刪到文

看起來新成立的數位發展部有在著手處理這次各部會網站遭到DDOS攻擊的問題

不過匪夷所思為什麼唐鳳要說數位發展部的解決方案是Web3之類的方案

因為我好奇看了一下數位發展部網站 moda.gov.tw

https://i.imgur.com/juXhYM1.png
https://i.imgur.com/EUezgiq.png

看起來是買了美國第三方 Cloudflare CDN 的商業服務
幫忙防禦住這次DDOS的攻擊

Cloudflare 的商業服務其實就是一個很務實解決DDOS方案
(烏克蘭的政府網站也有用)
不太確定有什麼難言之隱好不能公開透露的

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.249.90.91 (臺灣)
※ 文章代碼(AID): #1YxzXxBm (Military)
※ 文章網址: https://www.ptt.cc/bbs/Military/M.1659885691.A.2F0.html

※ 同主題文章:

● 08-07 23:21 golang. ■ [新聞] 中國網攻唐鳳出招破解了：數位發展部網站一秒都沒卡過

　 08-08 04:44 wt. ■ Re: [新聞] 中國網攻唐鳳出招破解了：數位發展部網站一秒都沒卡過

推 emptie : 啊？我早上看到的時候還以為有什麼黑科技是新聞在1F 08/07 23:23
→ emptie : 移花接木還是唐自己也不知道自己在說啥

噓 JiangWanan : 外包大臣只會花錢外包3F 08/07 23:24

→ emptie : 然後這網站才剛上線幾個小時也沒什麼人知道再加上4F 08/07 23:25
→ emptie : 裡面根本沒內容，應該不會成為攻擊的目標吧…

噓 QuentinHu : 就你們沒斷，其他人都被打爆，有屁用?6F 08/07 23:25

其實各部會都採購Cloudflare CDN的服務就好
烏克蘭也是開戰後全部掛上Cloudflare
靜態的內容這樣處理其實很足夠了

不過比較匪夷所思的是怎麼多出Web3/星際檔案/區塊鍊那坨東西

噓 extrada : 很像沒啥了不起，呵呵7F 08/07 23:25

→ emptie : 這外包沒啥問題吧重新發明輪子沒意義只是需不需8F 08/07 23:26
→ emptie : 要為了偶爾一次的這種攻擊花那麼多成本的問題（畢
→ emptie : 竟網站被癱瘓不等於政府機關被癱瘓）

推 blade0314 : 事實就是上線沒多久說不定有些DNS也沒記錄到這個11F 08/07 23:26
→ blade0314 : 跟斷網沒上線有87%像

→ ramirez : 天才IT大臣就是強!!!!13F 08/07 23:27

噓 samia28 : 笑死人的陰陽人14F 08/07 23:28

→ wild0522 : 簡單有效啊15F 08/07 23:28

推 tsengivy : 只要能解決問題管它外包還是什麼有現成的可用幹16F 08/07 23:29
→ tsengivy : 嘛從零開始開發費用還更貴有些噓文真的很莫名其
→ tsengivy : 妙

※ 編輯: golang (111.249.90.91 臺灣), 08/07/2022 23:30:54

噓 elfish123 : 笑死19F 08/07 23:31
→ elfish123 : 你還是去救酷啦皮卡比較實際

推 deathrow : 因為他在吹啊瞎掰一些名詞裝逼21F 08/07 23:32

→ taian3568 : 有些回文為何以為點到八卦版22F 08/07 23:32

推 attitudium : 能簡單的解決問題沒有什麼不好23F 08/07 23:32

→ taian3568 : 但是說他出招破解真的多了說有加強防護就好24F 08/07 23:33

→ finhisky : 如果沒被攻擊的話，沒卡不是正常的嗎25F 08/07 23:34

噓 JellyKing : 為什麼今天這種內宣新聞一直發阿.. 這麼厲害直接把26F 08/07 23:38
→ JellyKing : 這種系統上總統府外交部國防部阿明明這幾天我國政
→ JellyKing : 府網站都卡到爆了為什麼還要特別為"本部會不受影響
→ JellyKing : "發一篇新聞阿根本智障

推 wild0522 : 這裡不是八卦二板嗎30F 08/07 23:38

推 birdy590 : 其實這也沒什麼破解不破解的錢砸下去就解了31F 08/07 23:45
→ birdy590 : 對付 DDOS 只有一招有效就是"我的水管總和比你攻擊
→ birdy590 : 的量大" 這樣才有辦法存活甚至清洗

→ deathrow : 1.沒人知道沒被攻擊 2.我買Cloudflare擋DDOS 講實34F 08/07 23:46
→ deathrow : 話這樣就不夠天才IT大臣了

→ birdy590 : 總之不花錢是不可能解的這算是一種基礎建設36F 08/07 23:47
→ birdy590 : 還蠻多雲端業者在做 DDOS mitigation, 能力高低不一

