[新聞] 中國網攻 唐鳳出招破解了:數位發展部

看板 Military
作者
時間
留言 423則留言,62人參與討論
推噓 39  ( 55推 16噓 352→ )
討論串 2
中國網攻 唐鳳出招破解了:數位發展部網站一秒都沒卡過 原文來源:https://www.setn.com/News.aspx?NewsID=1157893 原文摘要: 自美國眾議院議長裴洛西訪台後,中共就在台灣進行了軍演,與此同時,也有不少境外IP 頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳,近日接受媒體 專訪時提及此事,指出以Web3為主的分散式架構,將可以完全排除阻斷性攻擊。 唐鳳近日接受《自由時報》專訪,被問及政府機關網站遭到資安攻擊,政府是否有因應作 為?唐鳳則形容這幾天的狀況就像是電話佔線,而這個技術也叫大量阻斷服務攻擊(DDoS ),其實政府的資料並沒有外泄,而電話線也沒壞掉。但唐鳳指出,電話打不進去,就多 設專線的方式,從某個角度來看就像是消耗戰,要投入資源。 唐鳳說,數位發展部的網站在共軍演習當天上線,這個網站是採取Web3的架構,是個分散 型網絡、不對稱防禦的架構,在共軍開始軍演當天中午上線,「目前為止一秒鐘都沒有卡 住過」。唐鳳指出,比起傳統的流量清洗必須要花資源防禦,Web3就像是有人進線後接的 就會是機器人,不需要再有接線生了,和消耗戰不一樣。 至於是否會推廣到各機關部會,唐鳳表示,這個新的架構骨幹不需額外花錢,設計目的就 是為了避免遭阻斷攻擊,也鼓勵大家「打打看」,若能撐得住,沒問題的話就會推廣了。 事實上,自中共宣布軍演以來,我國公部門網站頻頻遭到境外勢力攻擊,外交部發言人歐 江安表示,在8月4日中午、8月4日深夜、8月5日清晨,境外網軍攻擊外交部手法更新,攻 擊更大量,惡意連線次數最大值已達每分鐘1億7000萬多次。外交部會持續保持高度警戒 ,遇有任何異常情形,會即時妥為應處。 心得感想: 下午發完手殘刪到文 看起來新成立的數位發展部有在著手處理這次各部會網站遭到DDOS攻擊的問題 不過匪夷所思為什麼唐鳳要說數位發展部的解決方案是Web3之類的方案 因為我好奇看了一下數位發展部網站 moda.gov.tw https://i.imgur.com/juXhYM1.png
https://i.imgur.com/EUezgiq.png
看起來是買了美國第三方 Cloudflare CDN 的商業服務 幫忙防禦住這次DDOS的攻擊 Cloudflare 的商業服務其實就是一個很務實解決DDOS方案 (烏克蘭的政府網站也有用) 不太確定有什麼難言之隱好不能公開透露的 --
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.249.90.91 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Military/M.1659885691.A.2F0.html
1Femptie: 啊?我早上看到的時候還以為有什麼黑科技 是新聞在 08/07 23:23
2Femptie: 移花接木還是唐自己也不知道自己在說啥 08/07 23:23
3FJiangWanan: 外包大臣 只會花錢外包 08/07 23:24
4Femptie: 然後這網站才剛上線幾個小時也沒什麼人知道再加上 08/07 23:25
5Femptie: 裡面根本沒內容,應該不會成為攻擊的目標吧… 08/07 23:25
6FQuentinHu: 就你們沒斷,其他人都被打爆,有屁用? 08/07 23:25
其實各部會都採購Cloudflare CDN的服務就好 烏克蘭也是開戰後全部掛上Cloudflare 靜態的內容這樣處理其實很足夠了 不過比較匪夷所思的是怎麼多出Web3/星際檔案/區塊鍊那坨東西
7Fextrada: 很像沒啥了不起,呵呵 08/07 23:25
8Femptie: 這外包沒啥問題吧 重新發明輪子沒意義 只是需不需 08/07 23:26
9Femptie: 要為了偶爾一次的這種攻擊花那麼多成本的問題(畢 08/07 23:26
10Femptie: 竟網站被癱瘓不等於政府機關被癱瘓) 08/07 23:26
11Fblade0314: 事實就是上線沒多久 說不定有些DNS也沒記錄到 這個 08/07 23:26
12Fblade0314: 跟斷網沒上線有87%像 08/07 23:26
13Framirez: 天才IT大臣就是強!!!! 08/07 23:27
14Fsamia28: 笑死人的陰陽人 08/07 23:28
15Fwild0522: 簡單有效啊 08/07 23:28
16Ftsengivy: 只要能解決問題 管它外包還是什麼 有現成的可用幹 08/07 23:29
17Ftsengivy: 嘛從零開始 開發費用還更貴 有些噓文真的很莫名其 08/07 23:29
18Ftsengivy: 妙 08/07 23:29
※ 編輯: golang (111.249.90.91 臺灣), 08/07/2022 23:30:54
19Felfish123: 笑死 08/07 23:31
20Felfish123: 你還是去救酷啦皮卡比較實際 08/07 23:31
21Fdeathrow: 因為他在吹啊 瞎掰一些名詞裝逼 08/07 23:32
22Ftaian3568: 有些回文為何以為點到八卦版 08/07 23:32
23Fattitudium: 能簡單的解決問題 沒有什麼不好 08/07 23:32
24Ftaian3568: 但是說他出招破解真的多了 說有加強防護就好 08/07 23:33
25Ffinhisky: 如果沒被攻擊的話,沒卡不是正常的嗎 08/07 23:34
26FJellyKing: 為什麼今天這種內宣新聞一直發阿.. 這麼厲害直接把 08/07 23:38
27FJellyKing: 這種系統上總統府外交部國防部阿 明明這幾天我國政 08/07 23:38
28FJellyKing: 府網站都卡到爆了 為什麼還要特別為"本部會不受影響 08/07 23:38
29FJellyKing: "發一篇新聞阿 根本智障 08/07 23:38
30Fwild0522: 這裡不是八卦二板嗎 08/07 23:38
31Fbirdy590: 其實這也沒什麼破解不破解的 錢砸下去就解了 08/07 23:45
