網路上有很多造成破壞的惡意攻擊行為,背後的攻擊者不論是有意或無意,都給許多人造成了困擾,其中又以 DDoS 可稱作是這個世代最為常見,破壞力也相當強大的一種攻擊方式。對網路內容傳遞商 Cloudflare ,這些都是生意,會為自己的公司帶來收益,但不久前該公司卻宣布要將一般業界都列為收費項目的 DDoS 防護服務 直接免費,霸氣作風引來同業的好奇,而該公司執行長 Matthew Prince 也表示,希望讓 DDoS 這個名詞只在歷史書中出現:
▲DDoS 已經成為資安領域的一大威脅。(圖片來源)
網路上有許多攻擊的方式,但有一種攻擊方式需要大量的連線系統一起佔用網路頻寬,進而讓目標網站無法順利使用的招數,稱為阻斷服務攻擊(Denial-of-Service Attack),通稱 DoS 攻擊。這種攻擊方式的目的在於讓對方的網路主機癱瘓,甚至超過負荷無法運作,使網站無法正常呈現在人們面前。舉例來說,就像跨年晚會的會場擠滿了人潮那樣,任何人想穿過人潮都需要花費特別多時間。DoS 攻擊正是這樣的原理,透過海量的連線請求跟網路流量,封死對方網站的使用。
DoS 有時也未必是攻擊,只要是夠多的人口跟電腦同時連上某一個網站,造成大量的連線請求,都有可能形成類似的原理。比方說逢年過節搶車票機票,五月天跟阿妹的演唱會搶票,這些場景都會形成在某個特定的時間內,所有人瞬間同時連入網站的狀況。像是 2015 年江蕙的告別演唱會,當時負責售票的寬宏售票系統就慘遭歌迷擠爆網站,一度癱瘓近 4 小時才恢復。雖說多少有人禍的問題在,但在類似的場景往往都會看到相同的結果,以學生來說,最能感受的大概是大學的選課大戰,為了選到好課,大家都是在電腦前拼命連線到學校網站,甚至因為這樣癱瘓網路的例子也不時聽聞。
DoS 的攻擊方式很有殺傷力,也很不拐彎抹角,不需要太多技術底子,所以後來有駭客利用殭屍網路遙控了大量電腦進行攻擊,這類攻擊通常又稱為分散式阻斷服務攻擊(Distributed Denial-of-Service attack),這個就是我們常常聽到的 DDoS 攻擊。DDoS 比起 DoS 來得強大,因為可以透過駭客一個人遙控大量電腦進行指定的攻擊,如果說 DoS 像是古早飛機空投到地面爆炸的炸彈,DDoS 大概就像是導彈一樣,不管從哪裡發射,目的地都可以自行控制:
▲DDoS 攻擊輕則影響一部分公司,重則可能是國際間大事(圖片來源)
當然,面對突然爆量的流量跟連線請求,這時候得找幫手來幫忙分流。CDN(Content Delivery Network)服務商通常是最能應付這方面問題的專家,但專家通常也是要收錢的,這些攻擊通常會達到每秒鐘 100MB之譜,業者通常會照樣算網路頻寬費用,因此被攻擊的一方通常要支付一筆不小的頻寬費用來擺平這些事。就算是明擺著被坑,也得摸摸鼻子吞下去。
也因為這樣的大環境下,使得著名 CDN 供應商 Cloudflare 在宣布為旗下所有客戶免費提供 DDoS 防護服務時,讓許多人為之驚訝。這麼好的一門生意居然白白放掉,令人相當意外。
但 Cloudflare 顯然著眼點並不一樣。該公司 CEO Matthew Prince 認為,正因為這些服務的收費都是依據被攻擊時的頻寬,但光是頻寬費用很容易上看數十萬美元,是一筆相當可觀的費用。付不出錢的客戶在遭受到攻擊時很容易被 CDN 服務商直接關閉服務,以 Cloudflare 來說也不免如此。但這樣一來,就好像棄自己的客戶於不顧,好像收了人家的錢,卻在客戶被攻擊時還放棄了對方一樣,這種行為簡直就是敲詐對方:
▲Cloudfglare 跳出來宣部推出免費 DDoS 防護功能,人人能用(圖片來源)
因為這樣的「良心問題」,讓 Cloudflare 的政策變得人性化。雖然不知道 Cloudflare 是不是為了博得名聲,但這個舉動為 Cloudflare 帶來了知名度跟新聞版面。對 Cloudflare 來說也是正面的影響。
Cloudflare 並非第一天搞良心事業,過去他們也提供過免費的網路加密傳輸服務 Flexible SSL,讓每個通過 Cloudflare 連到網站上,這項功能在電腦王阿達過去的文章中也有介紹過(參見此連結 ),這點讓 Cloudflare 成為當時僅有的免費 CDN + Flexible SSL 服務商。現在多了免費 DDoS 防護功能,使得 Cloudflare 的免費功能更吸引人。
對 Matthew Prince 來說,推廣免費服務並不只是為了道德上受人尊敬,更重要的是讓自家的服務能有更好的注目程度,並且累積口碑,創造更多收費客戶的信賴感,進而推銷其他的付費服務。這才是 Cloudflare 公司最希望達到的目的。藉由免費服務來吸引大家對自家公司的注意,拉抬聲勢,甚至讓其他 CDN 服務的客戶願意跳槽過來,這些都才是真正的甜頭。
不過,DDoS 雖然造成不少人的困擾,但它跟真正破壞系統跟網站的惡意攻擊比起來,已經算是溫和的了。過去我們都知道許多病毒跟惡意程式容易造成大規模的危害,駭客也常常喜歡破解許多網站管理者建設起來的伺服器環境,藉機改寫主頁、偷竊資料,造成更深的損害,對照 DDoS 的攻擊跟破壞力來看,頂多只是一場示威遊行。不過示威遊行也要看人數,當人數越來越多的時候,影響力也會隨之變大,甚至撼動全球:
▲DDoS 猶如殭屍網路領域的圍毆行為,人多的一方欺負人少的一方(圖片來源)
舉一個有名的例子, 2014 年香港的 PopVote 線上投票網站遭到 DDoS 攻擊的事件,當時的流量之大,足以名流史冊。PopVote找上 Cloudflare 希望能夠協助,而 Cloudflare 當時正在運作一個名為 Project Galileo 的計畫,該計畫為符合條件的公益組織提供免費 DDoS 防禦服務,因此 Cloudflare 基於這個原因為 PopVote 防禦攻擊。而 Cloudflare 面對這個案例時,也是使出全身解數,包含 Amazon AWS 跟 Google Project Shield 都加入防禦之列:
▲PopVote 在 2014 年 6 月遭受到龐大流量 DDoS 攻擊,攻擊強度驚人(消息來源)
但在防禦的過程中,Amazon 跟 Google 都因為流量過大影響到自家公司的其他網路服務,而不得不宣告退出,最後 Cloudflare 使用了全球任播網路(Global Anycast Network)的技術,聯合全球網路供應商一起攔截這些攻擊,才能讓 PopVote 完成為期十天的公民投票行動。
從這裡來看,DDoS 越來越不能輕忽,攻擊程度甚至比美一場世界大戰。其中投入的資源可謂不成比例,也因此多家資安業者都開始針對 DDoS 攻擊來進行研究,並且希望這個攻擊模式在世界上完全消失。成為歷史名詞。對 Cloudflare 而言,PopVote 事件帶給他們一次震撼教育,像 PopVote 這樣的小規模網站,遭遇到的 DDoS 攻擊甚至讓 Amazon、Google 兩家大企業招架不住,可見這種攻擊模式極其難纏,也需要更好的防範措施。就算被說是沽名釣譽,Cloudflare 看來也沒有動搖過決心。