→ HydraGG : 這id故意發的阿38F 08/07 23:48

→ birdy590 : cloudflare 網站宣稱的容量是 155Tbps(會變的)39F 08/07 23:49

→ Howard61313 : 通資電軍就算了，數位發展部的軍武點真的要考慮一下40F 08/07 23:50

→ birdy590 : 有些比較小的容量建到幾 Tbps 而已(打超過就掛了)41F 08/07 23:50

→ toshiba5566 : 怪裡怪氣陰陽人42F 08/07 23:50

→ birdy590 : 容量就是錢所以不花錢就是無解43F 08/07 23:50

→ tim910282 : 幾天后就會打臉了44F 08/07 23:50

推 qhapaq : 報告版主有人違規～45F 08/07 23:51

推 emptie : 可以討論大家都用cloudflare結果有一天他出問題反46F 08/07 23:52
→ emptie : 而造成一大堆網站同時下線的脆弱性（過去發生過幾
→ emptie : 次，持續幾個小時）

→ birdy590 : 樓上講的不是問題因為"可以同時買好幾家的服務"49F 08/07 23:53
→ birdy590 : 但是這就"需要更多的錢"
→ birdy590 : 可以參考 OTT 業者就有不同路線有完全自建CDN的
→ birdy590 : 也有兩種並行的, Disney+ 就是完全向現有業者採購
→ birdy590 : 起步的晚手上現金又多拿錢砸是最快最好的方法
→ birdy590 : 沒錢就別提了台灣業者打個幾十Gbps就死了

→ mmmimi11tw : 這裡不是八卦二板55F 08/07 23:57

推 emptie : OTT業者可以這樣做是他本來就砸很多錢在流量上，對56F 08/07 23:57
→ emptie : 很多機構來說官網能否運作並不是他的生命線被掐斷
→ emptie : 等級的嚴重程度

→ birdy590 : 這跟武器其實道理一樣要嘛外購要嘛自製花錢就對59F 08/07 23:57
→ birdy590 : 兩種都不選就想要能打天底下沒那麼便宜的事情
→ birdy590 : 沒發現領頭對抗 DDOS 的全都是 CDN 業者?

→ WhiteScars : 不知道為什麼提web3要這麽反感…cloudflare的網站上62F 08/07 23:58
→ WhiteScars : 就有介紹 https://www.cloudflare.com/zh-tw/web3/

→ birdy590 : 因為他們建立基礎建設的同時就把這條路也舖好了64F 08/07 23:58
→ birdy590 : 對抗 DDOS 重點就是要花錢而且系統搬上去會有限制
→ birdy590 : 灑在全世界各地的機器就是對抗的武器沒武器怎麼打
→ birdy590 : 政府網站其實算低難度因為海外出口相對不重要

推 s8626460 : 看有沒有專業人士剖析Web3或cloudflare是否能解決68F 08/08 00:01

→ birdy590 : 把國內進來的流量顧好國外就想辦法洗洗不掉就別用69F 08/08 00:02

→ s8626460 : 被攻擊的問題?70F 08/08 00:02

→ birdy590 : 國內外分流也是一種方式其實地域性是一種優勢71F 08/08 00:02
→ birdy590 : 根本沒有要讓全世界用的幹嘛搞那麼麻煩上 CDN?

→ s8626460 : 問題能否解決比較重要吧? 人身攻擊或是不是由自己處73F 08/08 00:03

→ emptie : 當然能解決啊 DDoS不是什麼很厲害的攻擊，你要防禦74F 08/08 00:03
→ emptie : 也就砸資源跟他硬碰硬就行了

→ s8626460 : 理並非解決問題的好辦法76F 08/08 00:03

→ birdy590 : 就跟打仗一樣你的槍比對方大支自然就佔優勢77F 08/08 00:04
→ birdy590 : 攻擊也需要成本讓對方覺得沒效自然就會停了
→ birdy590 : DDOS 清洗在國外其實已經是蠻成熟的一門生意
→ birdy590 : 真正的問題只有經營網站的是不是負擔的起~

推 s8626460 : 我是知道很多網站有使用cloudflare81F 08/08 00:06
→ s8626460 : 只是不知道cloudflare的技術能否解決這次遇到的攻擊
→ s8626460 : 感謝樓上的分享

推 shadow0326 : CDN聽起來很太土了，講web3聽起來比較時髦84F 08/08 00:07

推 birdy590 : 肯定可以因為目前防禦的規模是遠超出攻擊量很多85F 08/08 00:07
→ birdy590 : 但是1要負擔的起 2網站要想辦法搬的上去
→ birdy590 : 對前面幾家大頭來說台灣的攻擊量根本算不上什麼

推 s8626460 : CDN聽起來會土嗎? cloudflare在雲端安全股票也算有88F 08/08 00:10
→ s8626460 : 名,同時前兩年飆很兇

噓 pcfox : 嗯.....出手了？呵呵90F 08/08 00:21

推 eggeggyayaya: 嘻嘻91F 08/08 00:25

→ saccharomyce: 是在捧殺喔92F 08/08 00:25

噓 ctw01 : 造神文見一次噓一次93F 08/08 00:27

推 BFer : 八卦柵門又壞了94F 08/08 00:29

→ nkfcc : 國內外分流不見得有用。國內肉雞本來就不少。記得95F 08/08 00:36
→ nkfcc : 以前台灣被操控發起網攻的肉雞量也是名列前矛的。
→ nkfcc : 我的logwatch裡也常有hinet的ip，VPS是日本的。