32Fbirdy590: 對付 DDOS 只有一招有效 就是"我的水管總和比你攻擊 08/07 23:45
33Fbirdy590: 的量大" 這樣才有辦法存活甚至清洗 08/07 23:46
34Fdeathrow: 1.沒人知道沒被攻擊 2.我買Cloudflare擋DDOS 講實 08/07 23:46
35Fdeathrow: 話這樣就不夠天才IT大臣了 08/07 23:46
36Fbirdy590: 總之不花錢是不可能解的 這算是一種基礎建設 08/07 23:47
37Fbirdy590: 還蠻多雲端業者在做 DDOS mitigation, 能力高低不一 08/07 23:47
38FHydraGG: 這id故意發的阿 08/07 23:48
39Fbirdy590: cloudflare 網站宣稱的容量是 155Tbps(會變的) 08/07 23:49
40FHoward61313: 通資電軍就算了,數位發展部的軍武點真的要考慮一下 08/07 23:50
41Fbirdy590: 有些比較小的容量建到 幾 Tbps 而已(打超過就掛了) 08/07 23:50
42Ftoshiba5566: 怪裡怪氣陰陽人 08/07 23:50
43Fbirdy590: 容量 就是 錢 所以 不花錢就是無解 08/07 23:50
44Ftim910282: 幾天后就會打臉了 08/07 23:50
45Fqhapaq: 報告版主 有人違規~ 08/07 23:51
46Femptie: 可以討論大家都用cloudflare結果有一天他出問題反 08/07 23:52
47Femptie: 而造成一大堆網站同時下線的脆弱性(過去發生過幾 08/07 23:52
48Femptie: 次,持續幾個小時) 08/07 23:52
49Fbirdy590: 樓上講的不是問題 因為"可以同時買好幾家的服務" 08/07 23:53
50Fbirdy590: 但是 這就"需要更多的錢" 08/07 23:53
51Fbirdy590: 可以參考 OTT 業者 就有不同路線 有完全自建CDN的 08/07 23:54
52Fbirdy590: 也有兩種並行的, Disney+ 就是完全向現有業者採購 08/07 23:55
53Fbirdy590: 起步的晚 手上現金又多 拿錢砸是最快最好的方法 08/07 23:55
54Fbirdy590: 沒錢就別提了 台灣業者打個幾十Gbps就死了 08/07 23:56
55Fmmmimi11tw: 這裡不是八卦二板 08/07 23:57
56Femptie: OTT業者可以這樣做是他本來就砸很多錢在流量上,對 08/07 23:57
57Femptie: 很多機構來說官網能否運作並不是他的生命線被掐斷 08/07 23:57
58Femptie: 等級的嚴重程度 08/07 23:57
59Fbirdy590: 這跟武器其實道理一樣 要嘛外購 要嘛自製 花錢就對 08/07 23:57
60Fbirdy590: 兩種都不選就想要能打 天底下沒那麼便宜的事情 08/07 23:58
61Fbirdy590: 沒發現領頭對抗 DDOS 的全都是 CDN 業者? 08/07 23:58
62FWhiteScars: 不知道為什麼提web3要這麽反感…cloudflare的網站上 08/07 23:58
63FWhiteScars: 就有介紹 https://www.cloudflare.com/zh-tw/web3/ 08/07 23:58
64Fbirdy590: 因為他們建立基礎建設的同時就把這條路也舖好了 08/07 23:58
65Fbirdy590: 對抗 DDOS 重點就是要花錢 而且系統搬上去會有限制 08/07 23:59
66Fbirdy590: 灑在全世界各地的機器就是對抗的武器 沒武器怎麼打 08/08 00:00
67Fbirdy590: 政府網站其實算低難度 因為海外出口相對不重要 08/08 00:01
68Fs8626460: 看有沒有專業人士剖析Web3或cloudflare是否能解決 08/08 00:01
69Fbirdy590: 把國內進來的流量顧好 國外就想辦法洗 洗不掉就別用 08/08 00:02
70Fs8626460: 被攻擊的問題? 08/08 00:02
71Fbirdy590: 國內外分流也是一種方式 其實地域性是一種優勢 08/08 00:02
72Fbirdy590: 根本沒有要讓全世界用的 幹嘛搞那麼麻煩上 CDN? 08/08 00:02
73Fs8626460: 問題能否解決比較重要吧? 人身攻擊或是不是由自己處 08/08 00:03
74Femptie: 當然能解決啊 DDoS不是什麼很厲害的攻擊,你要防禦 08/08 00:03
75Femptie: 也就砸資源跟他硬碰硬就行了 08/08 00:03
76Fs8626460: 理並非解決問題的好辦法 08/08 00:03
77Fbirdy590: 就跟打仗一樣 你的槍比對方大支 自然就佔優勢 08/08 00:04
78Fbirdy590: 攻擊也需要成本 讓對方覺得沒效 自然就會停了 08/08 00:04
79Fbirdy590: DDOS 清洗在國外其實已經是蠻成熟的一門生意 08/08 00:05
80Fbirdy590: 真正的問題只有經營網站的是不是負擔的起~ 08/08 00:05
81Fs8626460: 我是知道很多網站有使用cloudflare 08/08 00:06
82Fs8626460: 只是不知道cloudflare的技術能否解決這次遇到的攻擊 08/08 00:06
83Fs8626460: 感謝樓上的分享 08/08 00:07
84Fshadow0326: CDN聽起來很太土了,講web3聽起來比較時髦 08/08 00:07
85Fbirdy590: 肯定可以 因為目前防禦的規模是遠超出攻擊量很多 08/08 00:07
86Fbirdy590: 但是1要負擔的起 2網站要想辦法搬的上去 08/08 00:08
87Fbirdy590: 對前面幾家大頭來說 台灣的攻擊量根本算不上什麼 08/08 00:08
88Fs8626460: CDN聽起來會土嗎? cloudflare在雲端安全股票也算有 08/08 00:10
89Fs8626460: 名,同時前兩年飆很兇 08/08 00:11
