[新聞] 中國網攻 唐鳳出招破解了：數位發展部

作者golang (666NYCU666)

看板Military

標題[新聞] 中國網攻　唐鳳出招破解了：數位發展部

時間Sun Aug 7 23:21:29 2022

中國網攻　唐鳳出招破解了：數位發展部網站一秒都沒卡過原文來源：https://www.setn.com/News.aspx?NewsID=1157893 原文摘要：自美國眾議院議長裴洛西訪台後，中共就在台灣進行了軍演，與此同時，也有不少境外IP 頻頻對我國公、私部門進行攻擊。接任行政院數位發展部首任部長的唐鳳，近日接受媒體專訪時提及此事，指出以Web3為主的分散式架構，將可以完全排除阻斷性攻擊。唐鳳近日接受《自由時報》專訪，被問及政府機關網站遭到資安攻擊，政府是否有因應作為？唐鳳則形容這幾天的狀況就像是電話佔線，而這個技術也叫大量阻斷服務攻擊（DDoS ），其實政府的資料並沒有外泄，而電話線也沒壞掉。但唐鳳指出，電話打不進去，就多設專線的方式，從某個角度來看就像是消耗戰，要投入資源。唐鳳說，數位發展部的網站在共軍演習當天上線，這個網站是採取Web3的架構，是個分散型網絡、不對稱防禦的架構，在共軍開始軍演當天中午上線，「目前為止一秒鐘都沒有卡住過」。唐鳳指出，比起傳統的流量清洗必須要花資源防禦，Web3就像是有人進線後接的就會是機器人，不需要再有接線生了，和消耗戰不一樣。至於是否會推廣到各機關部會，唐鳳表示，這個新的架構骨幹不需額外花錢，設計目的就是為了避免遭阻斷攻擊，也鼓勵大家「打打看」，若能撐得住，沒問題的話就會推廣了。事實上，自中共宣布軍演以來，我國公部門網站頻頻遭到境外勢力攻擊，外交部發言人歐江安表示，在8月4日中午、8月4日深夜、8月5日清晨，境外網軍攻擊外交部手法更新，攻擊更大量，惡意連線次數最大值已達每分鐘1億7000萬多次。外交部會持續保持高度警戒，遇有任何異常情形，會即時妥為應處。心得感想：下午發完手殘刪到文看起來新成立的數位發展部有在著手處理這次各部會網站遭到DDOS攻擊的問題不過匪夷所思為什麼唐鳳要說數位發展部的解決方案是Web3之類的方案因為我好奇看了一下數位發展部網站 moda.gov.tw https://i.imgur.com/juXhYM1.png

https://i.imgur.com/EUezgiq.png

看起來是買了美國第三方 Cloudflare CDN 的商業服務幫忙防禦住這次DDOS的攻擊 Cloudflare 的商業服務其實就是一個很務實解決DDOS方案 (烏克蘭的政府網站也有用) 不太確定有什麼難言之隱好不能公開透露的 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.249.90.91 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Military/M.1659885691.A.2F0.html

推 emptie : 啊？我早上看到的時候還以為有什麼黑科技是新聞在 08/07 23:23

→ emptie : 移花接木還是唐自己也不知道自己在說啥 08/07 23:23

噓 JiangWanan : 外包大臣只會花錢外包 08/07 23:24

→ emptie : 然後這網站才剛上線幾個小時也沒什麼人知道再加上 08/07 23:25

→ emptie : 裡面根本沒內容，應該不會成為攻擊的目標吧… 08/07 23:25

噓 QuentinHu : 就你們沒斷，其他人都被打爆，有屁用? 08/07 23:25

其實各部會都採購Cloudflare CDN的服務就好烏克蘭也是開戰後全部掛上Cloudflare 靜態的內容這樣處理其實很足夠了不過比較匪夷所思的是怎麼多出Web3/星際檔案/區塊鍊那坨東西