推 BlackBass : 這裡是八卦板嗎？98F 08/08 00:45

推 wild0522 : 版主說不是99F 08/08 00:48

→ birdy590 : 並不會以台灣的狀況而言國內來的攻擊流量相對小100F 08/08 00:51
→ birdy590 : 而且"業者自己會覺得痛所以不會容忍長時間存在"
→ birdy590 : 國外來的隨便也幾十 Gbps, 國內網站沒幾家撐的住

推 h80733 : 噓的反串吧？這篇很明顯酸唐鳳103F 08/08 01:04

→ wild0522 : 帳號「golang」104F 08/08 01:05

→ h80733 : 反正就是表面上說用了多高科技，其實就是外包給國105F 08/08 01:05
→ h80733 : 外防ddos

推 bmasaya507 : 是不是要蓋牆了107F 08/08 01:07

推 xyz168 : CDN跟Web3還是不太一樣，Web3走去中心，CDN還是有108F 08/08 01:15
→ xyz168 : 中心，CDN叫decentralized，IPFS是distributed
→ xyz168 : 簡單來說，走到distributed，除非有辦法掌握51%的
→ xyz168 : 流量，不過這不可能，攻擊方的流量還是可以被吃光
→ xyz168 : CDN作為一個入口網站標準服務，內容掛在IPFS，避免
→ xyz168 : 造成DDoS攻擊灌爆少數單點的問題

→ birdy590 : 以政府網站而言分散到國際業者去其實很奇怪114F 08/08 01:18
→ birdy590 : 國內外分開是比較可行的作法國外可訪問但流量有限
→ birdy590 : 或是對國外的入口分散到國際業者去國內的也散出去
→ birdy590 : 有點本末倒置本來其實也攻擊不到的
→ birdy590 : 而且國內外分開就可以考慮自建對國內的清洗服務
→ birdy590 : 真正的問題只有一個就是舊架構水管太小而且惟一

推 cangming : cloudflare的web3是你要跟他合作基礎架構建置才會有120F 08/08 01:24
→ cangming : 不是外包就會生出來的東西好嗎
→ cangming : 國內外分流之前香港公投就證明沒用了 DDOS的來源一
→ cangming : 堆是你各位買的IOT裝置直接變殭屍你還不知道

推 birdy590 : 擋國內難度比各位想像中低~124F 08/08 01:26

推 xyz168 : DDoS也並非要多高流量才能讓服務器掛掉，只要讓125F 08/08 01:26
→ xyz168 : 服務器持續busy就好

→ birdy590 : 而且政府網路在國內沒道理建不起夠大的水管做清洗127F 08/08 01:26

→ cangming : 看到cloudflare就只會講CDN的大概也不懂啥叫Route5128F 08/08 01:27
→ cangming : 3跟AnyIP

→ birdy590 : 硬裡子還是一樣我準備的水管比你大就一定打不死130F 08/08 01:27

→ cangming : 清洗只對低階協定有用啦高階協定你是要清洗啥131F 08/08 01:27

→ xyz168 : DDoS攻法很多種，有的不是國外直接進來，是經過132F 08/08 01:28
→ xyz168 : 國內跳板，不會那麼容易洗

→ cangming : 一堆殭屍送半連接給你你是要怎麼清洗別傻了好嗎134F 08/08 01:28

→ birdy590 : DDoS 還經過"跳板"?! 你真的知道自己在講什麼嗎135F 08/08 01:28
→ birdy590 : 就洗啊固定的pattern並不會很難洗

→ xyz168 : reflection過來，是要去哪裡洗137F 08/08 01:29

→ birdy590 : 殭屍丟出來的 "不會是正常的訊務" 現在要搞大規模138F 08/08 01:29

→ cangming : DDOS都用殭屍IOT做跳板不是現在主流嗎...139F 08/08 01:29

→ xyz168 : 原來有人不知道DDoS可以這樣攻？＠＠140F 08/08 01:29

→ birdy590 : SYN flooding, 已經不是主流了成本太高141F 08/08 01:29
→ birdy590 : amplication attack 不是"跳板" @@
→ birdy590 : 那些IOT裝置本身就是反射流量的來源但只能反射垃圾
→ birdy590 : 垃圾==容易清洗 (例如正常網站哪來那麼多奇怪UDP?)

→ cangming : SYN Flooding哪會成本太高... OSI七層先去搞懂來好145F 08/08 01:31
→ cangming : 嗎

→ birdy590 : 偵測系統甚至可能在幾秒鐘內就生成過濾的規則147F 08/08 01:31
→ birdy590 : IOT 裝置"無法做為 SYN flooding 的來源"
→ birdy590 : 這幾年的主流都是各種反射攻擊純灌流量
→ birdy590 : 並沒有取得控制權只是利用漏洞反射放大流量
→ birdy590 : 能夠反射的都是有漏洞的服務本身生成內容無法變化
→ birdy590 : 能夠產生任意流量(eg SYN flooding) 這種僵屍很值錢
→ birdy590 : 值錢代表數量少, 數量有限也不會隨便拿來用

推 cangming : https://is.gd/nENEzu154F 08/08 01:37
→ cangming : 你說的只存在在理想中現實是上面那樣的
→ cangming : 2014年的香港DDOS攻擊只要是網路工程師都應該知道
→ cangming : 對手也正好是中共
→ cangming : 當時就驗證清洗流量沒有預期效果

香港公投網站DDoS攻擊內幕大公開，連Google、亞馬遜都擋不住 | iThome

一開始投票，PopVote線上投票網站就遭遇到了超大規模的DDoS攻擊，攻擊流量達網路史上第二高，連找Amazon或Google網路服務支援都擋不住，CloudFlare最後靠著全球網路服務業者聯手，才撐過了這10天投票過程。 ...

