2022年年初俄國對烏克蘭發動軍事攻擊時,也同步對烏克蘭國防部、外交部等政府網站發動分散式阻斷攻擊(Distributed Denial of Service, DDoS),意圖癱瘓政府的官方資訊公布管道。
用在新戰爭的老武器
同年8月,美國聯邦眾議院議長裴洛西訪台也引起世界關注,同一時間台灣多個政府官網亦遭到DDoS攻擊,瞬間流量比平常多出數百倍,導致網頁短暫無法進入。DDoS其實是非常傳統且常見的一種網路攻擊手法,駭客企圖以來自不同水管的洪水(大量且分散來源的網路流量),來沖倒龍王廟(消耗掉網路頻寬或服務提供主機的資源)。
對於愈來愈依賴線上即時服務的線上金融服務、或電子商務等企業而言,每停機一秒的損失很高。甚至對以官網當門面的國家官方機關來說,網站服務停止過久,有著國安堪慮的敏感議題。
對企業而言,要阻止DDoS的最簡單方式,就是「忍一下,與駭客比氣長」。因為網路服務要預先且有效阻擋四面八方蜂擁而至的網路封包難度、成本很高,但是攻擊者發動DDoS攻擊時,也必須投入製造的網路流量成本,是一場標準的資源戰。
一秒都不卡的黑科技
網路線上服務迫切,又不想被勒索的企業,可能會購買網路流量清洗等機制做為遭受攻擊時的緩解服務,不但所費不貲,一旦遭遇大規模攻擊時,防禦效果可能也有限。如何能更有效的防禦DDoS攻擊又同時兼顧投資效益,一直都是企業資安的熱門議題。
然而,就在2022中國軍演,並於網路駭客攻擊不斷的期間,我國數位發展部首任部長的唐鳳受訪時透露,數位發展部的網站也在軍演首日上線,並採取Web3為基礎的不對稱防禦架構,截至受訪當時「一秒鐘都沒有卡住過」。這樣的防禦技術,引發廣泛的討論,到底甚麼是可以抵抗DDoS的潮科技?怎麼還會具備Web3的特性?企業若欲導入應該注意什麼細節或有甚麼限制呢?
目前網站主流使用超文字傳輸協定(HyperText Transfer Protocol, HTTP),透過中心伺服器傳輸與下載資料,具備簡單又靈活的優點。但面對駭客的網路攻擊時,網站就像放在相同籃子裡的雞蛋,目標明顯又無法閃躲,所以一旦流量過大,系統就會癱瘓。為了解決資料與服務集中導致形成遭受攻擊熱區的問題,星際檔案系統(InterPlanetary File System, IPFS)技術就是其中一種可能的熱門解方。
華麗版的類區塊鏈技術?
簡單來說,IPFS是把網站的重要資訊分散地放在各處的電腦,並運用加密技術讓內容不容易被篡改,這個特性恰好抑制了需要集中流量進行的DDoS攻擊,也可以防範網頁被置換或是封鎖的風險,讓駭客無法再套用「大水沖倒龍王廟」的老招式。
因為設立網站的目的就是要將正確的資訊即時提供給瀏覽者,IPFS就像是用安全的方式,把雞蛋放在很多不同的籠子裡,從資安的角度而言,這種防護方式已將以往的防護重點「網站」,移轉到網站上公布的「資訊」,是一種完全不同的觀念。
同時,IPFS也具備了與時下流行Web3區塊鏈技術中,去中心化與不可竄改的相似特性,不但可以分散式的存取資訊,且每個節點的檔案都有唯一的雜湊(HASH)值,使用者可以利用此確認下載檔案是否被竄改。
IPFS的未來
未來的網路應用更多、需求更迫切,例如近年政府因應Covid-19疫情,陸續推出防疫口罩地圖、疫苗、振興劵等網站,其資訊對民眾而言都成為民生必需品。
然而,傳統的網站設計也擴大了曝險面積,讓駭客利用DDoS易攻難守的特性進行攻擊,輕則短暫無法使用服務,重則損害聲譽。新的防禦技術如IPFS的研發應用,已經露出抵禦DDoS攻擊的一線曙光,但是如果真的要成為有效的「資安黑科技」,還必須有足夠多條件來配合,例如建立充分的分散節點等資源投入、即時修補應用程式的缺陷,並且針對防禦程序進行事先模擬演練。
此外,因為技術限制,目前IPFS支援之瀏覽器有限,也影響了使用便利性,未來企業若要導入IPFS協議,還是得先評估資料與檔案屬性、IPFS技術成熟度、企業網路服務韌性等需求,綜合考量後再行部署。
(專欄觀點不代表本社立場;本文作者KPMG安侯建業顧問服務部營運長暨安侯企業管理股份有限公司董事總經理)
