原标题:资安周报第51期:台湾2017年直播网红业将是下一波DDoS攻击标的
根据远传电信观察到的趋势,在2015年下半年,就已经出现100Gbps的DDoS攻击流量,只不过,去年只是偶发事件,预计到2017年,这种上百Gbps的DDoS攻击,将可能常为常态。
图片来源:远传电信提供
或许对很多台湾的产业而言,包括游戏业、博奕业等娱乐产业,DDoS(分散式阻断式攻击)已经是从十多年前就必须认真面对的营运风险,一个不小心,一个DDoS攻击就可以瘫痪该公司的网站服务,一旦网路服务中断,就表示该公司的营运受到影响,也会影响到公司后续的营运。
即便有不少台湾公司对于DDoS攻击并不陌生,但是,在今年下半年却可以发现,DDoS攻击已经有不同型态,尤其是攻击流量之大,超乎许多人的想像。
举例而言,法国OVH公司遭到1.5Tbps的DDoS攻击流量,开了大家眼界;随即而来,在十月份,骇客也透过操控全球的网路监视器,针对美国DNS网域伺服器业者Dyn发动DDoS攻击,攻击流量也高达1.2Tbps。上述的攻击行为,都让许多人惊觉到,Gb级的DDoS攻击已经不够看了,未来Tb级的DDoS将可能是主流。
但是,根据远传电信以及子公司数联资安过去一年对于DDoS攻击的观察,以台湾而言,Gb级的DDoS攻击出现在2015年下半年,但是到2016年逐渐成为攻击主流,平均攻击流量30Gbps~50Gbps,预计2017年DDoS平均攻击流量可望倍数成长到100Gbps;至于主要受攻击的产业,也会从传统的游戏业、博奕业,转到下一波的直播网红业者。
网路第7层DDoS攻击变多,留意闸道端设定Bypass的资安风险
目前DDoS攻击最常看到的攻击型态,主要是以OSI第3层网路层、第4层传输层,以及第7层应用程式层的攻击为主,远传电信企业产品服务管理处经理施文政表示,以往多以网路层和传输层的攻击为大宗,因为,通常只需要有足够的金钱、购买足够的傀儡网路(Botnet)发动DDoS攻击,就可以瘫痪锁定目标的网站服务。
但是近年来,他也观察到一个趋势就是,开始有许多骇客以攻击应用程式层为主,除了中国有出现越来越多这样针对应用程式的DDoS攻击事件外,台湾则陆续传出,有金融业遭遇这类以应用程式层为主的DDoS攻击;另外若是游戏业者,在手机端的游戏业者仍以网路层和传输层的DDoS攻击为主,若是现在热门的网页游戏,也有越来越多以应用程式层的DDoS攻击为主。
不过,长期观察台湾DDoS攻击演变的数联资安产品行销部产品经理颜懋仁则特别提醒,他们近期观察到一个特殊的现象,那就是,骇客针对特定产业,例如金融业发动DDoS攻击时,有些时候看起来像是一波又一波的攻击,有些时候,骇客只有攻击1小时后便收手,有许多资安人员常常会误以为,这只是一波短暂的DDoS攻击而已,攻击结束就以为事情就结束了,反而掉以轻心。
实际上,颜懋仁表示,他们发现有一些金融业者在经历这种「短暂」的DDoS攻击后发现,许多在网路闸道端的设备,像是IPS因为无法承受DDoS攻击,设定便直接跳掉,变成Bypass模式,而骇客便利用这个闸道端防护设备,无法发挥应有的防护功能之际,趁机植入恶意木马程式等等。
过往,许多企业在面对DDoS攻击之后,往往只想着怎幺儘快让线上服务恢复正常,通常不会意识到,有防护设备因为短暂的DDoS攻击造成设定Bypass跳掉,而这样的时间点就让骇客可以甚机植入一些恶意或木马程式,达到进一步入侵使用者电脑的目的。
直播和网红汇集人潮和钱潮,是下一波DDoS攻击锁定对象
台湾过往最认真面对DDoS攻击的产业,其实就是游戏业和博奕业,但是,游戏业遭到的DDoS攻击,有很多也是因为同业之间的竞争,透过跟骇客下订单,针对同业发动DDoS攻击的方式,只要同业的游戏无法提供服务,更多没有忠诚度的玩家们,就会再去选择服务没有中断的游戏业者玩线上游戏。这样,发动DDoS就可以顺利达到他们的目的。人潮所在就是钱潮所在,只要有利可图,就可能是骇客锁定DDoS攻击的标的。
但是,施文政表示,随着各种直播App和网红的兴起,这种类似游戏业的特性,也成为台湾下一波DDoS锁定的对象。他进一步解释,现在的直播和网红,特点不在于这些受欢迎的网红,出现在哪一个直播平台,只要网红出现的平台,就是人潮聚集的平台,也就是钱潮汇集的平台。
既然网红直播的性质类似游戏业者,除了具备娱乐的特性,当然免不了同业竞争。目前看来,台湾各家直播平台在使用上的差异其实不大,甚至于,除了少数特定的网红外,各家直播平台甚至都有具备类似特质的网红。
网红最重要就是要受欢迎,许多直播平台也会提供类似储值方式,让网友们可以针对心仪的网红送花或提供类似的奖励措施,让网友们可以以实际的方式,表达他们对网红的支持。
「粉丝们并不在意网红出现在哪一个直播平台,」施文政坦言,因此,和游戏业一样,出现同业竞争甚至是发动攻击、瘫痪直播网路服务的情况,也在预期之内。