→ birdy590 : 現實是你上面那個案例他們只是"可憐的 end user"159F 08/08 01:39
→ birdy590 : 誰幫他們清洗流量來著? 沒有他們也負擔不起
→ birdy590 : 這幾年攻擊紀錄已經推進到 Tbps 規模了

→ cangming : 更不是你水管就能解決你水管再大大得過google還是162F 08/08 01:40
→ cangming : AWS嗎人家都撐不住了

→ birdy590 : "DNS反射攻擊流量每秒超過100Gb，而NTP反射攻擊流量164F 08/08 01:40
→ birdy590 : 甚至更高達每秒300Gb" 這些都是非常容易清洗的
→ birdy590 : 以政府網路而言國內每家骨幹先接個幾百 Gbps
→ birdy590 : 還打的死你找我

→ cangming : 還end user勒當年Google跟AWS的一線維運團隊都下來168F 08/08 01:41
→ cangming : 了...

→ birdy590 : 香港這案例的問題 1.他們碰不到網路 2.國內外混合170F 08/08 01:41
→ birdy590 : 為什麼來自台灣的流量會打死香港的投票網站?
→ birdy590 : 這其實暴露出一個問題就是"這種網站散不到全世界"
→ birdy590 : 到頭來是給香港人用的, 散到全世界只是墊高成本

→ cangming : 站點也不在香港是AWS174F 08/08 01:43
→ cangming : 都甚麼年代了早就都上雲了好嗎

→ birdy590 : 從 2014 到現在技術也進步很多了主要是大水管降價176F 08/08 01:44

→ cangming : 你當AWS會沒有自己的流量清洗裝置嗎177F 08/08 01:44

→ birdy590 : AWS 也是有區域性的它在區域的出口是出了名的摳178F 08/08 01:44

→ cangming : 我是不知道現在TLS層級以上有什麼清洗方法啦179F 08/08 01:44

→ birdy590 : 並不是上了 AWS 問題就解決了180F 08/08 01:45

→ cangming : 如果有的話那也不需要DDOS了181F 08/08 01:45

→ birdy590 : "DNS反射攻擊流量每秒超過100Gb，而NTP反射攻擊流量182F 08/08 01:45
→ birdy590 : 甚至更高達每秒300Gb" 這些都屬於低層次的
→ birdy590 : "另外還出現了以攻擊網路第四層為主的SYN Flood洪水
→ birdy590 : 攻擊" 真正麻煩的是這個所以國內外分流就更重要

→ cangming : 你講的那些流量清洗都只對低階封包有效你有玩過防186F 08/08 01:46
→ cangming : 火牆就知道 APP層級以上的NGFW那個流量容量只有一般
→ cangming : 容量的一成不到

→ birdy590 : 分流的不只是網站入口最好連看的網站內容都分開189F 08/08 01:46
→ birdy590 : 你不知道反射攻擊全都是低階封包?
→ birdy590 : 連 router ACL 都可以輕易擋下, 只是水管要夠大條

→ cangming : 前提是你還要先把憑證塞進去問題是你敢把你的私鑰192F 08/08 01:47
→ cangming : 給ISP只為了做流量清洗嗎別傻了

→ birdy590 : SYN flooding 比較麻煩是可能跟正常的混在一起194F 08/08 01:47
→ birdy590 : 憑證? 你以為反射攻擊那些垃圾流量有什麼鬼憑證
→ birdy590 : 拜託一下如果不懂真的少講 @@
→ birdy590 : 看前面我也講過了 "這幾年 SYN flooding 不流行了"
→ birdy590 : 以前對岸出現在最恐怖是連 source IP 全都假造的
→ birdy590 : 你只能看到從上游某個介面進來然後沒有了
→ birdy590 : 你向上游報修變成上游要想辦法找出哪一家進來的
→ birdy590 : 中間隔幾層就要找幾次等你找到可能一星期過去了
→ birdy590 : 這種流量現在也能洗但是成本會墊高蠻多的
→ birdy590 : 而且前提一樣 "水管總和必須大於攻擊流量"
→ birdy590 : 進來 500G, 實際上有意義 10G, 你就得準備 500G+
→ birdy590 : 對一般人來說哪有那種財力, 但政府網路應該要有
→ birdy590 : 2014 年 100G 介面還是天價, 但現在早就不是了

噓 a8785007 : ………207F 08/08 01:56

→ smaxtor2002 : 這種靜態的還被ddos就好笑外包大臣208F 08/08 01:57

→ mmnnoo …

推 birdy590 : 自建CDN 灑到國內各家業者去這也可以210F 08/08 01:59
→ birdy590 : 總之維持舊架構穩死直接買國際業者服務這也很怪
→ birdy590 : 因為大部份政府機關網站對境外連線全斷也不會怎樣
→ birdy590 : 要先搞清楚想要維持的服務範圍到底長什麼樣子