90Fpcfox: 嗯.....出手了?呵呵 08/08 00:21
91Feggeggyayaya: 嘻嘻 08/08 00:25
92Fsaccharomyce: 是在捧殺喔 08/08 00:25
93Fctw01: 造神文 見一次噓一次 08/08 00:27
94FBFer: 八卦柵門又壞了 08/08 00:29
95Fnkfcc: 國內外分流不見得有用。國內肉雞本來就不少。記得 08/08 00:36
96Fnkfcc: 以前台灣被操控發起網攻的肉雞量也是名列前矛的。 08/08 00:36
97Fnkfcc: 我的logwatch裡也常有hinet的ip,VPS是日本的。 08/08 00:38
98FBlackBass: 這裡是八卦板嗎? 08/08 00:45
99Fwild0522: 版主說不是 08/08 00:48
100Fbirdy590: 並不會 以台灣的狀況而言 國內來的攻擊流量相對小 08/08 00:51
101Fbirdy590: 而且"業者自己會覺得痛 所以不會容忍長時間存在" 08/08 00:51
102Fbirdy590: 國外來的隨便也幾十 Gbps, 國內網站沒幾家撐的住 08/08 00:52
103Fh80733: 噓的反串吧? 這篇很明顯酸唐鳳 08/08 01:04
104Fwild0522: 帳號「golang」 08/08 01:05
105Fh80733: 反正就是表面上說用了多高科技,其實就是外包給國 08/08 01:05
106Fh80733: 外防ddos 08/08 01:05
107Fbmasaya507: 是不是要蓋牆了 08/08 01:07
108Fxyz168: CDN跟Web3還是不太一樣,Web3走去中心,CDN還是有 08/08 01:15
109Fxyz168: 中心,CDN叫decentralized,IPFS是distributed 08/08 01:15
110Fxyz168: 簡單來說,走到distributed,除非有辦法掌握51%的 08/08 01:16
111Fxyz168: 流量,不過這不可能,攻擊方的流量還是可以被吃光 08/08 01:16
112Fxyz168: CDN作為一個入口網站標準服務,內容掛在IPFS,避免 08/08 01:17
113Fxyz168: 造成DDoS攻擊灌爆少數單點的問題 08/08 01:17
114Fbirdy590: 以政府網站而言 分散到國際業者去其實很奇怪 08/08 01:18
115Fbirdy590: 國內外分開是比較可行的作法 國外可訪問但流量有限 08/08 01:19
116Fbirdy590: 或是對國外的入口分散到國際業者去 國內的也散出去 08/08 01:19
117Fbirdy590: 有點本末倒置 本來其實也攻擊不到的 08/08 01:19
118Fbirdy590: 而且國內外分開 就可以考慮自建對國內的清洗服務 08/08 01:20
119Fbirdy590: 真正的問題只有一個 就是舊架構水管太小而且惟一 08/08 01:21
120Fcangming: cloudflare的web3是你要跟他合作基礎架構建置才會有 08/08 01:24
121Fcangming: 不是外包就會生出來的東西好嗎 08/08 01:24
122Fcangming: 國內外分流之前香港公投就證明沒用了 DDOS的來源一 08/08 01:25
123Fcangming: 堆是你各位買的IOT裝置 直接變殭屍 你還不知道 08/08 01:25
124Fbirdy590: 擋國內難度比各位想像中低~ 08/08 01:26
125Fxyz168: DDoS也並非要多高流量才能讓服務器掛掉,只要讓 08/08 01:26
126Fxyz168: 服務器持續busy就好 08/08 01:26
127Fbirdy590: 而且政府網路在國內沒道理建不起夠大的水管做清洗 08/08 01:26
128Fcangming: 看到cloudflare就只會講CDN的 大概也不懂啥叫Route5 08/08 01:27
129Fcangming: 3跟AnyIP 08/08 01:27
130Fbirdy590: 硬裡子還是一樣 我準備的水管比你大 就一定打不死 08/08 01:27
131Fcangming: 清洗只對低階協定有用啦 高階協定你是要清洗啥 08/08 01:27
132Fxyz168: DDoS攻法很多種,有的不是國外直接進來,是經過 08/08 01:28
133Fxyz168: 國內跳板,不會那麼容易洗 08/08 01:28
134Fcangming: 一堆殭屍送半連接給你 你是要怎麼清洗 別傻了好嗎 08/08 01:28
135Fbirdy590: DDoS 還經過"跳板"?! 你真的知道自己在講什麼嗎 08/08 01:28
136Fbirdy590: 就洗啊 固定的pattern並不會很難洗 08/08 01:29
137Fxyz168: reflection過來,是要去哪裡洗 08/08 01:29
138Fbirdy590: 殭屍丟出來的 "不會是正常的訊務" 現在要搞大規模 08/08 01:29
139Fcangming: DDOS都用殭屍IOT做跳板不是現在主流嗎... 08/08 01:29
140Fxyz168: 原來有人不知道DDoS可以這樣攻?@@ 08/08 01:29
141Fbirdy590: SYN flooding, 已經不是主流了 成本太高 08/08 01:29
142Fbirdy590: amplication attack 不是"跳板" @@ 08/08 01:30
143Fbirdy590: 那些IOT裝置本身就是反射流量的來源 但只能反射垃圾 08/08 01:30
144Fbirdy590: 垃圾==容易清洗 (例如正常網站哪來那麼多奇怪UDP?) 08/08 01:30
145Fcangming: SYN Flooding哪會成本太高... OSI七層先去搞懂來好 08/08 01:31
146Fcangming: 嗎 08/08 01:31
147Fbirdy590: 偵測系統甚至可能在幾秒鐘內就生成過濾的規則 08/08 01:31
148Fbirdy590: IOT 裝置"無法做為 SYN flooding 的來源" 08/08 01:31