噓 extrada : 很像沒啥了不起，呵呵 08/07 23:25

→ emptie : 這外包沒啥問題吧重新發明輪子沒意義只是需不需 08/07 23:26

→ emptie : 要為了偶爾一次的這種攻擊花那麼多成本的問題（畢 08/07 23:26

→ emptie : 竟網站被癱瘓不等於政府機關被癱瘓） 08/07 23:26

推 blade0314 : 事實就是上線沒多久說不定有些DNS也沒記錄到這個 08/07 23:26

→ blade0314 : 跟斷網沒上線有87%像 08/07 23:26

→ ramirez : 天才IT大臣就是強!!!! 08/07 23:27

噓 samia28 : 笑死人的陰陽人 08/07 23:28

→ wild0522 : 簡單有效啊 08/07 23:28

推 tsengivy : 只要能解決問題管它外包還是什麼有現成的可用幹 08/07 23:29

→ tsengivy : 嘛從零開始開發費用還更貴有些噓文真的很莫名其 08/07 23:29

→ tsengivy : 妙 08/07 23:29

※ 編輯: golang (111.249.90.91 臺灣), 08/07/2022 23:30:54

噓 elfish123 : 笑死 08/07 23:31

→ elfish123 : 你還是去救酷啦皮卡比較實際 08/07 23:31

推 deathrow : 因為他在吹啊瞎掰一些名詞裝逼 08/07 23:32

→ taian3568 : 有些回文為何以為點到八卦版 08/07 23:32

推 attitudium : 能簡單的解決問題沒有什麼不好 08/07 23:32

→ taian3568 : 但是說他出招破解真的多了說有加強防護就好 08/07 23:33

→ finhisky : 如果沒被攻擊的話，沒卡不是正常的嗎 08/07 23:34

噓 JellyKing : 為什麼今天這種內宣新聞一直發阿.. 這麼厲害直接把 08/07 23:38

→ JellyKing : 這種系統上總統府外交部國防部阿明明這幾天我國政 08/07 23:38

→ JellyKing : 府網站都卡到爆了為什麼還要特別為"本部會不受影響 08/07 23:38

→ JellyKing : "發一篇新聞阿根本智障 08/07 23:38

推 wild0522 : 這裡不是八卦二板嗎 08/07 23:38

推 birdy590 : 其實這也沒什麼破解不破解的錢砸下去就解了 08/07 23:45

→ birdy590 : 對付 DDOS 只有一招有效就是"我的水管總和比你攻擊 08/07 23:45

→ birdy590 : 的量大" 這樣才有辦法存活甚至清洗 08/07 23:46

→ deathrow : 1.沒人知道沒被攻擊 2.我買Cloudflare擋DDOS 講實 08/07 23:46

→ deathrow : 話這樣就不夠天才IT大臣了 08/07 23:46

→ birdy590 : 總之不花錢是不可能解的這算是一種基礎建設 08/07 23:47

→ birdy590 : 還蠻多雲端業者在做 DDOS mitigation, 能力高低不一 08/07 23:47

→ HydraGG : 這id故意發的阿 08/07 23:48

→ birdy590 : cloudflare 網站宣稱的容量是 155Tbps(會變的) 08/07 23:49

→ Howard61313 : 通資電軍就算了，數位發展部的軍武點真的要考慮一下 08/07 23:50

→ birdy590 : 有些比較小的容量建到幾 Tbps 而已(打超過就掛了) 08/07 23:50

→ toshiba5566 : 怪裡怪氣陰陽人 08/07 23:50

→ birdy590 : 容量就是錢所以不花錢就是無解 08/07 23:50

→ tim910282 : 幾天后就會打臉了 08/07 23:50

推 qhapaq : 報告版主有人違規～ 08/07 23:51

推 emptie : 可以討論大家都用cloudflare結果有一天他出問題反 08/07 23:52

→ emptie : 而造成一大堆網站同時下線的脆弱性（過去發生過幾 08/07 23:52

→ emptie : 次，持續幾個小時） 08/07 23:52

→ birdy590 : 樓上講的不是問題因為"可以同時買好幾家的服務" 08/07 23:53

→ birdy590 : 但是這就"需要更多的錢" 08/07 23:53

→ birdy590 : 可以參考 OTT 業者就有不同路線有完全自建CDN的 08/07 23:54

→ birdy590 : 也有兩種並行的, Disney+ 就是完全向現有業者採購 08/07 23:55

→ birdy590 : 起步的晚手上現金又多拿錢砸是最快最好的方法 08/07 23:55

→ birdy590 : 沒錢就別提了台灣業者打個幾十Gbps就死了 08/07 23:56

→ mmmimi11tw : 這裡不是八卦二板 08/07 23:57

推 emptie : OTT業者可以這樣做是他本來就砸很多錢在流量上，對 08/07 23:57

→ emptie : 很多機構來說官網能否運作並不是他的生命線被掐斷 08/07 23:57

→ emptie : 等級的嚴重程度 08/07 23:57

→ birdy590 : 這跟武器其實道理一樣要嘛外購要嘛自製花錢就對 08/07 23:57

→ birdy590 : 兩種都不選就想要能打天底下沒那麼便宜的事情 08/07 23:58

→ birdy590 : 沒發現領頭對抗 DDOS 的全都是 CDN 業者? 08/07 23:58

→ WhiteScars : 不知道為什麼提web3要這麽反感…cloudflare的網站上 08/07 23:58

→ WhiteScars : 就有介紹 https://www.cloudflare.com/zh-tw/web3/ 08/07 23:58

→ birdy590 : 因為他們建立基礎建設的同時就把這條路也舖好了 08/07 23:58

→ birdy590 : 對抗 DDOS 重點就是要花錢而且系統搬上去會有限制 08/07 23:59

→ birdy590 : 灑在全世界各地的機器就是對抗的武器沒武器怎麼打 08/08 00:00

→ birdy590 : 政府網站其實算低難度因為海外出口相對不重要 08/08 00:01