噓 rcat2010 : 這跟軍武版的關聯性？214F 08/08 02:09

推 birdy590 : 可能把網路戰也算是戰爭的一環吧~215F 08/08 02:10

噓 lupefan4eva : …216F 08/08 02:13

推 kevin020792 : 看上面推文神仙打架很歡樂，啊就是會穿插一些人身217F 08/08 02:13
→ kevin020792 : 攻擊超煩的。

推 Bf109G6 : 國軍 '據說' 軍網已經實體隔離但是那種人治的環境219F 08/08 03:01
→ Bf109G6 : 以往出事情都是越高階越大包實在不好說..
→ Bf109G6 : ex. 無期徒刑那位

噓 KJoshT : 數位發展部只顧好自己就可以了嗎？222F 08/08 03:46

噓 aw7square : 可憐哪把這小丑當寶捧223F 08/08 04:44

推 izplus : 一直攻擊性取向很無聊耶224F 08/08 05:04

推 semicoma : 這篇就不是在說用cloudflare有問題而是在說唐鳳亂225F 08/08 05:44
→ semicoma : 用buzzwords裝模作用另外台灣對軟工的不重視從
→ semicoma : 政府標案到民營企業都一樣廢 7-eleven已經是數一數
→ semicoma : 二大的零售商了 app的ui/ux什麼鳥樣? 一堆券商萬年
→ semicoma : 的三竹系統如果跟美國和中國的券商app比根本恐龍
→ semicoma : 時期產物再來是像ez way或健保快易通ui/ux有夠爛
→ semicoma : 都是那種開發者知道怎麼使用就覺得一般使用者也知
→ semicoma : 道怎麼使用的情況你開發公司就算沒請夠專業的ui/u
→ semicoma : x設計師至少也找個測試工程師吧? 我甚至還沒提從
→ semicoma : 中央到地方對政府標案的驗收漏洞有些政府軟體標案
→ semicoma : 不知道為什麼就是會讓某些公司做然後又剛好驗收
→ semicoma : 時會睜一隻眼閉一隻眼或者像taiwan plus花10億打
→ semicoma : 造結果只有不到四萬次下載量這種鳥事那反正這些鳥
→ semicoma : 事都還要有人護航那就隨便吧反正看極限情況時壓
→ semicoma : 力測試會有多精彩

推 Arbin : 自建CDN...240F 08/08 06:00
→ Arbin : 有了HiNet CDN這負面例子
→ Arbin : 讓我不是很想相信台灣的CDN

→ CYL009 : 太神了請各單位好好學習喔243F 08/08 06:12

→ gcnet : 辦公室也可以準備設在國外了244F 08/08 07:10

推 hn84679402 : 就只有CDN擋得住DDOS Web3?245F 08/08 08:53

噓 DoBahaha : 大內宣唬爛洨246F 08/08 08:57

推 cangming : HTTPS HTTP DDOS又不是什麼新攻擊手法你隨便找一台247F 08/08 09:00
→ cangming : 爛IOT都能瞬發上千個連線光是慢攻擊就能讓你升天了
→ cangming : 這種攻擊甚至不需要多少流量你講的離實務根本太遠
→ cangming : 現在NGFW也沒幾家你講的業者多半也是使用fotigate
→ cangming : 這些廠商不需要你親自去玩你去找他們機器看spec就
→ cangming : 知道 app層級的清洗沒有什麼在上百G的你所說的都僅
→ cangming : 限低階協定的清洗
→ cangming : 就連有專用晶片的fortigate也沒能超過10gbe的能力
→ cangming : iot威脅有多大各位先想想有在玩智慧家電的有多少是
→ cangming : 用中國小米就算不是中國小米好了今年年初asus rou
→ cangming : ter 被apt攻破你各位有記得去更新嗎

推 birdy590 : 拜託一下目前 DDOS 的紀錄是微軟 Azure 接下的258F 08/08 09:08
→ birdy590 : 3.47 Tbps... 應該說 2020 以後規模就突破 Tbps 了

→ cangming : https://is.gd/zZGKZf 殭屍網路的DDOS越來越變成主260F 08/08 09:09
→ cangming : 流就是因為流量清洗對他幾乎無效你只能靠anyip和r
→ cangming : oute53技術把他分到不同的後端去

殭屍網路發動大規模DDoS攻擊，每秒發出逾1,700萬次HTTP請求 | iThome

內容遞送網路（CDN）暨資安服務業者Cloudflare近期攔截一波大規模的DDoS攻擊，目標是該公司金融業客戶，攻擊流量來自全球超過2萬個殭屍網路的機器人（Bot），它們僅在數十秒之內發出了3.3億次HTTP請求 ...

