知名游戏论坛网站遭DDoS攻击勒赎

2008年4月27日晚上10点开始，台湾游戏论坛业者巴哈姆特、游戏基地，遭中国****业者以DDoS攻击勒赎。相关业者除了向警局备案之外，也正积极寻求相关的解决方案。

4月27日晚上10点，中国私人伺服器业者 * 2大热门游戏讨论区巴哈姆特和游戏基地，发动DDoS（分散式阻断式攻击），主要目的是勒索这些游戏讨论区业者，要求在网站免费刊登广告。目前相关业者不愿向恶势力低头，除了向警局备案之外，也正积极寻求相关的解决方案。资安顾问则建议，除了寻求ISP业者的协助外，也可以藉由内含防阻DDoS攻击的网路流量加速设备，或提高伺服器处理连线速度，以降低DDoS攻击所造成的影响。

中国****业者嚣张，攻击勒赎台湾游戏论坛业者

巴哈姆特站长Sega在事发第2天，在部落格中发表一封公开信表示，巴哈姆特从4月27日晚上10点开始，便遭受到来自中国非法私人伺服器业者的DDoS连线攻击，对方并致电要求巴哈姆特允许他们刊登《魔兽世界》****的广告。同样的攻击手法，在同一时间，也发生在台湾另外一家线上游戏讨论业者游戏基地。

这些中国****业者就是盗版的线上游戏业者。由于玩家只要到这些****业者架设的非法伺服器玩线上游戏，就会有相关的宝物交易，因而具有庞大的商机。也因此，以往由单纯玩家架设的私人伺服器，在中国大陆已经转为具规模的企业化经营。

巴哈姆特拒绝中国****业者的勒索后，该公司行销专员林盈妤表示，目前巴哈姆特仍断断续续遭到类似攻击，除了向警察局备案外，技术部门人员也正积极寻求相关技术协助。

在4月28日下午4到5点，游戏基地发现每秒200万次Session的连线攻击，击溃了游戏基地塬本的防火墙。该公司技术副理陈冠儒说，因为塬本就有汰换设备的打算，紧急向厂商借测更高等级的防火墙设备，在4月29日凌晨1点相关新设备就已经上线，也发挥应有的基本防护功能。

他表示，以往旧架构的许多设备的IP都还对外公开，这1年来做相关架构整併时，也一併处理设备IP公开的问题。也因此，“面对这次****业者攻击时，游戏基地才能紧急透过更换设备做相关的阻挡、防护。”他说。

ISP加大频宽可舒缓DDoS攻击

DDoS攻击其实就是攻击者利用分散在各地的电脑主机，发送大量IP封包，藉此瘫痪受害者的电脑主机。遭受DDoS攻击的网站无法提供正常的网路服务，成功接通率甚至只有1％以下。中华电信资安办公室资安技术组长李伦铨表示，因为某一些产业的服务不能容许任何网页延迟（Delay），成为骇客发动DDoS攻击勒赎的诱因。

敦阳科技资深资安顾问杨伯瀚表示，这种DDoS攻击主要是瘫痪网路流量，以及塞爆电脑主机连线，继之造成主机当机、资料错乱等灾情。因此预防DDoS攻击的手法，也可以从ISP业者和企业内相关网路和主机设备防护着手。

陈冠儒便说：“游戏基地遭受攻击的第一时间，就请求ISP业者的协助，事先过滤不正常的IP连线。”此外，台湾各家ISP业者也都有提供由ISP业者协助企业用户，找寻发动DDoS攻击的来源IP进而阻断的DDoS Migration服务。

李伦铨认为，目前有许多骇客都利用傀儡电脑（Botnet）做真实连线（TCP Full Connect），以发动DDoS攻击，所有连线看起来都是正常行为，他建议：“先请ISP业者加大频宽流量，舒缓DDoS攻击状态，再由ISP业者进行资安事件分析，过滤DDoS攻击来源，通知遭到Botnet绑架的用户，是现阶段解决DDoS最有效的方法。”但李伦铨也承认，因为这样的处理流程需要时间，以往经手的案例中，所需的时间多从1周至1个月不等。因而某些受害企业无法久候，而愿意付钱了事。

透过降流和提高伺服器处理速度，舒缓DDoS攻击

除了由ISP业者协助避免网路连线中断外，在降低主机连线的部分，有资安顾问建议，可以透过部署IPS（入侵防御系统）再搭配L4交换器，对伺服器的连线做平均分配，避免某一臺伺服器连线数量过高，超过作业系统或伺服器本身的连线承载上限。

另外，也可以透过降流方式保护后端的伺服主机，或是使用内建预防DDoS模组的网路流量加速设备。杨伯瀚表示，目前预防DDoS攻击的技术主要可分成SYN Proxy和SYN Cookie两种。他说：“目前流量加速或者分流设备，常会搭配这类技术。”

所谓SYN Proxy就是在Web伺服器前端放一个网路设备，负责所有TCP连线，确认TCP连线正常后，才将连线讯息传回后端伺服器。SYN Cookie就是以类似 Cookie 的方式，产生不能伪造的 SYN Cookie，作为与对方TCP沟通的标记，设备本身并不需占用资源来等待回应，减轻资源消耗，再搭配TCP/SSL Offload（TCP降流）与Multiplexing技巧，和网页快取（Caching）技术以重整网路流量，减轻后端伺服器负载量。

“企业用户也可以透过增加伺服器数量，或提高伺服器处理每秒Session连线的速度，”李伦铨表示，这样的作法与加大频宽作法类似。但他也提醒，这个方法弹性不够好，伺服器投资往往是长期规画，难做短期应变之用，企业应审慎评估相关成本效益。

波罗的海叁小国中的爱沙尼亚，在2007年遭到来自俄罗斯的DDoS攻击，所有的网路连线与相关服务全部被瘫痪。这也可以证明，任何可能阻断网路服务的攻击手法都是资讯战的一种。刑事局科技犯罪防制中心研发室组长杨凯胜表示，目前有关单位已持续观察相关的DDoS攻击事件，企业用户若有相关谘询需求，该单位也可以提供相关谘询协助。

舒缓DDoS攻击的方式

方式  加大频宽 DDoS Migration服务 部署IPS加上L4交换器 内建防阻DDoS模组的网路流量加速设备 提升伺服器连线处理效能 提供厂商  ISP业者 ISP业者 网路设备厂商 F5、Citrix、 Radware等 伺服器厂商 优点  I SP可弹性加大频宽，较有效  企业用户不用花钱买高阶设备 可以降低伺服器被塞爆的机会，主动封锁可疑IP 透过降流方式保护后端的伺服主机  提升Session连线处理速度，效果同加大频宽 缺点  事件处理时间较费时 是一种不能间断的投资  IPS设备贵，L4交换器需求数量多时，成本也高 设备费用较贵 伺服器是长期投资，  难做短期应变 资料来源：iThome，2008年4月