149Fbirdy590: 這幾年的主流都是各種反射攻擊 純灌流量 08/08 01:31
150Fbirdy590: 並沒有取得控制權 只是利用漏洞反射放大流量 08/08 01:32
151Fbirdy590: 能夠反射的 都是有漏洞的服務本身生成 內容無法變化 08/08 01:32
152Fbirdy590: 能夠產生任意流量(eg SYN flooding) 這種僵屍很值錢 08/08 01:33
153Fbirdy590: 值錢 代表 數量少, 數量有限 也不會隨便拿來用 08/08 01:37
154Fcangming: https://is.gd/nENEzu 08/08 01:37
155Fcangming: 你說的只存在在理想中 現實是上面那樣的 08/08 01:38
156Fcangming: 2014年的香港DDOS攻擊只要是網路工程師都應該知道 08/08 01:39
157Fcangming: 對手也正好是中共 08/08 01:39
158Fcangming: 當時就驗證清洗流量沒有預期效果 08/08 01:39
159Fbirdy590: 現實是 你上面那個案例 他們只是"可憐的 end user" 08/08 01:39
160Fbirdy590: 誰幫他們清洗流量來著? 沒有 他們也負擔不起 08/08 01:39
161Fbirdy590: 這幾年攻擊紀錄已經推進到 Tbps 規模了 08/08 01:40
162Fcangming: 更不是你水管就能解決 你水管再大 大得過google還是 08/08 01:40
163Fcangming: AWS嗎 人家都撐不住了 08/08 01:40
164Fbirdy590: "DNS反射攻擊流量每秒超過100Gb,而NTP反射攻擊流量 08/08 01:40
165Fbirdy590: 甚至更高達每秒300Gb" 這些都是非常容易清洗的 08/08 01:41
166Fbirdy590: 以政府網路而言 國內每家骨幹先接個幾百 Gbps 08/08 01:41
167Fbirdy590: 還打的死你找我 08/08 01:41
168Fcangming: 還end user勒 當年Google跟AWS的一線維運團隊都下來 08/08 01:41
169Fcangming: 了... 08/08 01:41
170Fbirdy590: 香港這案例的問題 1.他們碰不到網路 2.國內外混合 08/08 01:41
171Fbirdy590: 為什麼來自台灣的流量會打死香港的投票網站? 08/08 01:42
172Fbirdy590: 這其實暴露出一個問題 就是"這種網站散不到全世界" 08/08 01:42
173Fbirdy590: 到頭來是給香港人用的, 散到全世界只是墊高成本 08/08 01:43
174Fcangming: 站點也不在香港 是AWS 08/08 01:43
175Fcangming: 都甚麼年代了 早就都上雲了好嗎 08/08 01:44
176Fbirdy590: 從 2014 到現在 技術也進步很多了 主要是大水管降價 08/08 01:44
177Fcangming: 你當AWS會沒有自己的流量清洗裝置嗎 08/08 01:44
178Fbirdy590: AWS 也是有區域性的 它在區域的出口是出了名的摳 08/08 01:44
179Fcangming: 我是不知道現在TLS層級以上有什麼清洗方法啦 08/08 01:44
180Fbirdy590: 並不是上了 AWS 問題就解決了 08/08 01:45
181Fcangming: 如果有的話 那也不需要DDOS了 08/08 01:45
182Fbirdy590: "DNS反射攻擊流量每秒超過100Gb,而NTP反射攻擊流量 08/08 01:45
183Fbirdy590: 甚至更高達每秒300Gb" 這些都屬於低層次的 08/08 01:45
184Fbirdy590: "另外還出現了以攻擊網路第四層為主的SYN Flood洪水 08/08 01:46
185Fbirdy590: 攻擊" 真正麻煩的是這個 所以國內外分流就更重要 08/08 01:46
186Fcangming: 你講的那些流量清洗都只對低階封包有效 你有玩過防 08/08 01:46
187Fcangming: 火牆就知道 APP層級以上的NGFW那個流量容量只有一般 08/08 01:46
188Fcangming: 容量的一成不到 08/08 01:46
189Fbirdy590: 分流的不只是網站入口 最好連看的網站內容都分開 08/08 01:46
190Fbirdy590: 你不知道反射攻擊全都是低階封包? 08/08 01:47
191Fbirdy590: 連 router ACL 都可以輕易擋下, 只是水管要夠大條 08/08 01:47
192Fcangming: 前提是你還要先把憑證塞進去 問題是你敢把你的私鑰 08/08 01:47
193Fcangming: 給ISP只為了做流量清洗嗎 別傻了 08/08 01:47
194Fbirdy590: SYN flooding 比較麻煩是可能跟正常的混在一起 08/08 01:47
195Fbirdy590: 憑證? 你以為反射攻擊那些垃圾流量有什麼鬼憑證 08/08 01:48
196Fbirdy590: 拜託一下 如果不懂真的少講 @@ 08/08 01:48
197Fbirdy590: 看前面我也講過了 "這幾年 SYN flooding 不流行了" 08/08 01:49
198Fbirdy590: 以前對岸出現在最恐怖是連 source IP 全都假造的 08/08 01:49
199Fbirdy590: 你只能看到從上游某個介面進來 然後沒有了 08/08 01:50
200Fbirdy590: 你向上游報修 變成上游要想辦法找出哪一家進來的 08/08 01:50
201Fbirdy590: 中間隔幾層就要找幾次 等你找到可能一星期過去了 08/08 01:51
202Fbirdy590: 這種流量現在也能洗 但是成本會墊高蠻多的 08/08 01:52
203Fbirdy590: 而且前提一樣 "水管總和必須大於攻擊流量" 08/08 01:52
204Fbirdy590: 進來 500G, 實際上有意義 10G, 你就得準備 500G+ 08/08 01:53