→ birdy590 : 有沒有死? 沒有... fortigate 連圖都進不去263F 08/08 09:10
→ birdy590 : 把防火牆和這個混在一起這個觀念就第一個錯了

→ cangming : 至於為什麼現在也不考慮流量了因為慢連結只在乎數265F 08/08 09:10
→ cangming : 量他連線建完就不會消耗流量但會消耗你後台的CPU
→ cangming : 跟記憶體資源所以你一直在流量上打轉根本就沒弄清
→ cangming : 現在DDOS是怎麼做的

→ birdy590 : 你上面這套思路都是錯的為什麼超過 Tbps 打不死?269F 08/08 09:11
→ birdy590 : 很簡單因為一進門就被丟掉了後台CPU?

→ cangming : TLS連線都是加密資料你是要怎麼丟啦XDDD271F 08/08 09:12

→ birdy590 : 傳統那種, 防火牆擋在網站前面的模式對抗不了DDOS272F 08/08 09:12

→ cangming : 你說的都僅限未加密連線好嗎273F 08/08 09:12

→ birdy590 : 你為什麼總是幻想那些放大攻擊有辦法建立起連線?274F 08/08 09:12
→ birdy590 : 流量清洗之所以可行正是因為"那些都可以直接丟掉"

→ cangming : 那麽這幾年HTTP DDOS是鬼嗎XD276F 08/08 09:13

→ birdy590 : 它就是純粹的用很大的流量把傳統架構的水管灌爆277F 08/08 09:13
→ birdy590 : 又鬼打牆了 "SYN flooding 這幾年較不流行了"

→ cangming : 事實就證明這個很有效老俄今年攻擊烏克蘭DDOS也是279F 08/08 09:13
→ cangming : 用這招

→ birdy590 : 因為主角是那些 IOT 裝置, 並不是你們想像的"跳板"281F 08/08 09:14
→ birdy590 : 對現在那些雲服務為主的業者, 這招一點用也沒有
→ birdy590 : 人家總水管破百 T 了, 小的至少也有幾T 你慢慢灌吧

→ cangming : 現在都用殭屍網路布局先用APT打下IOT裝置然後利用284F 08/08 09:15
→ cangming : CC server控制這些變成殭屍的裝置去發連線這又不是
→ cangming : 什麼很難的東西

→ birdy590 : ... 發連線? 你真的知道什麼叫"放大攻擊"嗎287F 08/08 09:15

→ cangming : 連線本身都是合法的人家只是資料送得慢而已288F 08/08 09:16

→ birdy590 : 昨天在 FB 有看到一些討論... 上雲以後很多會變快照289F 08/08 09:16
→ birdy590 : ... 放大攻擊哪來的連線? 就是純粹的垃圾流量
→ birdy590 : 事實上很多網站已經是這樣使用者看到的未必是即時
→ birdy590 : 後台出問題的時候使用者看到的是之前留下的快照
→ birdy590 : 這是不會全死沒錯但是對政府網站來說不是很實際

→ cangming : DDOS又不是只有放大攻擊而且放大攻擊就那幾種現在294F 08/08 09:18
→ cangming : DDOS都是複合性的攻擊時不會只有反射放大一種

→ birdy590 : 你沒發現就算是2014年流量的主角都是放大攻擊?296F 08/08 09:18
→ birdy590 : 並沒有什麼"都是複合性的" 這回事
→ birdy590 : 然後 SYN flooding 會耗用的殭屍資源是比較值錢的
→ birdy590 : 你想像的真的有辦法建立加密連線的這就更值錢

→ cangming : 建議你先去看近期的資安報告或新聞你想得到的攻擊300F 08/08 09:19
→ cangming : 者也都知道

→ birdy590 : 但這同樣不代表有辦法打的死因為以現在的狀況302F 08/08 09:19
→ birdy590 : 服務分散開來以後容量已經是打不死的程度
→ birdy590 : 前提還是一樣 "你必須先有比攻擊量更大的水管"

→ cangming : 你的對手是中國耶你都有辦法花大錢弄水管擁有世界305F 08/08 09:20
→ cangming : 數一數二 APT組織的中國沒錢用殭屍網路？

→ birdy590 : 因為 IOT 裝置"並不能做到你想要的值錢的攻擊"307F 08/08 09:21
→ birdy590 : 數量最多的就只能灌水純粹的丟垃圾流量

→ cangming : 你要不要先看看這兩年爆出來的APT攻擊推測的幕後組309F 08/08 09:21
→ cangming : 織是哪國的
→ cangming : 你太小看IOT裝置了再爛也是ARM CPU 你想都能連wifi
→ cangming : 發個HTTPS連線困難嗎

→ birdy590 : 能做 SYN flooding 甚至 spoof IP 的用一個少一個313F 08/08 09:22
→ birdy590 : 你太大看IOT裝置了它的漏洞並不是讓你拿root
→ birdy590 : 都是利用協定本身的漏洞以前設計的時候沒想到這個

→ cangming : 事實上近兩年HTTP DDOS層出不窮這也不是甚麼新聞了316F 08/08 09:23
→ cangming : 你覺得不存在但他就是在那裡

→ birdy590 : 十年前 HTTP DDOS 可是主角呢但主客異位很久了318F 08/08 09:24
→ birdy590 : https://bit.ly/3P8yTzc

How UDP Amplification is Taking DDoS Attacks to the Next Level - Secplicity - Security Simplified

Distributed denial of service (DDoS) attacks have grown significantly in size over the last three years. A recent instance nicknamed “Memcrashed” was ...

