今年初曾经爆发一起针对游戏服务器的大规模攻击事件,包括 EA Origin 、《英雄联盟》、Valve 的《Dota 2》甚至是 Battle.Net 等游戏服务都因为遭到攻击而无法运作。而美国国土安全局旗下的电脑警备小组(US CERT)也在年初针对此类攻击提出警告,认为这个全新的 DDoS 攻击将会成为资安方面的绝大漏洞。
此大规模攻击事件的起源之一,就是来自于一个专以实况游戏著名的玩家“Phantomlord”(台湾昵称为鬼王),在 Twitch 实况平台展示玩游戏的时候,被一个称为 DERP 的骇客集团盯上,当鬼王在进行《英雄联盟》的时候,骇客就将该游戏的服务器击垮,让他没办法顺利进行游戏,当鬼王准备换到《Dota 2》进行游戏时,DERP 再度用 DDoS 攻击该游戏服务器打垮。
DERP 借由这个著名的实况玩家,展示他们拥有击垮各种网络安全服务的能力,这个事件在之后越演越烈,从一个单纯骇客展示攻击能力的资安事件,成为 US CERT 提出警告的网络危机,成为全球网络史上最受人瞩目的攻击事件之一。
到底这个 DDoS 攻击手法有何不同?
为什么美国国安局要特别针对这种攻击手法提出警告?
以往 DDoS 攻击主要是透过僵尸网络实行,让骇客借由木马或病毒等方式侵入并控制其他人的电脑,让这些电脑同时对服务器传输封包,导致服务器无法运作而挂点(例如远通宣称自己被攻击,却被抓包说谎的 82 亿次攻击)。
但这次的 DDoS 事件却完全不同,骇客已经不再利用僵尸网络等方式进行攻击,而是利用伪装欺瞒(spoofing)的方式,让全世界的校时服务器(Network Time Protocol Server,简称 NTP)同时对服务器传输大量资料,让服务器收到大量非自行发出的校时需求封包而挂点。
由于电脑内部间的震荡器在制作过程中都会有些误差,导致许多电脑或服务器的时间快慢不一,每一天都可能累积一点点微小的时间误差。而校时服务器就是利用卫星讯号等方式获取正确的时间,让一些需要准确时间的服务服务器(例如金融业、电信业或是游戏业),能够借由传送需求给校时服务器,进而获得正确的时间调整,确保系统日志与交易时间能一致。
全世界有许多 NTP 服务存在,而相较于其他的安全措施,许多服务器容易在这个方面掉以轻心,而骇客就是利用此点,伪装需求封包传给这些服务器,让他们传输大量不必要的校时需求封包,而服务器就会因为承载不住如此大量的封包而当机。
需要校时服务的企业如何保护自己?
据科技新报采访资安专家陈昱崇 Zero Chen 表示:“如果各企业有使用校时服务器的需要,建议可以建构中控校时服务器,仅透过中控服务器对外进行校时并且做好相关存取限制,仅允许连结至设定的目标服务器并不提供给外部进行校时,内部待校时之服务器一律设定连至中控服务器进行校时,且做好相同之存取限制。”
“如此将可减少成为Reflection DDOS帮凶之风险,但若是自身遭受这类型的攻击,倘若企业所具备之网络流量及设备无法承受,只有通知ISP及TWCERT等单位协助处理,毕竟真要防御DDOS攻击只有透过国内外各ISP协防才是最有效的防治方式。”
补充:欧洲最大规模 DDoS 攻击
根据 ITHome 的新闻中指出,最近 CloudFire 的客户就受到借由 NTP 服务器传来的 DDoS 攻击,连续两小时受到 400G 流量轰炸,导致整个欧洲网络因而延迟,这个流量数据也堪称欧洲史上最大 DDoS 攻击之一。
图片来源:Vice.com
资料来源:
- US-CERT 官网
- PTT/jeff40108 (中中)/Re: [闲聊] 鬼王台发生的骇客事件