推 s8626460 : 看有沒有專業人士剖析Web3或cloudflare是否能解決 08/08 00:01

→ birdy590 : 把國內進來的流量顧好國外就想辦法洗洗不掉就別用 08/08 00:02

→ s8626460 : 被攻擊的問題? 08/08 00:02

→ birdy590 : 國內外分流也是一種方式其實地域性是一種優勢 08/08 00:02

→ birdy590 : 根本沒有要讓全世界用的幹嘛搞那麼麻煩上 CDN? 08/08 00:02

→ s8626460 : 問題能否解決比較重要吧? 人身攻擊或是不是由自己處 08/08 00:03

→ emptie : 當然能解決啊 DDoS不是什麼很厲害的攻擊，你要防禦 08/08 00:03

→ emptie : 也就砸資源跟他硬碰硬就行了 08/08 00:03

→ s8626460 : 理並非解決問題的好辦法 08/08 00:03

→ birdy590 : 就跟打仗一樣你的槍比對方大支自然就佔優勢 08/08 00:04

→ birdy590 : 攻擊也需要成本讓對方覺得沒效自然就會停了 08/08 00:04

→ birdy590 : DDOS 清洗在國外其實已經是蠻成熟的一門生意 08/08 00:05

→ birdy590 : 真正的問題只有經營網站的是不是負擔的起~ 08/08 00:05

推 s8626460 : 我是知道很多網站有使用cloudflare 08/08 00:06

→ s8626460 : 只是不知道cloudflare的技術能否解決這次遇到的攻擊 08/08 00:06

→ s8626460 : 感謝樓上的分享 08/08 00:07

推 shadow0326 : CDN聽起來很太土了，講web3聽起來比較時髦 08/08 00:07

推 birdy590 : 肯定可以因為目前防禦的規模是遠超出攻擊量很多 08/08 00:07

→ birdy590 : 但是1要負擔的起 2網站要想辦法搬的上去 08/08 00:08

→ birdy590 : 對前面幾家大頭來說台灣的攻擊量根本算不上什麼 08/08 00:08

推 s8626460 : CDN聽起來會土嗎? cloudflare在雲端安全股票也算有 08/08 00:10

→ s8626460 : 名,同時前兩年飆很兇 08/08 00:11

噓 pcfox : 嗯.....出手了？呵呵 08/08 00:21

推 eggeggyayaya: 嘻嘻 08/08 00:25

→ saccharomyce: 是在捧殺喔 08/08 00:25

噓 ctw01 : 造神文見一次噓一次 08/08 00:27

推 BFer : 八卦柵門又壞了 08/08 00:29

→ nkfcc : 國內外分流不見得有用。國內肉雞本來就不少。記得 08/08 00:36

→ nkfcc : 以前台灣被操控發起網攻的肉雞量也是名列前矛的。 08/08 00:36

→ nkfcc : 我的logwatch裡也常有hinet的ip，VPS是日本的。 08/08 00:38

推 BlackBass : 這裡是八卦板嗎？ 08/08 00:45

推 wild0522 : 版主說不是 08/08 00:48

→ birdy590 : 並不會以台灣的狀況而言國內來的攻擊流量相對小 08/08 00:51

→ birdy590 : 而且"業者自己會覺得痛所以不會容忍長時間存在" 08/08 00:51

→ birdy590 : 國外來的隨便也幾十 Gbps, 國內網站沒幾家撐的住 08/08 00:52

推 h80733 : 噓的反串吧？這篇很明顯酸唐鳳 08/08 01:04

→ wild0522 : 帳號「golang」 08/08 01:05

→ h80733 : 反正就是表面上說用了多高科技，其實就是外包給國 08/08 01:05

→ h80733 : 外防ddos 08/08 01:05

推 bmasaya507 : 是不是要蓋牆了 08/08 01:07

推 xyz168 : CDN跟Web3還是不太一樣，Web3走去中心，CDN還是有 08/08 01:15

→ xyz168 : 中心，CDN叫decentralized，IPFS是distributed 08/08 01:15

→ xyz168 : 簡單來說，走到distributed，除非有辦法掌握51%的 08/08 01:16

→ xyz168 : 流量，不過這不可能，攻擊方的流量還是可以被吃光 08/08 01:16

→ xyz168 : CDN作為一個入口網站標準服務，內容掛在IPFS，避免 08/08 01:17

→ xyz168 : 造成DDoS攻擊灌爆少數單點的問題 08/08 01:17

→ birdy590 : 以政府網站而言分散到國際業者去其實很奇怪 08/08 01:18

→ birdy590 : 國內外分開是比較可行的作法國外可訪問但流量有限 08/08 01:19

→ birdy590 : 或是對國外的入口分散到國際業者去國內的也散出去 08/08 01:19

→ birdy590 : 有點本末倒置本來其實也攻擊不到的 08/08 01:19

→ birdy590 : 而且國內外分開就可以考慮自建對國內的清洗服務 08/08 01:20

→ birdy590 : 真正的問題只有一個就是舊架構水管太小而且惟一 08/08 01:21

推 cangming : cloudflare的web3是你要跟他合作基礎架構建置才會有 08/08 01:24

→ cangming : 不是外包就會生出來的東西好嗎 08/08 01:24

→ cangming : 國內外分流之前香港公投就證明沒用了 DDOS的來源一 08/08 01:25

→ cangming : 堆是你各位買的IOT裝置直接變殭屍你還不知道 08/08 01:25

推 birdy590 : 擋國內難度比各位想像中低~ 08/08 01:26

推 xyz168 : DDoS也並非要多高流量才能讓服務器掛掉，只要讓 08/08 01:26

→ xyz168 : 服務器持續busy就好 08/08 01:26

→ birdy590 : 而且政府網路在國內沒道理建不起夠大的水管做清洗 08/08 01:26

→ cangming : 看到cloudflare就只會講CDN的大概也不懂啥叫Route5 08/08 01:27

→ cangming : 3跟AnyIP 08/08 01:27