205Fbirdy590: 對一般人來說哪有那種財力, 但政府網路應該要有 08/08 01:54
206Fbirdy590: 2014 年 100G 介面還是天價, 但現在早就不是了 08/08 01:55
207Fa8785007: ……… 08/08 01:56
208Fsmaxtor2002: 這種靜態的還被ddos就好笑 外包大臣 08/08 01:57
209Fmmnnoo: 這次外包給誰? 08/08 01:59
210Fbirdy590: 自建CDN 灑到國內各家業者去 這也可以 08/08 01:59
211Fbirdy590: 總之 維持舊架構穩死 直接買國際業者服務 這也很怪 08/08 02:07
212Fbirdy590: 因為大部份政府機關網站 對境外連線全斷也不會怎樣 08/08 02:07
213Fbirdy590: 要先搞清楚想要維持的服務範圍到底長什麼樣子 08/08 02:08
214Frcat2010: 這跟軍武版的關聯性? 08/08 02:09
215Fbirdy590: 可能把網路戰也算是戰爭的一環吧~ 08/08 02:10
216Flupefan4eva: … 08/08 02:13
217Fkevin020792: 看上面推文神仙打架很歡樂,啊就是會穿插一些人身 08/08 02:13
218Fkevin020792: 攻擊超煩的。 08/08 02:13
219FBf109G6: 國軍 '據說' 軍網已經實體隔離 但是那種人治的環境 08/08 03:01
220FBf109G6: 以往出事情都是越高階越大包 實在不好說.. 08/08 03:01
221FBf109G6: ex. 無期徒刑那位 08/08 03:01
222FKJoshT: 數位發展部只顧好自己就可以了嗎? 08/08 03:46
223Faw7square: 可憐哪把這小丑當寶捧 08/08 04:44
224Fizplus: 一直攻擊性取向很無聊耶 08/08 05:04
225Fsemicoma: 這篇就不是在說用cloudflare有問題 而是在說唐鳳亂 08/08 05:44
226Fsemicoma: 用buzzwords裝模作用 另外 台灣對軟工的不重視 從 08/08 05:44
227Fsemicoma: 政府標案到民營企業都一樣廢 7-eleven已經是數一數 08/08 05:44
228Fsemicoma: 二大的零售商了 app的ui/ux什麼鳥樣? 一堆券商萬年 08/08 05:44
229Fsemicoma: 的三竹系統 如果跟美國和中國的券商app比根本恐龍 08/08 05:44
230Fsemicoma: 時期產物 再來是像ez way或健保快易通ui/ux有夠爛 08/08 05:44
231Fsemicoma: 都是那種開發者知道怎麼使用就覺得一般使用者也知 08/08 05:44
232Fsemicoma: 道怎麼使用的情況 你開發公司就算沒請夠專業的ui/u 08/08 05:44
233Fsemicoma: x設計師 至少也找個測試工程師吧? 我甚至還沒提從 08/08 05:44
234Fsemicoma: 中央到地方對政府標案的驗收漏洞 有些政府軟體標案 08/08 05:44
235Fsemicoma: 不知道為什麼 就是會讓某些公司做 然後又剛好驗收 08/08 05:44
236Fsemicoma: 時會睜一隻眼閉一隻眼 或者像taiwan plus花10億打 08/08 05:44
237Fsemicoma: 造結果只有不到四萬次下載量這種鳥事 那反正這些鳥 08/08 05:44
238Fsemicoma: 事都還要有人護航 那就隨便吧 反正看極限情況時壓 08/08 05:44
239Fsemicoma: 力測試會有多精彩 08/08 05:44
240FArbin: 自建CDN... 08/08 06:00
241FArbin: 有了HiNet CDN這負面例子 08/08 06:00
242FArbin: 讓我不是很想相信台灣的CDN 08/08 06:00
243FCYL009: 太神了 請各單位好好學習喔 08/08 06:12
244Fgcnet: 辦公室也可以準備設在國外了 08/08 07:10
245Fhn84679402: 就只有CDN擋得住DDOS Web3? 08/08 08:53
246FDoBahaha: 大內宣唬爛洨 08/08 08:57
247Fcangming: HTTPS HTTP DDOS又不是什麼新攻擊手法 你隨便找一台 08/08 09:00
248Fcangming: 爛IOT都能瞬發上千個連線 光是慢攻擊就能讓你升天了 08/08 09:00
249Fcangming: 這種攻擊甚至不需要多少流量 你講的離實務根本太遠 08/08 09:00
250Fcangming: 現在NGFW也沒幾家 你講的業者多半也是使用fotigate 08/08 09:00
251Fcangming: 這些廠商 不需要你親自去玩 你去找他們機器看spec就 08/08 09:00
252Fcangming: 知道 app層級的清洗沒有什麼在上百G的 你所說的都僅 08/08 09:00
253Fcangming: 限低階協定的清洗 08/08 09:00
254Fcangming: 就連有專用晶片的fortigate也沒能超過10gbe的能力 08/08 09:02
255Fcangming: iot威脅有多大 各位先想想有在玩智慧家電的有多少是 08/08 09:05
256Fcangming: 用中國小米 就算不是中國小米好了 今年年初asus rou 08/08 09:05
257Fcangming: ter 被apt攻破 你各位有記得去更新嗎 08/08 09:05
258Fbirdy590: 拜託一下 目前 DDOS 的紀錄是微軟 Azure 接下的 08/08 09:08
259Fbirdy590: 3.47 Tbps... 應該說 2020 以後規模就突破 Tbps 了 08/08 09:08
260Fcangming: https://is.gd/zZGKZf 殭屍網路的DDOS越來越變成主 08/08 09:09
261Fcangming: 流 就是因為流量清洗對他幾乎無效 你只能靠anyip和r 08/08 09:09
