國際最大駭客組織“匿名者”亞洲（Anonymous Asia）從1日凌晨起，攻擊教育部與總統(tǒng)府網(wǎng)站，并強(qiáng)制封鎖5個小時，后續(xù)國防部、經(jīng)濟(jì)部、國民黨、新黨、以及國民黨臺北市黨部等網(wǎng)站都一一淪陷，紛紛遭受分散式阻斷服務(wù)（DDoS）攻擊。根據(jù)最新消息指出，4日下午匿名者亞洲再度攻擊法務(wù)部網(wǎng)站、行政院主計處網(wǎng)站、臺北市政府警察局刑事警察大隊等等，不過網(wǎng)站很快就恢復(fù)正常。

所謂DDoS攻擊，是一種駭客攻擊的手法，也稱為“洪水攻擊”，通常駭客是利用網(wǎng)路上已被攻陷的“殭尸”電腦，向特定目標(biāo)網(wǎng)站發(fā)動密集式的拒絕服務(wù)式攻擊，用來耗盡目標(biāo)網(wǎng)站的網(wǎng)路和系統(tǒng)資源，也就是說，等于大量使用者發(fā)動封包瀏覽、查詢網(wǎng)站，超出政府網(wǎng)站的主機(jī)和頻寬的負(fù)荷程度，因而網(wǎng)站被癱瘓（掛掉），無法正常瀏覽。

先前也曾發(fā)生有人提供DDoS攻擊工具，發(fā)動民眾進(jìn)行大量DDoS攻擊，例如，2013年菲律賓槍殺臺灣漁民事件，臺灣網(wǎng)友也用“PTTATK鍵盤開戰(zhàn)”發(fā)動DDoS攻擊，癱瘓菲律賓多個官方網(wǎng)站。

政府回應(yīng)能力仍顯不足，呼吁民眾勿以身試法

政府機(jī)關(guān)網(wǎng)站遭受攻擊，權(quán)責(zé)單位雖是法務(wù)部調(diào)查局，但法務(wù)部調(diào)查局新聞聯(lián)繫科科長卻指出，此案已交由調(diào)查局內(nèi)的資通安全處立案偵辦，由于偵查不公開，不便透露目前進(jìn)度，也不愿意透露自己的名字。至于調(diào)查局需要多少資源才能找出DDoS攻擊者？有沒有能力處理這個事件？這位科長的回應(yīng)是：講這些都沒有意義，會依照辦案的SOP來進(jìn)行，積極蒐集相關(guān)證據(jù)。

若是一般網(wǎng)站遭受攻擊，權(quán)責(zé)單位則是刑事局偵九隊，刑事局強(qiáng)調(diào)此次事件非他們權(quán)責(zé)，但同時又呼吁民眾勿以身試法，表示警方已把攻擊來源的IP位址全部錄下，將循線追查攻擊政府網(wǎng)站的攻擊者。將依據(jù)刑法第360條妨害電腦使用罪規(guī)定，“以電腦程式或其他電腦方式干擾他人電腦或其相關(guān)設(shè)備，致生損害于公眾或他人者須負(fù)相關(guān)法律責(zé)任”，來追查攻擊民眾，提起公訴罪。

Anonymous Taiwan / 臺灣匿名者也在粉絲專頁上呼吁：

勿使用任何工具或網(wǎng)站攻擊政府包括"教育部旅游網(wǎng)、Torshammer、LOIC..."等，一來是這些工具效果十分有限，二來依照我們的消息指出，如果偵九隊或調(diào)查局抓不到最主要的攻擊者，會拿好奇的、誤點連結(jié)的朋友們開刀，把他們當(dāng)作是替死鬼。

行政院發(fā)言人孫立群3日發(fā)出聲明指出，

此種攻擊并不意味網(wǎng)站原有資安漏洞而遭入侵，亦無重要資料遭竊的問題。以百貨公司週年慶或高速公路為例，當(dāng)瞬間涌入過多客人或車輛時，服務(wù)水準(zhǔn)勢必低落甚至達(dá)到無法動彈的地步，但此并不意味百貨公司或高速公路的設(shè)施安全有問題。換言之，“分散式阻斷服務(wù)”是人為刻意導(dǎo)入網(wǎng)站的瞬間高流量，使網(wǎng)站失能的惡意作法。

