原标题:中华电信第一手DDoS对抗经验大公开
中华电信资安处处长洪进福表示,因为各界非常关切2月7日券商遭到DDoS攻击事件,他们也在董事长一声令下,临时成立资安紧急应变中心,并纳入12个核心决策成员,快速因应攻击并和客户取得联繫。
图片来源:iThome
今年2月7日清晨12点之际,正是许多人準备入睡的时候,但此时中华电信资安监控中心(SOC)的成员却还在熬夜加班,因为,他们还在协助客户进行流量清洗的设定。这些客户其实就是在今年开春后,收到自称是Armada Collective(西班牙无敌舰队)骇客组织发送勒索信的台湾券商。
全台湾的券商总计有79家,面对国外骇客来势汹汹的恫吓勒索的手段,中华电信资安处处长洪进福说:「身为台湾最大的网路电信服务业者,也拥有为数最多证券业者的中华电信,面对此次充满许多未知因素的DDoS网路攻击,都必须要战战兢兢的保持高度警戒。」
在骇客宣称发动DDoS攻击的前一天(2月6日)台湾也有包括群益证券和大众证券传出遭到攻击,面对2月7日骇客宣称将对不愿意支付比特币赎金的券商,发动超过1Tbps的DDoS攻击流量,上从台湾金融业者的主管机关金融监督管理委员会,以及政府资安主管机关行政院资安处和ISP电信业者主管机关NCC(国家通讯传播委员会),下到全台湾79家券商以及其他相关金融业者等,莫不全面严阵以待,深怕一个疏忽,爆量的DDoS攻击不仅瘫痪台湾的券商网路交易平台。更有甚者,都可能让全台湾的网路连线服务,变成网路锁国的情况。
董事长下令成立资安紧急应变中心,攻击来源是海外IP
面对这一场台湾券商网路下单平台与国外骇客的网路攻防战役中,中华电信扮演相当关键的角色。洪进福表示,因为中华电信拥有最多的金融客户,加上这一波已经有超过20家的券商和金融业者,纷纷委託中华电信提供DDoS的防护服务时,中华电信能否稳稳的守住这一局,已经不单纯是中华电信这间公司的事情而已,甚至已经成为全台湾所有使用网路服务的民众和业者,都必须关注的议题。
面对外界对中华电信深切的期待,洪进福表示,在董事长郑优一声令下,中华电信便从2月7日一早,针对券商DDoS攻击事件临时成立资安紧急应变中心,他说:「这个小组成员包括他在内,总共有来自资安监控中心、网路维运中心(NOC)以及各个IDC机房主管共计12名的核心决策成员,而董事长甚至也亲自视察该应变中心的运作状况。」
「核心决策小组聚集在一起时,一旦有任何攻击情况发生,就可以立刻和客户沟通并快速下达因应的指令,」洪进福表示,而支撑这12人决策小组的则是中华电信来自资安监控中心、网路维运中心以及各地机房近百名的第一线工程师的经验和能力。
他也进一步解释,在中华电信紧急成立的战情室中,透过网路连线,同步监看来自资安监控中心、网路维运中心以及各个机房所有仪表板,决策成员都可以在第一时间,便从投影萤幕上看到哪个客户的网路遭到攻击、有多少攻击流量、採用什幺样的攻击手法,甚至是,这样的攻击到底是从海缆还是哪个网路节点进来,都可以看的一清二楚。
洪进福指出,这次的DDoS攻击事件中,可以从仪表板上的资讯发现,骇客针对券商的攻击IP多来自海外,不过,因为相关的IP都是伪造的,并无法真正确认骇客的所在地;其中,超过50%以上的攻击IP,则是从中华电信美国海缆的介面对台湾发动攻击。
中华电信提供DDoS多层次纵深防护,可以防堵从外部线路DDoS攻击进来的攻击流量,透过Border网路的境外阻绝和边境管制,将攻击封包阻挡在中华电信线路外面。如果攻击已经进入台湾的网路骨干,在Backbone网路进行控管,将攻击封包黑洞或Drop掉。最后,影响用户端网路服务,可透过隔离清洗方式过滤。图片来源/中华电信数据通信分公司