→ birdy590 : 硬裡子還是一樣我準備的水管比你大就一定打不死 08/08 01:27

→ cangming : 清洗只對低階協定有用啦高階協定你是要清洗啥 08/08 01:27

→ xyz168 : DDoS攻法很多種，有的不是國外直接進來，是經過 08/08 01:28

→ xyz168 : 國內跳板，不會那麼容易洗 08/08 01:28

→ cangming : 一堆殭屍送半連接給你你是要怎麼清洗別傻了好嗎 08/08 01:28

→ birdy590 : DDoS 還經過"跳板"?! 你真的知道自己在講什麼嗎 08/08 01:28

→ birdy590 : 就洗啊固定的pattern並不會很難洗 08/08 01:29

→ xyz168 : reflection過來，是要去哪裡洗 08/08 01:29

→ birdy590 : 殭屍丟出來的 "不會是正常的訊務" 現在要搞大規模 08/08 01:29

→ cangming : DDOS都用殭屍IOT做跳板不是現在主流嗎... 08/08 01:29

→ xyz168 : 原來有人不知道DDoS可以這樣攻？＠＠ 08/08 01:29

→ birdy590 : SYN flooding, 已經不是主流了成本太高 08/08 01:29

→ birdy590 : amplication attack 不是"跳板" @@ 08/08 01:30

→ birdy590 : 那些IOT裝置本身就是反射流量的來源但只能反射垃圾 08/08 01:30

→ birdy590 : 垃圾==容易清洗 (例如正常網站哪來那麼多奇怪UDP?) 08/08 01:30

→ cangming : SYN Flooding哪會成本太高... OSI七層先去搞懂來好 08/08 01:31

→ cangming : 嗎 08/08 01:31

→ birdy590 : 偵測系統甚至可能在幾秒鐘內就生成過濾的規則 08/08 01:31

→ birdy590 : IOT 裝置"無法做為 SYN flooding 的來源" 08/08 01:31

→ birdy590 : 這幾年的主流都是各種反射攻擊純灌流量 08/08 01:31

→ birdy590 : 並沒有取得控制權只是利用漏洞反射放大流量 08/08 01:32

→ birdy590 : 能夠反射的都是有漏洞的服務本身生成內容無法變化 08/08 01:32

→ birdy590 : 能夠產生任意流量(eg SYN flooding) 這種僵屍很值錢 08/08 01:33

→ birdy590 : 值錢代表數量少, 數量有限也不會隨便拿來用 08/08 01:37

推 cangming : https://is.gd/nENEzu 08/08 01:37

→ cangming : 你說的只存在在理想中現實是上面那樣的 08/08 01:38

→ cangming : 2014年的香港DDOS攻擊只要是網路工程師都應該知道 08/08 01:39

→ cangming : 對手也正好是中共 08/08 01:39

→ cangming : 當時就驗證清洗流量沒有預期效果 08/08 01:39

→ birdy590 : 現實是你上面那個案例他們只是"可憐的 end user" 08/08 01:39

→ birdy590 : 誰幫他們清洗流量來著? 沒有他們也負擔不起 08/08 01:39

→ birdy590 : 這幾年攻擊紀錄已經推進到 Tbps 規模了 08/08 01:40

→ cangming : 更不是你水管就能解決你水管再大大得過google還是 08/08 01:40

→ cangming : AWS嗎人家都撐不住了 08/08 01:40

→ birdy590 : "DNS反射攻擊流量每秒超過100Gb，而NTP反射攻擊流量 08/08 01:40

→ birdy590 : 甚至更高達每秒300Gb" 這些都是非常容易清洗的 08/08 01:41

→ birdy590 : 以政府網路而言國內每家骨幹先接個幾百 Gbps 08/08 01:41

→ birdy590 : 還打的死你找我 08/08 01:41

→ cangming : 還end user勒當年Google跟AWS的一線維運團隊都下來 08/08 01:41

→ cangming : 了... 08/08 01:41

→ birdy590 : 香港這案例的問題 1.他們碰不到網路 2.國內外混合 08/08 01:41

→ birdy590 : 為什麼來自台灣的流量會打死香港的投票網站? 08/08 01:42

→ birdy590 : 這其實暴露出一個問題就是"這種網站散不到全世界" 08/08 01:42

→ birdy590 : 到頭來是給香港人用的, 散到全世界只是墊高成本 08/08 01:43

→ cangming : 站點也不在香港是AWS 08/08 01:43

→ cangming : 都甚麼年代了早就都上雲了好嗎 08/08 01:44

→ birdy590 : 從 2014 到現在技術也進步很多了主要是大水管降價 08/08 01:44

→ cangming : 你當AWS會沒有自己的流量清洗裝置嗎 08/08 01:44

→ birdy590 : AWS 也是有區域性的它在區域的出口是出了名的摳 08/08 01:44

→ cangming : 我是不知道現在TLS層級以上有什麼清洗方法啦 08/08 01:44

→ birdy590 : 並不是上了 AWS 問題就解決了 08/08 01:45

→ cangming : 如果有的話那也不需要DDOS了 08/08 01:45

→ birdy590 : "DNS反射攻擊流量每秒超過100Gb，而NTP反射攻擊流量 08/08 01:45

→ birdy590 : 甚至更高達每秒300Gb" 這些都屬於低層次的 08/08 01:45

→ birdy590 : "另外還出現了以攻擊網路第四層為主的SYN Flood洪水 08/08 01:46

→ birdy590 : 攻擊" 真正麻煩的是這個所以國內外分流就更重要 08/08 01:46

→ cangming : 你講的那些流量清洗都只對低階封包有效你有玩過防 08/08 01:46

→ cangming : 火牆就知道 APP層級以上的NGFW那個流量容量只有一般 08/08 01:46

→ cangming : 容量的一成不到 08/08 01:46