例如,某个受欢迎的网红出现在A直播平台,其他竞争同业也会透过发动DDoS攻击,瘫痪A直播平台后,其他的BCDEF......等平台,就可以跟这个受欢迎的网红,重新谈定合作关係,只要粉丝们知道网红接着会出现在新的直播平台,聚集足够的人潮后,粉丝们储值鼓励网红的奖励方式,也同样对直播平台的营运有加分,可能会以和网红拆帐的方式,鼓励网红的受欢迎,也同样对直播平台营运有正面效益。
施文政表示,台湾的一些直播先驱业者,其实都已经有意识到,他们可能遭到DDoS攻击的可能性,因此在相关的DDoS的防护上,不论是闸道端的资安防护设备,甚至是和ISP网路业者端採购的流量清洗服务等,是早就做好万全準备的。不敢说,当这些直播先驱业者遭到DDoS攻击时,一定可以完好无缺的倖免于难,但相较于其他毫无意识有遭到DDoS攻击可能性的产业而言,这些直播先驱业者,早就已经对这种可能会瘫痪网路服务的DDoS攻击,做好事先防範措施了。
每间企业都可能遭到DDoS攻击,心中都应该有一套面对攻击的剧本
资安专家刘俊雄就曾经指出,DDoS其实从开始出现到演变到今日,已经是快20年的老问题了,但是,攻击手法最明显的差异就是,攻击流量越来越大,从早期只要几Mbps的攻击流量,就可以瘫痪一台主机、一个网路服务,慢慢升级到要几十Gbps甚至是几百Gbps的攻击流量,到现在,甚至出现1Tbps的攻击流量。
但即便攻击流量越来越大,刘俊雄认为,攻击手法却依旧大同小异,仍然是以网路第3层网路层、第4层传输层以及第7层应用层式层为主要的攻击方式。他也以开店为例,把店门口及前方道路视为网路出入口及上游,店里设施和走道空间视为基础建设,把结帐柜檯视为应用程式系统的话,所谓的L3攻击,就是一堆仁冲到店门口堵住门和马路;L4攻击就是一堆仁塞爆店里的走道和空间;L7的攻击就是一堆人假装结帐,瘫痪柜檯。
近期刚发生的DDoS攻击事件,就是前两天欧盟委员会( European Commission)的官网,遭到DDoS攻击,网站服务中断数小时就已经恢复,目前也由欧盟CERT进行相关的调查和处理。
但是,以目前台湾的网路攻防能力来看,台湾企业是否有能力处理DDoS攻击呢?刘俊雄认为,以目前台湾为例,只要遭到10Gbps的洪水流量攻击,10Mbps的SYN洪水攻击,或者是每秒1千万次的DNS查询、HTTP请求或者是SSL连线等,甚至把上面的攻击数据再减少为10分之1,台湾企业都不见得有能力可以挡住。
刘俊雄表示,台湾因为电信等基础网路建设普及,有许多对外连线的网路接口,即便遭到大规模的大流量DDoS攻击,还有可能免于因为网路瘫痪导致网路锁国的状态。
但他也坦言,目前台湾许多ISP业者针对遭到DDoS攻击的客户,即便这些客户都有另外购买流量清洗的服务,一旦超出ISP业者可以承受的处理範围,ISP业者会以黑洞(Black Hole)的方式处理这个遭到DDoS攻击的客户,让这个客户在网路上消失,DNS网路找不到这个网站服务,藉此保全ISP业者其他客户的安全性。
「不管是谁,第一次遭到DDoS攻击时,面对这种打带跑的攻击形式,受害者往往是束手无策。」刘俊雄认为,多数有能力处理DDoS攻击的业者,也都是从多次的受害经验中,慢慢找出因应之道。不过,只要每个人、每间企业都能有意识到,每个人都有可能遭到DDoS攻击,慢慢推演出一套因应DDoS攻击的剧本,都有可能大幅降低DDoS对企业和使用者带来的冲击。
?
相关:
资安厂赛门铁克旗下诺顿今天发布2016年度《诺顿网络安全调查报告》,发现千禧世代在安全使用网络上的习惯异常疏忽大意,并且乐于与他人分享密码,从而更容易受到网络攻击。此外,诺顿报告发现,大部分消费者在所有帐
上学的时候有这种老师,学生都不会想睡觉了!话说,刚小弟看到一名网友分享学校的超正老师。只见这名老师穿着黑丝袜、高跟鞋,一双纤细长腿又有秀丽长发...网络爆红长腿黑丝女老师13 2016年11月19日发布 女老师 美女 颜值
示意图,与新闻事件无关。 欧盟上周四遭到大规模的分散式阻断服务攻击(DDoS),使欧盟的内部网路连线受到影响数个小时,使欧盟内部营运作业受到影响。根据国外媒体报导,欧盟在上周四突然遭遇到DDoS攻击,导致欧盟
立法院今天举行第二场婚姻平权修法公听会,先前在“彩虹老人院”演出同志的日星小田切让说,“对台湾多元成家法案非常支持”,认为台湾如果开这个头,其他国家也会受到影响。睽违7年再度来台的日本男星小田切让,今天
挡不了DDoS攻击,IBM就承包的线上人口普查专案与澳洲政府和解
澳大利亚政府首度採行的线上人口普查计画,在8月上线时遭遇分散式阻断服务攻击(DDoS)导致系统中断运作,经过3个月来的检讨,澳洲政府宣布与主承包商IBM达成和解,由IBM吞下相关损失的主要部分。?澳洲首相Malcolm Tur