教育部與相關(guān)單位即設(shè)法鑒別攻擊來源，對主要的來源在網(wǎng)路閘道口等處設(shè)法阻擋其連線，進(jìn)行流量過濾與清洗，同時也調(diào)查攻擊來源的所在地為境內(nèi)或是境外。如為境內(nèi)，則進(jìn)一步追查來源所屬單位或電信業(yè)者、用戶。如為境外，則透過國際資安合作組織CERT通報，請求協(xié)助查緝攻擊來源。經(jīng)鑒別處理，網(wǎng)站多已恢復(fù)正常。

然而，DDoS攻擊雖然并非入侵政府系統(tǒng)漏洞，但DDoS攻擊也是資安防護(hù)的一環(huán)，近日來多個網(wǎng)站被攻擊而無法因應(yīng)，此事件也顯示政府的反應(yīng)能力仍顯不足。資安專家表示，“目前出狀況的網(wǎng)站，應(yīng)該是缺乏適當(dāng)?shù)膲毫y試來做把關(guān)，很可能是以程式寫出來能跑就好為目標(biāo)，壓根沒考慮到大流量的情況。”而DDoS攻擊縱使很難事前預(yù)防，也不應(yīng)將攻擊與網(wǎng)站的安全性脫勾，并非系統(tǒng)被入侵，才算是資安有問題，政府的回應(yīng)能力將是一大重點。（延伸閱讀：如何進(jìn)行網(wǎng)站壓力測試）

趨勢科技資深技術(shù)顧問簡勝財說，遇到DDoS攻擊的話，的確需要很多資源來處理！一般網(wǎng)站約幾千人連線，駭客利用幾十萬、上百萬臺電腦，伺服器、頻寬都負(fù)荷不了，網(wǎng)站就掛了。

簡勝財說，分散式阻斷式攻擊很難防護(hù)，因為網(wǎng)站是設(shè)計來讓使用者連線，沒辦法確定誰可以連你的網(wǎng)站。只能用一些方法來降低DDoS的影響，例如內(nèi)容傳遞網(wǎng)路CDN業(yè)者，在全世界有很大頻寬的伺服器，能降低影響，但服務(wù)費用比較高。另一種是網(wǎng)頁過濾服務(wù)，把流量導(dǎo)到云端，進(jìn)行DDoS流量過濾。

簡勝財說，有些ISP業(yè)者、云端服務(wù)有提供流量清掃服務(wù)，或擋下不正常的流量。另一種方法則是，把網(wǎng)站架在公有云服務(wù)如AWS上，比較有彈性，但還是要看攻擊狀況怎幺樣，流量大的話也代表費用會變高。

另一位資安專家表示，針對已遭受DDoS攻擊的網(wǎng)站處理建議，向外尋求ISP業(yè)者及IDC（Internet Data Center）協(xié)助。

若是內(nèi)部要自行處理的話，有兩個方式：
* 高連線數(shù)：建置Mod_Security、mod_evasive等模組啟用軟體式防御。
* 高CPU、記憶體：檢視網(wǎng)站記錄檔，看有無不正常量存取某些特定 URL，該進(jìn)入點可能佔用過多系統(tǒng)資源，例如搜尋等，可針對該頁面阻擋。

行政院資通安全辦公室說，常見的DDoS攻擊、置換網(wǎng)頁攻擊，部會多可自行因應(yīng)，遇類似狀況，通常調(diào)整頻寬、清洗流量就可解決。只有出現(xiàn)APT攻擊時，資安辦才會介入?yún)f(xié)助。

然而，事實上，大部分各部會的網(wǎng)站都是外包公司做的，縱使有一個資安辦公室，但各級部會對資安的認(rèn)知和意識是否已經(jīng)足夠？以目前政府資安的編制，有那幺多資源和設(shè)備能處理DDoS嗎？如果為了保護(hù)政府網(wǎng)站，而要花許多頻寬和設(shè)備資源費用來因應(yīng)DDoS攻擊，是否符合效益？此外，政府真的有技術(shù)能力及資源能找出真正的攻擊者是誰嗎？將IP位址錄下不是難事，但要如何辨認(rèn)出攻擊者是誰？將會需要大量電信警察以及國安等級的人員來追蹤，恐怕都是隨著此事件一起浮上檯面的問題，在在考驗政府對資安危機(jī)事件的耐受力。行政院在呼吁網(wǎng)友理性的同時，能否下定決心完善國家的資安政策布局？

每個新聞的發(fā)生，都有時代的意義；每個新聞的背后，都有更多的故事。代客發(fā)問、代客讀書，透過《數(shù)位時代》記者群的眼與筆，一起探索與思考關(guān)于新聞更多的面向，抓住產(chǎn)業(yè)的走向，貼近社會的脈動。

文章來源：機(jī)房監(jiān)控 http://qdlanhai.cn