→ birdy590 : 分流的不只是網站入口最好連看的網站內容都分開 08/08 01:46

→ birdy590 : 你不知道反射攻擊全都是低階封包? 08/08 01:47

→ birdy590 : 連 router ACL 都可以輕易擋下, 只是水管要夠大條 08/08 01:47

→ cangming : 前提是你還要先把憑證塞進去問題是你敢把你的私鑰 08/08 01:47

→ cangming : 給ISP只為了做流量清洗嗎別傻了 08/08 01:47

→ birdy590 : SYN flooding 比較麻煩是可能跟正常的混在一起 08/08 01:47

→ birdy590 : 憑證? 你以為反射攻擊那些垃圾流量有什麼鬼憑證 08/08 01:48

→ birdy590 : 拜託一下如果不懂真的少講 @@ 08/08 01:48

→ birdy590 : 看前面我也講過了 "這幾年 SYN flooding 不流行了" 08/08 01:49

→ birdy590 : 以前對岸出現在最恐怖是連 source IP 全都假造的 08/08 01:49

→ birdy590 : 你只能看到從上游某個介面進來然後沒有了 08/08 01:50

→ birdy590 : 你向上游報修變成上游要想辦法找出哪一家進來的 08/08 01:50

→ birdy590 : 中間隔幾層就要找幾次等你找到可能一星期過去了 08/08 01:51

→ birdy590 : 這種流量現在也能洗但是成本會墊高蠻多的 08/08 01:52

→ birdy590 : 而且前提一樣 "水管總和必須大於攻擊流量" 08/08 01:52

→ birdy590 : 進來 500G, 實際上有意義 10G, 你就得準備 500G+ 08/08 01:53

→ birdy590 : 對一般人來說哪有那種財力, 但政府網路應該要有 08/08 01:54

→ birdy590 : 2014 年 100G 介面還是天價, 但現在早就不是了 08/08 01:55

噓 a8785007 : ……… 08/08 01:56

→ smaxtor2002 : 這種靜態的還被ddos就好笑外包大臣 08/08 01:57

推 mmnnoo : 這次外包給誰？ 08/08 01:59

推 birdy590 : 自建CDN 灑到國內各家業者去這也可以 08/08 01:59

→ birdy590 : 總之維持舊架構穩死直接買國際業者服務這也很怪 08/08 02:07

→ birdy590 : 因為大部份政府機關網站對境外連線全斷也不會怎樣 08/08 02:07

→ birdy590 : 要先搞清楚想要維持的服務範圍到底長什麼樣子 08/08 02:08

噓 rcat2010 : 這跟軍武版的關聯性？ 08/08 02:09

推 birdy590 : 可能把網路戰也算是戰爭的一環吧~ 08/08 02:10

噓 lupefan4eva : … 08/08 02:13

推 kevin020792 : 看上面推文神仙打架很歡樂，啊就是會穿插一些人身 08/08 02:13

→ kevin020792 : 攻擊超煩的。 08/08 02:13

推 Bf109G6 : 國軍 '據說' 軍網已經實體隔離但是那種人治的環境 08/08 03:01

→ Bf109G6 : 以往出事情都是越高階越大包實在不好說.. 08/08 03:01

→ Bf109G6 : ex. 無期徒刑那位 08/08 03:01

噓 KJoshT : 數位發展部只顧好自己就可以了嗎？ 08/08 03:46

噓 aw7square : 可憐哪把這小丑當寶捧 08/08 04:44

推 izplus : 一直攻擊性取向很無聊耶 08/08 05:04

推 semicoma : 這篇就不是在說用cloudflare有問題而是在說唐鳳亂 08/08 05:44

→ semicoma : 用buzzwords裝模作用另外台灣對軟工的不重視從 08/08 05:44

→ semicoma : 政府標案到民營企業都一樣廢 7-eleven已經是數一數 08/08 05:44

→ semicoma : 二大的零售商了 app的ui/ux什麼鳥樣? 一堆券商萬年 08/08 05:44

→ semicoma : 的三竹系統如果跟美國和中國的券商app比根本恐龍 08/08 05:44

→ semicoma : 時期產物再來是像ez way或健保快易通ui/ux有夠爛 08/08 05:44

→ semicoma : 都是那種開發者知道怎麼使用就覺得一般使用者也知 08/08 05:44

→ semicoma : 道怎麼使用的情況你開發公司就算沒請夠專業的ui/u 08/08 05:44

→ semicoma : x設計師至少也找個測試工程師吧? 我甚至還沒提從 08/08 05:44

→ semicoma : 中央到地方對政府標案的驗收漏洞有些政府軟體標案 08/08 05:44

→ semicoma : 不知道為什麼就是會讓某些公司做然後又剛好驗收 08/08 05:44

→ semicoma : 時會睜一隻眼閉一隻眼或者像taiwan plus花10億打 08/08 05:44

→ semicoma : 造結果只有不到四萬次下載量這種鳥事那反正這些鳥 08/08 05:44

→ semicoma : 事都還要有人護航那就隨便吧反正看極限情況時壓 08/08 05:44

→ semicoma : 力測試會有多精彩 08/08 05:44

推 Arbin : 自建CDN... 08/08 06:00

→ Arbin : 有了HiNet CDN這負面例子 08/08 06:00

→ Arbin : 讓我不是很想相信台灣的CDN 08/08 06:00

→ CYL009 : 太神了請各單位好好學習喔 08/08 06:12

→ gcnet : 辦公室也可以準備設在國外了 08/08 07:10

推 hn84679402 : 就只有CDN擋得住DDOS Web3? 08/08 08:53

噓 DoBahaha : 大內宣唬爛洨 08/08 08:57

推 cangming : HTTPS HTTP DDOS又不是什麼新攻擊手法你隨便找一台 08/08 09:00

→ cangming : 爛IOT都能瞬發上千個連線光是慢攻擊就能讓你升天了 08/08 09:00

→ cangming : 這種攻擊甚至不需要多少流量你講的離實務根本太遠 08/08 09:00

