知名游戏论坛网站遭DDoS攻击勒赎
来源:asp之家 时间:2009-12-08 13:17:00
2008年4月27日晚上10点开始,台湾游戏论坛业者巴哈姆特、游戏基地,遭中国****业者以DDoS攻击勒赎。相关业者除了向警局备案之外,也正积极寻求相关的解决方案。
4月27日晚上10点,中国私人伺服器业者 * 2大热门游戏讨论区巴哈姆特和游戏基地,发动DDoS(分散式阻断式攻击),主要目的是勒索这些游戏讨论区业者,要求在网站免费刊登广告。目前相关业者不愿向恶势力低头,除了向警局备案之外,也正积极寻求相关的解决方案。资安顾问则建议,除了寻求ISP业者的协助外,也可以藉由内含防阻DDoS攻击的网路流量加速设备,或提高伺服器处理连线速度,以降低DDoS攻击所造成的影响。
中国****业者嚣张,攻击勒赎台湾游戏论坛业者
巴哈姆特站长Sega在事发第2天,在部落格中发表一封公开信表示,巴哈姆特从4月27日晚上10点开始,便遭受到来自中国非法私人伺服器业者的DDoS连线攻击,对方并致电要求巴哈姆特允许他们刊登《魔兽世界》****的广告。同样的攻击手法,在同一时间,也发生在台湾另外一家线上游戏讨论业者游戏基地。
这些中国****业者就是盗版的线上游戏业者。由于玩家只要到这些****业者架设的非法伺服器玩线上游戏,就会有相关的宝物交易,因而具有庞大的商机。也因此,以往由单纯玩家架设的私人伺服器,在中国大陆已经转为具规模的企业化经营。
巴哈姆特拒绝中国****业者的勒索后,该公司行销专员林盈妤表示,目前巴哈姆特仍断断续续遭到类似攻击,除了向警察局备案外,技术部门人员也正积极寻求相关技术协助。
在4月28日下午4到5点,游戏基地发现每秒200万次Session的连线攻击,击溃了游戏基地塬本的防火墙。该公司技术副理陈冠儒说,因为塬本就有汰换设备的打算,紧急向厂商借测更高等级的防火墙设备,在4月29日凌晨1点相关新设备就已经上线,也发挥应有的基本防护功能。
他表示,以往旧架构的许多设备的IP都还对外公开,这1年来做相关架构整併时,也一併处理设备IP公开的问题。也因此,“面对这次****业者攻击时,游戏基地才能紧急透过更换设备做相关的阻挡、防护。”他说。
ISP加大频宽可舒缓DDoS攻击
DDoS攻击其实就是攻击者利用分散在各地的电脑主机,发送大量IP封包,藉此瘫痪受害者的电脑主机。遭受DDoS攻击的网站无法提供正常的网路服务,成功接通率甚至只有1%以下。中华电信资安办公室资安技术组长李伦铨表示,因为某一些产业的服务不能容许任何网页延迟(Delay),成为骇客发动DDoS攻击勒赎的诱因。
敦阳科技资深资安顾问杨伯瀚表示,这种DDoS攻击主要是瘫痪网路流量,以及塞爆电脑主机连线,继之造成主机当机、资料错乱等灾情。因此预防DDoS攻击的手法,也可以从ISP业者和企业内相关网路和主机设备防护着手。
陈冠儒便说:“游戏基地遭受攻击的第一时间,就请求ISP业者的协助,事先过滤不正常的IP连线。”此外,台湾各家ISP业者也都有提供由ISP业者协助企业用户,找寻发动DDoS攻击的来源IP进而阻断的DDoS Migration服务。
李伦铨认为,目前有许多骇客都利用傀儡电脑(Botnet)做真实连线(TCP Full Connect),以发动DDoS攻击,所有连线看起来都是正常行为,他建议:“先请ISP业者加大频宽流量,舒缓DDoS攻击状态,再由ISP业者进行资安事件分析,过滤DDoS攻击来源,通知遭到Botnet绑架的用户,是现阶段解决DDoS最有效的方法。”但李伦铨也承认,因为这样的处理流程需要时间,以往经手的案例中,所需的时间多从1周至1个月不等。因而某些受害企业无法久候,而愿意付钱了事。
透过降流和提高伺服器处理速度,舒缓DDoS攻击
除了由ISP业者协助避免网路连线中断外,在降低主机连线的部分,有资安顾问建议,可以透过部署IPS(入侵防御系统)再搭配L4交换器,对伺服器的连线做平均分配,避免某一臺伺服器连线数量过高,超过作业系统或伺服器本身的连线承载上限。
另外,也可以透过降流方式保护后端的伺服主机,或是使用内建预防DDoS模组的网路流量加速设备。杨伯瀚表示,目前预防DDoS攻击的技术主要可分成SYN Proxy和SYN Cookie两种。他说:“目前流量加速或者分流设备,常会搭配这类技术。”
所谓SYN Proxy就是在Web伺服器前端放一个网路设备,负责所有TCP连线,确认TCP连线正常后,才将连线讯息传回后端伺服器。SYN Cookie就是以类似 Cookie 的方式,产生不能伪造的 SYN Cookie,作为与对方TCP沟通的标记,设备本身并不需占用资源来等待回应,减轻资源消耗,再搭配TCP/SSL Offload(TCP降流)与Multiplexing技巧,和网页快取(Caching)技术以重整网路流量,减轻后端伺服器负载量。
“企业用户也可以透过增加伺服器数量,或提高伺服器处理每秒Session连线的速度,”李伦铨表示,这样的作法与加大频宽作法类似。但他也提醒,这个方法弹性不够好,伺服器投资往往是长期规画,难做短期应变之用,企业应审慎评估相关成本效益。
波罗的海叁小国中的爱沙尼亚,在2007年遭到来自俄罗斯的DDoS攻击,所有的网路连线与相关服务全部被瘫痪。这也可以证明,任何可能阻断网路服务的攻击手法都是资讯战的一种。刑事局科技犯罪防制中心研发室组长杨凯胜表示,目前有关单位已持续观察相关的DDoS攻击事件,企业用户若有相关谘询需求,该单位也可以提供相关谘询协助。
舒缓DDoS攻击的方式
方式 加大频宽 DDoS Migration服务 部署IPS加上L4交换器 内建防阻DDoS模组的网路流量加速设备 提升伺服器连线处理效能 提供厂商 ISP业者 ISP业者 网路设备厂商 F5、Citrix、 Radware等 伺服器厂商 优点 I SP可弹性加大频宽,较有效 企业用户不用花钱买高阶设备 可以降低伺服器被塞爆的机会,主动封锁可疑IP 透过降流方式保护后端的伺服主机 提升Session连线处理速度,效果同加大频宽 缺点 事件处理时间较费时 是一种不能间断的投资 IPS设备贵,L4交换器需求数量多时,成本也高 设备费用较贵 伺服器是长期投资, 难做短期应变 资料来源:iThome,2008年4月