262Fcangming: oute53技術把他分到不同的後端去 08/08 09:09
263Fbirdy590: 有沒有死? 沒有... fortigate 連圖都進不去 08/08 09:10
264Fbirdy590: 把防火牆和這個混在一起 這個觀念就第一個錯了 08/08 09:10
265Fcangming: 至於為什麼現在也不考慮流量了 因為慢連結只在乎數 08/08 09:10
266Fcangming: 量 他連線建完就不會消耗流量 但會消耗你後台的CPU 08/08 09:10
267Fcangming: 跟記憶體資源 所以你一直在流量上打轉 根本就沒弄清 08/08 09:10
268Fcangming: 現在DDOS是怎麼做的 08/08 09:10
269Fbirdy590: 你上面這套思路都是錯的 為什麼超過 Tbps 打不死? 08/08 09:11
270Fbirdy590: 很簡單 因為一進門就被丟掉了 後台CPU? 08/08 09:11
271Fcangming: TLS連線都是加密資料 你是要怎麼丟啦XDDD 08/08 09:12
272Fbirdy590: 傳統那種, 防火牆擋在網站前面的模式 對抗不了DDOS 08/08 09:12
273Fcangming: 你說的都僅限未加密連線好嗎 08/08 09:12
274Fbirdy590: 你為什麼總是幻想那些放大攻擊有辦法建立起連線? 08/08 09:12
275Fbirdy590: 流量清洗之所以可行 正是因為"那些都可以直接丟掉" 08/08 09:13
276Fcangming: 那麽這幾年HTTP DDOS是鬼嗎XD 08/08 09:13
277Fbirdy590: 它就是純粹的 用很大的流量把傳統架構的水管灌爆 08/08 09:13
278Fbirdy590: 又鬼打牆了 "SYN flooding 這幾年較不流行了" 08/08 09:13
279Fcangming: 事實就證明這個很有效 老俄今年攻擊烏克蘭DDOS也是 08/08 09:13
280Fcangming: 用這招 08/08 09:13
281Fbirdy590: 因為主角是那些 IOT 裝置, 並不是你們想像的"跳板" 08/08 09:14
282Fbirdy590: 對現在那些雲服務為主的業者, 這招一點用也沒有 08/08 09:14
283Fbirdy590: 人家總水管破百 T 了, 小的至少也有幾T 你慢慢灌吧 08/08 09:15
284Fcangming: 現在都用殭屍網路布局 先用APT打下IOT裝置 然後利用 08/08 09:15
285Fcangming: CC server控制這些變成殭屍的裝置去發連線 這又不是 08/08 09:15
286Fcangming: 什麼很難的東西 08/08 09:15
287Fbirdy590: ... 發連線? 你真的知道什麼叫"放大攻擊"嗎 08/08 09:15
288Fcangming: 連線本身都是合法的 人家只是資料送得慢而已 08/08 09:16
289Fbirdy590: 昨天在 FB 有看到一些討論... 上雲以後很多會變快照 08/08 09:16
290Fbirdy590: ... 放大攻擊哪來的連線? 就是純粹的垃圾流量 08/08 09:16
291Fbirdy590: 事實上很多網站已經是這樣 使用者看到的未必是即時 08/08 09:16
292Fbirdy590: 後台出問題的時候 使用者看到的是之前留下的快照 08/08 09:17
293Fbirdy590: 這是不會全死沒錯 但是對政府網站來說不是很實際 08/08 09:17
294Fcangming: DDOS又不是只有放大攻擊 而且放大攻擊就那幾種 現在 08/08 09:18
295Fcangming: DDOS都是複合性的 攻擊時不會只有反射放大一種 08/08 09:18
296Fbirdy590: 你沒發現 就算是2014年 流量的主角都是放大攻擊? 08/08 09:18
297Fbirdy590: 並沒有什麼"都是複合性的" 這回事 08/08 09:18
298Fbirdy590: 然後 SYN flooding 會耗用的殭屍資源是比較值錢的 08/08 09:18
299Fbirdy590: 你想像的 真的有辦法建立加密連線的 這就更值錢 08/08 09:19
300Fcangming: 建議你先去看近期的資安報告或新聞 你想得到的攻擊 08/08 09:19
301Fcangming: 者也都知道 08/08 09:19
302Fbirdy590: 但這同樣不代表有辦法打的死 因為以現在的狀況 08/08 09:19
303Fbirdy590: 服務分散開來以後 容量已經是打不死的程度 08/08 09:20
304Fbirdy590: 前提還是一樣 "你必須先有比攻擊量更大的水管" 08/08 09:20
305Fcangming: 你的對手是中國耶 你都有辦法花大錢弄水管 擁有世界 08/08 09:20
306Fcangming: 數一數二 APT組織的中國沒錢用殭屍網路? 08/08 09:20
307Fbirdy590: 因為 IOT 裝置"並不能做到你想要的 值錢的攻擊" 08/08 09:21
308Fbirdy590: 數量最多的就只能灌水 純粹的丟垃圾流量 08/08 09:21
309Fcangming: 你要不要先看看這兩年爆出來的APT攻擊 推測的幕後組 08/08 09:21
310Fcangming: 織是哪國的 08/08 09:21
311Fcangming: 你太小看IOT裝置了 再爛也是ARM CPU 你想都能連wifi 08/08 09:22
312Fcangming: 發個HTTPS連線困難嗎 08/08 09:22
313Fbirdy590: 能做 SYN flooding 甚至 spoof IP 的 用一個少一個 08/08 09:22
314Fbirdy590: 你太大看IOT裝置了 它的漏洞並不是讓你拿root 08/08 09:22
315Fbirdy590: 都是利用協定本身的漏洞 以前設計的時候沒想到這個 08/08 09:23
316Fcangming: 事實上近兩年HTTP DDOS層出不窮 這也不是甚麼新聞了 08/08 09:23