→ cangming : 現在NGFW也沒幾家你講的業者多半也是使用fotigate 08/08 09:00

→ cangming : 這些廠商不需要你親自去玩你去找他們機器看spec就 08/08 09:00

→ cangming : 知道 app層級的清洗沒有什麼在上百G的你所說的都僅 08/08 09:00

→ cangming : 限低階協定的清洗 08/08 09:00

→ cangming : 就連有專用晶片的fortigate也沒能超過10gbe的能力 08/08 09:02

→ cangming : iot威脅有多大各位先想想有在玩智慧家電的有多少是 08/08 09:05

→ cangming : 用中國小米就算不是中國小米好了今年年初asus rou 08/08 09:05

→ cangming : ter 被apt攻破你各位有記得去更新嗎 08/08 09:05

推 birdy590 : 拜託一下目前 DDOS 的紀錄是微軟 Azure 接下的 08/08 09:08

→ birdy590 : 3.47 Tbps... 應該說 2020 以後規模就突破 Tbps 了 08/08 09:08

→ cangming : https://is.gd/zZGKZf 殭屍網路的DDOS越來越變成主 08/08 09:09

→ cangming : 流就是因為流量清洗對他幾乎無效你只能靠anyip和r 08/08 09:09

→ cangming : oute53技術把他分到不同的後端去 08/08 09:09

→ birdy590 : 有沒有死? 沒有... fortigate 連圖都進不去 08/08 09:10

→ birdy590 : 把防火牆和這個混在一起這個觀念就第一個錯了 08/08 09:10

→ cangming : 至於為什麼現在也不考慮流量了因為慢連結只在乎數 08/08 09:10

→ cangming : 量他連線建完就不會消耗流量但會消耗你後台的CPU 08/08 09:10

→ cangming : 跟記憶體資源所以你一直在流量上打轉根本就沒弄清 08/08 09:10

→ cangming : 現在DDOS是怎麼做的 08/08 09:10

→ birdy590 : 你上面這套思路都是錯的為什麼超過 Tbps 打不死? 08/08 09:11

→ birdy590 : 很簡單因為一進門就被丟掉了後台CPU? 08/08 09:11

→ cangming : TLS連線都是加密資料你是要怎麼丟啦XDDD 08/08 09:12

→ birdy590 : 傳統那種, 防火牆擋在網站前面的模式對抗不了DDOS 08/08 09:12

→ cangming : 你說的都僅限未加密連線好嗎 08/08 09:12

→ birdy590 : 你為什麼總是幻想那些放大攻擊有辦法建立起連線? 08/08 09:12

→ birdy590 : 流量清洗之所以可行正是因為"那些都可以直接丟掉" 08/08 09:13

→ cangming : 那麽這幾年HTTP DDOS是鬼嗎XD 08/08 09:13

→ birdy590 : 它就是純粹的用很大的流量把傳統架構的水管灌爆 08/08 09:13

→ birdy590 : 又鬼打牆了 "SYN flooding 這幾年較不流行了" 08/08 09:13

→ cangming : 事實就證明這個很有效老俄今年攻擊烏克蘭DDOS也是 08/08 09:13

→ cangming : 用這招 08/08 09:13

→ birdy590 : 因為主角是那些 IOT 裝置, 並不是你們想像的"跳板" 08/08 09:14

→ birdy590 : 對現在那些雲服務為主的業者, 這招一點用也沒有 08/08 09:14

→ birdy590 : 人家總水管破百 T 了, 小的至少也有幾T 你慢慢灌吧 08/08 09:15

→ cangming : 現在都用殭屍網路布局先用APT打下IOT裝置然後利用 08/08 09:15

→ cangming : CC server控制這些變成殭屍的裝置去發連線這又不是 08/08 09:15

→ cangming : 什麼很難的東西 08/08 09:15

→ birdy590 : ... 發連線? 你真的知道什麼叫"放大攻擊"嗎 08/08 09:15

→ cangming : 連線本身都是合法的人家只是資料送得慢而已 08/08 09:16

→ birdy590 : 昨天在 FB 有看到一些討論... 上雲以後很多會變快照 08/08 09:16

→ birdy590 : ... 放大攻擊哪來的連線? 就是純粹的垃圾流量 08/08 09:16

→ birdy590 : 事實上很多網站已經是這樣使用者看到的未必是即時 08/08 09:16

→ birdy590 : 後台出問題的時候使用者看到的是之前留下的快照 08/08 09:17

→ birdy590 : 這是不會全死沒錯但是對政府網站來說不是很實際 08/08 09:17

→ cangming : DDOS又不是只有放大攻擊而且放大攻擊就那幾種現在 08/08 09:18

→ cangming : DDOS都是複合性的攻擊時不會只有反射放大一種 08/08 09:18

→ birdy590 : 你沒發現就算是2014年流量的主角都是放大攻擊? 08/08 09:18

→ birdy590 : 並沒有什麼"都是複合性的" 這回事 08/08 09:18

→ birdy590 : 然後 SYN flooding 會耗用的殭屍資源是比較值錢的 08/08 09:18

→ birdy590 : 你想像的真的有辦法建立加密連線的這就更值錢 08/08 09:19

→ cangming : 建議你先去看近期的資安報告或新聞你想得到的攻擊 08/08 09:19

→ cangming : 者也都知道 08/08 09:19

→ birdy590 : 但這同樣不代表有辦法打的死因為以現在的狀況 08/08 09:19

→ birdy590 : 服務分散開來以後容量已經是打不死的程度 08/08 09:20

→ birdy590 : 前提還是一樣 "你必須先有比攻擊量更大的水管" 08/08 09:20

→ cangming : 你的對手是中國耶你都有辦法花大錢弄水管擁有世界 08/08 09:20

→ cangming : 數一數二 APT組織的中國沒錢用殭屍網路？ 08/08 09:20

