【资安周报第60期】为什么Gb级DDoS攻击，就可以打挂台湾券商下单系统？

金鸡年开春后，台湾股市并不平静，从2月2日、2月3日开始，台湾就陆续有券商收到冒名Armada Collective（西班牙无敌舰队）骇客集团寄发的英文勒索信，要求受骇券商支付7～10个不等的比特币赎金（折合新台币22万～32万元），并示威式的发动DDoS攻击展示武力；第一波攻击后则宣称，受骇券商如果不在2月7日前支付赎金的话，骇客集团不仅会发动第二波的DDoS攻势，赎金立马暴增为20个比特币，而且每延迟一天支付赎金，赎金每天会增加10个比特币，直到业者肯付钱为止。

据金管会表示，2月7日总计有台新证券、群益证券、德信证券和北城证券等4间证券业者都有遭到冒名Armada Collective骇客集团发动DDoS攻击，当日攻击流量最高为2Gbps，比第一波DDoS攻击流量只有800Mbps，规模大了约3倍之多。金管会指出，今天遭到攻击的券商，除了群益证券是第一波受到攻击的券商外，包括台新证、德信证和北城证等，都是今天收到勒索信就同时遭到DDoS攻击的受骇对象，另外有一间证券业者则是收到勒索信但没有受到DDoS攻击。

但是，平心而论，骇客说好的Tb级DDoS攻击还没有发生，Gb级的攻击就已经足以瘫痪台湾券商网络下单系统，即便主管机关认为ISP业者和券商的联防有发挥预期的效果，但台湾券商却仍要提高警戒，攻击流量算小的Gb级DDoS攻击就已经打挂台湾券商时，也很难对台湾金融业的网络环境有多大期待。

台湾券商先天对外带宽不足，无力抵抗Gb级DDoS攻击

很多人质疑，为什么台湾券商面对这么小的DDoS攻击流量就会挂点，根据台湾大哥大企业用户事业群企业产品暨营运管理处副处长魏政贤的观察，他认为，主要是多数台湾券商购买的对外带宽不够，大型券商如果对外带宽有100Mbps，小券商在资源有限的情况下，对外带宽有10Mbps～20Mbps，基本上就已经很多了。

比对魏政贤提出券商所购买的对外带宽大小，再对照自称Armada Collective骇客组织在第一波发动DDoS攻击800Mbps和第二波DDoS攻击2Gbps，都已经远远超过台湾券商所能够承受的攻击量，也难怪，即便是台湾的大型券商或者是资安模范生，面对骇客发动的DDoS攻击时，第一时间都是兵败如山倒。

侧面了解，很多券商的IT主管在面对这次的DDoS威胁时，有很多IT主管刚开始都是非常震惊或惊吓；有的是觉得为什么这么倒楣，这事情就发生在我身上；有的则是，在思考怎么跟老板交代为什么会被骇客锁定攻击；更有些人甚至要有第三方单位，例如就有券商工会出面召开记者会说明，“券商遭遇到的这一切DDoS攻击，都是因为骇客攻击能力太厉害，绝对不是因为券商资安防护能力太弱，尤其是DDoS攻击防护能力太弱造成的。”而这种掩耳盗铃的对外说明，根本无助于解决台湾券商的困境。

网络安全专家刘俊雄更直言，没有遇过DDoS攻击的企业，通常会出现几种态度，像是“自己不会被打”“自己挡得住”、“打死也没关系”、“有可能被打要作点准备”、“很可能被打要作好准备”，当然，最无敌的心态就是“把错推给骇客就好”。

至于曾经遇过DDoS攻击的客户，刘俊雄则说，这些曾经遭骇企业的心态则会变成“被打过，觉得不会再被打”、“算了，打死也没关系”、“会再被打，快作点准备”、“会再被打，快作好准备”，以及再次出现的无敌万灵丹“把错推给骇客就好”。只可惜，这次台湾券商面对的是全台湾都关注的骇客组织发动的DDoS攻击，一切虽然都是骇客的错，但是，企业面对这样的威胁如果没有任何因应对策，一切只能向下沈沦。

面对DDoS攻击，主要解决塞爆带宽和主机资源耗尽问题

要解决DDoS的问题就得针对攻击类型对症下药，一般而言，DDoS可以分成塞爆带宽或者是耗尽主机资源两大类。魏政贤表示，企业面对DDoS攻击时，可以从几个层面来处理，首先，在本地端，至少要有一些防火墙或者是入侵侦测防御（IDP）设备，监控并阻挡恶意的流量进入企业内部，大流量甚至可能耗尽主机系统处理器或内存的资源，导致当机或服务中断。

中华电信资安处处长洪进福则指出，面对更大量的DDoS攻击流量时，就得委由ISP业者协防，主要是透过流量清洗的方式，搭配阻挡来自某些海外攻击IP的方式，将恶意攻击流量先导到ISP的流量清洗中心后，再导回到券商的下单网站，确保连上券商下单网站的都是正常的封包。

当然，如果攻击流量真的到达所谓的Tb级的档次，魏政贤认为，以台湾既有ISP业者的能力，是无法单靠自己一己之力，就做到流量清洗和阻挡，势必得往更上游的国际流量清洗中心和国际组织请求协助。

这样其实是非常合理的作法，洪进福便说，中华电信也只承诺提供Always On的DOoS防护服务的最高流量只承诺到30Gbps，因为，如果是无限制的清洗DDoS流量，除了成本太高，更重要的是，也会影响到其他使用中华电信网络的客户。

同样的，魏政贤也说，台湾大哥大对于DDoS防护的流量上限达80Gbps，虽然比中华电信的流量高，但以目前频繁遭到DDoS攻击的对象以线上游戏业者为多，平均攻击量约为40Gbps，他认为，骇客集团真的要发动近百Gbps攻击不是不可能，目前看来，除少数投机高风险的产业外，其他产业面临这么大量攻击的机会相对较小。

刘俊雄也建议，如果企业面对的洪水式的DDoS攻击，可以请求ISP或流量清洗业者协助，可以采用黑洞（Black Hole）、更换IP、多重ISP线路和使用全球服务器负载平衡（Global Server Load Balancing，GSLB）都可以解决这类洪水式的DDoS攻击；至于网络层的攻击，他认为，可以透过更换设备、关闭功能和调整系统参数因应；若是应用层的攻击，就必须增加主机服务能量、减少异常存取。

此外，他认为，企业面对DDoS攻击时，还是可以使用辨识网络层和应用层的特征加上封包过滤的手法，降低DDoS的威胁；同样的，其他像是转址（Redirection）、Challenge或是认证（Authentication）等，并且协调资安业者借调设备，都是有助于减缓DDoS对企业造成威胁的方式。

至于其他相关防御考量重点，则可以参考行政院资通安全会报技术服务中心的建议，包括：建置多层次过滤防护；提升服务器安全（DNS、NTP服务器等）；落实企业持续营运规划（BCP）与异地备援机制（DRP）；设计多重网络出口；建立与 ISP 业者的紧急联系管道；定期执行弱点更新与系统效能调校和进行流量监控与建立紧急应变程序等方式。

 相关报导 

多家券商证实遭DDoS攻击，骇客扬言不付钱要再开打

第一波10家券商DDoS攻击勒索名单曝光，2月7日迎战超大流量Tb级攻击

对抗DDoS攻击勒索，多家券商要靠中华电信协防

2月7日证券商DDoS攻击流量公布！金管会：最高2Gbps

台湾首次券商集体遭DDoS攻击勒索名单出炉：累计13家！