317Fcangming: 你覺得不存在 但他就是在那裡 08/08 09:23
318Fbirdy590: 十年前 HTTP DDOS 可是主角呢 但主客異位很久了 08/08 09:24
319Fbirdy590: https://bit.ly/3P8yTzc 08/08 09:24
320Fcangming: 就因為是協定漏洞才會因為符合pattern 被清洗啊 你 08/08 09:24
321Fcangming: 的網路世代還停留在這種攻擊技巧嗎 08/08 09:24
322Fbirdy590: ... 協定漏洞 代表的是"它只能是該協定的回傳封包" 08/08 09:25
323Fbirdy590: 所以簡單的 L4 filter 就全部濾光了 完全不費力 08/08 09:25
324Fcangming: 世代又反過來了好嗎 DNS放大都出來多久了 現在只是 08/08 09:25
325Fcangming: 因為會被清洗 所以又回去用HTTP而已 08/08 09:25
326Fbirdy590: HTTP 沒辦法放大 謝謝 08/08 09:26
327Fbirdy590: 而且SYN flooding 一樣能洗 就是判斷建不建的起來 08/08 09:27
328Fcangming: https://is.gd/Ugzhdd 08/08 09:27
329Fbirdy590: 一個IP每秒發一堆request 但是建不起來 這就能擋 08/08 09:27
330Fcangming: HTTP不需要放大 又不是DDOS就一定是放大攻擊 兩個沒 08/08 09:28
331Fcangming: 有等義好嗎 麻煩看看業界現況... 08/08 09:28
332Fcangming: http req都發了 就是連線建起來了啦Xdd 去看一下tcp 08/08 09:29
333Fcangming: 握手流程好嗎 08/08 09:29
334Fbirdy590: 你貼的這個就是 1.7Tbps "reflection/amplification 08/08 09:30
335Fcangming: 殭屍網路貴是貴 但人家中國不缺錢也不缺技術 08/08 09:30
336Fbirdy590: attack" TCP 規模大不了 這是常識 不需要解釋的 08/08 09:30
337Fbirdy590: 這不是錢買的到的 Zzz "值錢" 指的是"數量有限" 08/08 09:30
338Fbirdy590: 能夠用來反射的裝置很多 真正能取得控制的卻很少 08/08 09:30
339Fcangming: 你自己往下捲 然後HTTP攻擊不在乎流量 你一直在流量 08/08 09:31
340Fcangming: 上跳針是哪招 08/08 09:31
341Fcangming: 不多啦 上億台而已 08/08 09:31
342Fbirdy590: 純粹灌垃圾這種方式 發起相對容易而且子彈用不完 08/08 09:32
343Fcangming: 打你一個site夠了 08/08 09:32
344Fbirdy590: 上面講過了 目前最多是 3.47 Tbps, 大咖是打不死的 08/08 09:32
345Fbirdy590: 軍備競賽其實已經進行蠻多年了 一開始是很有效的 08/08 09:33
346Fbirdy590: 就像你上面貼 2014 的香港 那年代幾百G就很恐怖 08/08 09:33
347FOisiossos: 外包了 08/08 09:33
348Fbirdy590: 但是現在再打幾百G? 就輕鬆接下來 不然怎樣? 08/08 09:33
349Fbirdy590: 你"以為"10G就是很大的介面 這觀念確實需要更新 08/08 09:34
350Fbirdy590: "有專用晶片的fortigate也沒能超過10gbe的能力" 08/08 09:34
351Fbirdy590: 這就不是 NGFW 的強項 別把它硬扯進來 08/08 09:34
352Fcangming: https://i.imgur.com/jn9KWhI.png 08/08 09:35
353Fcangming: https://i.imgur.com/qv8QbO6.png 08/08 09:35
354Fbirdy590: 我猜這裡的 HTTP 應該就是 SYN flooding 08/08 09:38
355Fcangming: DDOS攻擊手法百百種 不是只有利用協定漏洞打的反射. 08/08 09:38
356Fcangming: .. 你哪天真的在業界處理到case就知道了 08/08 09:38
357Fcangming: syn flood是L3 層級就不一樣了 怎麼會是一樣的東西 08/08 09:39
358Fcangming: 不要亂猜 先去把計概念熟 08/08 09:39
359Fbirdy590: 還是老話一句 "完全取得控制的資源相對寶貴" 08/08 09:39
360Fbirdy590: SYN flooding 80/443 不就是HTTP/HTTPS 攻擊? 08/08 09:39
361Fcangming: 你這樣說沒用啊 現在最讓人頭大的就是這些攻擊 中國 08/08 09:40
362Fcangming: 有錢有人有技術 你覺得他會怎麼做 08/08 09:40
363Fbirdy590: 現實上近年來攻擊的分佈就是灌流量為主, 這種高層次 08/08 09:40
364Fbirdy590: 不是錢的問題好嗎 到底要講幾次 "值錢"指的是取得難 08/08 09:41
365Fbirdy590: IOT 裝置幾乎是免費的 因為打完也不用怕會被拆掉 08/08 09:41
366Fcangming: 當然不是... syn flooding 是tcp握手不回覆ack... h 08/08 09:41
367Fcangming: ttp攻擊是慢連結或是已知大量耗用資源的api... 08/08 09:41
368Fbirdy590: 你又把值錢程度拉的更高了~ 這種現在佔比例其實很低 08/08 09:42
369Fcangming: 所以syn flooding是L3 不是L7= = 為啥我要在軍事版 08/08 09:42
370Fcangming: 上幫人上計概啊... 08/08 09:42