→ cangming : 就因為是協定漏洞才會因為符合pattern 被清洗啊你320F 08/08 09:24
→ cangming : 的網路世代還停留在這種攻擊技巧嗎

→ birdy590 : ... 協定漏洞代表的是"它只能是該協定的回傳封包"322F 08/08 09:25
→ birdy590 : 所以簡單的 L4 filter 就全部濾光了完全不費力

→ cangming : 世代又反過來了好嗎 DNS放大都出來多久了現在只是324F 08/08 09:25
→ cangming : 因為會被清洗所以又回去用HTTP而已

→ birdy590 : HTTP 沒辦法放大謝謝326F 08/08 09:26
→ birdy590 : 而且SYN flooding 一樣能洗就是判斷建不建的起來

推 cangming : https://is.gd/Ugzhdd328F 08/08 09:27

【臺灣資安大會直擊】1.7Tb流量的DDoS攻擊來襲，IoT僵屍網路威脅不可輕忽 | iThome

關於分散式阻斷服務（DDoS）攻擊，並非是新的網路攻擊手法，但隨著IoT殭屍大軍的出現，讓它更具威脅，每個人都可能是幫兇，也可能是受害者 ...

→ birdy590 : 一個IP每秒發一堆request 但是建不起來這就能擋329F 08/08 09:27

→ cangming : HTTP不需要放大又不是DDOS就一定是放大攻擊兩個沒330F 08/08 09:28
→ cangming : 有等義好嗎麻煩看看業界現況...
→ cangming : http req都發了就是連線建起來了啦Xdd 去看一下tcp
→ cangming : 握手流程好嗎

→ birdy590 : 你貼的這個就是 1.7Tbps "reflection/amplification334F 08/08 09:30

→ cangming : 殭屍網路貴是貴但人家中國不缺錢也不缺技術335F 08/08 09:30

→ birdy590 : attack" TCP 規模大不了這是常識不需要解釋的336F 08/08 09:30
→ birdy590 : 這不是錢買的到的 Zzz "值錢" 指的是"數量有限"
→ birdy590 : 能夠用來反射的裝置很多真正能取得控制的卻很少

→ cangming : 你自己往下捲然後HTTP攻擊不在乎流量你一直在流量339F 08/08 09:31
→ cangming : 上跳針是哪招
→ cangming : 不多啦上億台而已

→ birdy590 : 純粹灌垃圾這種方式發起相對容易而且子彈用不完342F 08/08 09:32

→ cangming : 打你一個site夠了343F 08/08 09:32

→ birdy590 : 上面講過了目前最多是 3.47 Tbps, 大咖是打不死的344F 08/08 09:32
→ birdy590 : 軍備競賽其實已經進行蠻多年了一開始是很有效的
→ birdy590 : 就像你上面貼 2014 的香港那年代幾百G就很恐怖

推 Oisiossos : 外包了347F 08/08 09:33

→ birdy590 : 但是現在再打幾百G? 就輕鬆接下來不然怎樣?348F 08/08 09:33
→ birdy590 : 你"以為"10G就是很大的介面這觀念確實需要更新
→ birdy590 : "有專用晶片的fortigate也沒能超過10gbe的能力"
→ birdy590 : 這就不是 NGFW 的強項別把它硬扯進來

推 cangming : https://i.imgur.com/jn9KWhI.png352F 08/08 09:35
→ cangming : https://i.imgur.com/qv8QbO6.png

→ birdy590 : 我猜這裡的 HTTP 應該就是 SYN flooding354F 08/08 09:38

→ cangming : DDOS攻擊手法百百種不是只有利用協定漏洞打的反射.355F 08/08 09:38
→ cangming : .. 你哪天真的在業界處理到case就知道了
→ cangming : syn flood是L3 層級就不一樣了怎麼會是一樣的東西
→ cangming : 不要亂猜先去把計概念熟

→ birdy590 : 還是老話一句 "完全取得控制的資源相對寶貴"359F 08/08 09:39
→ birdy590 : SYN flooding 80/443 不就是HTTP/HTTPS 攻擊?

→ cangming : 你這樣說沒用啊現在最讓人頭大的就是這些攻擊中國361F 08/08 09:40
→ cangming : 有錢有人有技術你覺得他會怎麼做

→ birdy590 : 現實上近年來攻擊的分佈就是灌流量為主, 這種高層次363F 08/08 09:40
→ birdy590 : 不是錢的問題好嗎到底要講幾次 "值錢"指的是取得難
→ birdy590 : IOT 裝置幾乎是免費的因為打完也不用怕會被拆掉

→ cangming : 當然不是... syn flooding 是tcp握手不回覆ack... h366F 08/08 09:41
→ cangming : ttp攻擊是慢連結或是已知大量耗用資源的api...

→ birdy590 : 你又把值錢程度拉的更高了~ 這種現在佔比例其實很低368F 08/08 09:42

→ cangming : 所以syn flooding是L3 不是L7= = 為啥我要在軍事版369F 08/08 09:42
→ cangming : 上幫人上計概啊...

