近日網上流傳投票系統可以用同一IP,同一電話,使用方程式計算香港身份證號碼,再使用儲值電話卡投票,本人笑而不語,再者說什麼開始投票前就說被人攻擊,開始投票後則正常運作。
對於一眾的科技盲,也許不認識CloudFlare這間公司,不知道什麼叫DDoS,讓在下作一個簡單的斷章取義式說明。
DDoS 攻擊大約可定義為攻擊者早在網絡散怖惡意程式,這些程式本身對中招者沒有惡意影響,只會在攻擊者希望攻擊某目標時,接收命令並對目標進行連續的請求。沒錯,只是普通的正常請求,但當有數以億計的普通電腦對目標進行請求,便會變為攻擊,會有以下幾種情況發生。
- 朕乃使用超級電腦集群,也有數以十億計頻寬直通世界各地,並不害怕閣下之龐大攻擊
- 朕強大之防火牆佣有強大之吞吐力並高度人工智能,會自動分析哪些是不正常請求Route到Black Hole,即使它們扮得很像人,但係人係鬼我一眼就睇得出.jpg
- 伺服器或防火牆因忙於應付大量請求,硬件吃不消當機了
- 因大量請求送入引致正常請求因超過限定時間完成而Timeout
- 因大量請求送入把伺服器的頻寬用盡引致網絡大塞車
- 使用CDN服務作為保護伺服器的方法,當中比較出常見的服務提供者有CloudFlare及Amazon等。
不才估計是次PopVote原是使用香港龍頭網存公司之一UDomain作為伺服器供應商,再以CloudFlare CDN服務作為第一道防線,並以Amazon作為DNS服務器免除DNS被騎劫之憂。
可幸在測試系統其間,強國發起大量網絡攻擊,Amazon收到100億次DNS Request,CloudFlare收到75Gbps持續攻擊,UDomain收到10Gbps繞過CloudFlare的直接攻擊,伺服器宣佈皮已收。
沒錯,是可幸,因為此舉讓PopVote知道自己伺服器的不足,有足夠時間作出部署。
Amazon及UDomain退出是次戰線,DNS服務應改由OpenDNS提供,本人相信10Gbps的攻擊UDomain是有方法可以防禦的,但如果攻擊者全數攻擊繞過CloudFlare,直接向向伺服器作出攻擊,相信UDomain難以招架。
因CloudFlare看到是次事件乃是讓公司在世人面前展示能為的時機,故主動提出連伺服器也破格地由CloudFlare提供,因主伺服器也置於CloudFlare內部,所以避免了攻擊者繞過他們直接攻擊主伺服器的問題。
於事,整個伺服器系統轉為由CloudFlare提供。CDN服務以動態的DNS解析服務,指派所有流量分散到多部不同的CloudFlare伺服器,利用不同地方的分流伺服器、頻寬及過濾掉大部分不正常的攻擊請求,讓正常的請求才可儲存到位於CloudFlare重重保護下的主伺服器集群。
昨日CloudFlare表示受到300Gbps的網絡攻擊,根據本人手上的2011年香港網絡總流量估算,300Gbps流量約等於全香港網絡總流量的日峰值。300Gbps是指每秒鐘有37.5GB的資料被送往目的地,再形象化一些,即是每一秒鐘把8隻DVD送到伺服器。即是每一分鐘2.25TB,每小時135TB。給大家參考一下,一般民用伺服器受到數百Mbps攻擊已經會高舉白旗。
為應付是次預知會受到的網絡攻擊,CloudFlare CEO決定親自連同幾位同事為應付龐大的網絡攻擊而嚴陣以待,不停分析攻擊的來源及更新防火牆的運作把絕大部分的攻擊Route至Black Hole,確保投票系統正常運作。
300Gbps的網絡攻擊雖然足以拖垮地球上很大部份的個體伺服器集群,但對在全球有26個Datacenter作CDN分流,擁有數以Tb計Bandwidth的網絡安全公司看來,其實唔難。