→ birdy590 : 因為 IOT 裝置"並不能做到你想要的值錢的攻擊" 08/08 09:21

→ birdy590 : 數量最多的就只能灌水純粹的丟垃圾流量 08/08 09:21

→ cangming : 你要不要先看看這兩年爆出來的APT攻擊推測的幕後組 08/08 09:21

→ cangming : 織是哪國的 08/08 09:21

→ cangming : 你太小看IOT裝置了再爛也是ARM CPU 你想都能連wifi 08/08 09:22

→ cangming : 發個HTTPS連線困難嗎 08/08 09:22

→ birdy590 : 能做 SYN flooding 甚至 spoof IP 的用一個少一個 08/08 09:22

→ birdy590 : 你太大看IOT裝置了它的漏洞並不是讓你拿root 08/08 09:22

→ birdy590 : 都是利用協定本身的漏洞以前設計的時候沒想到這個 08/08 09:23

→ cangming : 事實上近兩年HTTP DDOS層出不窮這也不是甚麼新聞了 08/08 09:23

→ cangming : 你覺得不存在但他就是在那裡 08/08 09:23

→ birdy590 : 十年前 HTTP DDOS 可是主角呢但主客異位很久了 08/08 09:24

→ birdy590 : https://bit.ly/3P8yTzc 08/08 09:24

→ cangming : 就因為是協定漏洞才會因為符合pattern 被清洗啊你 08/08 09:24

→ cangming : 的網路世代還停留在這種攻擊技巧嗎 08/08 09:24

→ birdy590 : ... 協定漏洞代表的是"它只能是該協定的回傳封包" 08/08 09:25

→ birdy590 : 所以簡單的 L4 filter 就全部濾光了完全不費力 08/08 09:25

→ cangming : 世代又反過來了好嗎 DNS放大都出來多久了現在只是 08/08 09:25

→ cangming : 因為會被清洗所以又回去用HTTP而已 08/08 09:25

→ birdy590 : HTTP 沒辦法放大謝謝 08/08 09:26

→ birdy590 : 而且SYN flooding 一樣能洗就是判斷建不建的起來 08/08 09:27

推 cangming : https://is.gd/Ugzhdd 08/08 09:27

→ birdy590 : 一個IP每秒發一堆request 但是建不起來這就能擋 08/08 09:27

→ cangming : HTTP不需要放大又不是DDOS就一定是放大攻擊兩個沒 08/08 09:28

→ cangming : 有等義好嗎麻煩看看業界現況... 08/08 09:28

→ cangming : http req都發了就是連線建起來了啦Xdd 去看一下tcp 08/08 09:29

→ cangming : 握手流程好嗎 08/08 09:29

→ birdy590 : 你貼的這個就是 1.7Tbps "reflection/amplification 08/08 09:30

→ cangming : 殭屍網路貴是貴但人家中國不缺錢也不缺技術 08/08 09:30

→ birdy590 : attack" TCP 規模大不了這是常識不需要解釋的 08/08 09:30

→ birdy590 : 這不是錢買的到的 Zzz "值錢" 指的是"數量有限" 08/08 09:30

→ birdy590 : 能夠用來反射的裝置很多真正能取得控制的卻很少 08/08 09:30

→ cangming : 你自己往下捲然後HTTP攻擊不在乎流量你一直在流量 08/08 09:31

→ cangming : 上跳針是哪招 08/08 09:31

→ cangming : 不多啦上億台而已 08/08 09:31

→ birdy590 : 純粹灌垃圾這種方式發起相對容易而且子彈用不完 08/08 09:32

→ cangming : 打你一個site夠了 08/08 09:32

→ birdy590 : 上面講過了目前最多是 3.47 Tbps, 大咖是打不死的 08/08 09:32

→ birdy590 : 軍備競賽其實已經進行蠻多年了一開始是很有效的 08/08 09:33

→ birdy590 : 就像你上面貼 2014 的香港那年代幾百G就很恐怖 08/08 09:33

推 Oisiossos : 外包了 08/08 09:33

→ birdy590 : 但是現在再打幾百G? 就輕鬆接下來不然怎樣? 08/08 09:33

→ birdy590 : 你"以為"10G就是很大的介面這觀念確實需要更新 08/08 09:34

→ birdy590 : "有專用晶片的fortigate也沒能超過10gbe的能力" 08/08 09:34

→ birdy590 : 這就不是 NGFW 的強項別把它硬扯進來 08/08 09:34

推 cangming : https://i.imgur.com/jn9KWhI.png 08/08 09:35

→ cangming : https://i.imgur.com/qv8QbO6.png 08/08 09:35

→ birdy590 : 我猜這裡的 HTTP 應該就是 SYN flooding 08/08 09:38

→ cangming : DDOS攻擊手法百百種不是只有利用協定漏洞打的反射. 08/08 09:38

→ cangming : .. 你哪天真的在業界處理到case就知道了 08/08 09:38

→ cangming : syn flood是L3 層級就不一樣了怎麼會是一樣的東西 08/08 09:39

→ cangming : 不要亂猜先去把計概念熟 08/08 09:39

→ birdy590 : 還是老話一句 "完全取得控制的資源相對寶貴" 08/08 09:39

→ birdy590 : SYN flooding 80/443 不就是HTTP/HTTPS 攻擊? 08/08 09:39

→ cangming : 你這樣說沒用啊現在最讓人頭大的就是這些攻擊中國 08/08 09:40

→ cangming : 有錢有人有技術你覺得他會怎麼做 08/08 09:40

→ birdy590 : 現實上近年來攻擊的分佈就是灌流量為主, 這種高層次 08/08 09:40