→ birdy590 : 我的工作範圍就包括這個這種高層次的攻擊十次也371F 08/08 09:43
→ birdy590 : 沒看到一次現實上灌流量對一般目標是很有效

→ cangming : L7攻擊都是合法連線跟應用你清洗洗不掉的373F 08/08 09:44

→ birdy590 : 例如一般企業網站搬也搬不走散不開也上不了雲374F 08/08 09:44
→ birdy590 : 這種只能從網站架構上去改進但政府網站屬於這類?
→ birdy590 : 我不認為政府網站是綁死搬不走也分散不開的那種
→ birdy590 : slow attack 在教科書上比較重要真實世界裡還好
→ birdy590 : 你看哪份攻擊報告有提到這個的? 大部份都關心刷紀錄
→ birdy590 : 他們講 web3 就是特別不怕這個, 你卡一個worker無用

推 cangming : https://is.gd/ZMMyl4380F 08/08 09:49
推 cangming : 真的有錢人不在乎成本的時候甚至不用iot了

大規模HTTPS加密流量DDoS攻擊鎖定Cloudflare用戶，每秒最高近2,600萬次請求 | iThome

雲端服務業者Cloudflare揭露發出大量請求的DDoS攻擊事故，駭客約從晚上10時26分30秒開始行動，透過雲端伺服器與VM產生HTTPS流量，網路攻擊流量在約3秒之後達到高峰，發出的請求次數為每秒近2,600萬次 ...

→ birdy590 : 這應該反過來問你最近看到哪次事故是真的被打死的?382F 08/08 09:53
→ birdy590 : "攻擊者運用由5,067臺設備組成的殭屍網路"
→ birdy590 : 5067 台其實是很少很少的一個數字

推 ByronX : 這篇文竟然在這po 出來了385F 08/08 09:55

→ birdy590 : 這攻擊目標應該很值錢因為被入侵的VM/伺服器最稀少386F 08/08 09:59
→ birdy590 : 而且你一旦用過很容易就被發現並且修補了

推 cangming : HTTP攻擊效果非常好不管是那個site都不可能保證每388F 08/08 10:05
→ cangming : 個放在外頭的api有C1K的能力 C10K更不要說了這個ca
→ cangming : se每個vm發兩個connection 就破10k了
→ cangming : 然後aws或是GCP辦個帳號你要一口氣拉起上百台也不是
→ cangming : 的問題更別說中國自己有阿里雲

推 jerrylin : 因為根本沒人聽過吧沒被攻擊393F 08/08 10:14
→ jerrylin : 今天晚上看會不會被攻陷

推 cangming : 今年趨勢可以看cloudflare報告395F 08/08 10:18
→ cangming : https://is.gd/h1yETJ

→ birdy590 : 這還是被傳統架構綁住的腦子 @@397F 08/08 10:20

推 cangming : 烏克蘭的例子就是被全球分散的殭屍網路發動HTTP DDO398F 08/08 10:22
→ cangming : S
→ cangming : 其實說傳統架構就算是上雲也不一定能解啦 DB的操作
→ cangming : 如果不能有效scale out 一樣會炸掉

→ birdy590 : 講白話一點這個世界上多數網站可說完全沒有防護402F 08/08 10:24
→ birdy590 : 這種簡單丟個幾十G就死了不需要什麼麻煩的手法
→ birdy590 : 我們的政府網站其實多數也停留在這個層次

噓 tin123210 : 新部會沒被打吧，吹到天上去405F 08/08 10:27

推 cangming : 是啊尤其是現在IOT裝置越來越多一堆裝置能聯網但406F 08/08 10:27
→ cangming : 訊息都沒加密甚至連升級韌體的對外連線都是裸奔想
→ cangming : 到就可怕
→ cangming : 但是一般用戶怎麼可能會知道要記得用防火牆擋一擋
→ cangming : 這種隨隨便便就變成別人家的殭屍

→ birdy590 : 爛 AP 本身就是漏洞的來源好嗎, UPNP 這幾年是主角411F 08/08 10:30
推 birdy590 : DNS/NTP 之類比較新的很多都修補過了只會愈來愈少

推 cangming : 對就是那個asus 比tplink還脆弱是哪招413F 08/08 10:31

推 s8626460 : 非常感謝推文裡幾位理性大量的討論414F 08/08 10:46
推 s8626460 : 趁機了解一些皮毛,當初學的計概已是年代久遠的東西

→ serrier : 這麼簡單方法?國防部其他部門都不會?你敢信?416F 08/08 10:55

→ askeing : Cloudflare看起來有提供Web3,IPFS gateway等服務417F 08/08 12:10

噓 ethanwu0414 : 某媒體又在造神418F 08/08 12:54

推 ewjfd : 真奇葩沒有一則推文譴責中國攻擊全在譴責唐鳳419F 08/08 13:27
→ ewjfd : 這些人才是實體DDOS吧

推 codehard : 就心理戰啊不怪拉屎的怪清屎的421F 08/08 13:55

推 labell : 感覺先拿下台大比較重要422F 08/08 14:25
→ labell : 不然PTT一堆水桶愛台帳號

※ 看板: Military　文章推薦值: 0 目前人氣: 0 累積人氣: 43　

分享網址: 複製

DispBBS

回到看板(←)《Military》

r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄同主題: =)首篇 [)上篇 ])下篇

回列表(←) 分享