Total Pageviews

Wednesday 11 September 2019

'连登'网站遭国家级网络攻击 仅设Cloudflare作防御是不够的。

问︰在这次香港「反送中」运动中扮演重要角色的连登网上讨论区,遭到大量的网络攻击,就算用了Cloudflare,仍然要承受大量的网络攻击,影响运作效率。Cloudflare已经在抵挡DDoS(阻断服务攻击)上十分之有名,为何仍然会这样,是攻击的流量太多,还是其他原因?

李建军︰要明白当中因由,必须明白Cloudflare的原理。Cloudflare某程度是一个代理主机,由于Cloudflare在DNS上的特殊安排,正常情况下,使用者实际上是浏览Cloudflare主机上存取的网页版本,而Cloudflare会知道该网页真实的主机IP,然后定期连接上此网站索取新版本,因此,Cloudflare可以挡DDoS兼为网站提升运作效率,前提是无人为了攻击某个网页,特别找出这个网页主机的真实IP。

但中国当局现时对出入各地的网络封包进行深层次分析,透过深层次分析,是可以找到其选定攻击目标的真实IP,然后中国当局再利用海外中国国企的IP或主机对此IP地址进行攻击。这次事件中则是对连登的真实IP作出攻击,如果连登的真正主机的防火墙,未有作出相应措施挡住这些攻击,就变成就算有了Cloudflare,都未能百分百将来自中国的攻击拒诸门外。

另一方面,Cloudflare主要针对网站浏览方面的应用,但中国当局使用SSH攻击,在防范SSH或其他并非80或443埠口攻击上,Cloudflare的能力有限。因此,完全依赖Cloudflare这个做法,亦有欠全面和周详,因为流行攻击网站的方法,并不局限于攻击80和443两个浏览网站必经埠口。

因此,对一些十分惹火的网站,使用Cloudflare或以其他简称CDN的内容传送网络主机,都是必要的。但不可以完全依赖Cloudflare,主机本身的防火墙仍然要防范中国或相关公司的攻击,才可以确保安全。

问︰那要怎样,才可以防范中国或相关公司的网站攻击?真实主机封锁了来自中国的IP并不足够吗?

李建军︰其实只封中国IP并不足够,一方面有部分美国、欧洲IP,实际上正由中国电信或中国联通海外分公司租用,而阿里巴巴以及腾讯,都有在海外设立数据中心,而部分俄国、乌克兰黑客,亦乐于被中国政府重金礼聘作网站破坏之用。所以,你的真实主机,必须将所有中资公司的网站自主代码都封锁,而有些太恶名昭著的主机公司的IP,亦应该予以封锁,有部分荷兰或欧洲的互联网主机管理公司,有大规模向俄国情报部门提供服务的记录,因此,部分荷兰数据中心的主机,如果行为太古怪,都要予以封锁。

而在Telegram上,一度有不少来自伊朗的bot滋扰使用者。伊朗当局与中国当局关系密切,华为被制裁,都是因为华为无视禁令,将美国的技术售予伊朗当局,由此可见中国和伊朗在很多方面都有合作,包括箝制网上自由,以至部分黑客活动。因此,那些与中国当局关系密切的国家的主机,都要小心提防,尤其是伊朗,因为伊朗主机在Telegram上异常活跃于滋扰香港Telegram群组的行为,可以反映出,伊朗成为中国黑客活动的重要跳板机会十分之大,因此有必要严防来自伊朗的主机。
2019年6月12日,香港示威者在「反送中」运动中利用智能手机收发资讯。网上讨论区连登及即时通讯软件Telegram在这次运动中扮演重要角色,并因此多次遭受网络攻击。

No comments:

Post a Comment