371Fbirdy590: 我的工作範圍就包括這個 這種高層次的攻擊 十次也 08/08 09:43
372Fbirdy590: 沒看到一次 現實上灌流量對一般目標是很有效 08/08 09:43
373Fcangming: L7攻擊都是合法連線跟應用 你清洗洗不掉的 08/08 09:44
374Fbirdy590: 例如一般企業 網站 搬也搬不走 散不開也上不了雲 08/08 09:44
375Fbirdy590: 這種只能從網站架構上去改進 但政府網站屬於這類? 08/08 09:45
376Fbirdy590: 我不認為政府網站是綁死搬不走也分散不開的那種 08/08 09:45
377Fbirdy590: slow attack 在教科書上比較重要 真實世界裡還好 08/08 09:46
378Fbirdy590: 你看哪份攻擊報告有提到這個的? 大部份都關心刷紀錄 08/08 09:47
379Fbirdy590: 他們講 web3 就是特別不怕這個, 你卡一個worker無用 08/08 09:47
380Fcangming: https://is.gd/ZMMyl4 08/08 09:49
381Fcangming: 真的有錢人不在乎成本的時候甚至不用iot了 08/08 09:53
382Fbirdy590: 這應該反過來問 你最近看到哪次事故是真的被打死的? 08/08 09:53
383Fbirdy590: "攻擊者運用由5,067臺設備組成的殭屍網路" 08/08 09:53
384Fbirdy590: 5067 台 其實是很少很少的一個數字 08/08 09:53
385FByronX: 這篇文竟然在這po 出來了 08/08 09:55
386Fbirdy590: 這攻擊目標應該很值錢 因為被入侵的VM/伺服器最稀少 08/08 09:59
387Fbirdy590: 而且你一旦用過 很容易就被發現並且修補了 08/08 09:59
388Fcangming: HTTP攻擊效果非常好 不管是那個site都不可能保證每 08/08 10:05
389Fcangming: 個放在外頭的api有C1K的能力 C10K更不要說了 這個ca 08/08 10:05
390Fcangming: se每個vm發兩個connection 就破10k了 08/08 10:05
391Fcangming: 然後aws或是GCP辦個帳號你要一口氣拉起上百台也不是 08/08 10:06
392Fcangming: 的問題 更別說中國自己有阿里雲 08/08 10:06
393Fjerrylin: 因為根本沒人聽過吧 沒被攻擊 08/08 10:14
394Fjerrylin: 今天晚上看會不會被攻陷 08/08 10:14
395Fcangming: 今年趨勢可以看cloudflare報告 08/08 10:18
396Fcangming: https://is.gd/h1yETJ 08/08 10:18
397Fbirdy590: 這還是被傳統架構綁住的腦子 @@ 08/08 10:20
398Fcangming: 烏克蘭的例子就是被全球分散的殭屍網路發動HTTP DDO 08/08 10:22
399Fcangming: S 08/08 10:22
400Fcangming: 其實說傳統架構 就算是上雲也不一定能解啦 DB的操作 08/08 10:23
401Fcangming: 如果不能有效scale out 一樣會炸掉 08/08 10:24
402Fbirdy590: 講白話一點 這個世界上 多數網站可說完全沒有防護 08/08 10:24
403Fbirdy590: 這種簡單丟個幾十G就死了 不需要什麼麻煩的手法 08/08 10:25
404Fbirdy590: 我們的政府網站 其實多數也停留在這個層次 08/08 10:26
405Ftin123210: 新部會沒被打吧,吹到天上去 08/08 10:27
406Fcangming: 是啊 尤其是現在IOT裝置越來越多 一堆裝置能聯網 但 08/08 10:27
407Fcangming: 訊息都沒加密 甚至連升級韌體的對外連線都是裸奔 想 08/08 10:27
408Fcangming: 到就可怕 08/08 10:27
409Fcangming: 但是一般用戶怎麼可能會知道要記得用防火牆擋一擋 08/08 10:28
410Fcangming: 這種隨隨便便就變成別人家的殭屍 08/08 10:28
411Fbirdy590: 爛 AP 本身就是漏洞的來源好嗎, UPNP 這幾年是主角 08/08 10:30
412Fbirdy590: DNS/NTP 之類 比較新的很多都修補過了 只會愈來愈少 08/08 10:30
413Fcangming: 對 就是那個asus 比tplink還脆弱是哪招 08/08 10:31
414Fs8626460: 非常感謝推文裡幾位理性大量的討論 08/08 10:46
415Fs8626460: 趁機了解一些皮毛,當初學的計概已是年代久遠的東西 08/08 10:52
416Fserrier: 這麼簡單方法?國防部其他部門都不會?你敢信? 08/08 10:55
417Faskeing: Cloudflare看起來有提供Web3,IPFS gateway等服務 08/08 12:10
418Fethanwu0414: 某媒體又在造神 08/08 12:54
419Fewjfd: 真奇葩 沒有一則推文譴責中國攻擊 全在譴責唐鳳 08/08 13:27
420Fewjfd: 這些人才是實體DDOS吧 08/08 13:28
421Fcodehard: 就心理戰啊 不怪拉屎的 怪清屎的 08/08 13:55
422Flabell: 感覺先拿下台大比較重要 08/08 14:25
423Flabell: 不然PTT一堆水桶愛台帳號 08/08 14:26

完整討論串

39 >> [新聞] 中國網攻 唐鳳出招破解了:數位發展部
423 military 2022-08-07 23:21

Military 最新熱門文章

19 [討論] 核武戰略簡論
48 military 2022-09-27 00:55
52 Re: [情報] 情報數則
127 military 2022-09-27 00:54
62 Re: [情報] 烏軍反攻消息
96 military 2022-09-27 00:13

最新文章