受骇券商最高2Gbps攻击流量,攻击封包每秒70万个
不过,洪进福坦言,DDoS攻击其实已经是相当普遍的网路攻击手法,以中华电信来说,针对目前已经提供DDoS防护服务的客户中,有许多像是线上游戏、代管甚至是博奕等产业的业者,DDoS攻击根本是家常便饭,骇客不只是照三餐攻击,有许多时候还有一天多次攻击同家公司的纪录。
以中华电信平常面临的DDoS网路攻击情况而言,每天都有超过100多次攻击流量介于1Gbps~10Gbps的DDoS攻击,超过10Gbps~30Gbps的攻击流量次数也有1%,而攻击来源IP位址,许多都是来自海外。
但若以2月7日当天遭攻击状况来看,除了群益证券、台新证券、德信证券和北城证券都确认有遭受到DDoS攻击外,从中华电信观察到的DDoS攻击态势来,这4家遭到DDoS攻击的券商,平均都遭到2Gbps~3Gbps瞬间攻击流量,平均的攻击封包则约为每秒70万个封包,平均骇客针对券商发动DDoS攻击的时间,最短为20~30分钟,最长也有持续攻击1小时不中断的案例。
网路安全专家刘俊雄先前受访时曾经表示,这类DDoS攻击是透过多重来源进行攻击,让资讯服务无法正常运作,其主要的目的大致不脱离勒索获利、打击竞争对手、政治意图、引人注意以及练功等。此次骇客DDoS攻击台湾券商主要的目的,很单纯就是为了勒索获利,还看不到其他的攻击目的。
而从受骇的券商名单来比对,金管会则认为,骇客组织发动的DDoS攻击应该是「乱枪打鸟」式的攻击行为,并没有一份所谓的攻击清单,可以用来确认,到底哪些台湾券商曾经发动过DDoS攻击,哪些还没遭到DDoS的攻击。所有的台湾券商都可能是骇客攻击的目标。
NTP反射放大攻击最多,其次是UDP和ICMP洪水攻击
目前DDoS的攻击可以分成消耗网路频宽,使正常网路使用者因为连线频宽耗尽,而无法取得网路服务的攻击形式,以及消耗系统记忆体或是处理器资源,让系统无法处理合法的封包请求的谘询消耗型的攻击形式。
若进一步分析骇客集团发动的DDoS攻击手法,洪进福表示,这次最主要的攻击手法,多是针对OSI网路第三层(L3)的攻击,主要目的就是要消耗大量网路频宽的攻击手法为主,少数才是消耗主机的系统支援的攻击方式。
至于这次券商DDoS攻击的手法中,洪进福指出,针对NTP(校时伺服器)发动的反射(Reflection)放大(Amplification)攻击,是此次所有攻击中比例最高的攻击模式;其次就是UDP Flood和ICMP Flood等2种洪水攻击的类型。
一般而言,多数电脑的时间快慢仍会有些许差异,许多对于时间要求精确的产业别,例如金融业等,就会透过卫星讯号进行正确的时间校正。而负责进行校正时间服务的伺服器就是NTP(Network Time Protocol)伺服器,校正时间的目的就是希望交易的时间和系统的时间是一致的。
由于NTP校时伺服器使用的通讯协定是使用UDP 123埠进行传输,NTP伺服器中包含一个Monlist指令,攻击主机就可以伪造受骇主机的IP位址,向NTP伺服器传送 MON_GETLIST 指令查询;由于IP位址是假的,此时NTP伺服器接收到这个查询指令后,就会不断地回传大量资料给受骇伺服器;受骇伺服器因为接收到大量伪造(Spoofing)的、非自身发出的时间校正需求的封包,就会导致该伺服器无法正常运作而挂点。