→ birdy590 : 不是錢的問題好嗎到底要講幾次 "值錢"指的是取得難 08/08 09:41

→ birdy590 : IOT 裝置幾乎是免費的因為打完也不用怕會被拆掉 08/08 09:41

→ cangming : 當然不是... syn flooding 是tcp握手不回覆ack... h 08/08 09:41

→ cangming : ttp攻擊是慢連結或是已知大量耗用資源的api... 08/08 09:41

→ birdy590 : 你又把值錢程度拉的更高了~ 這種現在佔比例其實很低 08/08 09:42

→ cangming : 所以syn flooding是L3 不是L7= = 為啥我要在軍事版 08/08 09:42

→ cangming : 上幫人上計概啊... 08/08 09:42

→ birdy590 : 我的工作範圍就包括這個這種高層次的攻擊十次也 08/08 09:43

→ birdy590 : 沒看到一次現實上灌流量對一般目標是很有效 08/08 09:43

→ cangming : L7攻擊都是合法連線跟應用你清洗洗不掉的 08/08 09:44

→ birdy590 : 例如一般企業網站搬也搬不走散不開也上不了雲 08/08 09:44

→ birdy590 : 這種只能從網站架構上去改進但政府網站屬於這類? 08/08 09:45

→ birdy590 : 我不認為政府網站是綁死搬不走也分散不開的那種 08/08 09:45

→ birdy590 : slow attack 在教科書上比較重要真實世界裡還好 08/08 09:46

→ birdy590 : 你看哪份攻擊報告有提到這個的? 大部份都關心刷紀錄 08/08 09:47

→ birdy590 : 他們講 web3 就是特別不怕這個, 你卡一個worker無用 08/08 09:47

推 cangming : https://is.gd/ZMMyl4 08/08 09:49

推 cangming : 真的有錢人不在乎成本的時候甚至不用iot了 08/08 09:53

→ birdy590 : 這應該反過來問你最近看到哪次事故是真的被打死的? 08/08 09:53

→ birdy590 : "攻擊者運用由5,067臺設備組成的殭屍網路" 08/08 09:53

→ birdy590 : 5067 台其實是很少很少的一個數字 08/08 09:53

推 ByronX : 這篇文竟然在這po 出來了 08/08 09:55

→ birdy590 : 這攻擊目標應該很值錢因為被入侵的VM/伺服器最稀少 08/08 09:59

→ birdy590 : 而且你一旦用過很容易就被發現並且修補了 08/08 09:59

推 cangming : HTTP攻擊效果非常好不管是那個site都不可能保證每 08/08 10:05

→ cangming : 個放在外頭的api有C1K的能力 C10K更不要說了這個ca 08/08 10:05

→ cangming : se每個vm發兩個connection 就破10k了 08/08 10:05

→ cangming : 然後aws或是GCP辦個帳號你要一口氣拉起上百台也不是 08/08 10:06

→ cangming : 的問題更別說中國自己有阿里雲 08/08 10:06

推 jerrylin : 因為根本沒人聽過吧沒被攻擊 08/08 10:14

→ jerrylin : 今天晚上看會不會被攻陷 08/08 10:14

推 cangming : 今年趨勢可以看cloudflare報告 08/08 10:18

→ cangming : https://is.gd/h1yETJ 08/08 10:18

→ birdy590 : 這還是被傳統架構綁住的腦子 @@ 08/08 10:20

推 cangming : 烏克蘭的例子就是被全球分散的殭屍網路發動HTTP DDO 08/08 10:22

→ cangming : S 08/08 10:22

→ cangming : 其實說傳統架構就算是上雲也不一定能解啦 DB的操作 08/08 10:23

→ cangming : 如果不能有效scale out 一樣會炸掉 08/08 10:24

→ birdy590 : 講白話一點這個世界上多數網站可說完全沒有防護 08/08 10:24

→ birdy590 : 這種簡單丟個幾十G就死了不需要什麼麻煩的手法 08/08 10:25

→ birdy590 : 我們的政府網站其實多數也停留在這個層次 08/08 10:26

噓 tin123210 : 新部會沒被打吧，吹到天上去 08/08 10:27

推 cangming : 是啊尤其是現在IOT裝置越來越多一堆裝置能聯網但 08/08 10:27

→ cangming : 訊息都沒加密甚至連升級韌體的對外連線都是裸奔想 08/08 10:27

→ cangming : 到就可怕 08/08 10:27

→ cangming : 但是一般用戶怎麼可能會知道要記得用防火牆擋一擋 08/08 10:28

→ cangming : 這種隨隨便便就變成別人家的殭屍 08/08 10:28

→ birdy590 : 爛 AP 本身就是漏洞的來源好嗎, UPNP 這幾年是主角 08/08 10:30

推 birdy590 : DNS/NTP 之類比較新的很多都修補過了只會愈來愈少 08/08 10:30

推 cangming : 對就是那個asus 比tplink還脆弱是哪招 08/08 10:31

推 s8626460 : 非常感謝推文裡幾位理性大量的討論 08/08 10:46

推 s8626460 : 趁機了解一些皮毛,當初學的計概已是年代久遠的東西 08/08 10:52

→ serrier : 這麼簡單方法?國防部其他部門都不會?你敢信? 08/08 10:55

→ askeing : Cloudflare看起來有提供Web3,IPFS gateway等服務 08/08 12:10

噓 ethanwu0414 : 某媒體又在造神 08/08 12:54

推 ewjfd : 真奇葩沒有一則推文譴責中國攻擊全在譴責唐鳳 08/08 13:27

→ ewjfd : 這些人才是實體DDOS吧 08/08 13:28

推 codehard : 就心理戰啊不怪拉屎的怪清屎的 08/08 13:55

推 labell : 感覺先拿下台大比較重要 08/08 14:25

→ labell : 不然PTT一堆水桶愛台帳號 08/08 14:26