这类NTP反射放大的DDoS攻击,因为都是伪造IP,往往很难追蹤实际的攻击来源,加上骇客利用网路上非常普遍的校时伺服器作为发动假需求封包的工具,受骇伺服器马上就会被来自全球的NTP伺服器提出的校时封包的需求淹没。而最关键的问题在于,因为NTP伺服器的校时需求所使用的通讯协定,就是一种只要提出小小需求,就可以造成系统大量回应的UDP(User Datagram Protocol)协定。
至于UDP Flood洪水攻击,主要就是将大量的UDP Fragment封包直接塞爆网路频宽,也可以利用骇客将针对任何通讯埠所产生的UDP封包传送到锁定攻击的受骇主机后,这些受骇主机接收这些UDP封包时,因为没有程式可以处理这些UDP封包,受骇主机就会把这些没有办法处理的封包,又回传给伪造的来源IP,这也使得整个网路充满了ICMP(Internet Control Message Protocol)封包,因此塞爆整个网路频宽。
他指出,第三种其实就是攻击比例比较少的ICMP Flood洪水攻击,主要是因为骇客针对不安全的或者是设定不良的网路路由器发送广播讯息,藉此占用主机系统的资源,让系统无法继续提供服务。
即便事先租用流量清洗服务,仍须细部设定更能发挥效果
面对未知的攻击威胁,绝对不能掉以轻心,洪进福表示,从股市开市之前,所有的成员都绷紧神经,深怕真的会有爆量的Tb级DDoS攻击,会出现措手不及的情况,他笑说:「很多人根本连水都没时间喝、连厕所都没有时间上。」
2月7日股市一开市,立刻传出群益证券网路下单的网站遭到DDoS攻击而无法连线,洪进福表示,即便先前已经有做好流量清洗的设定,但还是有一些设定需要由客户端再做更细部设定和调整,才能达到更好流量清洗的效果。
所以,当天才会发生群益证券一开盘,就出现下单系统挂点的情况,「幸好,下单系统无法提供服务的状况,也都在半小时以内就完全排除;至于其他受骇券商所面临的DDoS攻击状况,虽然受攻击时间有先后之分,但大多也都在半小时内障碍完全排除、恢复正常运作。」洪进福说道。
从这次的实地攻防经验来看,洪进福认为,中华电信有一次很好的练兵机会,关键不在于这次有多幺爆量惊人的DDoS攻击流量,而是透过企业和ISP电信业者的共同协防的实际运作状态,真正让台湾的企业体会到,DDoS攻击对企业可能造成的危害,从所有事前的沙盘推演,更是拟真度百分百的DDoS攻防演练。
iThome Security
相关:
教育部今天表示,偏乡离岛学校通常师资较年轻化且流动率高,透过教学访问教师试办计划,宅配优秀老师到偏乡,希望协助翻转偏乡教育,传承教学经验和创新。教育部今天举行“105学年度教学访问教师试办计划”成果发表记
示意图,与新闻事件无关。 中华电信在新的一年接连出包,继上周网路异常导致用户短暂无法使用Google服务后,周日又因网路障碍,导致部份地区4G用户无法行动上网。为此,中华电信对造成用户的不便致歉,同时将研议补
中华电信4G网络下午传出当机,网友纷纷抱怨无法上网,中华电信今天表示,由于部分设备异常,造成台北、新北、宜兰等三个区域的部分客户无法上网,已于下午4时50分恢复正常。台大批踢踢网友下午约3时多发文表示,在台
中华电信4G网络下午传出当机,网友纷纷抱怨无法上网,中华电信今天证实,由于部分设备异常,造成台北、新北、宜兰等三个区域的部分客户无法上网,目前正在抢修中。台大批踢踢网友下午约3时多发文表示,在台北车站前
台湾人失眠的问题有多严重?失眠 (Insomnia)根据2015年台湾睡眠医学会的调查,慢性失眠盛行率为20.2%,话句话说,每5个人就有1位有失眠问题。近一步统计发现,失眠患者中,64.5%对药物有负面看法,67.3%希望依靠非药